Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.5. 동기화 계약 관리

6.5.1. 동기화 계약 생성

동기화 계약은 ActiveActive Directory qcow;Directory 도메인에 대한 연결을 생성하기 때문에 ipa-replica-manage connect 명령을 사용하여 IdM 서버에 생성됩니다. ActiveActive Directory HAT;Directory에 대한 암호화된 연결을 설정하려면 IdM에서 Windows CA 인증서를 신뢰해야 합니다.
  1. 루트 CA(인증 기관) 인증서를 IdM 서버에 복사합니다.
    1. ActiveActive Directory {{;Directory CA 인증서가 자체 서명된 경우:
      1. Windows 서버에서 ActiveActive Directory QCOW;Directory CA 인증서를 내보냅니다.
        1. Super 키+R 조합을 눌러 실행 대화 상자를 엽니다.
        2. certsrv.msc 를 입력하고 OK 를 클릭합니다.
        3. 로컬 인증 기관의 이름을 마우스 오른쪽 버튼으로 클릭하고 Properties 를 선택합니다.
        4. 일반 탭에서 CA 인증서 필드에서 내보낼 인증서를 선택하고 View Certificate 를 클릭합니다.
        5. 세부 정보 탭에서 파일 복사를 클릭하여 인증서 내보내기 마법사 를 시작합니다.
        6. 다음을 클릭한 다음 Base-64로 인코딩된 X.509(.CER) 를 선택합니다.
        7. 내보낸 파일에 적합한 디렉터리 및 파일 이름을 지정합니다. 다음을 클릭하여 인증서를 내보낸 다음 완료 를 클릭합니다.
        8. 내보낸 인증서를 IdM 서버 시스템에 복사합니다.
    2. ActiveActive Directorysetup;Directory CA 인증서가 외부 CA에서 서명한 경우:
      1. CA 루트 인증서가 무엇인지 확인하려면 인증서 체인을 표시합니다. 
        # openssl s_client -connect adserver.example.com:636
CONNECTED(00000003)
depth=1 C = US, O = Demo Company, OU = IT, CN = Demo CA-28
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=US/O=Demo Company/OU=IT/CN=adserver.example.com
   i:/C=US/O=Demo Company/OU=IT/CN=Demo CA-1
 1 s:/C=US/O=Demo Company/OU=IT/CN=Demo CA-1
   i:/C=US/O=Demo Company/OU=IT/CN=Demo Root CA 2
        이전 예에서는 CN=Demo Root CA 2 에 의해 서명되는 CN=Demo CA-1 에 의해 ActiveActive 디렉터리의 CA 인증서가 서명되었음을 보여줍니다. 즉, CN=Demo Root CA 2 는 루트 CA입니다.
      2. CA 인증서를 IdM 서버에 복사합니다.
  2. IdM 서버의 기존 Kerberos 자격 증명을 제거합니다. 
    $ kdestroy
  3. ipa-replica-manage 명령을 사용하여 Windows 동기화 계약을 생성합니다. 이를 위해서는 --winsync 옵션이 필요합니다. 암호와 사용자 계정이 동기화되는 경우 --passsync 옵션도 사용하고 암호 동기화에 사용할 암호를 설정합니다.
    --binddn--bindpw 옵션은 IdM이 ActiveActive Directory HAT;Directory 서버에 연결하는 데 사용할 ActiveActive Directory HAT;Directory 서버에서 시스템 계정의 사용자 이름과 암호를 제공합니다. 
    $ ipa-replica-manage connect --winsync \
	--binddn cn=administrator,cn=users,dc=example,dc=com \
	--bindpw Windows-secret \
	--passsync secretpwd \
	--cacert /etc/openldap/cacerts/windows.cer \
	adserver.example.com -v
    • --winsync: 이를 Windows 동기화 계약으로 식별합니다.
    • --binddn: IdM은 ActiveActive Directory HAT;Directory 계정의 DN을 사용하여 원격 디렉터리에 바인딩하고 속성을 동기화합니다.
    • --bindpw: 동기화 계정의 암호입니다.
    • --cacert: 전체 경로 및 파일 이름:
      • CA가 자체 서명된 경우 ActiveActive Directory QCOW;Directory CA 인증서입니다.
      • ActiveActive Directory HAT;Directory CA가 외부 CA에서 서명한 경우 외부 CA 인증서를 사용합니다.
    • --win-subtree: 동기화할 사용자가 포함된 Windows 디렉터리 하위 트리의 DN입니다. 기본값은 cn=Users,$SUFFIX 입니다.
    • AD_server_name: ActiveActive Directory etcdctl;Directory 도메인 컨트롤러의 정규화된 도메인 이름(FQDN)입니다.
  4. 메시지가 표시되면 Directory Manager 암호를 입력합니다.
  5. 선택 사항: 6.6.2절. “암호 동기화 설정” 에서와 같이 암호 동기화를 구성합니다. 암호 동기화 클라이언트가 없으면 사용자 속성이 피어 서버 간에 동기화되지만 암호는 동기화되지 않습니다.
    참고
    Password Synchronization 클라이언트는 암호 변경 사항을 캡처한 다음 ActiveActive Directory {{;Directory와 IdM 간에 동기화합니다. 즉, 새 암호 또는 암호 업데이트를 동기화합니다.
    IdM 및 ActiveActive Directory}};Directory에서 해시된 양식에 저장된 기존 암호는 암호 동기화 클라이언트를 설치할 때 암호를 해독하거나 동기화할 수 없으므로 기존 암호가 동기화되지 않습니다. 피어 서버 간 동기화를 시작하려면 사용자 암호를 변경해야 합니다.