7.4. 신뢰할 수 있는 도메인의 Kerberos FAST

KerberosFlexible Authentication SecureECDHEing(FAST)은 AD(Active Directory) 환경에서 Kerberos 무장이라고 합니다. Kerberos FAST는 클라이언트와 KDC(Key Distribution Center) 간의 Kerberos 통신을 위한 추가 보안 계층을 제공합니다. IdM에서 requirements는 IdM 서버에서 실행되고 FAST는 기본적으로 활성화되어 있습니다. IdM의 이중 인증 (2FA)도 FAST를 활성화해야 합니다.

AD AD에서 Kerberos 무장 기능은 기본적으로 AD Domain Controller(DC)에서 비활성화되어 있습니다. 도구>그룹 정책 관리> 기본 도메인 컨트롤러 정책의 도메인 컨트롤러에서 이를 활성화할 수 있습니다.

  • 기본 도메인 컨트롤러 정책을 마우스 오른쪽 버튼으로 클릭하고 편집 을 선택합니다. 컴퓨터 설정>Policies>시스템>시스템>KDC 로 이동하여 클레임, 복합 인증 및 Kerberos 무장에 대한 KDC 지원을 두 번 클릭합니다.

클레임에 대해 KDC 지원을 활성화하면 정책 설정에서 다음 옵션을 허용합니다.

  • "지원되지 않음"
  • "지원"
  • "알웨이는 클레임을 제공합니다.
  • "더 이상 사용되지 않는 인증 요청 실패"

Kerberos DestinationRule은 IdM 클라이언트의 Kerberos 클라이언트 라이브러리에서 구현됩니다. IdM 클라이언트는 FAST를 광고하는 신뢰할 수 있는 모든 도메인에 대해 FAST를 사용하도록 또는 Kerberos FAST를 전혀 사용하지 않도록 IdM 클라이언트를 구성할 수 있습니다. 신뢰할 수 있는 AD forest에서 Kerberos 무장 기능을 활성화하면 IdM 클라이언트는 기본적으로 Kerberos FAST를 사용합니다. FAST는 암호화 키의 도움으로 보안 터널링을 설정합니다. 신뢰할 수 있는 도메인의 도메인 컨트롤러에 대한 연결을 보호하려면 Kerberos 영역 내에서만 해당 키가 유효하기 때문에 신뢰할 수 있는 도메인에서 TGT(Cross-realm ticket)를 가져와야 합니다. Kerberos FAST는 IdM 클라이언트의 Kerberos 호스트 키를 사용하여 IdM 서버의 도움으로 교차 실제 TGT를 요청합니다. 이는 AD forest에서 양방향 신뢰가 필요한 IdM 도메인을 신뢰할 때만 작동합니다.

AD 정책에서 Kerberos를 사용해야 하는 경우 IdM 도메인과 ADCAM 간의 양방향 신뢰를 설정해야 합니다. IdM 및 AD 둘 다 방향과 신뢰 유형에 대한 레코드가 있어야 하므로 연결이 설정되기 전에 이를 계획해야 합니다.

이미 단방향 트러스트를 설정한 경우 ipa trust-add …​ --two-way=true 명령을 실행하여 기존 신뢰 계약을 제거하고 양방향 신뢰를 생성합니다. 이를 위해서는 관리자 자격 증명을 사용해야 합니다. IdM이 AD 측에서 기존 신뢰 계약을 제거하려고 하면 AD 액세스에 대한 관리자 권한이 필요합니다. AD 관리 계정이 아닌 공유 보안을 사용하여 원래의 신뢰를 설정하는 경우 신뢰를 양방향으로 다시 만들고 IdM 측에서 신뢰할 수 있는 도메인 오브젝트만 변경합니다. Windows 관리자는 Windows UI를 사용하여 양방향 신뢰를 선택하고 동일한 공유 시크릿을 사용하여 신뢰를 다시 생성할 수 있도록 Windows UI를 사용하여 동일한 절차를 반복해야 합니다.

양방향 트러스트를 사용할 수 없는 경우 모든 IdM 클라이언트에서 Kerberos FAST를 비활성화해야 합니다. 신뢰할 수 있는 ADGbE의 사용자는 암호 또는 직접 스마트 카드로 인증할 수 있습니다. KerberosECDHEST를 비활성화하려면 [domain] 섹션의 sssd.conf 파일에 다음 설정을 추가합니다.

krb5_use_fast = never

인증이 ssh-keys, GSSAPI 인증 또는 SSH를 원격 Windows 클라이언트의 스마트 카드를 사용하는 경우 이 옵션을 사용할 필요가 없습니다. IdM 클라이언트는 DC와 통신할 필요가 없기 때문에 이러한 방법은 KerberosECDHEST를 사용하지 않습니다. 또한 IdM 클라이언트에서 FAST를 비활성화한 후 이중 인증 IdM 기능도 사용할 수 없습니다.