9.2. 명령줄을 사용하여 신뢰 계약 설정

• One-way trust expects. 단방향 신뢰로 인해 AD(Active Directory) 사용자 및 그룹이 IdM의 리소스에 액세스할 수 있지만 다른 방법은 액세스할 수 없습니다. IdM 도메인은 AD 포리스트를 신뢰하지만 AD 포리스트에서는 IdM 도메인을 신뢰하지 않습니다.

• 양방향 trust expect: Two- way trust를 통해 AD 사용자 및 그룹이 IdM의 리소스에 액세스할 수 있습니다.

  S4U2Self 및 S4U2 Proxy Microsoft 확장에서 신뢰할 수 있는 경계를 통해 작동하도록 Microsoft SQL Server와 같은 솔루션에 대한 양방향 신뢰를 구성해야 합니다. RHEL IdM 호스트의 애플리케이션은 AD 사용자에 대한 Active Directory 도메인 컨트롤러에서 S4U2Self 또는 S4U2Proxy 정보를 요청할 수 있으며 양방향 신뢰에서는 이 기능을 제공합니다.

  이 양방향 신뢰 기능은 IdM 사용자가 Windows 시스템에 로그인할 수 없으며 IdM의 양방향 신뢰는 사용자에게 AD의 단방향 신뢰 솔루션에 비해 추가 권한을 부여하지 않습니다.

  • 양방향 신뢰를 생성하려면 명령에 다음 옵션을 추가합니다. --two-way=true

• 외부 신뢰 - 다른 포리스트의 IdM과 AD 도메인 간의 신뢰 관계입니다. 포리스트 신뢰는 항상 IdM과 Active Directory 포리스트의 루트 도메인 간 신뢰를 구축해야 하지만 외부 신뢰는 IdM에서 포리스트 내 도메인으로 외부 트러스트를 설정할 수 있습니다. 이는 관리 또는 조직의 이유로 인해 포리스트 루트 도메인 간에 포리스트의 신뢰를 설정할 수 없는 경우에만 권장됩니다.

  • 외부 신뢰를 생성하려면 명령에 다음 옵션을 추가합니다. --external=true

사전 요구 사항

• Windows 관리자의 사용자 이름 및 암호입니다.
• 신뢰를 위해 IdM 서버를 준비했습니다.

절차

• ipa trust-add 명령을 사용하여 AD 도메인 및 IdM 도메인에 대한 신뢰 계약을 생성합니다.

  • SSSD를 사용하여 STS를 기반으로 AD 사용자의 UID 및 GID를 자동으로 생성할 수 있도록 하려면 Active Directory 도메인 ID 범위 유형과의 신뢰 계약을 생성합니다. 가장 일반적인 구성입니다.

    [root@server ~]# ipa trust-add --type=ad ad.example.com --admin <ad_admin_username> --password --range-type=ipa-ad-trust

  • Active Directory에서 사용자에 대한 POSIX 속성을 구성하고(예: uidNumber 및 gidNumber) SSSD에서 이 정보를 처리하려면 POSIX 특성 ID 범위 유형을 사용하여 Active Directory 도메인과 의 신뢰 계약을 생성하십시오.

    [root@server ~]# ipa trust-add --type=ad ad.example.com --admin <ad_admin_username> --password --range-type=ipa-ad-trust-posix