Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

74장. IdM에서 AD 사용자 주체 이름을 사용한 인증 활성화

74.1. IdM에서 신뢰하는 ADforest의 사용자 주요 이름

IdM(Identity Management) 관리자는 AD 사용자가 대체 UUPN(User Principal Names )을 사용하여 IdM 도메인의 리소스에 액세스할 수 있습니다. UPN은 AD 사용자가 user_name@KERBEROS-REALM 형식으로 인증하는 대체 사용자 로그인입니다. AD 관리자는 AD 포리스트에서 추가 Kerberos 별칭과 UPN 접미사를 둘 다 구성할 수 있으므로 user_nameKERBEROS-REALM 모두에 대한 대체 값을 설정할 수 있습니다.

예를 들어 회사에서 Kerberos 영역 AD.EXAMPLE.COM 을 사용하는 경우 사용자의 기본 UPN은 user@ad.example.com 입니다. 사용자가 이메일 주소(예: user@example.com )를 사용하여 로그인할 수 있도록 하려면 AD에서 EXAMPLE.COM 을 대체 UPN으로 구성할 수 있습니다. 대체 UPN( 엔터프라이즈 UPN이라고도 함)은 회사에서 최근에 병합을 경험했으며 사용자에게 통합 로그온 네임스페이스를 제공하고자 하는 경우 특히 편리합니다.

UPN 접미사는 AD forest 루트에 정의된 경우에만 IdM에 대해 표시됩니다. AD 관리자는 Active Directory Domain and Trust 유틸리티 또는 PowerShell 명령줄 도구를 사용하여 UPN을 정의할 수 있습니다.

참고

사용자에 대한 UPN 접미사를 구성하려면 Active Directory Domain and Trust 유틸리티와 같이 오류 유효성 검사를 수행하는 툴을 사용하는 것이 좋습니다.

Active Directory는 이러한 작업을 검증하지 않기 때문에 ldapmodify 명령을 사용하여 사용자에 대한 userPrincipalName 속성을 설정하는 등 낮은 수준의 수정을 통해 UPN을 구성하는 것을 권장하고 있습니다.

AD 측에서 새 UPN을 정의한 후 IdM 서버에서 ipa trust-fetch-domains 명령을 실행하여 업데이트된 UPN을 검색합니다. AD UPN이 IdM에서 최신 상태인지를 참조하십시오.

IdM은 cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com 의 subtree 속성 ipaNTAdditionalSuffixes 에 도메인의 UPN 접미사를 저장합니다.