40.4. IdM 호스트 및 사용자의 등록 및 인증: 비교

IdM의 사용자와 호스트 간에는 여러 가지가 있으며, 이 중 일부는 등록 단계에서와 배포 단계 중 인증과 관련된 일부 항목을 확인할 수 있습니다.

  • 등록 단계(사용자 및 호스트 등록):

    • 관리자는 사용자 또는 호스트가 실제로 IdM에 참여하기 전에 사용자와 호스트에 대한 LDAP 항목을 생성할 수 있습니다. stage 사용자의 경우 명령은 ipa stageuser-add 입니다. host는 ipa host-add 입니다.
    • 사용자 암호를 어느 정도까지 줄일 수 있는 키 테이블 또는 축약, 키탭, 대칭 키가 포함된 파일은 호스트에서 ipa-client-install 명령을 실행하는 동안 생성됩니다. 이로 인해 호스트가 IdM 영역에 결합됩니다. 논리적으로는 계정을 활성화할 때 암호를 생성해야 하므로 IdM 영역에 가입해야 합니다.
    • 사용자 암호는 사용자의 기본 인증 방법이지만 keytab은 호스트의 기본 인증 방법입니다. keytab은 호스트의 파일에 저장됩니다.

    표 40.1. 사용자 및 호스트 등록

    동작사용자호스트

    사전 등록

    $ ipa stageuser-add user_name [--password]

    $ ipa host-add host_name [--random]

    계정 활성화

    $ ipa stageuser-activate user_name

    $ IPA-client install [--password] (호스트 자체에서 실행해야 함)

  • 배포 단계(사용자 및 호스트 세션 인증)

    • 사용자가 새 세션을 시작하면 사용자는 암호를 사용하여 인증합니다. 마찬가지로, 호스트가 키탭 파일을 표시하여 인증합니다. SSSD(System Security Services Daemon)는 백그라운드에서 이 프로세스를 관리합니다.
    • 인증에 성공하면 사용자 또는 호스트는 TGT(Kerberos 티켓 부여 티켓)를 가져옵니다.
    • TGT는 특정 서비스에 대한 특정 티켓을 얻는 데 사용됩니다.

    표 40.2. 사용자 및 호스트 세션 인증

     사용자호스트

    기본 인증 수단

    암호

    keytabs

    세션 시작(최신 사용자)

    $ kinit user_name

    [Winding on the host]

    성공적인 인증의 결과

    TGT 는 특정 서비스에 대한 액세스 권한을 얻는 데 사용됩니다.

    TGT 는 특정 서비스에 대한 액세스 권한을 얻는 데 사용됩니다.

TGT 및 기타 Kerberos 티켓은 서버에서 정의한 Kerberos 서비스 및 정책의 일부로 생성됩니다. Kerberos 티켓의 초기 부여, Kerberos 자격 증명 갱신, Kerberos 세션 삭제도 IdM 서비스에서 자동으로 처리됩니다.

IdM 호스트에 대한 대체 인증 옵션

IdM은 키탭 외에도 두 가지 유형의 시스템 인증을 지원합니다.

  • SSH 키. 호스트의 SSH 공개 키가 생성되어 호스트 항목에 업로드됩니다. 여기에서 SSSD(System Security Services Daemon)는 IdM을 ID 공급자로 사용하며 OpenSSH 및 기타 서비스와 협력하여 IdM에 있는 공개 키를 참조할 수 있습니다.
  • 시스템 인증서. 이 경우 시스템은 IdM 서버의 인증 기관에서 발행한 SSL 인증서를 사용한 다음 IdM 디렉터리 서버에 저장됩니다. 그런 다음 인증서를 서버에 인증할 때 존재하는 시스템으로 전송됩니다. 클라이언트에서 인증서는 certmonger 라는 서비스에서 관리합니다.