Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

42장. Kerberos 티켓 정책 관리

IdM(Identity Management)의 Kerberos 티켓 정책은 Kerberos 티켓 액세스, 기간 및 갱신에 대한 제한을 설정합니다. IdM 서버에서 실행되는 KDC(키 배포 센터)에 대한 Kerberos 티켓 정책을 구성할 수 있습니다.

이 장에서는 다음과 같은 Kerberos 티켓 관리 주제와 작업을 설명합니다.

42.1. IdM KDC의 역할

ID 관리의 인증 메커니즘은 KDC(키 배포 센터)에서 설정한 Kerberos 인프라를 사용합니다. KDC는 자격 증명 정보를 저장하고 IdM 네트워크 내의 엔터티에서 시작된 데이터의 신뢰성을 보장하는 신뢰할 수 있는 권한입니다.

각 IdM 사용자, 서비스 및 호스트는 Kerberos 클라이언트 역할을 하며 고유한 Kerberos 주체 로 식별됩니다.

  • users: identifier@REALM (예: admin@EXAMPLE.COM)
  • 서비스: service/fully-qualified-hostname@REALM (예: http/server.example.com@EXAMPLE.COM)
  • 호스트의 경우: host/fully-qualified-hostname@REALM (예: host/client.example.com@EXAMPLE.COM)

다음 이미지는 Kerberos 클라이언트, KDC 및 클라이언트가 통신하려는 Kerberized 애플리케이션 간의 통신을 간소화한 것입니다.

Kerberos KDC 통신 흐름
  1. Kerberos 클라이언트는 Kerberos 주체로 인증하여 KDC를 식별합니다. 예를 들어 IdM 사용자는 kinit 사용자 이름을 수행하고 암호를 제공합니다.
  2. KDC는 데이터베이스의 주체를 확인하고, 클라이언트를 인증하고, Kerberos 티켓 정책을 평가하여 요청을 부여할지 여부를 결정합니다.
  3. KDC는 고객에게 해당 티켓 정책에 따라 라이프사이클 및 인증 표시기 가 포함된 티켓(TGT)을 발행합니다.
  4. TGT를 사용하면 클라이언트는 KDC의 서비스 티켓을 요청하여 대상 호스트에서 Kerberized 서비스와 통신합니다.
  5. KDC는 고객의 TGT가 여전히 유효한지 확인하고, 티켓 정책에 대해 서비스 티켓 요청을 평가합니다.
  6. KDC는 고객에게 서비스 티켓을 발행합니다.
  7. 서비스 티켓을 사용하여 클라이언트는 대상 호스트에서 서비스와 암호화된 통신을 시작할 수 있습니다.