Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

27.3. IdM에서 PKINIT 구성

IdM 서버가 PKINIT를 비활성화하여 실행 중인 경우 다음 단계를 사용하여 활성화합니다. 예를 들어 ipa-server-install 또는 ipa-replica-install 유틸리티를 사용하여 --no-pkinit 옵션을 전달하면 서버가 PKINIT를 비활성화하여 실행됩니다.

사전 요구 사항

  • CA(인증 기관)가 설치된 모든 IdM 서버가 동일한 도메인 수준에서 실행되고 있는지 확인합니다. 자세한 내용은 7장. 도메인 수준 표시 및 승격 을 참조하십시오.

절차

  1. 서버에서 PKINIT가 활성화되어 있는지 확인합니다. 
    # kinit admin
Password for admin@IPA.TEST:
# ipa pkinit-status --server=server.idm.example.com
----------------
1 server matched
----------------
Server name: server.idm.example.com
PKINIT status: enabled
----------------------------
Number of entries returned 1
----------------------------
    PKINIT가 비활성화된 경우 다음 출력이 표시됩니다. 
    # ipa pkinit-status --server server.idm.example.com
-----------------
0 servers matched
-----------------
----------------------------
Number of entries returned 0
----------------------------
    --server <server_fqdn> 매개변수를 생략하면 명령을 사용하여 PKINIT가 활성화된 모든 서버 를 찾을 수도 있습니다.
  2. CA 없이 IdM을 사용하는 경우:
    1. IdM 서버에서 KDC(Kerberos 키 배포 센터) 인증서에 서명한 CA 인증서를 설치합니다. 
      # ipa-cacert-manage install -t CT,C,C ca.pem
    2. 모든 IPA 호스트를 업데이트하려면 모든 복제본 및 클라이언트에서 ipa-certupdate 명령을 반복합니다. 
      # ipa-certupdate
    3. ipa-cacert-manage list 명령을 사용하여 CA 인증서가 이미 추가되었는지 확인합니다. 예를 들어 다음과 같습니다. 
      # ipa-cacert-manage list
CN=CA,O=Example Organization
The ipa-cacert-manage command was successful
    4. ipa-server-certinstall 유틸리티를 사용하여 외부 KDC 인증서를 설치합니다. KDC 인증서는 다음 조건을 충족해야 합니다.
      • 일반 이름 CN=fully_qualified_domain_name,certificate_subject_base 로 발급됩니다.
      • Kerberos 보안 주체가 포함 됩니다./REALM_NAME@REALM_NAME.
      • KDC 인증을 위한 OID(Object Identifier)가 포함되어 있습니다. 1.3.6.1.5.2.3.5. 
      # ipa-server-certinstall --kdc kdc.pem kdc.key
# systemctl restart krb5kdc.service
    5. PKINIT 상태를 참조하십시오. 
      # ipa pkinit-status
  Server name: server1.example.com
  PKINIT status: enabled
  [...output truncated...]
  Server name: server2.example.com
  PKINIT status: disabled
  [...output truncated...]
  3. CA 인증서가 있는 IdM을 사용하는 경우 다음과 같이 PKINIT를 활성화합니다. 
    # ipa-pkinit-manage enable
  Configuring Kerberos KDC (krb5kdc)
  [1/1]: installing X509 Certificate for PKINIT
  Done configuring Kerberos KDC (krb5kdc).
  The ipa-pkinit-manage command was successful
    IdM CA를 사용하는 경우 명령은 CA에서 PKINIT>-< 인증서를 요청합니다.

추가 리소스

  • 자세한 내용은 ipa-server-certinstall(1) 매뉴얼 페이지를 참조하십시오.