13.9. SSSD 통신 패턴
SSSD(System Security Services Daemon)는 원격 디렉터리 및 인증 메커니즘에 액세스하기 위한 시스템 서비스입니다. ID 관리 IdM 클라이언트에 구성된 경우 인증, 권한 부여 및 기타 ID 및 정책 정보를 제공하는 IdM 서버에 연결됩니다. IdM 서버가 AD(Active Directory)와의 신뢰 관계에 있는 경우 SSSD는 Kerberos 프로토콜을 사용하여 AD 사용자에 대한 인증을 수행합니다. 기본적으로 SSSD는 Kerberos를 사용하여 로컬이 아닌 사용자를 인증합니다. 특히 SSSD는 LDAP 프로토콜을 대신 사용하도록 구성할 수 있습니다.
SSSD는 여러 서버와 통신하도록 구성할 수 있습니다. 아래 표에는 IdM의 SSSD에 대한 일반적인 통신 패턴이 표시되어 있습니다.
표 13.4. IdM 서버와 통신할 때 IdM 클라이언트의 SSSD 통신 패턴
| 작업 | 사용된 프로토콜 | 목적 |
|---|---|---|
| 클라이언트 시스템에 구성된 DNS 해석기에 대한 DNS 확인 | DNS | IdM 서버의 IP 주소 검색 |
| ID 관리 복제본 및 Active Directory 도메인 컨트롤러의 포트 88(TCP/TCP6 및 UDP/UDP6), 464(TCP/TCP6 및 UDP/UDP6)에 대한 요청 | Kerberos | Kerberos 티켓을 얻으려면 Kerberos 암호를 변경하십시오. |
| SASL GSSAPI 인증, 일반 LDAP 또는 둘 다를 사용하여 IdM 서버의 포트 389에 TCP/TCP6을 통한 요청 | LDAP | IdM 사용자 및 호스트에 대한 정보를 얻으려면 HBAC 및 sudo 규칙, 자동 마운트 맵, SELinux 사용자 컨텍스트, 공용 SSH 키 및 IdM LDAP에 저장된 기타 정보를 다운로드합니다. |
| (선택 사항) 스마트 카드 인증의 경우 OCSP(Online Certificate Status Protocol) 응답자를 구성합니다. 이는 종종 포트 80을 통해 수행되지만 클라이언트 인증서의 OCSP 응답자 URL의 실제 값에 따라 달라집니다. | HTTP | 스마트 카드에 설치된 인증서의 상태에 대한 정보를 얻으려면 |
표 13.5. Active Directory 도메인 컨트롤러에 연결할 때 신뢰 에이전트 역할을 하는 IdM 서버의 SSSD의 통신 패턴
| 작업 | 사용된 프로토콜 | 목적 |
|---|---|---|
| 클라이언트 시스템에 구성된 DNS 해석기에 대한 DNS 확인 | DNS | IdM 서버의 IP 주소 검색 |
| ID 관리 복제본 및 Active Directory 도메인 컨트롤러의 포트 88(TCP/TCP6 및 UDP/UDP6), 464(TCP/TCP6 및 UDP/UDP6)에 대한 요청 | Kerberos | Kerberos 티켓을 얻으려면 Kerberos 암호를 변경하고 원격으로 Kerberos를 관리합니다. |
| 포트 389(TCP/TCP6 및 UDP/UDP6) 및 3268(TCP/TCP6)에 대한 요청 | LDAP | Active Directory 사용자 및 그룹 정보를 쿼리하려면 Active Directory 도메인 컨트롤러를 검색합니다. |
| (선택 사항) 스마트 카드 인증의 경우 OCSP(Online Certificate Status Protocol) 응답자를 구성합니다. 이는 종종 포트 80을 통해 수행되지만 클라이언트 인증서의 OCSP 응답자 URL의 실제 값에 따라 달라집니다. | HTTP | 스마트 카드에 설치된 인증서의 상태에 대한 정보를 얻으려면 |
추가 리소스
