Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
22.4. 사용자 인증 방법에 따라 서비스 및 호스트에 대한 액세스 제한
IdM에서 지원하는 인증 메커니즘은 인증 강도에 따라 다릅니다. 예를 들어 표준 암호와 함께 일회용 암호(OTP)를 사용한 인증은 표준 암호만 사용하는 인증보다 안전한 것으로 간주됩니다. 이 섹션에서는 사용자 인증 방법에 따라 서비스 및 호스트에 대한 액세스를 제한하는 방법을 보여줍니다.
예를 들어 다음을 구성할 수 있습니다.
- 강력한 인증 방법 필요 시 VPN과 같은 보안에 중요한 서비스
- 로컬 로그인과 같은 중요하지 않은 서비스는 더 약하지만 더 편리한 인증 방법을 사용하여 인증을 허용합니다.
그림 22.8. 다른 메서드 사용 인증 예
인증 지표
서비스 및 호스트에 대한 액세스는 인증 지표에 의해 정의됩니다.
- 서비스 또는 호스트 항목에 포함된 표시기는 사용자가 해당 서비스 또는 호스트에 액세스하는 데 사용할 수 있는 인증 방법을 정의합니다.
- 사용자의 TGT( 티켓 부여 티켓)에 포함된 표시기는 티켓을 받는 데 사용된 인증 방법을 보여줍니다.
주체의 표시기가 TGT의 표시기와 일치하지 않으면 사용자는 액세스가 거부됩니다.
22.4.1. 특정 인증 방법 필요 시 호스트 또는 서비스 구성
다음을 사용하여 호스트 또는 서비스를 구성하려면 다음을 수행합니다.
- 웹 UI에서 참조하십시오. “웹 UI: 특정 인증 방법 필요 시 호스트 또는 서비스 구성”
- 명령행에서 볼 수 있습니다. “명령줄: 특정 인증 방법 필요 시 호스트 또는 서비스 구성”
웹 UI: 특정 인증 방법 필요 시 호스트 또는 서비스 구성
- → 또는 → 를 선택합니다.
- 필요한 호스트 또는 서비스의 이름을 클릭합니다.
- 인증 표시기 에서 필요한 인증 방법을 선택합니다.
- 예를 들어 OTP 를 선택하면 암호로 유효한 OTP 코드를 사용한 사용자만 호스트 또는 서비스에 액세스할 수 있습니다.
- OTP 및 RADIUS 를 모두 선택하는 경우 OTP 또는 RADIUS 중 하나를 선택하여 액세스를 허용할 수 있습니다.
- 페이지 상단에서 을 클릭합니다.
명령줄: 특정 인증 방법 필요 시 호스트 또는 서비스 구성
- 선택 사항입니다. ipa host-find 또는 ipa service-find 명령을 사용하여 호스트 또는 서비스를 식별합니다.
- 필요한 인증 표시기를 추가하려면 ipa host-mod 또는 ipa service-mod 명령을
--auth-ind옵션과 함께 사용합니다.--auth-ind에서 허용하는 값 목록은 ipa host-mod --help 또는 ipa service-mod --help 명령의 출력을 참조하십시오.예를 들어,--auth-ind=otp를 사용하면 유효한 OTP 코드를 사용하는 사용자만 호스트 또는 서비스에 액세스할 수 있습니다.$ ipa host-mod server.example.com --auth-ind=otp --------------------------------------------------------- Modified host "server.example.com" --------------------------------------------------------- Host name: server.example.com ... Authentication Indicators: otp ...
OTP 및 RADIUS 둘 다에 대한 지표를 추가하는 경우 OTP 또는 RADIUS를 모두 허용하기에 충분합니다.
22.4.2. Kerberos 인증 ID 변경
기본적으로 IdM(Identity Management)은
PKINIT 사전 인증 플러그인을 사용하여 Kerberos 인증의 인증서 매핑에 pkinit 표시기를 사용합니다. KDC(Kerberos Distribution Center)에서 TGT( ticket-granting ticket)에 삽입한 인증 공급자를 변경해야 하는 경우 PKINIT 기능을 제공하는 모든 IdM 마스터에서 구성을 수정합니다.
/var/kerberos/krb5kdc/kdc.conf파일에서pkinit_ECDHE 매개변수를[kdcdefaults]섹션에 추가합니다.# pkinit_indicator = indicator
다음 값을 표시기를 설정할 수 있습니다.- 두 가지 요인 인증의 경우 OTP
- RADIUS 기반 인증
- 스마트 카드 인증을 위한 PKINIT
- ScanSetting
5kdc서비스를 다시 시작합니다.# systemctl restart krb5kdc
