12장. 사용자, 호스트 및 서비스에 대한 Kerberos 주체 별칭 관리

새 사용자, 호스트 또는 서비스를 생성하면 다음 형식의 Kerberos 주체가 자동으로 추가됩니다.

  • user_name@REALM
  • host/host_name@REALM
  • service_name/host_name@REALM

관리자는 별칭을 사용하여 Kerberos 애플리케이션에 대해 인증할 수 있는 사용자, 호스트 또는 서비스를 활성화할 수 있습니다. 이는 다음 시나리오에서 유용합니다.

  • 사용자 이름이 변경되었으며 사용자는 이전 사용자 이름과 새 사용자 이름을 사용하여 로그인하려고 합니다.
  • IdM Kerberos 영역이 이메일 도메인과 다른 경우에도 사용자가 이메일 주소를 사용하여 로그인해야 합니다.

사용자 이름을 바꾸면 오브젝트는 별칭과 이전 표준 주체 이름을 유지합니다.

12.1. Kerberos 주체 별칭 추가

IdM(Identity Management) 환경의 기존 Kerberos 주체와 별칭 이름을 연결할 수 있습니다. 이렇게 하면 보안이 강화되고 IdM 도메인 내의 인증 프로세스가 간소화됩니다.

절차

  • 별칭 이름 useralias 를 계정 사용자에 추가하려면 다음을 입력합니다.

    # ipa user-add-principal <user> <useralias>
    --------------------------------
    Added new aliases to user "user"
    --------------------------------
             User login: user
        Principal alias: user@IDM.EXAMPLE.COM, useralias@IDM.EXAMPLE.COM

    호스트 또는 서비스에 별칭을 추가하려면 ipa host-add-principal 또는 ipa service-add-principal 명령을 대신 사용합니다.

    별칭 이름을 사용하여 인증하는 경우 kinit 명령과 함께 -C 옵션을 사용합니다.

    # kinit -C <useralias>
    Password for <user>@IDM.EXAMPLE.COM: