8.4. Single Sign-On으로 SSL 인증서 요청
SSL 기반 서비스에는 원래(A/AAAA)와 CNAME 레코드가 모두 인증서에 있어야 하므로 모든 시스템 호스트 이름을 포함하는 dNSName
확장 레코드가 있는 인증서가 필요합니다. 현재 IdM은 IdM 데이터베이스의 오브젝트를 호스트하는 인증서만 발행합니다.
다음 절차에 따라 IdM에서 ipa-client.example.com
에 대한 호스트 오브젝트를 생성하고 실제 IdM 시스템의 호스트 오브젝트가 이 호스트를 관리할 수 있는지 확인합니다.
사전 요구 사항
- Kerberos Single Sign-On으로 IdM 클라이언트 구성에 설명된 대로 Kerberos 주체가 Kerberos 서버를 대상으로 하는 데 사용되는 사항에 대한 엄격한 검사를 비활성화했습니다.
절차
IdM 서버에 새 호스트 오브젝트를 생성합니다.
[root@idm-server.idm.example.com ~]# ipa host-add idm-client.ad.example.com --force
호스트 이름은 A/AAAA 레코드가 아닌 CNAME이므로
--force
옵션을 사용합니다.IdM 서버에서 IdM DNS 호스트 이름이 IdM 데이터베이스의 Active Directory 호스트 항목을 관리할 수 있도록 허용합니다.
[root@idm-server.idm.example.com ~]# ipa host-add-managedby idm-client.ad.example.com \ --hosts=idm-client.idm.example.com
이제 Active Directory DNS 도메인 내의 호스트 이름에 대해
dNSName
확장 레코드를 사용하여 IdM 클라이언트의 SSL 인증서를 요청할 수 있습니다.[root@idm-client.idm.example.com ~]# ipa-getcert request -r \ -f /etc/httpd/alias/server.crt \ -k /etc/httpd/alias/server.key \ -N CN=`hostname --fqdn` \ -D `hostname --fqdn` \ -D idm-client.ad.example.com \ -K host/idm-client.idm.example.com@IDM.EXAMPLE.COM \ -U id-kp-serverAuth