Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

38.2.2. IdM 호스트 및 사용자의 등록 및 인증: 비교

IdM의 사용자와 호스트 사이에는 많은 유사점이 있습니다. 이 섹션에서는 등록 단계에서 확인할 수 있는 몇 가지 유사점과 배포 단계에서 인증에 관한 몇 가지 유사 사항에 대해 설명합니다.

  • 등록 단계(표 38.1. “사용자 및 호스트 등록”):

    • 관리자는 사용자 또는 호스트 모두에 대해 IdM에 실제로 참여하기 전에 사용자 및 호스트에 대해 LDAP 항목을 생성할 수 있습니다. stage 사용자의 경우 명령은 ipa stageuser-add 입니다. 호스트에 대해 명령은 ipa host-add 입니다.
    • 키 테이블 또는 일부 익스텐트와 유사한 대칭 키인 keytab을 포함하는 파일은 호스트에서 ipa-client-install 명령 실행 중에 생성됩니다. 그러면 호스트가 IdM 영역에 결합됩니다. 비동기적으로 사용자는 계정을 활성화할 때 암호를 생성하여 IdM 영역에 가입해야 합니다.
    • 사용자 password는 사용자의 기본 인증 방법이지만 keytab은 호스트의 기본 인증 방법입니다. 키탭은 호스트의 파일에 저장됩니다.

    표 38.1. 사용자 및 호스트 등록

    동작사용자호스트

    사전 등록

    $ ipa stageuser-add user_name [--password]

    $ ipa host-add host_name [--random]

    계정 활성화

    $ ipa stageuser-activate user_name

    $ IPA-client install [--password] (호스트 자체에서 실행해야합니다)

  • 배포 단계(표 38.2. “사용자 및 호스트 세션 인증”):

    • 사용자가 새 세션을 시작하면 사용자는 암호를 사용하여 인증합니다. 마찬가지로, 콘솔이 켜질 때마다 호스트는 해당 키탭 파일을 표시하여 인증합니다. SSSD(System Security Services Daemon)는 이 프로세스를 백그라운드에서 관리합니다.
    • 인증에 성공하면 사용자 또는 호스트에서 티켓(TGT)을 부여하는 Kerberos 티켓을 가져옵니다.
    • 그런 다음 TGT를 사용하여 특정 서비스의 특정 티켓을 받습니다.

    표 38.2. 사용자 및 호스트 세션 인증

     사용자호스트

    기본 인증 수단

    암호

    키탭

    세션 시작 (일반 사용자)

    $ kinit user_name

    [호스트의 전환]

    인증에 성공한 결과

    특정 서비스에 대한 액세스를 얻는 데 사용할 TGT

    특정 서비스에 대한 액세스를 얻는 데 사용할 TGT

TGT 및 기타 Kerberos 티켓은 서버에서 정의한 Kerberos 서비스 및 정책의 일부로 생성됩니다. Kerberos 티켓을 처음 부여하고, Kerberos 자격 증명을 갱신하며, Kerberos 세션 삭제도 IdM 서비스에 의해 자동으로 처리됩니다.