40.4. IdM 호스트 및 사용자의 등록 및 인증: 비교

IdM의 사용자와 호스트 간에는 여러 가지가 있으며, 이 중 일부는 등록 단계에서와 배포 단계 중 인증과 관련된 일부 항목을 확인할 수 있습니다.

관리자는 사용자 또는 호스트 모두에 대해 IdM에 실제로 참여하기 전에 사용자 및 호스트에 대해 LDAP 항목을 생성할 수 있습니다. stage 사용자의 경우 명령은 ipa stageuser-add 입니다. 호스트에 대해 명령은 ipa host-add 입니다.
키 테이블 또는 일부 익스텐트와 유사한 대칭 키인 keytab을 포함하는 파일은 호스트에서 ipa-client-install 명령 실행 중에 생성됩니다. 그러면 호스트가 IdM 영역에 결합됩니다. 논리적으로는 계정을 활성화할 때 암호를 생성해야 하므로 IdM 영역에 가입해야 합니다.
사용자 password는 사용자의 기본 인증 방법이지만 keytab은 호스트의 기본 인증 방법입니다. 키탭은 호스트의 파일에 저장됩니다.

표 40.1. 사용자 및 호스트 등록

동작	사용자	호스트
사전 등록	$ *ipa stageuser-add user_name* [--password]**	$ *ipa host-add host_name* [--random]**
계정 활성화	$ ipa stageuser-activate user_name	$ IPA-client install [--password] (호스트 자체에서 실행해야합니다)

사용자가 새 세션을 시작하면 사용자는 암호를 사용하여 인증합니다. 마찬가지로, 콘솔이 켜질 때마다 호스트는 해당 키탭 파일을 표시하여 인증합니다. SSSD(System Security Services Daemon)는 이 프로세스를 백그라운드에서 관리합니다.
인증에 성공하면 사용자 또는 호스트에서 티켓(TGT)을 부여하는 Kerberos 티켓을 가져옵니다.
그런 다음 TGT를 사용하여 특정 서비스의 특정 티켓을 받습니다.

표 40.2. 사용자 및 호스트 세션 인증

TGT 및 기타 Kerberos 티켓은 서버에서 정의한 Kerberos 서비스 및 정책의 일부로 생성됩니다. Kerberos 티켓을 처음 부여하고, Kerberos 자격 증명을 갱신하며, Kerberos 세션 삭제도 IdM 서비스에 의해 자동으로 처리됩니다.

IdM 호스트의 대체 인증 옵션

keytab 외에도 IdM은 두 가지 유형의 시스템 인증을 지원합니다.

SSH 키. 호스트의 SSH 공개 키가 생성되어 호스트 항목에 업로드됩니다. 여기에서 SSSD(시스템 보안 서비스 데몬)는 IdM을 ID 프로바이더로 사용하며 OpenSSH 및 기타 서비스와 함께 작업하여 IdM에 있는 공용 키를 참조할 수 있습니다.

시스템 인증서. 이 경우 시스템은 IdM 서버의 인증 기관에서 발급한 SSL 인증서를 사용한 다음 IdM의 디렉터리 서버에 저장됩니다. 그러면 서버에 인증할 때 인증서가 존재하도록 시스템으로 전송됩니다. 클라이언트에서 인증서는 certmonger 라는 서비스에서 관리합니다.

Select Your Language