8장. Active Directory DNS 도메인에서 IdM 클라이언트 구성

Active Directory가 관리하는 DNS 도메인에 클라이언트 시스템이 있고 해당 클라이언트가 RHEL 기능을 활용하기 위해 IdM 서버에 연결해야 하는 경우, Active Directory DNS 도메인에서 호스트 이름을 사용하여 클라이언트에 액세스하도록 사용자를 구성할 수 있습니다.

중요

이는 권장되는 구성이 아니며 몇 가지 제한 사항이 있습니다. Red Hat은 항상 Active Directory가 소유한 DNS 영역에 IdM 클라이언트를 배포하고 IdM 호스트 이름을 통해 IdM 클라이언트에 액세스할 것을 권장합니다.

IdM 클라이언트 구성은 Kerberos로 SSO(Single Sign-On)가 필요한지 여부에 따라 달라집니다.

8.1. Kerberos SSO(Single Sign-On)가 없는 IdM 클라이언트 구성

암호 인증은 IdM 클라이언트가 Active Directory DNS 도메인에 있는 경우 사용자가 IdM 클라이언트의 리소스에 액세스할 수 있는 유일한 인증 방법입니다. Kerberos Single Sign-On 없이 클라이언트를 구성하려면 다음 절차를 따르십시오.

절차

  1. SSSD(System Security Services Daemon)가 IdM 서버와 통신할 수 있도록 --domain=IPA_DNS_Domain 옵션으로 IdM 클라이언트를 설치합니다.

    [root@idm-client.ad.example.com ~]# ipa-client-install --domain=idm.example.com

    이 옵션은 Active Directory DNS 도메인에 대한 SRV 레코드 자동 감지를 비활성화합니다.

  2. /etc/krb5.conf 구성 파일을 열고 [domain_realm] 섹션에서 Active Directory 도메인의 기존 매핑을 찾습니다.

    .ad.example.com = IDM.EXAMPLE.COM
    ad.example.com = IDM.EXAMPLE.COM
  3. 두 행을 Active Directory DNS 영역에 있는 Linux 클라이언트의 FQDN(정규화된 도메인 이름)과 IdM 영역을 매핑하는 항목으로 바꿉니다.

    idm-client.ad.example.com = IDM.EXAMPLE.COM

    기본 매핑을 대체하면 Kerberos가 Active Directory 도메인에 대한 요청을 IdM Kerberos 배포 센터(KDC)로 전송하지 못합니다. 대신 Kerberos는 SRV DNS 레코드를 통한 자동 검색을 사용하여 KDC를 찾습니다.