Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

56장. ID 관리에서 인증서 매핑 규칙 구성

56.1. 스마트 카드 인증을 구성하기 위한 인증서 매핑 규칙

인증서 매핑 규칙은 사용자가 IdM(Identity Management) 관리자가 특정 사용자 인증서에 액세스할 수 없는 시나리오에서 인증서를 사용하여 인증할 수 있는 편리한 방법입니다. 이러한 액세스 부족은 일반적으로 외부 인증 기관에서 인증서를 발급했기 때문에 발생합니다. 특별한 사용 사례는 IdM 도메인이 신뢰 관계에 있는 AD(인증 기관)에서 발급한 인증서로 표시됩니다.

또한 인증서 매핑 규칙은 IdM 환경이 스마트 카드를 사용하는 많은 사용자와 함께 사용하는 경우에도 편리합니다. 이 경우 전체 인증서를 추가하는 것이 복잡할 수 있습니다. 주제와 발급자는 대부분의 시나리오에서 예측 가능하므로 전체 인증서보다 미리 추가하기가 더 쉽습니다. 시스템 관리자는 인증서 매핑 규칙을 생성하고 인증서를 특정 사용자에게 발급하기 전에도 사용자 항목에 인증서 매핑 데이터를 추가할 수 있습니다. 인증서가 발급되면 전체 인증서가 사용자 항목에 아직 업로드되지 않았더라도 사용자는 인증서를 사용하여 로그인할 수 있습니다.

또한 인증서를 정기적으로 갱신해야 하므로 인증서 매핑 규칙은 관리 오버헤드를 줄입니다. 사용자의 인증서가 갱신되면 관리자가 사용자 항목을 업데이트할 필요가 없습니다. 예를 들어 매핑이 주체발급자 값을 기반으로 하고 새 인증서에 이전 인증서와 동일한 제목과 발급자가 있는 경우 매핑이 계속 적용됩니다. 반대로 전체 인증서가 사용된 경우 관리자는 새 인증서를 사용자 항목에 업로드하여 이전 인증서를 교체해야 합니다.

인증서 매핑을 설정하려면 다음을 수행합니다.

  1. 관리자는 인증서 매핑 데이터(일반적으로 발급자 및 주체) 또는 전체 인증서를 사용자 계정으로 로드해야 합니다.
  2. 관리자가 사용자가 IdM에 성공적으로 로그인할 수 있도록 인증서 매핑 규칙을 생성해야 합니다.

    1. 해당 계정에 인증서 매핑 데이터 항목이 포함되어 있습니다.
    2. 인증서 매핑 데이터 항목이 인증서의 정보와 일치하는 경우

    매핑 규칙을 구성하는 개별 구성 요소에 대한 자세한 내용은 IdM에서 ID 매핑 규칙의 구성 요소를 참조하십시오. 일치하는 규칙에 사용하기 위해 인증서에서 발급자 가져오기를 참조하십시오.

그런 다음 최종 사용자가 인증서를 표시하여 파일 시스템 또는 스마트 카드에 저장하면 인증이 성공적으로 수행됩니다.

56.1.1. Active Directory 도메인을 사용하여 신뢰에 대한 인증서 매핑 규칙

이 섹션에서는 IdM 배포가 AD(Active Directory) 도메인과 신뢰 관계에 있는 경우 가능한 다양한 인증서 매핑 사용 사례에 대해 간단히 설명합니다.

인증서 매핑 규칙은 신뢰할 수 있는 AD 인증서 시스템이 발급한 스마트 카드 인증서를 보유한 사용자에 대해 IdM 리소스에 액세스할 수 있는 편리한 방법입니다. AD 구성에 따라 다음 시나리오가 가능합니다.

56.1.2. IdM에서 ID 매핑 규칙의 구성 요소

이 섹션에서는 IdM의 ID 매핑 규칙 구성 요소와 이를 구성하는 방법에 대해 설명합니다. 각 구성 요소에는 재정의할 수 있는 기본값이 있습니다. 웹 UI 또는 CLI에서 구성 요소를 정의할 수 있습니다. CLI에서 ID 매핑 규칙은 ipa certmaprule-add 명령을 사용하여 생성됩니다.

매핑 규칙

매핑 규칙 구성 요소는 인증서를 하나 이상의 사용자 계정과 연결(또는 맵)합니다. 규칙은 인증서를 원하는 사용자 계정과 연결하는 LDAP 검색 필터를 정의합니다.

다른 CA(인증 기관)에서 발급한 인증서는 다른 속성을 가질 수 있으며 다른 도메인에서 사용할 수 있습니다. 따라서 IdM은 무조건 매핑 규칙을 적용하지 않고 적절한 인증서에만 적용합니다. 일치하는 규칙을 사용하여 적절한 인증서를 정의합니다.

매핑 규칙 옵션을 비워 두면 userCertificate 특성에서 인증서가 DER 인코딩 바이너리 파일로 검색됩니다.

map rule 옵션을 사용하여 CLI에서 매핑 규칙을 정의합니다.

일치 규칙

일치하는 규칙 구성 요소는 매핑 규칙을 적용할 인증서를 선택합니다. 기본 일치 규칙은 digitalSignature 키 사용 및 clientAuth 확장 키 사용과 인증서와 일치합니다.

match rule 옵션을 사용하여 CLI에 일치하는 규칙을 정의합니다.

도메인 목록

domain 목록은 IdM에서 ID 매핑 규칙을 처리할 때 사용자를 검색하려는 ID 도메인을 지정합니다. 옵션을 지정하지 않으면 IdM 클라이언트가 속한 로컬 도메인의 사용자만 검색합니다.

domain 옵션을 사용하여 CLI에서 도메인을 정의합니다.

우선 순위

여러 규칙을 인증서에 적용할 수 있는 경우 우선 순위가 가장 높은 규칙이 우선합니다. 다른 모든 규칙은 무시됩니다.

  • 숫자 값이 낮을수록 ID 매핑 규칙의 우선 순위가 높습니다. 예를 들어 우선 순위 1이 있는 규칙은 우선 순위가 2인 규칙보다 우선 순위가 높습니다.
  • 규칙의 우선 순위 값이 정의되지 않은 경우 우선 순위가 가장 낮습니다.

우선순위 옵션을 사용하여 CLI에서 매핑 규칙 우선 순위를 정의합니다.

인증서 매핑 규칙 예

CLI를 사용하여 EXAMPLE.ORG 조직의 스마트 카드 CA 에서 발급한 인증서에 대한 인증을 허용하는 simple_rule 이라는 인증서 매핑 규칙을 정의하기 위해 해당 인증서의 주체 가 IdM의 사용자 계정의 certmapdata 항목과 일치하는 경우 다음을 정의합니다.

# ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=Smart Card CA,O=EXAMPLE.ORG' --maprule '(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})'

56.1.3. 일치하는 규칙에 사용하기 위해 인증서에서 발급자 가져오기

다음 절차에서는 인증서 매핑 규칙의 일치 규칙에 복사하여 붙여넣을 수 있도록 인증서에서 발급자 정보를 가져오는 방법을 설명합니다. 일치하는 규칙에 필요한 발급자 형식을 가져오려면 openssl x509 유틸리티를 사용합니다.

사전 요구 사항

  • 사용자 인증서가 .pem 또는. crt 형식으로 되어 있습니다

절차

  1. 인증서에서 사용자 정보를 가져옵니다. 다음을 사용하여 openssl x509 인증서 표시 및 서명 유틸리티를 사용합니다.

    • 인코딩된 버전의 요청을 방지하는 no out 옵션
    • 발급자 이름을 출력하는 -issuer 옵션
    • 인증서를 읽을 입력 파일 이름을 지정하는 -in 옵션
    • 가장 구체적인 상대 고유 이름(RDN)이 있는 출력을 먼저 표시하기 위한 RFC2253 값이 있는 -nameopt 옵션

      입력 파일에 ID 관리 인증서가 포함된 경우 명령의 출력에는 조직 정보를 사용하여 발급자가 정의됨을 표시합니다.

      # openssl x509 -noout -issuer -in idm_user.crt -nameopt RFC2253
      issuer=CN=Certificate Authority,O=REALM.EXAMPLE.COM

      입력 파일에 Active Directory 인증서가 포함된 경우 명령의 출력에 도메인 구성 요소 정보를 사용하여 발급자가 정의됨을 표시합니다.

      # openssl x509 -noout -issuer -in ad_user.crt -nameopt RFC2253
      issuer=CN=AD-WIN2012R2-CA,DC=AD,DC=EXAMPLE,DC=COM
  2. 선택적으로 일치하는 규칙을 기반으로 CLI에서 새 매핑 규칙을 생성하려면 인증서 발급자가 ad.example.com 도메인의 추출된 AD-WIN2012R2-CA 여야 하며 인증서의 제목은 IdM의 사용자 계정의 certmapdata 항목과 일치해야 합니다.

    # ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=AD-WIN2012R2-CA,DC=AD,DC=EXAMPLE,DC=COM' --maprule '(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})'

56.1.4. 추가 리소스

  • sss-certmap(5) 도움말 페이지를 참조하십시오.