7.2. 신뢰 컨트롤러 및 신뢰 에이전트
IdM(Identity Management)은 AD(Active Directory)에 대한 신뢰를 지원하는 다음 유형의 IdM 서버를 제공합니다.
- 신뢰 컨트롤러
AD 도메인 컨트롤러에 대해 ID 조회를 수행할 수 있는 IdM 서버입니다. 또한 AD와의 신뢰를 구축할 수 있도록 Samba 제품군을 실행합니다. AD 도메인 컨트롤러는 AD에 대한 신뢰를 설정하고 검증할 때 신뢰 컨트롤러에 문의합니다. AD-enrolled 시스템은 Kerberos 인증 요청을 위한 IdM 신뢰 컨트롤러와 통신합니다.
첫 번째 신뢰 컨트롤러는 신뢰를 구성할 때 생성됩니다. 서로 다른 지리적 위치에 여러 도메인 컨트롤러가 있는 경우
ipa-adtrust-install명령을 사용하여 RHEL IdM 서버를 이러한 위치에서 신뢰 컨트롤러로 지정합니다.신뢰 컨트롤러는 신뢰 에이전트보다 더 많은 네트워크 기반 서비스를 실행하므로 잠재적인 침입자를 위해 더 큰 공격 면적을 제공합니다.
- 신뢰 에이전트
- AD 도메인 컨트롤러에 대해 RHEL IdM 클라이언트의 ID 조회를 확인할 수 있는 IdM 서버입니다. 신뢰 컨트롤러와 달리 신뢰 에이전트는 Kerberos 인증 요청을 처리할 수 없습니다.
IdM 도메인에는 신뢰 에이전트와 컨트롤러 외에도 표준 IdM 서버가 포함될 수 있습니다. 그러나 이러한 서버는 AD와 통신하지 않습니다. 따라서 이러한 표준 서버와 통신하는 클라이언트는 AD 사용자 및 그룹을 확인하거나 AD 사용자를 인증하고 권한을 부여할 수 없습니다.
다음 작업 중 하나를 수행하지 않은 경우 IdM 서버는 신뢰 컨트롤러 또는 트러스트 에이전트 역할을 작동하도록 구성되지 않았습니다.
-
ipa-server-install또는ipa-replica-install명령을--setup-ad옵션으로 사용하여 서버 또는 복제본을 설치했습니다. -
IdM 서버에서
ipa-adtrust-install명령을 실행하여 신뢰 컨트롤러 역할을 구성했습니다. -
신뢰 컨트롤러에서
ipa-adtrust-install --add-agents명령을 실행하여 다른 IdM 복제본을 신뢰 에이전트로 지정했습니다.
기본적으로 IdM 서버는 이러한 작업 없이 신뢰할 수 있는 도메인의 사용자 및 그룹을 확인할 수 없습니다.
표 7.1. 신뢰 컨트롤러 및 신뢰 에이전트에서 지원하는 기능 비교
| 기능 | 신뢰 에이전트 | 신뢰 컨트롤러 |
|---|---|---|
| AD 사용자 및 그룹 해결 | 있음 | 있음 |
| 신뢰할 수 있는 AD forests에서 사용자가 액세스할 수 있는 서비스를 실행하는 IdM 클라이언트 등록 | 있음 | 있음 |
| 신뢰 계약 추가, 수정 또는 제거 | 없음 | 있음 |
| IdM 서버에 신뢰 에이전트 역할 할당 | 없음 | 있음 |
신뢰 컨트롤러 및 신뢰 에이전트 배포를 계획할 때 다음 지침을 고려하십시오.
- IdM 배포당 두 개 이상의 신뢰 컨트롤러를 구성합니다.
- 각 데이터 센터에 두 개 이상의 신뢰 컨트롤러를 구성합니다.
추가 신뢰 컨트롤러를 생성하거나 기존 신뢰 컨트롤러가 실패하는 경우 신뢰 에이전트 또는 표준 서버를 승격하여 새 신뢰 컨트롤러를 생성합니다. 이 작업을 수행하려면 IdM 서버에 ipa-adtrust-install 유틸리티를 사용하십시오.
기존 신뢰 컨트롤러를 신뢰 에이전트로 다운그레이드할 수 없습니다.
