Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
1.2. ID 관리 도메인
IdM(Identity Management) 도메인은 동일한 구성, 정책 및 ID 저장소를 공유하는 시스템 그룹으로 구성됩니다. 공유 속성을 사용하면 도메인 내의 시스템이 서로 인식하고 함께 작동할 수 있습니다.
IdM 관점에서 도메인에는 다음 유형의 시스템이 포함됩니다.
- 도메인 컨트롤러로 작동하는 IdM 서버
- IdM 클라이언트 - 서버에 등록됨
또한 IdM 서버는 자체적으로 등록된 IdM 클라이언트입니다. 서버 시스템은 클라이언트와 동일한 기능을 제공합니다.
IdM은 Red Hat Enterprise Linux 시스템을 IdM 서버 및 클라이언트로 지원합니다.
참고
이 가이드에서는 Linux 환경에서 IdM 사용에 대해 설명합니다. Active Directory와의 통합에 대한 자세한 내용은 Windows 통합 가이드 를 참조하십시오.
1.2.1. ID 관리 서버
IdM 서버는 ID 및 정책 정보를 위한 중앙 리포지토리 역할을 합니다. 또한 도메인 구성원이 사용하는 서비스를 호스팅합니다. IdM은 IdM 웹 UI 및 명령줄 유틸리티 등 IdM 연결 서비스를 모두 중앙에서 관리할 수 있는 관리 툴 세트를 제공합니다.
IdM 서버 설치에 대한 자세한 내용은 2장. ID 관리 서버 설치 및 제거 을 참조하십시오.
중복성과 부하 분산을 지원하기 위해 데이터 및 구성을 IdM 서버에서 다른 IdM 서버인 초기 서버의 복제본 으로 복제할 수 있습니다. 클라이언트에 다양한 서비스를 제공하도록 서버와 해당 복제본을 구성할 수 있습니다. IdM 복제본에 대한 자세한 내용은 4장. ID 관리 복제본 설치 및 제거 을 참조하십시오.
1.2.1.1. IdM 서버에서 호스팅되는 서비스
다음 서비스 대부분은 IdM 서버에 엄격하게 설치할 필요가 없습니다. 예를 들어 CA(인증 기관), DNS 서버 또는 NTP(Network Time Protocol) 서버와 같은 서비스는 IdM 도메인 외부의 외부 서버에 설치할 수 있습니다.
- Kerberos:>
;-<5kdc및kadmin - IdM은 Kerberos 프로토콜을 사용하여 SSO(Single Sign-On)를 지원합니다. Kerberos를 사용하면 사용자가 올바른 사용자 이름과 암호만 제공하면 되며 시스템에서 자격 증명을 다시 요청하지 않고 IdM 서비스에 액세스할 수 있습니다.
- Kerberos 는 다음 두 부분으로 나뉩니다.
- ScanSetting
5kdc서비스는 Kerberos 인증 서비스 및 KMS(Key Distribution Center) 데몬입니다. kadmin서비스는 Kerberos 데이터베이스 관리 프로그램입니다.
Kerberos 작동 방식에 대한 자세한 내용은 시스템 수준 인증 가이드에서 Kerberos 사용을 참조하십시오. - IdM의 Kerberos로 인증하는 방법에 대한 자세한 내용은 5.2절. “Kerberos를 사용하여 IdM에 로그인” 을 참조하십시오.
- IdM에서 Kerberos 관리에 대한 자세한 내용은 29장. Kerberos 도메인 관리 을 참조하십시오.
- LDAP 디렉터리 서버:
dirsrv - IdM 내부 LDAP 디렉터리 서버 인스턴스는 Kerberos, 사용자 계정, 호스트 항목, 서비스, 정책, DNS 등과 같은 모든 IdM 정보를 저장합니다.LDAP 디렉터리 서버 인스턴스는 Red Hat Directory Server 와 동일한 기술을 기반으로 합니다. 그러나 IdM별 작업에 맞게 조정됩니다.참고이 가이드에서는 이 구성 요소를 Directory Server로 설명합니다.
- 인증 기관:
pki-tomcatd - 통합 인증 기관(CA) 은 Red Hat Certificate System 과 동일한 기술을 기반으로 합니다.
pki는 인증서 시스템 서비스에 액세스하기 위한 명령줄 인터페이스입니다.- 다른 CA 구성을 사용하여 IdM 서버 설치에 대한 자세한 내용은 2.3.2절. “사용할 CA 구성 결정” 을 참조하십시오.
참고이 가이드에서는 구현 시 이 구성 요소를 인증서 시스템으로, 구현에서 제공하는 서비스를 처리할 때 인증 기관으로 참조합니다.독립 실행형 Red Hat 제품인 Red Hat Certificate System에 대한 자세한 내용은 Red Hat Certificate System 제품 설명서를 참조하십시오. - DNS(Domain Name System):
이름이 지정됨 - IdM은 동적 서비스 검색에 DNS 를 사용합니다. IdM 클라이언트 설치 유틸리티는 DNS의 정보를 사용하여 클라이언트 시스템을 자동으로 구성할 수 있습니다. 클라이언트가 IdM 도메인에 등록된 후에는 DNS를 사용하여 도메인 내에서 IdM 서버 및 서비스를 찾습니다.Red Hat Enterprise Linux의 DNS(Domain Name System) 프로토콜의
BIND(Berkeley Internet Name Domain)구현에는 이름이 지정된 DNS 서버가 포함되어 있습니다.named-pkcs11BINDDNS 서버 버전입니다.- 서비스 검색에 대한 자세한 내용은 System-Level Authentication Guide의 DNS 서비스 검색 구성 을 참조하십시오.
- DNS 서버에 대한 자세한 내용은 Red Hat Enterprise Linux Networking Guide의 BIND 를 참조하십시오.
- DNS를 IdM과 중요한 사전 요구 사항으로 사용하는 방법에 대한 자세한 내용은 2.1.5절. “호스트 이름 및 DNS 구성” 을 참조하십시오.
- 통합된 DNS를 사용하거나 사용하지 않고 IdM 서버를 설치하는 방법에 대한 자세한 내용은 2.3.1절. “통합 DNS 사용 여부 결정” 을 참조하십시오.
- 네트워크 시간 프로토콜:
ntpd - 많은 서비스에서 서버와 클라이언트는 특정 변동 내에서 동일한 시스템 시간을 보유해야 합니다. 예를 들어 Kerberos 티켓은 타임스탬프를 사용하여 유효성을 확인하고 재생 공격을 방지합니다. 서버와 클라이언트 스큐 사이의 시간이 허용된 범위를 벗어나면 Kerberos 티켓이 무효화됩니다.기본적으로 IdM은 NTP(Network Time Protocol) 를 사용하여
ntpd서비스를 통해 네트워크를 통해 클럭을 동기화합니다. NTP를 사용하면 중앙 서버가 권한 있는 클록 역할을 하며 클라이언트는 서버 클록과 일치하도록 시간을 동기화합니다. IdM 서버는 서버 설치 프로세스 중 IdM 도메인의 NTP 서버로 구성됩니다.참고가상 시스템에 설치된 IdM 서버에서 NTP 서버를 실행하면 일부 환경에서 부정확한 시간 동기화가 발생할 수 있습니다. 잠재적인 문제를 방지하려면 가상 시스템에 설치된 IdM 서버에서 NTP를 실행하지 마십시오. 가상 머신의 NTP 서버 안정성에 대한 자세한 내용은 이 지식베이스 솔루션을 참조하십시오.
- Apache HTTP Server:
httpd - Apache HTTP 웹 서버는 IdM 웹 UI를 제공하며 인증 기관과 기타 IdM 서비스 간의 통신도 관리합니다.
- 자세한 내용은 System Administrator Guide 의 Apache HTTP Server 를 참조하십시오.
- Samba / Winbind:>-&
lt; ,winbind - Samba 는 Red Hat Enterprise Linux에서 CIFS(Common Internet File System) 프로토콜이라고도 하는 SMB(Server Message Block) 프로토콜을 구현합니다. CloudEvent
서비스를통해 CloudEvent 프로토콜을 통해 파일 공유 및 공유 프린터와 같은 서버의 리소스에 액세스할 수 있습니다. AD(Active Directory) 환경을 사용하여 트러스트를 구성한 경우 Winbind 서비스는 IdM 서버와 AD 서버 간의 통신을 관리합니다. - 일회성 암호(OTP) 인증:
ipa-otpd - 일회성 암호(OTP) 는 이중 인증의 일환으로 한 세션에 대해서만 인증 토큰으로 생성된 암호입니다. OTP 인증은
ipa-otpd서비스를 통해 Red Hat Enterprise Linux에서 구현됩니다.- OTP 인증에 대한 자세한 내용은 22.3절. “1회용 암호” 을 참조하십시오.
- custodia:
ipa-custodia - cus todia는 Secrets 서비스 공급자이며 암호, 키, 토큰, 인증서와 같은 비밀 자료에 대한 액세스를 저장하고 공유합니다.
- OpenDNSSEC:
ipa-dnskeysyncd - OpenDNSSEC는 DNSSEC (DNS 보안 확장) 키와 영역의 서명을 추적하는 프로세스를 자동화하는 DNS 관리자입니다.
ipa-dnskeysyncdservuce는 IdM Directory Server와 OpenDNSSEC 간의 동기화를 관리합니다.
그림 1.1. ID 관리 서버: 서비스 통합
1.2.2. Identity Management 클라이언트
IdM 클라이언트는 IdM 도메인 내에서 작동하도록 구성된 시스템입니다. IdM 서버와 상호 작용하여 도메인 리소스에 액세스합니다. 예를 들어 서버에 구성된 Kerberos 도메인에 속하고 서버에서 발급한 인증서 및 티켓을 수신하며 인증 및 권한 부여를 위해 다른 중앙 집중식 서비스를 사용합니다.
IdM 클라이언트에는 도메인의 일부로 상호 작용하는 전용 클라이언트 소프트웨어가 필요하지 않습니다. Kerberos 또는 DNS와 같은 특정 서비스 및 라이브러리에 대한 적절한 시스템 구성만 있으면 됩니다. 이 구성은 클라이언트 시스템에 IdM 서비스를 사용하도록 지시합니다.
IdM 클라이언트 설치에 대한 자세한 내용은 3장. ID 관리 클라이언트 설치 및 제거 을 참조하십시오.
1.2.2.1. IdM 클라이언트가 호스팅하는 서비스
- System Security Services Daemon:
sssd - SSSD (System Security Services Daemon) 는 사용자 인증 및 캐싱 자격 증명을 관리하는 클라이언트 측 애플리케이션입니다.캐싱을 사용하면 IdM 서버를 사용할 수 없거나 클라이언트가 오프라인 상태가 되는 경우 로컬 시스템에서 일반 인증 작업을 계속할 수 있습니다.자세한 내용은 시스템 수준 인증 가이드의 SSSD 구성 을 참조하십시오. SSSD는 Windows Active Directory(AD)도 지원합니다. AD와 함께 SSSD를 사용하는 방법에 대한 자세한 내용은 Windows 통합 가이드의 SSSD에 Active Directory를 ID 공급자로 사용하기 를 참조하십시오.
certmongercertmonger서비스는 클라이언트의 인증서를 모니터링 및 갱신합니다. 시스템의 서비스에 대한 새 인증서를 요청할 수 있습니다.자세한 내용은 시스템 수준 인증 가이드의 certmonger 작업을 참조하십시오.
그림 1.2. IdM 서비스 간 상호 작용
