4.3. LDAP에서 IdM으로 마이그레이션할 때 암호 마이그레이션
LDAP에서 IdM(Identity Management)으로 사용자를 마이그레이션하기 전에 응답하는 중요한 질문은 사용자 암호를 마이그레이션할지 여부입니다. 다음 옵션을 사용할 수 있습니다.
- 암호 없이 사용자 마이그레이션
더 빠르게 수행할 수 있지만 관리자와 사용자에 의해 더 많은 수동 작업이 필요합니다. 예를 들어, 원래 LDAP 환경에서 일반 텍스트 사용자 암호를 저장하는 경우 또는 암호가 IdM에 정의된 암호 정책 요구 사항을 충족하지 않는 경우와 같이 사용 가능한 유일한 옵션입니다.
암호 없이 사용자 계정을 마이그레이션할 때 모든 사용자 암호를 재설정합니다. 마이그레이션된 사용자에게는 처음 로그인할 때 변경되는 임시 암호가 할당됩니다. 암호를 재설정하는 방법에 대한 자세한 내용은 HREL 7 IdM 설명서에서 사용자 암호 변경 및 재설정 을 참조하십시오.
- 암호를 사용하여 사용자 마이그레이션
보다 원활한 전환을 제공하지만 마이그레이션 및 전환 프로세스 중에 LDAP 디렉터리 및 IdM을 병렬 관리해야 합니다. 기본적으로 IdM은 인증에 Kerberos를 사용하므로 각 사용자에게 표준 사용자 암호 외에도 IdM Directory Server에 저장된 Kerberos 해시가 있어야 합니다. 해시를 생성하려면 일반 텍스트로 IdM 서버에서 사용자 암호를 사용할 수 있어야 합니다. 새 사용자 암호를 생성하면 암호를 해시하고 IdM에 저장하기 전에 일반 텍스트로 사용할 수 있습니다. 그러나 사용자가 LDAP 디렉터리에서 마이그레이션되면 연결된 사용자 암호가 이미 해시되므로 해당 Kerberos 키를 생성할 수 없습니다.
중요기본적으로 사용자는 사용자 계정이 이미 있는 경우에도 IdM 도메인에 인증하거나 Kerberos 해시가 있을 때까지 IdM 리소스에 액세스할 수 없습니다. Kerberos 인증 대신 IdM에서 LDAP 인증을 사용하는 한 가지 해결 방법을 사용할 수 있습니다. 이 해결 방법으로 Kerberos 해시는 사용자에게 필요하지 않습니다. 그러나 이 해결 방법은 IdM의 기능을 제한하므로 권장되지 않습니다.
다음 섹션에서는 사용자 및 암호를 마이그레이션하는 방법에 대해 설명합니다.
4.3.1. LDAP를 IdM로 마이그레이션할 때 암호를 마이그레이션하는 방법
사용자가 암호를 변경하지 않고 LDAP에서 IdM(Identity Management)으로 사용자 계정을 마이그레이션하려면 다음 방법을 사용합니다.
Method 1: 마이그레이션 웹 페이지 사용
사용자에게 IdM 웹 UI https://ipaserver.example.com/ipa/migration 의 특수 페이지에 한 번 LDAP 인증 정보를 입력하도록 지시합니다. 백그라운드에서 실행되는 스크립트는 일반 텍스트 암호를 캡처하고 사용자 계정을 암호 및 적절한 Kerberos 해시로 올바르게 업데이트합니다.
Method 2 (recommended): SSSD 사용
SSSD(System Security Services Daemon)를 사용하여 필요한 사용자 키를 생성하여 마이그레이션의 사용자 영향을 완화합니다. 많은 사용자가 있거나 암호 변경에 부담을 주지 않아야 하는 경우 최상의 시나리오입니다.
워크플로
- 사용자는 SSSD를 사용하여 시스템에 로그인을 시도합니다.
- SSSD는 IdM 서버에 대해 Kerberos 인증을 수행합니다.
- 사용자가 시스템에 있지만 Kerberos 해시가 아직 존재하지 않기 때문에 오류 키 유형으로 인증이 지원되지 않습니다.
- SSSD는 보안 연결을 통해 일반 텍스트 LDAP 바인딩을 수행합니다.
- IdM은 이 바인딩 요청을 가로채고 있습니다. Kerberos 주체가 있지만 Kerberos 해시가 없는 경우 IdM ID 공급자는 해시를 생성하고 사용자 항목에 저장합니다.
- 인증에 성공하면 SSSD가 IdM에서 연결을 끊고 Kerberos 인증을 다시 시도합니다. 이번에는 항목에 해시가 있기 때문에 요청이 성공합니다.
메서드 2에서는 전체 프로세스가 사용자에게 표시되지 않습니다. 암호를 LDAP에서 IdM으로 이동했음을 인식하지 않고 클라이언트 서비스에 로그인합니다.
4.3.2. 일반 텍스트 LDAP 암호 마이그레이션 계획
대부분의 배포 LDAP 암호는 암호화되어 있지만 일부 사용자 또는 사용자 항목에 일반 텍스트 암호를 사용하는 일부 환경이 있을 수 있습니다.
사용자가 LDAP 서버에서 IdM 서버로 마이그레이션되면 IdM에서 일반 텍스트 암호를 허용하지 않기 때문에 일반 텍스트 암호가 마이그레이션되지 않습니다. 대신 각 사용자에 대해 Kerberos 사용자가 생성되면 keytab이 true로 설정되고 암호가 expired로 설정됩니다. 즉, IdM에서는 사용자가 다음 로그인 시 암호를 재설정해야 합니다. 자세한 내용은 IdM 요구 사항을 충족하지 않는 LDAP 암호 마이그레이션 플래닝을 참조하십시오.
4.3.3. IdM 요구 사항을 충족하지 않는 LDAP 암호 마이그레이션 계획
원래 디렉터리의 사용자 암호가 IdM(Identity Management)에 정의된 암호 정책을 충족하지 않는 경우 마이그레이션 후 암호가 유효하지 않습니다.
kinit 를 입력하여 사용자가 IdM 도메인에서 TGT(KGT)를 취득하려고 할 때 암호 재설정이 자동으로 수행됩니다. 사용자가 암호를 변경해야 합니다.
[migrated_idm_user@idmclient ~]$ kinit
Password for migrated_idm_user@IDM.EXAMPLE.COM:
Password expired. You must change it now.
Enter new password:
Enter it again: