Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

3.3. 클라이언트 설치

ipa-client-install 유틸리티는 IdM 클라이언트를 설치 및 구성합니다. 설치 프로세스에서는 클라이언트를 등록하는 데 사용할 수 있는 자격 증명을 제공해야 합니다. 다음과 같은 인증 방법이 지원됩니다.
admin과 같은 클라이언트를 등록할 권한이 있는 사용자의 자격 증명
기본적으로 ipa-client-install 에는 이 옵션이 필요합니다. 예를 보려면 3.3.1절. “클라이언트 대화형 설치” 을 참조하십시오.
ipa-client-install 에 사용자 자격 증명을 직접 제공하려면 --principal--password 옵션을 사용합니다.
서버에 미리 생성된 임의의 일회성 암호
이 인증 방법을 사용하려면 ipa-client-install 옵션에 --random 옵션을 추가합니다. 예 3.1. “임의 암호를 사용하여 비대화형 클라이언트 설치” 참조하십시오.
이전 등록의 주요 내용
이 인증 방법을 사용하려면 --keytab 옵션을 ipa-client-install 에 추가합니다. 자세한 내용은 3.8절. “IdM 도메인에 클라이언트를 다시 등록” 을 참조하십시오.
자세한 내용은 ipa-client-install(1) 매뉴얼 페이지를 참조하십시오.
다음 섹션에서는 기본 설치 시나리오를 문서화합니다. ipa-client-install 및 허용되는 옵션의 전체 목록을 사용하는 방법에 대한 자세한 내용은 ipa-client-install(1) 매뉴얼 페이지를 참조하십시오.

3.3.1. 클라이언트 대화형 설치

다음 절차에서는 필요한 경우 사용자에게 입력하라는 메시지를 표시하는 동안 클라이언트를 설치합니다. 사용자는 admin 사용자와 같은 도메인에 클라이언트를 등록할 수 있는 권한이 부여된 사용자의 자격 증명을 제공합니다.
  1. ipa-client-install 유틸리티를 실행합니다.
    다음 중 하나가 적용되는 경우 --enable-dns-updates 옵션을 추가하여 클라이언트 시스템의 IP 주소로 DNS 레코드를 업데이트합니다.
    • 클라이언트가 통합 DNS와 함께 설치되는 IdM 서버
    • 네트워크의 DNS 서버는 GSS-TSIG 프로토콜을 사용하여 DNS 항목 업데이트를 허용합니다.
    SSSD 캐시에 Kerberos 암호 저장을 비활성화하려면 --no-krb5-offline-passwords 옵션을 추가합니다.
  2. 설치 스크립트는 필요한 모든 설정을 자동으로 가져오려고 시도합니다.
    1. DNS 영역과 SRV 레코드가 시스템에 올바르게 설정된 경우 스크립트는 필요한 모든 값을 자동으로 검색하고 출력합니다. yes 를 입력하여 확인합니다. 
      Client hostname: client.example.com
Realm: EXAMPLE.COM
DNS Domain: example.com
IPA Server: server.example.com
BaseDN: dc=example,dc=com

Continue to configure the system with these values? [no]: yes
      다른 값으로 시스템을 설치하려면 현재 설치를 취소합니다. 그런 다음 ipa-client-install 을 다시 실행하고 명령줄 옵션을 사용하여 필요한 값을 지정합니다.
      자세한 내용은 ipa-client-install(1) 도움말 페이지의 DNS 자동 검색 섹션을 참조하십시오.
    2. 스크립트에서 일부 설정을 자동으로 가져오지 못하면 값을 묻는 메시지가 표시됩니다.
      중요
      단일 레이블 도메인 이름(예: .company)을 사용하지 마십시오. IdM 도메인은 하나 이상의 하위 도메인과 최상위 도메인(예: example.com 또는 company.example.com)으로 구성되어야 합니다.
      정규화된 도메인 이름은 다음 조건을 충족해야 합니다.
      • 유효한 DNS 이름이므로 숫자, 영문자 및 하이픈(-)만 사용할 수 있습니다. 밑줄(_)과 같은 기타 문자는 호스트 이름에서 DNS 오류가 발생합니다.
      • 이 모든 것이 더 낮은 사례입니다. 대문자는 허용되지 않습니다.
      • 정규화된 도메인 이름은 루프백 주소로 해석해서는 안 됩니다. 127.0.0.1 이 아닌 머신의 공용 IP 주소로 확인되어야 합니다.
      다른 권장 이름 지정 사례는 Red Hat Enterprise Linux 보안 가이드의 권장 이름 지정 사례를 참조하십시오.
  3. 이 스크립트에서는 클라이언트를 등록하는 데 ID를 사용할 사용자를 묻는 메시지를 표시합니다. 기본적으로 admin 사용자는 다음과 같습니다. 
    User authorized to enroll computers: admin
Password for admin@EXAMPLE.COM
  4. 이제 설치 스크립트에서 클라이언트를 구성합니다. 작업이 완료될 때까지 기다립니다. 
    Client configuration complete.
  5. ipa-client-automount 유틸리티를 실행하여 IdM에 대해 NFS를 자동으로 구성합니다. 자세한 내용은 34.2.1절. “자동으로 NFS 설정” 을 참조하십시오.

3.3.2. 비대화형 클라이언트 설치

비대화형 설치의 경우 명령줄 옵션을 사용하여 ipa-client-install 유틸리티에 필요한 모든 정보를 제공합니다. 비대화식 설치에 필요한 최소 옵션은 다음과 같습니다.
  • 클라이언트 등록에 사용할 인증 정보를 지정하는 옵션은 3.3절. “클라이언트 설치” 을 참조하십시오. 자세한 내용은 을 참조하십시오.
  • 사용자 확인 없이 설치를 실행할 수 있도록 --u nattended
DNS 영역 및 SRV 레코드가 시스템에 올바르게 설정된 경우 스크립트에서 기타 필요한 모든 값을 자동으로 검색합니다. 스크립트에서 값을 자동으로 검색할 수 없는 경우 명령줄 옵션을 사용하여 제공합니다.
  • 클라이언트 머신의 정적 호스트 이름을 지정하는 --hostname
    중요
    단일 레이블 도메인 이름(예: .company)을 사용하지 마십시오. IdM 도메인은 하나 이상의 하위 도메인과 최상위 도메인(예: example.com 또는 company.example.com)으로 구성되어야 합니다.
    정규화된 도메인 이름은 다음 조건을 충족해야 합니다.
    • 유효한 DNS 이름이므로 숫자, 영문자 및 하이픈(-)만 사용할 수 있습니다. 밑줄(_)과 같은 기타 문자는 호스트 이름에서 DNS 오류가 발생합니다.
    • 이 모든 것이 더 낮은 사례입니다. 대문자는 허용되지 않습니다.
    • 정규화된 도메인 이름은 루프백 주소로 해석해서는 안 됩니다. 127.0.0.1 이 아닌 머신의 공용 IP 주소로 확인되어야 합니다.
    다른 권장 이름 지정 사례는 Red Hat Enterprise Linux 보안 가이드의 권장 이름 지정 사례를 참조하십시오.
  • 클라이언트가 등록할 IdM 서버의 호스트 이름을 지정하는 --server
  • 클라이언트가 등록할 IdM 서버의 DNS 도메인 이름을 지정하는 --domain
  • Kerberos 영역 이름을 지정하는 --realm
다음 중 하나가 적용되는 경우 --enable-dns-updates 옵션을 추가하여 클라이언트 시스템의 IP 주소로 DNS 레코드를 업데이트합니다.
  • 클라이언트가 통합 DNS와 함께 설치되는 IdM 서버
  • 네트워크의 DNS 서버는 GSS-TSIG 프로토콜을 사용하여 DNS 항목 업데이트를 허용합니다.
SSSD 캐시에 Kerberos 암호 저장을 비활성화하려면 --no-krb5-offline-passwords 옵션을 추가합니다.
ipa-client-install 에서 허용하는 전체 옵션 목록은 ipa-client-install(1) 매뉴얼 페이지를 참조하십시오.

예 3.1. 임의 암호를 사용하여 비대화형 클라이언트 설치

이 절차에서는 사용자에게 입력 메시지를 표시하지 않고 클라이언트를 설치합니다. 이 프로세스에는 등록을 승인하는 데 사용되는 서버에서 임의의 1회 암호를 미리 생성하는 작업이 포함됩니다.
  1. 기존 서버에서 다음을 수행합니다.
    1. 관리자로 로그인합니다. 
      $ kinit admin
    2. 새 시스템을 IdM 호스트로 추가합니다. ipa host-add 명령과 함께 --random 옵션을 사용하여 임의의 암호를 생성합니다. 
      $ ipa host-add client.example.com --random
--------------------------------------------------
Added host "client.example.com"
--------------------------------------------------
  Host name: client.example.com
  Random password: W5YpARl=7M.n
  Password: True
  Keytab: False
  Managed by: server.example.com
      시스템을 IdM 도메인에 등록하는 데 사용한 후 생성된 암호가 유효하지 않습니다. 등록이 완료되면 적절한 호스트 키탭으로 바뀝니다.
  2. 클라이언트를 설치할 시스템에서 ipa-client-install 을 실행하고 다음 옵션을 사용합니다.
    • ipa host-add 출력에서 임의의 암호의 --password
      참고
      암호에는 종종 특수 문자가 포함되어 있습니다. 따라서 작은따옴표(')로 묶어야 합니다.
    • 사용자 확인 없이 설치를 실행할 수 있도록 --u nattended
    DNS 영역 및 SRV 레코드가 시스템에 올바르게 설정된 경우 스크립트에서 기타 필요한 모든 값을 자동으로 검색합니다. 스크립트에서 값을 자동으로 검색할 수 없는 경우 명령줄 옵션을 사용하여 제공합니다.
    예를 들어 다음과 같습니다. 
    # ipa-client-install --password 'W5YpARl=7M.n' --domain example.com --server server.example.com --unattended
  3. ipa-client-automount 유틸리티를 실행하여 IdM에 대해 NFS를 자동으로 구성합니다. 자세한 내용은 34.2.1절. “자동으로 NFS 설정” 을 참조하십시오.