Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
21장. NIS 도메인 및 Netgroups와 통합
21.1. NIS 및 ID 관리 정보
UNIX 환경에서 NIS(네트워크 정보 서비스)는 ID와 인증을 중앙에서 관리하는 일반적인 방법입니다. 원래 Yellow Pages (YP)라는 이름의 NIS는 다음과 같은 인증 및 ID 정보를 중앙에서 관리합니다.
- 사용자 및 암호
- 호스트 이름 및 IP 주소
- POSIX 그룹.
최신 네트워크 인프라의 경우 예를 들어 호스트 인증을 제공하지 않으며 네트워크를 통해 암호화된 데이터를 제공하지 않기 때문에 NIS는 너무 안전하지 않은 것으로 간주됩니다. 이 문제를 해결하기 위해 NIS는 보안을 강화하기 위해 종종 다른 프로토콜과 통합됩니다.
IdM(Identity Management)을 사용하는 경우 NIS 서버 플러그인을 사용하여 IdM으로 완전히 마이그레이션할 수 없는 클라이언트를 연결할 수 있습니다. IdM은 넷 그룹 및 기타 NIS 데이터를 IdM 도메인에 통합합니다. 또한 사용자 및 호스트 ID를 NIS 도메인에서 IdM으로 쉽게 마이그레이션할 수 있습니다.
Identity Management의 NIS
NIS 객체는 RFC 2307 을 준수하여 Directory Server 백엔드에 통합 및 저장됩니다. IdM은 LDAP 디렉터리에 NIS 오브젝트를 생성하고 클라이언트는 암호화된 LDAP 연결을 사용하여 SSSD(System Security Services Daemon) 또는
nss_ldap
와 같이 이를 검색합니다.
IdM은 네트워크 그룹, 계정, 그룹, 호스트 및 기타 데이터를 관리합니다. IdM은 NIS 리스너를 사용하여 암호, 그룹 및 넷그룹을 IdM 항목에 매핑합니다.
Identity Management의 NIS 플러그인
NIS 지원의 경우 IdM은 slapi-nis 패키지에 제공된 다음 플러그인을 사용합니다.
- NIS 서버 플러그인
- NIS 서버 플러그인을 사용하면 IdM 통합 LDAP 서버가 클라이언트의 NIS 서버로 작동할 수 있습니다. 이 역할에서 Directory Server는 구성에 따라 NIS 맵을 동적으로 생성하고 업데이트합니다. IdM은 플러그인을 사용하여 NIS 프로토콜을 NIS 서버로 사용하는 클라이언트에 서비스를 제공합니다.자세한 내용은 21.2절. “ID 관리에서 NIS 활성화” 의 내용을 참조하십시오.
- 스키마 호환성 플러그인
- 스키마 호환성 플러그인을 사용하면 Directory Server 백엔드에서 DIT(디렉터리 정보 트리)의 부분에 저장된 항목의 대체 보기를 제공할 수 있습니다. 여기에는 특성 값 추가, 삭제 또는 이름 변경 및 선택적으로 트리의 여러 항목에서 속성에 대한 값을 검색하는 작업이 포함됩니다.자세한 내용은
/usr/share/doc/slapi-nis-version/sch-getting-started.txt
파일을 참조하십시오.
21.1.1. Identity Management의 NIS Netgroups
NIS 엔터티는 네트그룹에 저장할 수 있습니다. 넷그룹은 UNIX 그룹과 비교했을 때 다음을 지원합니다.
- 중첩 그룹(다른 그룹의 구성원으로서 그룹).
- 호스트 그룹화.
netgroup은 host, user 및 domain 정보 집합을 정의합니다. 이 세트를 삼중 이라고 합니다. 다음 세 필드에는 다음을 포함할 수 있습니다.
- 값.
- "유효한 값"을 지정하는 대시(-)
- 값이 없습니다. 빈 필드는 와일드카드를 지정합니다.
(host.example.com,,nisdomain.example.com) (-,user,nisdomain.example.com)
클라이언트가 NIS netgroup을 요청하면 IdM이 LDAP 항목을 변환합니다.
- 기존 NIS 맵으로 전송하여 NIS 프로토콜을 통해 클라이언트로 전송합니다. NIS 플러그인을 사용합니다.
- RFC 2307 또는 RFC 2307 bis와 호환되는 LDAP 형식입니다.
21.1.1.1. NIS Netgroup Entries 표시
IdM은 사용자 및 그룹을
memberUser
속성에 저장하고 호스트 및 호스트 그룹을 memberHost
에 저장합니다. 다음 예제는 IdM의 Directory Server 구성 요소에 있는 netgroup 항목을 보여줍니다.
예 21.1. 디렉터리 서버 내 NIS 항목
dn: ipaUniqueID=d4453480-cc53-11dd-ad8b-0800200c9a66,cn=ng,cn=alt,... ... cn: netgroup1 memberHost: fqdn=host1.example.com,cn=computers,cn=accounts,... memberHost: cn=VirtGuests,cn=hostgroups,cn=accounts,... memberUser: cn=demo,cn=users,cn=accounts,... memberUser: cn=Engineering,cn=groups,cn=accounts,... nisDomainName: nisdomain.example.com
IdM에서는 ipa netgroup-* 명령을 사용하여 netgroup 항목을 관리할 수 있습니다. 예를 들어 netgroup 항목을 표시하려면 다음을 수행합니다.
예 21.2. Netgroup Entry 표시
[root@server ~]# ipa netgroup-show netgroup1 Netgroup name: netgroup1 Description: my netgroup NIS domain name: nisdomain.example.com Member Host: VirtGuests Member Host: host1.example.com Member User: demo Member User: Engineering