9.3. IdM 웹 UI에서 신뢰 계약 설정

IdM 웹 UI를 사용하여 IdM 측에서 IdM(Identity Management)/Active Directory(AD) 신뢰 계약을 구성하려면 다음 절차를 따르십시오.

사전 요구 사항

  • DNS가 올바르게 구성되어 있습니다. IdM 및 AD 서버 모두 서로 이름을 확인할 수 있어야 합니다.
  • 지원되는 AD 및 IdM 버전이 배포됩니다.
  • Kerberos 티켓을 받았습니다.
  • 웹 UI에 대한 신뢰를 생성하기 전에 다음에 설명된 대로 신뢰에 대해 IdM 서버를 준비합니다. 신뢰를 위한 IdM 서버 준비.
  • IdM 관리자로 로그인해야 합니다.

절차

  1. 관리자 권한으로 IdM 웹 UI에 로그인합니다. 자세한 내용은 웹 브라우저에서 IdM 웹 UI 액세스를 참조하십시오.
  2. IdM 웹 UI에서 IPA 서버 탭을 클릭합니다.
  3. IPA 서버 탭에서 신뢰 탭을 클릭합니다.
  4. 드롭다운 메뉴에서 신뢰 옵션을 선택합니다.

    The Trusts section of the IdM WebUI displays a drop-down menu with two options

  5. Add(추가 ) 단추를 클릭합니다.
  6. 신뢰 추가 대화 상자에서 Active Directory 도메인 이름을 입력합니다.
  7. 계정암호 필드에 Active Directory 관리자의 관리자 자격 증명을 추가합니다.

    ipa trust add

  8. (선택 사항) AD 사용자 및 그룹이 IdM의 리소스에 액세스할 수 있도록 하려면 양방향 트러스트 를 선택합니다. 그러나 IdM의 양방향 신뢰는 사용자에게 AD의 단방향 신뢰 솔루션에 비해 추가 권한을 부여하지 않습니다. 두 솔루션 모두 기본 크로스 포리스트 트러스트 필터링 설정으로 인해 동일하게 간주됩니다.
  9. (선택 사항) AD 도메인의 루트 도메인이 아닌 트러스트를 구성하는 경우 외부 신뢰를 선택합니다. 포리스트 신뢰는 항상 IdM과 Active Directory 포리스트의 루트 도메인 간의 신뢰를 구축해야 하지만, AD 포리스트에 있는 모든 도메인에 대한 외부 트러스트를 IdM에서 모든 도메인으로 설정할 수 있습니다.
  10. (선택 사항) 기본적으로 신뢰 설치 스크립트는 적절한 ID 범위 유형을 감지하려고 합니다. 다음 옵션 중 하나를 선택하여 ID 범위 유형을 명시적으로 설정할 수도 있습니다.

    1. SSSD가 해당ECDHE를 기반으로 AD 사용자에 대한 UID 및 GID를 자동으로 생성하려면 Active Directory 도메인 ID 범위 유형을 선택합니다. 가장 일반적인 구성입니다.
    2. Active Directory에서 사용자의 POSIX 속성을 구성하고(예: uidNumbergidNumber) SSSD에서 이 정보를 처리하려면 POSIX 속성 ID 범위 유형이 있는 Active Directory 도메인 을 선택합니다.

      The Range Type section of the IdM WebUI displays 3 radio buttons to choose the appropriate range type - Detect

      주의

      기본 Detect 옵션에 Range 유형 설정을 남겨 두면 IdM에서 포리스트 루트 도메인의 AD 도메인 컨트롤러에서 세부 정보를 요청하여 적절한 범위 유형을 자동으로 선택합니다. IdM에서 POSIX 속성을 감지하지 않으면 신뢰 설치 스크립트에서 Active Directory 도메인 ID 범위를 선택합니다.

      IdM이 포리스트 루트 도메인에서 POSIX 속성을 감지하면 신뢰 설치 스크립트에서 POSIX 속성 ID 범위가 있는 Active Directory 도메인 을 선택하고 UID 및 GID가 AD에 올바르게 정의되어 있다고 가정합니다. AD에서 POSIX 속성이 올바르게 설정되지 않은 경우 AD 사용자를 확인할 수 없습니다.

      예를 들어, IdM 시스템에 대한 액세스가 필요한 사용자 및 그룹이프리브릭 루트 도메인의 일부가 아닌 포리스트 도메인의 하위 도메인에 있는 경우 설치 스크립트에서 하위 AD 도메인에 정의된 POSIX 속성을 감지하지 못할 수 있습니다. 이 경우 신뢰를 설정할 때 POSIX ID 범위 유형을 명시적으로 선택하는 것이 좋습니다.

  11. 추가를 클릭합니다.

검증 단계

  • IdM 서버에 신뢰가 성공적으로 추가되면 IdM 웹 UI에 녹색 팝업 창이 표시됩니다. 이는 다음을 의미합니다.

    • 도메인 이름 있음
    • Windows Server의 사용자 이름 및 암호가 올바르게 추가되었습니다.

      The Trusts section of the IdM WebUI displays a list of the trusts added and 2 buttons

이제 신뢰 연결 및 Kerberos 인증을 계속 테스트할 수 있습니다.