51장. IdM에서 AD 사용자 계정 이름을 사용하여 인증 활성화

51.1. IdM에서 신뢰할 수 있는 AD forest의 사용자 보안 주체 이름

IdM(Identity Management) 관리자는 AD 사용자가 대체 UPN( User Principal Names )을 사용하여 IdM 도메인의 리소스에 액세스하도록 허용할 수 있습니다. UPN은 AD 사용자가 user_name@KERBEROS-REALM 형식으로 인증하는 대체 사용자 로그인입니다. AD 관리자는 AD forest에서 추가 Kerberos 별칭과 UPN 접미사를 모두 구성할 수 있으므로 user_nameKERBEROS-REALM 둘 다에 대한 대체 값을 설정할 수 있습니다.

예를 들어 회사에서 Kerberos 영역 AD.EXAMPLE.COM 을 사용하는 경우 사용자의 기본 UPN은 user@ad.example.com 입니다. 사용자가 이메일 주소(예: user@example.com)를 사용하여 로그인할 수 있도록 하려면 EXAMPLE. COM 을 AD에서 대체 UPN으로 구성할 수 있습니다. 회사에서 최근 병합을 경험하고 사용자에게 통합 로그온 네임스페이스를 제공하려는 경우 대체 UPN(Enterprise UPNs라고도 함)이 특히 편리합니다.

UPN 접미사는 AD forest root에 정의된 경우에만 IdM에 대해 표시됩니다. AD 관리자는 Active Directory 도메인 및 신뢰 유틸리티 또는 PowerShell 명령줄 도구를 사용하여 UPN을 정의할 수 있습니다.

참고

사용자에 대해 UPN 접미사를 구성하려면 Active Directory 도메인 및 신뢰 유틸리티와 같은 오류 검증을 수행하는 툴을 사용하는 것이 좋습니다.

Active Directory가 해당 작업을 확인하지 않기 때문에 ldapmodify 명령을 사용하여 사용자에 대해 userPrincipalName 특성을 설정하는 등의 낮은 수준의 수정을 통해 UPN을 구성하는 것이 좋습니다.

AD 측에 새 UPN을 정의한 후 IdM 서버에서 ipa trust-fetch-domains 명령을 실행하여 업데이트된 UPN을 검색합니다. IdM에서 AD UPN이 최신 상태임을 확인합니다.

IdM은 도메인에 대한 UPN 접미사를 도메인의 하위 트리 cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com 에 저장합니다.