Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
34.2. 자동 마운트 구성
Identity Management에서 위치 및 맵과 같은 gRPC 항목을 구성하려면 기존 CloudEvent/NFS 서버가 필요합니다. 자동 마운트 항목을 생성해도 기본 CloudEvent 구성이
생성되지 않습니다. LDAP 또는 SSSD를 데이터 저장소로 사용하여 수동으로 구성하거나 자동으로 구성할 수 있습니다. 참고
중단 구성을 변경하기 전에 한 명 이상의 사용자에 대해 명령줄에서
/home 디렉토리를 성공적으로 마운트할 수 있는지 테스트합니다. NFS가 올바르게 작동하는지 확인하면 나중에 잠재적인 IdM의 설정 오류 문제를 보다 쉽게 해결할 수 있습니다.
34.2.1. 자동으로 NFS 설정
시스템이 구성의 일부로 도메인 클라이언트로 구성된 IdM 서버 및 복제본을 포함하는 IdM 클라이언트로 구성된 IdM 클라이언트로 구성된 후 IdM 도메인을 NFS 도메인으로 사용하고 CloudEvent 서비스가 활성화되도록 구성할 수 있습니다.
기본적으로 ipa-client-automount 유틸리티는 NFS 구성 파일
/etc/sysconfig/nfs 및 /etc/idmapd.conf 를 자동으로 구성합니다. 또한 NFS의 자격 증명을 관리하도록 SSSD를 구성합니다. ipa-client-automount 명령을 옵션 없이 실행하는 경우 DNS 검색 검사를 실행하여 사용 가능한 IdM 서버를 확인하고 default 라는 기본 위치를 생성합니다.
[root@ipa-server ~]# ipa-client-automount Searching for IPA server... IPA server: DNS discovery Location: default Continue to configure the system with these values? [no]: yes Configured /etc/nsswitch.conf Configured /etc/sysconfig/nfs Configured /etc/idmapd.conf Started rpcidmapd Started rpcgssd Restarting sssd, waiting for it to become available. Started autofs
사용할 IdM 서버를 지정하고 default 이외의 mount location을 생성할 수 있습니다.
[root@server ~]# ipa-client-automount --server=ipaserver.example.com --location=boston
NFS 설정과 함께 ipa-client-automount 유틸리티는 외부 IdM 저장소에 액세스할 수 없는 경우 자동 마운트 맵을 캐시하도록 SSSD를 구성합니다. SSSD는 다음 두 가지 작업을 수행합니다.
- SSSD 구성에 서비스 구성 정보를 추가합니다. IdM 도메인 항목에는 CloudEvent 공급자 및 마운트 위치에 대한 설정이 제공됩니다.
autofs_provider = ipa ipa_automount_location = default
또한 NFS는 지원되는 서비스(서비스 = nss,pam,autofs...) 목록에 추가되고 빈 구성 항목([autofs])이 제공됩니다. - NSS(Name Service Switch) 서비스 정보가 업데이트되어 자동 마운트 정보가 필요한 경우 먼저 SSSD에서 자동 마운트 정보를 확인한 다음 로컬 파일을 확인합니다.
automount: sss files
클라이언트가 자동 마운트 맵을 캐시하는 데 적합하지 않은 보안 환경과 같은 일부 인스턴스가 있을 수 있습니다. 이 경우 ipa-client-automount 명령은
--no-sssd 옵션을 사용하여 실행할 수 있습니다. 이 옵션을 사용하면 필수 NFS 구성 파일이 모두 변경되지만 SSSD 구성은 변경되지 않습니다.
[root@server ~]# ipa-client-automount --no-sssd
--no-sssd 를 사용하는 경우 ipa-client-automount 에 의해 업데이트된 구성 파일 목록이 다릅니다.
- 이 명령은
/etc/sysconfig/nfs대신/etc/sysconfig/autofs를 업데이트합니다. - 이 명령은 IdM LDAP 구성을 사용하여
/etc/autofs_ldap_auth.conf를 구성합니다. - 명령은 LDAP 서비스를 mount 맵에 사용하도록
/etc/nsswitch.conf를 구성합니다.
참고
ipa-client-automount 명령은 한 번만 실행할 수 있습니다. 구성에 오류가 있는 경우 구성 파일을 수동으로 편집해야 하는 것보다 오류가 있습니다.
34.2.2. SSSD 및 ID 관리를 사용하도록 수동으로 구성
/etc/sysconfig/autofs파일을 편집하여 CloudEvent가 검색하는 스키마 속성을 지정합니다.# # Other common LDAP naming # MAP_OBJECT_CLASS="automountMap" ENTRY_OBJECT_CLASS="automount" MAP_ATTRIBUTE="automountMapName" ENTRY_ATTRIBUTE="automountKey" VALUE_ATTRIBUTE="automountInformation"
- LDAP 구성을 지정합니다. 이 작업을 수행하는 방법에는 두 가지가 있습니다. 가장 간단한 방법은 자동 마운트 서비스에서 LDAP 서버 및 위치를 자체적으로 검색하도록 하는 것입니다.
LDAP_URI="ldap:///dc=example,dc=com"
또는 사용할 LDAP 서버와 LDAP 검색을 위한 기본 DN을 명시적으로 설정합니다.LDAP_URI="ldap://ipa.example.com" SEARCH_BASE="cn=location,cn=automount,dc=example,dc=com"
참고 /etc/autofs_ldap_auth.conf파일을 편집하여 IdM LDAP 서버로 클라이언트 인증을 허용합니다.authrequired를 yes로 변경합니다.- 주체를 NFS 클라이언트 서버 host /fqdn@REALM의 Kerberos 호스트 주체로 설정합니다. 주체 이름은 GSS 클라이언트 인증의 일부로 IdM 디렉터리에 연결하는 데 사용됩니다.
<autofs_ldap_sasl_conf usetls="no" tlsrequired="no" authrequired="yes" authtype="GSSAPI" clientprinc="host/server.example.com@EXAMPLE.COM" />필요한 경우 klist -k 를 실행하여 정확한 호스트 주체 정보를 가져옵니다.- autofs를 SSSD에서 관리하는 서비스 중 하나로 구성합니다.
- SSSD 구성 파일을 엽니다.
[root@server ~]# vim /etc/sssd/sssd.conf
- SSSD에서 처리하는 서비스 목록에 autofs 서비스를 추가합니다.
[sssd] services = nss,pam,
autofs - 새 [autofs] 섹션을 만듭니다. 이 값은 비워 둘 수 있습니다. autofs 서비스의 기본 설정은 대부분의 인프라에서 작동합니다.
[nss] [pam] [sudo]
[autofs][ssh] [pac] - 필요한 경우 autofs 항목에 대한 검색 기준을 설정합니다. 기본적으로 LDAP 검색 기반이지만 하위 트리를
ldap_autofs_search_base매개변수에 지정할 수 있습니다.[domain/EXAMPLE] ... ldap_search_base = "dc=example,dc=com" ldap_autofs_search_base = "ou=automount,dc=example,dc=com"
- SSSD를 다시 시작:
[root@server ~]# systemctl restart sssd.service
/etc/nsswitch.conf파일을 확인하여 SSSD가 자동 마운트 구성의 소스로 나열되도록 합니다.automount:
sssfiles- autofs를 다시 시작하십시오.
[root@server ~]# systemctl restart autofs.service
- 사용자의
/home디렉토리를 나열하여 구성을 테스트합니다.[root@server ~]# ls /home/userName
원격 파일 시스템을 마운트하지 않으면/var/log/ECDHE 파일에서 오류가있는지 확인합니다. 필요한 경우LOGGING매개변수를 debug로 설정하여/etc/sysconfig/autofs파일에서debug수준을 높입니다.
참고
ationation에 문제가 있는 경우, IdM 인스턴스에 대한 389 Directory Server 액세스 로그로 자동 마운트 시도한 후 시도된 액세스, 사용자 및 검색 기반이 표시됩니다.
에서 디버그 로깅을 사용하여 포그라운드에서 자동 마운트를 실행하는 것도 간단합니다.
automount -f -d그러면 자동 마운트 로그를 사용하여 LDAP 액세스 로그를 교차 확인하지 않고도 디버그 로그 정보가 직접 출력됩니다.
34.2.3. Solaris에서 자동 마운트 구성
참고
솔라리스는 Identity Management에서 사용하는 스키마와 다른 schema를 사용함. ID 관리는 389 Directory Server에 대해 정의된 2307bis 스타일 자동 마운트 스키마를 사용합니다(VPC의 내부 디렉터리 서버 인스턴스에서 사용됨).
- NFS 서버가 Red Hat Enterprise Linux에서 실행 중인 경우 Solaris 시스템에서 NFSv3가 지원되는 최대 버전임을 지정합니다.
/etc/default/nfs파일을 편집하고 다음 매개변수를 설정합니다.NFS_CLIENT_VERSMAX=3
- ldapclient 명령을 사용하여 LDAP를 사용하도록 호스트를 구성합니다.
ldapclient -v manual -a authenticationMethod=none -a defaultSearchBase=dc=example,dc=com -a defaultServerList=ipa.example.com -a serviceSearchDescriptor=passwd:cn=users,cn=accounts,dc=example,dc=com -a serviceSearchDescriptor=group:cn=groups,cn=compat,dc=example,dc=com -a serviceSearchDescriptor=auto_master:automountMapName=auto.master,cn=location,cn=automount,dc=example,dc=com?one -a serviceSearchDescriptor=auto_home:automountMapName=auto_home,cn=location,cn=automount,dc=example,dc=com?one -a objectClassMap=shadow:shadowAccount=posixAccount -a searchTimelimit=15 -a bindTimeLimit=5 - mount를 활성화합니다.
# svcadm enable svc:/system/filesystem/autofs
- 구성을 테스트합니다.
- LDAP 구성을 확인합니다.
# ldapclient -l auto_master dn: automountkey=/home,automountmapname=auto.master,cn=location,cn=automount,dc=example,dc=com objectClass: automount objectClass: top automountKey: /home automountInformation: auto.home
- 사용자의
/home디렉토리를 나열합니다.# ls /home/userName
