88장. IdM에서 AD 사용자 주체 이름을 사용한 인증 활성화

IdM(Identity Management) 관리자는 AD 사용자가 대체 UUPN(User Principal Names )을 사용하여 IdM 도메인의 리소스에 액세스할 수 있습니다. UPN은 AD 사용자가 user_name@KERBEROS-REALM 형식으로 인증하는 대체 사용자 로그인입니다. AD 관리자는 AD 포리스트에서 추가 Kerberos 별칭과 UPN 접미사를 둘 다 구성할 수 있으므로 user_name 및 KERBEROS-REALM 모두에 대한 대체 값을 설정할 수 있습니다.

예를 들어 회사에서 Kerberos 영역 AD.EXAMPLE.COM 을 사용하는 경우 사용자의 기본 UPN은 user@ad.example.com 입니다. 사용자가 이메일 주소(예: user@example.com )를 사용하여 로그인할 수 있도록 하려면 AD에서 EXAMPLE.COM 을 대체 UPN으로 구성할 수 있습니다. 대체 UPN( 엔터프라이즈 UPN이라고도 함)은 회사에서 최근에 병합을 경험했으며 사용자에게 통합 로그온 네임스페이스를 제공하고자 하는 경우 특히 편리합니다.

UPN 접미사는 AD forest 루트에 정의된 경우에만 IdM에 대해 표시됩니다. AD 관리자는 Active Directory Domain and Trust 유틸리티 또는 PowerShell 명령줄 도구를 사용하여 UPN을 정의할 수 있습니다.

AD 측에서 새 UPN을 정의한 후 IdM 서버에서 ipa trust-fetch-domains 명령을 실행하여 업데이트된 UPN을 검색합니다. AD UPN이 IdM에서 최신 상태인지를 참조하십시오.

IdM은 cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com 의 subtree 속성 ipaNTAdditionalSuffixes 에 도메인의 UPN 접미사를 저장합니다.