Red Hat Training
A Red Hat training course is available for RHEL 8
34.9. 가장 광범위한 트러스트 설정 문제 해결
IdM(Identity Management) 환경과 AD(Active Directory) 포리스트 간의 교차 포리스트 신뢰를 구성하는 프로세스 문제 해결에 대해 자세히 알아보십시오.
34.9.1. AD를 사용하여 가장 간 트러스트를 설정할 때 이벤트 시퀀스
ipa trust-add 명령을 사용하여 AD(Active Directory) 도메인 컨트롤러(DC) 도메인 컨트롤러(DC)와의 교차 트러스트를 설정하는 경우 명령은 명령을 실행한 사용자를 대신하여 작동하며 IdM 서버에서 다음 작업을 수행합니다. If you have trouble establishing a cross-forest trust, you can use this list to help narrow down and troubleshoot your issue.
제품 1: 명령은 설정 및 입력 확인
- IdM 서버에 Trust Controller 역할이 있는지 확인합니다.
-
ipa trust-add명령에 전달된 옵션을 확인합니다. -
신뢰할 수 있는 tree 루트 도메인과 연결된 ID 범위를 확인합니다. ID 범위 유형 및 속성을
ipa trust-add명령에 대한 옵션으로 지정하지 않은 경우 Active Directory에서 검색됩니다.
제품 2 이 명령은 Active Directory 도메인에 대한 트러스트를 설정하려고 시도합니다.
- 각 신뢰 방향에 대해 별도의 신뢰 오브젝트를 생성합니다. 각 오브젝트는 양변(IdM 및 AD) 모두에서 생성됩니다. 단방향 신뢰를 설정하는 경우 각 측에서 하나의 개체만 생성됩니다.
IdM 서버는 Samba 제품군을 사용하여 Active Directory의 도메인 컨트롤러 기능을 처리하고 대상 AD PDC에 신뢰 오브젝트를 생성합니다.
-
IdM 서버는 대상 DC의
IPC$공유에 대한 보안 연결을 설정합니다. RHEL 8.4 이후 연결은 세션에 사용되는 AES 기반 암호화를 사용하여 연결이 충분히 안전한지 확인하기 위해 Windows Server 2012 이상을 사용하는 SMB3 프로토콜 이상이 필요합니다. -
IdM 서버는
LSA QueryTrustedDomainInfoByName호출을 사용하여 신뢰할 수 있는 도메인 오브젝트(TDO)를 쿼리합니다. TDO가 이미 존재하는 경우
LSA DeleteTrustedDomain호출을 사용하여 제거합니다.참고이 호출은 Incoming Forest Trust Builder 그룹의 구성원과 같이 domain Admin (EA) 또는 Domain Admin (DA) 권한이 없는 경우 이 호출이 실패합니다. 이전 TDO가 자동으로 제거되지 않으면 AD 관리자가 AD에서 수동으로 제거해야 합니다.
-
IdM 서버는
LSA CreateTrustedDomainEx2호출을 사용하여 새 TDO를 생성합니다. TDO 자격 증명은 128개의 임의의 문자가 있는 Samba 제공 암호 생성기를 사용하여 임의로 생성됩니다. 그런 다음 새로운 TDO가
LSA Set informationTrustedDomain호출을 사용하여 수정되어 신뢰에서 지원하는 암호화 유형이 올바르게 설정되어 있는지 확인합니다.-
Active Directory의 디자인 방식 때문에
RC4_HMAC_MD5암호화 유형이 활성화된 경우 RC4 키가 사용되지 않습니다. -
AES128_CTS_HMAC_SHA1_96및AES256_CTS_HMAC_SHA1_96암호화 유형이 활성화됩니다.
-
Active Directory의 디자인 방식 때문에
-
IdM 서버는 대상 DC의
-
Lake 트러스트의 경우
LSA SetDataTrustedDomain호출을 사용하여 내 도메인의 전송에 도달할 수 있는지 확인합니다. LSA RSetForestTrust Information호출을 사용하여 AD, AD와 통신할 경우 AD와 통신할 경우 다른 forest(IdM)에 대한 신뢰 토폴로지 정보를 추가합니다.참고이 단계는 다음 세 가지 이유 중 하나로 인해 충돌이 발생할 수 있습니다.
-
LSA_SID_DISABLED_ECDHELICT오류로 보고되는 STS 네임스페이스가 충돌합니다. 이 충돌은 해결할 수 없습니다. -
tekton 네임스페이스 충돌은
LSA_NB_DISABLED_octetsLICT오류로 보고되었습니다. 이 충돌은 해결할 수 없습니다. -
DNS 네임스페이스는
LSA_TLN_DISABLED_octetsLICT 오류로 보고한 최상위 이름(TLN)과 충돌합니다. IdM 서버는 다른 tree로 인해 발생하는 경우 TLN 충돌을 자동으로 해결할 수 있습니다.
TLN 충돌을 해결하기 위해 IdM 서버는 다음 단계를 수행합니다.
- 충돌하는 섬김에 대한 트러스트 정보를 검색합니다.Retrieving the trust information for the conflicting forest.
- IdM DNS 네임스페이스의 제외 항목을 AD forest에 추가합니다.
- 충돌 하는 오버라이드에 대 한 트러스트 정보를 설정 합니다.
- 원래 트리에 대한 신뢰를 설정합니다.Retry establishing the trust to the original forest.
IdM 서버는 forest 트러스트를 변경할 수 있는 AD 관리자의 권한으로
ipa trust-add명령을 인증한 경우에만 이러한 충돌을 해결할 수 있습니다. 이러한 권한에 대한 액세스 권한이 없는 경우 원래 delator의 관리자는 Windows UI UI의 Active Directory Domains 및 Trusts 섹션에서 위의 단계를 수동으로 수행해야 합니다.-
- 존재하지 않는 경우 신뢰할 수 있는 도메인의 ID 범위를 생성합니다.
- For a forest trust, query Active Directory domain controllers from the forest root for details about the forest topology. IdM 서버는 이 정보를 사용하여 신뢰할 수 있는 섬에서 추가 도메인에 대한 추가 ID 범위를 생성합니다.
추가 리소스
- 신뢰 컨트롤러 및 신뢰 에이전트
- 개요 문서 (Microsoft)
- 기술 문서 (Microsoft)
- Active Directory의 권한 있는 계정 및 그룹 (Microsoft)
34.9.2. AD 신뢰를 설정하기 위한 사전 요구 사항 체크리스트
다음 체크리스트를 사용하여 AD 도메인과의 신뢰를 생성하기 위한 사전 요구 사항을 검토할 수 있습니다.
표 34.4. 테이블
| 구성 요소 | 설정 | 추가 세부 정보 |
|---|---|---|
| 제품 버전 | Active Directory 도메인은 지원되는 Windows Server 버전을 사용하고 있습니다. | |
| AD 관리자 권한 | Active Directory 관리 계정은 다음 그룹 중 하나의 멤버여야 합니다.
| |
| 네트워킹 | 모든 IdM 서버에 대해 Linux 커널에서 IPv6 지원이 활성화됩니다. | |
| 날짜 및 시간 | 두 서버의 날짜 및 시간 설정이 일치했는지 확인합니다. | |
| 암호화 유형 | 다음 AD 계정에는 AES 암호화 키가 있습니다.
AD에서 최근에 AES 암호화를 활성화한 경우 다음 단계를 사용하여 새 AES 키를 생성합니다.
| |
| 방화벽 | 양방향 통신을 위해 IdM 서버 및 AD 도메인 컨트롤러에서 필요한 모든 포트를 열었습니다. | |
| DNS |
| |
| 토폴로지 | 신뢰 컨트롤러로 구성한 IdM 서버를 사용하여 신뢰를 구축하고 있는지 확인합니다. |
34.9.3. AD 트러스트를 설정하기 위한 시도의 디버그 로그 수집
IdM 환경과 AD 도메인 간에 신뢰를 설정하는 데 문제가 발생하는 경우 다음 단계를 사용하여 자세한 오류 로깅을 활성화하여 신뢰를 구축하기 위한 시도의 로그를 수집할 수 있습니다. 이러한 로그를 검토하여 문제 해결에 도움이되거나 Red Hat 기술 지원 케이스에 제공할 수 있습니다.
사전 요구 사항
- IdM 서비스를 다시 시작하려면 root 권한이 필요합니다.
절차
IdM 서버에 대한 디버깅을 활성화하려면 다음 콘텐츠를 사용하여
/etc/ipa/server.conf파일을 생성하십시오.[global] debug=True
httpd서비스를 다시 시작하여 디버깅 구성을 로드합니다.[root@trust_controller ~]# systemctl restart httpd
qcow 및
winbind[root@trust_controller ~]# systemctl stop smb winbind
rootfs 및
winbind서비스의 디버깅 로그 수준을 설정합니다.[root@trust_controller ~]# net conf setparm global 'log level' 100
IdM 프레임워크에서 사용하는 Samba 클라이언트 코드에 대한 디버그 로깅을 활성화하려면
/usr/share/ipa/dpdk.conf.empty구성 파일을 편집하여 다음 콘텐츠를 적용합니다.[global] log level = 100이전 Samba 로그를 제거합니다.
[root@trust_controller ~]# rm /var/log/samba/log.*
qcow 및
winbind[root@trust_controller ~]# systemctl start smb winbind
자세한 정보 표시 모드가 활성화된 트러스트를 설정하려고 하면 타임스탬프를 출력합니다.
[root@trust_controller ~]# date; ipa -vvv trust-add --type=ad ad.example.com
실패한 요청에 대한 정보는 다음 오류 로그 파일을 검토하십시오.
-
/var/log/httpd/error_log -
/var/log/samba/log.*
-
디버깅을 비활성화합니다.
[root@trust_controller ~]# mv /etc/ipa/server.conf /etc/ipa/server.conf.backup [root@trust_controller ~]# systemctl restart httpd [root@trust_controller ~]# systemctl stop smb winbind [root@trust_controller ~]# net conf setparm global 'log level' 0 [root@trust_controller ~]# mv /usr/share/ipa/smb.conf.empty /usr/share/ipa/smb.conf.empty.backup [root@trust_controller ~]# systemctl start smb winbind
(선택 사항) 인증 문제의 원인을 확인할 수 없는 경우
최근에 생성한 로그 파일을 수집 및 보관합니다.
[root@trust_controller ~]# tar -cvf debugging-trust.tar /var/log/httpd/error_log /var/log/samba/log.*
- Red Hat 기술 지원 케이스를 열고 시도에서 타임 스탬프 및 디버그 로그를 제공합니다.
