AD 사용자를 위한 FreeIpa MFA

저는 FreeIpa POC(centos7, freeipa 4.7, 일부 클라이언트를 다중 호스트로 사용하는 두 개의 freeipa 서버)를 설정했습니다. 여러 사용자를 위한 OTP를 추가하고 VPN 액세스 인증을 위해 RADIUS와 함께 작동하도록 했습니다. 다음으로 AD Trust를 추가하고 AD 사용자로 로그인할 수 있었습니다. 모두 매우 유행합니다. 이제 AD 사용자를 위한 OTP 토큰을 추가하여 MFA를 시행하고 싶습니다. 가능합니까? AD 사용자는 AD에 대해 인증을 하므로 MFA를 제공하는 것은 AD가 되어야 하지 않을까?

FreeIPA는 AD 사용자의 경우(외부 그룹 및 POSIX 그룹 매핑을 통해) 이상하게 동작합니다. AD 사용자 "ipatest"는 "id" 명령을 통해 표시되지만(자체 UID GID 등을 가짐) "ipa-user"를 통해서는 표시되지 않습니다. 특정 UID가 제공된 경우에도 -find' 명령 찾기:

admin@ipa-poc-1 ~ $id[이메일 보호됨] UID=748801177([이메일 보호됨]) GID=748801177([이메일 보호됨]) 그룹=748801177([이메일 보호됨]),748800513(도메인 이름[이메일 보호됨]),748801180([이메일 보호됨]),793600008(ad_users)

admin@ipa-poc-1 ~ $ ipa user-find ipatest
---------------
0 users matched
---------------
----------------------------
Number of entries returned 0
----------------------------
admin@ipa-poc-1 ~ $ ipa user-find [email protected]
---------------
0 users matched
---------------
----------------------------
Number of entries returned 0
----------------------------
admin@ipa-poc-1 ~ $ ipa user-find ipatest@TRUSTEDOMAIN-LAB
---------------
0 users matched
---------------
----------------------------
Number of entries returned 0


admin@ipa-poc-1 ~ $ ipa user-find uid=748801177
---------------
0 users matched
---------------
----------------------------
Number of entries returned 0
----------------------------

나는 이것이 AD 도메인에 대한 단방향 신뢰 때문이라고 생각하지만 여기서는 확실하지 않습니다. "ipa otptoken-add" 명령에는 "owner" 매개변수(문자열을 입력하고 UID에 적용되지 않음)가 필요하므로 이 사용자에 대한 OTP 토큰을 추가할 수 없습니다.

내가 시도한 또 다른 방법(ipa otptoken-add 명령은 기본적으로 현재 사용자를 소유자로 사용하기 때문에)은 AD 사용자로 로그인하고 "나 자신을 위해" OTP 토큰을 생성하는 것이었지만 그 중 하나도 작동하지 않았습니다.

 [email protected]@ipa-poc-1 ~ $ kinit [email protected]
    Password for [email protected]: 
    [email protected]@ipa-poc-1 ~ $ ipa otptoken-add --type='TOTP'
    ipa: ERROR: cannot connect to 'any of the configured servers': https://ipa-poc-1.lab/ipa/json, https://ipa-poc-2.lab/ipa/json

간단히 말해서:

1. 외부 AD 사용자에게 OTP 토큰을 추가할 수 있나요?
2. 어떻게 하나요?

rgds

멍청한 놈