Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

42.4. IdM 서비스에 대한 인증 표시기 시행

이 절차에서는 IdM 서비스 생성 및 수신 서비스 티켓 요청의 특정 Kerberos 인증 표시기가 필요하도록 구성하는 방법을 설명합니다.

인증 표시기를 IdM 서비스와 연결하면 특정 사전 인증 메커니즘을 사용한 클라이언트만 초기 티켓 제공 티켓(TGT)을 받을 수 있습니다.

42.4.1. IdM 서비스 항목 및 Kerberos 키 탭 생성

IdM 호스트에서 실행되는 서비스에 대해 IdM 서비스 항목을 IdM에 추가하면 해당 Kerberos 사용자가 생성되고 서비스에서 SSL 인증서, Kerberos 키탭 또는 둘 다를 요청할 수 있습니다.

다음 절차에서는 IdM 서비스 항목을 생성하고 관련 Kerberos keytab을 생성하여 해당 서비스와의 통신을 암호화하는 방법을 설명합니다.

사전 요구 사항

  • 서비스는 Kerberos 주체, SSL 인증서 또는 둘 다를 저장할 수 있습니다.

절차

  1. ipa service-add 명령으로 IdM 서비스를 추가하여 연결된 Kerberos 주체를 생성합니다. 예를 들어 호스트 client.example.com에서 실행되는 테스트 서비스 애플리케이션에 대한 IdM 서비스 항목을 생성하려면 다음을 수행합니다. 

    [root@client ~]# ipa service-add testservice/client.example.com
-------------------------------------------------------------
Modified service "testservice/client.example.com@EXAMPLE.COM"
-------------------------------------------------------------
  Principal name: testservice/client.example.com@EXAMPLE.COM
  Principal alias: testservice/client.example.com@EXAMPLE.COM
  Managed by: client.example.com

  2. 클라이언트에서 서비스에 대한 Kerberos 키탭을 생성하고 저장합니다. 

    [root@client ~]# ipa-getkeytab -k /etc/testservice.keytab -p testservice/client.example.com
Keytab successfully retrieved and stored in: /etc/testservice.keytab

검증 단계

  1. ipa service-show 명령을 사용하여 IdM 서비스에 대한 정보를 표시합니다. 

    [root@server ~]# ipa service-show testservice/client.example.com
  Principal name: testservice/client.example.com@EXAMPLE.COM
  Principal alias: testservice/client.example.com@EXAMPLE.COM
  Keytab: True
  Managed by: client.example.com

  2. klist 명령을 사용하여 서비스의 Kerberos keytab 내용을 표시합니다. 

    [root@server etc]# klist -ekt /etc/testservice.keytab
Keytab name: FILE:/etc/testservice.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (aes128-cts-hmac-sha1-96)
   2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (camellia128-cts-cmac)
   2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (camellia256-cts-cmac)