Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.3.9. Active Directory Kerberos 통신을 위한 Kerberos 배포 센터 프록시로 IdM 서버 구성

특정 상황에서 네트워크 제한 또는 방화벽 규칙은 IdM(Identity Management) 클라이언트가 AD(Active Directory) 도메인 컨트롤러의 포트 88로 Kerberos 트래픽을 전송하지 못하도록 합니다. 이 솔루션은 IdM 클라이언트에서 AD로 트래픽을 릴레이하기 위해 ID 관리 서버의 Kerberos 프록시를 설정하는 것입니다.
  1. IdM 클라이언트에서 /etc/krb5.conf 파일의 [realms] 섹션에 Active Directory 영역을 추가합니다. kdckpasswd_server 매개변수를 설정하여 IdM 서버의 정규화된 도메인 이름 뒤에 /KdcProxy'를 가리키도록 설정합니다. 
    AD.EXAMPLE.COM = {
	        kdc = https://server.idm.example.com/KdcProxy
	        kpasswd_server = https://server.idm.example.com/KdcProxy
	    }
  2. IdM 클라이언트에서 이전 단계의 /etc/krb5.conf 사양을 재정의할 수 있는 /var/lib/ss/pubconf/kdcinfo.* 파일 생성을 비활성화합니다. /etc/sssd/sssd.conf 파일을 편집하여 KnativeServing 5_use_kdcinfoFalse 로 설정합니다. 
    [domain/example.com]
krb5_use_kdcinfo = False
  3. IdM 서버에서 /etc/ipa/kdcproxy/kdcproxy.conf 파일에서 use_dns 옵션을 true 로 설정하여 DNS 서비스(SRV) 레코드를 사용하여 다음과 통신할 AD 서버를 찾습니다. 
    use_dns = true
    또는 DNS SRV 레코드를 사용하지 않으려면 /etc/krb5.conf 파일의 [realms] 섹션에 명시적 AD 서버를 추가합니다. 
    AD.EXAMPLE.COM = {
        kdc = ad-server.ad.example.com
        kpasswd_server = ad-server.ad.example.com
    }
    참고
    스크립트를 실행하여 절차의 2단계와 3단계를 수행할 수 있습니다(예: Ansible 스크립트). 이 기능은 여러 시스템을 변경할 때 특히 유용합니다.
  4. IdM 서버에서 IPA 서비스를 다시 시작합니다. 
    # ipactl restart
  5. 절차가 성공했는지 확인하려면 IdM 클라이언트에서 다음을 실행합니다. 
    # rm /var/lib/sss/pubconf/kdcinfo*
# kinit ad_user@AD.EXAMPLE.COM
Password for ad_user@AD.EXAMPLE.COM:
# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: ad_user@AD.EXAMPLE.COM

Valid starting     Expires            Service principal
[... output truncated ...]