Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.6. 신뢰할 수 있는 Active Directory 도메인에서 ID 관리 또는 SSSD를 선택한 Active Directory 서버 또는 사이트로 제한

관리자는 SSSD에서 통신하는 Active Directory 서버 목록을 제한할 수 있도록 신뢰할 수 있는 Active Directory 도메인의 자동 검색 및 서버, 사이트 또는 둘 다 수동으로 나열할 수 있습니다. 예를 들어, 이를 통해 액세스할 수 없는 사이트에 접속하지 않도록 할 수 있습니다.

5.6.1. 특정 Active Directory Server에 문의하도록 SSSD 구성

이 절차에서는 /etc/sssd/sssd.conf 파일을 편집하여 SSSD가 연결하는 Active Directory 서버를 수동으로 설정하는 방법을 설명합니다.

고려 사항

  • SSSD 클라이언트가 Active Directory 도메인에 직접 연결된 경우 모든 클라이언트에서 다음 절차를 수행하십시오.
    이 설정에서 Active Directory 도메인 컨트롤러 (DC) 또는 사이트를 제한하면 인증을 위해 특정 서버 또는 사이트에 연결하도록 SSSD 클라이언트도 구성합니다.
  • SSSD 클라이언트가 Active Directory에 대한 신뢰에 있는 ID 관리 도메인에 있는 경우 ID 관리 서버에서만 이 절차를 수행합니다.
    이 설정에서 Active Directory DC 또는 사이트를 제한해도 인증을 위해 특정 서버 또는 사이트에 연결하도록 ID 관리 클라이언트를 구성하지 않습니다. 신뢰할 수 있는 Active Directory 사용자 및 그룹은 Identity Management 서버를 통해 해결되지만 Active Directory DC에 대해 직접 인증이 수행됩니다. Red Hat Enterprise Linux 7.6 및 sssd-1.16.2-5.el7 부터 ad_serverad_site 옵션을 사용하여 특정 AD 서버 또는 사이트를 사용하도록 IdM 클라이언트에서 SSSD를 구성할 수 있습니다. 이전 버전의 Red Hat Enterprise Linux 7에서는 클라이언트의 /etc/krb5.conf 파일에서 필요한 Active Directory DC를 정의하여 인증을 제한합니다.

절차

  1. sssd.conf 에 신뢰할 수 있는 도메인에 별도의 [domain] 섹션이 있는지 확인합니다. 신뢰할 수 있는 도메인 섹션의 제목은 다음 템플릿을 따릅니다. 
    [domain/main_domain/trusted_domain]
    예를 들면 다음과 같습니다. 
    [domain/idm.example.com/ad.example.com]
  2. sssd.conf 파일을 편집하여 SSSD를 연결할 Active Directory 서버 또는 사이트의 호스트 이름을 나열합니다.
    Active Directory 서버에 대해 ad_server 및, 선택적으로 ad_server_backup 옵션을 사용합니다. Active Directory 사이트에 ad_site 옵션을 사용합니다. 이러한 옵션에 대한 자세한 내용은 sssd-ad(5) 도움말 페이지를 참조하십시오.
    예를 들면 다음과 같습니다. 
    [domain/idm.example.com/ad.example.com]
ad_server = dc1.ad.example.com
  3. SSSD를 다시 시작합니다. 
    # systemctl restart sssd.service
  4. 확인하려면 SSSD 클라이언트에서 구성된 서버 또는 사이트의 Active Directory 사용자로 확인 또는 인증합니다. 예를 들면 다음과 같습니다. 
    # id ad_user@ad.example.com
사용자 또는 인증을 해결할 수 없는 경우 다음 단계를 사용하여 문제를 해결합니다.
  1. sssd.conf 의 일반적인 [domain] 섹션에서 debug_level 옵션을 9 로 설정합니다.
  2. /var/log/sssd/ 에서 SSSD 로그를 검사하여 SSSD에 연결된 서버를 확인합니다.

추가 리소스

  • sssd.conf 의 신뢰할 수 있는 도메인 섹션에서 사용할 수 있는 옵션 목록은 sssd.conf(5) 도움말 페이지에서 CONUSTED DOMAIN SECTION을 참조하십시오.