Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
5.2.2. 신뢰 생성
다음 섹션에서는 다양한 구성 시나리오에서 신뢰 생성에 대해 설명합니다. 5.2.2.1절. “명령줄에서 신뢰 생성” 에는 명령줄에서 신뢰를 구성하기 위한 전체 절차가 포함되어 있습니다. 다른 섹션에서는 이 기본 구성 시나리오와 다른 단계를 설명하고 다른 모든 단계에 대한 기본 절차를 참조합니다.
참고
기존 신뢰 환경에서 복제본을 설정하면 복제본이 신뢰 컨트롤러로 자동 구성되지 않습니다. 복제본을 추가 신뢰 컨트롤러로 구성하려면 이 섹션의 절차를 따르십시오.
신뢰를 생성한 후 5.2.3절. “cross-forest Trusts에 대한 설치 후 고려 사항” 를 참조하십시오.
5.2.2.1. 명령줄에서 신뢰 생성
IdM과 Active Directory Kerberos 영역 간의 신뢰 관계를 생성하려면 다음 단계가 포함됩니다.
- 신뢰할 수 있도록 IdM 서버 준비 5.2.2.1.1절. “신뢰를 위한 IdM 서버 준비”
- 에 설명된 신뢰 계약서 만들기 5.2.2.1.2절. “신뢰 계약 생성”
- 에 설명된 Kerberos 구성 확인 5.2.2.1.3절. “Kerberos 구성 확인”
5.2.2.1.1. 신뢰를 위한 IdM 서버 준비
AD와의 신뢰 관계를 위해 IdM 서버를 설정하려면 다음 단계를 따르십시오.
- 필요한 IdM, 신뢰 및 Samba 패키지를 설치합니다.
[root@ipaserver ]# yum install ipa-server ipa-server-trust-ad samba-client
- 신뢰할 수 있는 서비스를 활성화하도록 IdM 서버를 구성합니다. ipa-replica-install --setup-adtrust 명령을 사용하여 서버를 설치한 경우 이 단계를 건너뛸 수 있습니다.
ipa-adtrust-install유틸리티를 실행합니다.[root@ipaserver ]# ipa-adtrust-install
유틸리티는 AD 신뢰에 필요한 DNS 서비스 레코드를 추가합니다. IdM이 통합된 DNS 서버와 함께 설치된 경우 이러한 레코드는 자동으로 생성됩니다.통합 DNS 서버 없이 IdM을 설치한 경우ipa-adtrust-install은 계속 진행하기 전에 DNS에 수동으로 추가해야 하는 서비스 레코드 목록을 출력합니다.중요Red Hat은 특히 IdM 또는 AD가 통합 DNS 서버를 사용하지 않는 경우, 특히ipa-adtrust-install을 실행한 후 “DNS 구성 확인” 에 설명된 DNS 구성을 확인하는 것이 좋습니다.- 스크립트는 이전 Linux 클라이언트가 신뢰할 수 있는 사용자와 함께 작업할 수 있는 호환성 플러그인인
slapi-nis플러그인을 구성하라는 메시지를 표시합니다.Do you want to enable support for trusted domains in Schema Compatibility plugin? This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users. Enable trusted domains support in slapi-nis? [no]: y
- 디렉터리가 처음 설치될 때 하나 이상의 사용자( IdM 관리자)가 존재합니다. InstallPlan 생성 작업은 기존 사용자가 신뢰 환경을 지원할 수 있는 SID를 생성할 수 있습니다. 이는 리소스를 많이 사용하는 작업입니다. 많은 사용자의 경우 별도로 실행할 수 있습니다.
Do you want to run the ipa-sidgen task? [no]: yes
- 5.2.1.2절. “DNS 및 realm 설정” 에 설명된 대로 DNS가 올바르게 구성되었는지 확인합니다.
- ClusterRole
서비스를시작합니다.[root@ipaserver ~]# systemctl start smb
- 필요한 경우 시스템이 부팅될 때 xfs 서비스가 자동으로 시작되도록 구성합니다.
[root@ipaserver ~]# systemctl enable smb
- 선택적으로 KubeMacPool
client 유틸리티를 사용하여 Samba가 IdM 측의 Kerberos 인증에 응답하는지 확인합니다.[root@ipaserver ~]# smbclient -L ipaserver.ipa.example.com -k lp_load_ex: changing to config backend registry Sharename Type Comment --------- ---- ------- IPC$ IPC IPC Service (Samba 4.9.1) Reconnecting with SMB1 for workgroup listing. Server Comment --------- ------- Workgroup Master --------- -------
5.2.2.1.2. 신뢰 계약 생성
ipa trust-add 명령을 사용하여 Active Directory 도메인 및 IdM 도메인에 대한 신뢰 계약을 생성합니다.
# ipa trust-add --type=type ad_domain_name --admin ad_admin_username --password
ipa trust-add 명령은 기본적으로 단방향 신뢰를 설정합니다. RHEL 7에서 양방향 신뢰를 설정할 수 없습니다.
외부 신뢰를 설정하려면
--external=true 옵션을 ipa trust-add 명령에 전달합니다. 자세한 내용은 5.1.5절. “ActiveActive Directory illustrated;Directory에 대한 외부 신뢰” 을 참조하십시오.
참고
ipa trust-add 명령은 기본적으로 서버를 신뢰 컨트롤러로 구성합니다. 자세한 내용은 5.1.6절. “신뢰 컨트롤러 및 신뢰 에이전트” 을 참조하십시오.
다음 예제에서는
--two-way=true 옵션을 사용하여 양방향 신뢰를 설정합니다.
[root@ipaserver ~]# ipa trust-add --type=ad ad.example.com --admin Administrator --password --two-way=true
Active Directory domain administrator's password:
-------------------------------------------------------
Added Active Directory trust for realm "ad.example.com"
-------------------------------------------------------
Realm-Name: ad.example.com
Domain NetBIOS name: AD
Domain Security Identifier: S-1-5-21-796215754-1239681026-23416912
SID blacklist incoming: S-1-5-20, S-1-5-3, S-1-5-2, S-1-5-1, S-1-5-7, S-1-5-6, S-1-5-5, S-1-5-4, S-1-5-9, S-1-5-8, S-1-5-17, S-1-5-16, S-1-5-15, S-1-5-14, S-1-5-13, S-1-5-12, S-1-5-11, S-1-5-10, S-1-3, S-1-2, S-1-1, S-1-0, S-1-5-19,
S-1-5-18
SID blacklist outgoing: S-1-5-20, S-1-5-3, S-1-5-2, S-1-5-1, S-1-5-7, S-1-5-6, S-1-5-5, S-1-5-4, S-1-5-9, S-1-5-8, S-1-5-17, S-1-5-16, S-1-5-15, S-1-5-14, S-1-5-13, S-1-5-12, S-1-5-11, S-1-5-10, S-1-3, S-1-2, S-1-1, S-1-0, S-1-5-19,
S-1-5-18
Trust direction: Two-way trust
Trust type: Active Directory domain
Trust status: Established and verified5.2.2.1.3. Kerberos 구성 확인
Kerberos 구성을 확인하려면 IdM 사용자에 대한 티켓을 받을 수 있는지 여부와 IdM 사용자가 서비스 티켓을 요청할 수 있는지 테스트합니다.
양방향 신뢰를 확인하려면 다음을 수행하십시오.
- IdM 사용자에 대한 티켓을 요청합니다.
[root@ipaserver ~]# kinit user
- IdM 도메인 내의 서비스에 대한 서비스 티켓을 요청하십시오.
[root@ipaserver ~]# kvno -S host ipaserver.example.com
- AD 도메인 내에서 서비스에 대한 서비스 티켓을 요청합니다.
[root@ipaserver ~]# kvno -S cifs adserver.example.com
AD 서비스 티켓이 성공적으로 승인되면 요청된 다른 모든 티켓과 함께 TGT(Cross-realm ticket-granting ticket)가 표시됩니다. TGT의 이름은 RHEAt finish/AD.DOMAIN@IPA.DOMAIN입니다.[root@ipaserver ]# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: user@IPA.DOMAIN Valid starting Expires Service principal 06/15/12 12:13:04 06/16/12 12:12:55 krbtgt/IPA.DOMAIN@IPA.DOMAIN 06/15/12 12:13:13 06/16/12 12:12:55 host/ipaserver.ipa.example.com@IPA.DOMAIN 06/15/12 12:13:23 06/16/12 12:12:55 krbtgt/AD.DOMAIN@IPA.DOMAIN 06/15/12 12:14:58 06/15/12 22:14:58 cifs/adserver.ad.example.com@AD.DOMAIN
IdM 측에서 단방향 트러스트를 확인하려면 다음을 수행하십시오.
- ActiveActive Directory HAT;Directory 사용자에 대한 티켓을 요청하십시오.
[root@ipaserver ~]# kinit user@AD.DOMAIN
- IdM 도메인 내의 서비스에 대한 서비스 티켓을 요청하십시오.
[root@ipaserver ~]# kvno -S host ipaserver.example.com
AD 서비스 티켓이 성공적으로 승인되면 요청된 다른 모든 티켓과 함께 TGT(Cross-realm ticket-granting ticket)가 표시됩니다. TGT의 이름은 RHEAt finish/IPA.DOMAIN@AD.DOMAIN입니다.[root@ipaserver ]# klist Ticket cache: KEYRING:persistent:0:krb_ccache_hRtox00 Default principal: user@AD.DOMAIN Valid starting Expires Service principal 03.05.2016 18:31:06 04.05.2016 04:31:01 host/ipaserver.ipa.example.com@IPA.DOMAIN renew until 04.05.2016 18:31:00 03.05.2016 18:31:06 04.05.2016 04:31:01 krbtgt/IPA.DOMAIN@AD.DOMAIN renew until 04.05.2016 18:31:00 03.05.2016 18:31:01 04.05.2016 04:31:01 krbtgt/AD.DOMAIN@AD.DOMAIN renew until 04.05.2016 18:31:00
localauth 플러그인은 Kerberos 사용자를 로컬 SSSD 사용자 이름에 매핑합니다. 이를 통해 AD 사용자는 Kerberos 인증을 사용하고 Linux 서비스에 액세스하여 GSSAPI 인증을 직접 지원할 수 있습니다.
참고
플러그인에 대한 자세한 내용은 5.3.7.2절. “암호가 없는 SSH 사용” 을 참조하십시오.
