52.5. IdM 티켓 허용 티켓을 IdP 사용자로 검색
외부 ID 공급자(IdP)에서 사용자로 Kerberos 티켓-보장 티켓(TGT)을 검색하려면 익명의 Kerberos 티켓을 요청한 다음,FAST(SecureECDHEing) 채널을 통해 NSXible Authentication을 활성화하여 Kerberos 클라이언트와 KDC(Kerberos 배포 센터) 간에 보안 연결을 제공합니다.
사전 요구 사항
- IdM 클라이언트 및 IdM 서버는 RHEL 8.7 이상을 사용하고 있습니다.
- IdM 클라이언트 및 IdM 서버는 SSSD 2.7.0 이상을 사용하고 있습니다.
- IdM에서 IdP에 대한 참조를 생성했습니다. 외부 ID 공급자에 대한 참조 생성 을 참조하십시오.
- 사용자 계정과 외부 IdP 참조가 연결되어 있습니다. 외부 IdP를 통해 인증할 IdM 사용자 활성화를 참조하십시오.
절차
익명 PKINIT를 사용하여 Kerberos 티켓을 가져와서
./fast.ccache
파일에 저장합니다.[root@client ~]# kinit -n -c ./fast.ccache
T
옵션을 사용하여 사용자 인증을 시작하여 communication 채널을 활성화합니다.[root@client ~]# kinit -T ./fast.ccache external-idp-user Authenticate at https://oauth2.idp.com:8443/auth/realms/master/device?user_code=YHMQ-XKTL and press ENTER.:
- 브라우저에서 명령 출력에 제공된 웹 사이트에서 사용자로 인증합니다.
- 명령줄에서 Enter 키를 눌러 인증 프로세스를 완료합니다.
검증
Kerberos 티켓 정보를 표시하고
config: pa_type
이 외부 IdP를 사용하여 사전 인증을 위해152
행으로 표시되는지 확인합니다.[root@client ~]# klist -C Ticket cache: KCM:0:58420 Default principal: external-idp-user@IDM.EXAMPLE.COM Valid starting Expires Service principal 05/09/22 07:48:23 05/10/22 07:03:07 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM config: fast_avail(krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM) = yes 08/17/2022 20:22:45 08/18/2022 20:22:43 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM config: pa_type(krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM) = 152