Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
27.3. IdM에서 PKINIT 구성
IdM 서버가 PKINIT를 비활성화하여 실행 중인 경우 다음 단계를 사용하여 활성화합니다. 예를 들어
ipa-server-install
또는 ipa-replica-install
유틸리티를 사용하여 --no-pkinit
옵션을 전달하면 서버가 PKINIT를 비활성화하여 실행됩니다.
사전 요구 사항
- CA(인증 기관)가 설치된 모든 IdM 서버가 동일한 도메인 수준에서 실행되고 있는지 확인합니다. 자세한 내용은 7장. 도메인 수준 표시 및 승격 을 참조하십시오.
절차
- 서버에서 PKINIT가 활성화되어 있는지 확인합니다.
# kinit admin Password for admin@IPA.TEST: # ipa pkinit-status --server=server.idm.example.com ---------------- 1 server matched ---------------- Server name: server.idm.example.com PKINIT status: enabled ---------------------------- Number of entries returned 1 ----------------------------
PKINIT가 비활성화된 경우 다음 출력이 표시됩니다.# ipa pkinit-status --server server.idm.example.com ----------------- 0 servers matched ----------------- ---------------------------- Number of entries returned 0 ----------------------------
--server <server_fqdn> 매개변수를 생략하면 명령을 사용하여 PKINIT가 활성화된 모든 서버
를 찾을 수도 있습니다. - CA 없이 IdM을 사용하는 경우:
- IdM 서버에서 KDC(Kerberos 키 배포 센터) 인증서에 서명한 CA 인증서를 설치합니다.
# ipa-cacert-manage install -t CT,C,C ca.pem
- 모든 IPA 호스트를 업데이트하려면 모든 복제본 및 클라이언트에서 ipa-certupdate 명령을 반복합니다.
# ipa-certupdate
- ipa-cacert-manage list 명령을 사용하여 CA 인증서가 이미 추가되었는지 확인합니다. 예를 들어 다음과 같습니다.
# ipa-cacert-manage list CN=CA,O=Example Organization The ipa-cacert-manage command was successful
- ipa-server-certinstall 유틸리티를 사용하여 외부 KDC 인증서를 설치합니다. KDC 인증서는 다음 조건을 충족해야 합니다.
- 일반 이름
CN=fully_qualified_domain_name,certificate_subject_base
로 발급됩니다. - Kerberos 보안 주체가 포함
됩니다./REALM_NAME@REALM_NAME
. - KDC 인증을 위한 OID(Object Identifier)가 포함되어 있습니다.
1.3.6.1.5.2.3.5
.
# ipa-server-certinstall --kdc kdc.pem kdc.key # systemctl restart krb5kdc.service
- PKINIT 상태를 참조하십시오.
# ipa pkinit-status Server name: server1.example.com PKINIT status: enabled [...output truncated...] Server name: server2.example.com PKINIT status: disabled [...output truncated...]
- CA 인증서가 있는 IdM을 사용하는 경우 다음과 같이 PKINIT를 활성화합니다.
# ipa-pkinit-manage enable Configuring Kerberos KDC (krb5kdc) [1/1]: installing X509 Certificate for PKINIT Done configuring Kerberos KDC (krb5kdc). The ipa-pkinit-manage command was successful
IdM CA를 사용하는 경우 명령은 CA에서 PKINIT>-< 인증서를 요청합니다.
추가 리소스
- 자세한 내용은 ipa-server-certinstall(1) 매뉴얼 페이지를 참조하십시오.