Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

96장. IdM 도메인 멤버에서 Samba 설정

이 섹션에서는 Red Hat IdM(Identity Management) 도메인에 연결된 호스트에서 Samba를 설정하는 방법에 대해 설명합니다. IdM의 사용자는 신뢰할 수 있는 AD(Active Directory) 도메인의 사용자도 Samba에서 제공하는 공유 및 프린터 서비스에 액세스할 수 있습니다.

중요

IdM 도메인 멤버에서 Samba를 사용하는 것은 지원되지 않는 기술 프리뷰 기능이며 특정 제한 사항이 포함됩니다. 예를 들어 IdM 신뢰 컨트롤러가 글로벌 카탈로그 서비스를 지원하지 않기 때문에 AD-Enrolled Windows 호스트는 Windows에서 IdM 사용자 및 그룹을 찾을 수 없습니다. 또한 IdM Trust 컨트롤러는 분산 컴퓨팅 환경 / DCE/RPC(원격 프로시저 호출) 프로토콜을 사용하여 IdM 그룹 확인을 지원하지 않습니다. 결과적으로 AD 사용자는 IdM 클라이언트의 Samba 공유 및 프린터에만 액세스할 수 있습니다.

IdM 도메인 구성원에 Samba를 배포하는 고객은 Red Hat에 피드백을 제공하는 것이 좋습니다.

사전 요구 사항

  • 호스트가 IdM 도메인에 클라이언트로 연결됩니다.
  • IdM 서버와 클라이언트는 모두 RHEL 8.1 이상에서 실행해야 합니다.

96.1. 도메인 구성원에 Samba 설치를 위한 IdM 도메인 준비

IdM 클라이언트에 Samba를 설정하려면 IdM 서버에서 ipa-adtrust-install 유틸리티를 사용하여 IdM 도메인을 준비해야 합니다.

참고

ipa-adtrust-install 명령을 실행하는 시스템은 자동으로 AD 신뢰 컨트롤러가 됩니다. 그러나 IdM 서버에서 ipa-adtrust-install 을 한 번만 실행해야 합니다.

사전 요구 사항

  • IdM 서버가 설치되어 있습니다.
  • 패키지를 설치하고 IdM 서비스를 다시 시작하려면 root 권한이 필요합니다.

절차

  1. 필수 패키지를 설치합니다.

    [root@ipaserver ~]# yum install ipa-server-trust-ad samba-client
  2. IdM 관리자로 인증합니다.

    [root@ipaserver ~]# kinit admin
  3. ipa-adtrust-install 유틸리티를 실행합니다.

    [root@ipaserver ~]# ipa-adtrust-install

    IdM이 통합된 DNS 서버와 함께 설치된 경우 DNS 서비스 레코드가 자동으로 생성됩니다.

    통합된 DNS 서버 없이 IdM을 설치한 경우 ipa-adtrust-install 은 계속하기 전에 수동으로 DNS에 추가해야 하는 서비스 레코드 목록을 출력합니다.

  4. 이 스크립트는 /etc/samba/smb.conf 가 이미 있으며 다시 작성하라는 메시지를 표시합니다.

    WARNING: The smb.conf already exists. Running ipa-adtrust-install will break your existing Samba configuration.
    
    Do you wish to continue? [no]: yes
  5. 스크립트에서는 이전 Linux 클라이언트가 신뢰할 수 있는 사용자와 작업할 수 있는 호환성 플러그인인 slapi-nis 플러그인을 구성하라는 메시지를 표시합니다.

    Do you want to enable support for trusted domains in Schema Compatibility plugin?
    This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users.
    
    Enable trusted domains support in slapi-nis? [no]: yes
  6. 메시지가 표시되면 IdM 도메인의 NetBIOS 이름을 입력하거나 Enter 키를 눌러 제안된 이름을 수락합니다.

    Trust is configured but no NetBIOS domain name found, setting it now.
    Enter the NetBIOS name for the IPA domain.
    Only up to 15 uppercase ASCII letters, digits and dashes are allowed.
    Example: EXAMPLE.
    
    NetBIOS domain name [IDM]:
  7. SID 생성 작업을 실행하여 기존 사용자에 대한 SID를 생성하라는 메시지가 표시됩니다.

    Do you want to run the ipa-sidgen task? [no]: yes

    리소스 집약적인 작업이므로 사용자가 많으면 다른 시간에 이 작업을 실행할 수 있습니다.

  8. (선택 사항) 기본적으로 Dynamic RPC 포트 범위는 Windows Server 2008 이상에서 49152-65535 로 정의됩니다. 환경에 대해 다른 동적 RPC 포트 범위를 정의해야 하는 경우 다른 포트를 사용하고 방화벽 설정에서 해당 포트를 열도록 Samba를 구성합니다. 다음 예제에서는 포트 범위를 55000-65000 으로 설정합니다.

    [root@ipaserver ~]# net conf setparm global 'rpc server dynamic port range' 55000-65000
    [root@ipaserver ~]# firewall-cmd --add-port=55000-65000/tcp
    [root@ipaserver ~]# firewall-cmd --runtime-to-permanent
  9. ipa 서비스를 다시 시작하십시오.

    [root@ipaserver ~]# ipactl restart
  10. smbclient 유틸리티를 사용하여 Samba가 IdM 측에서 Kerberos 인증에 응답하는지 확인합니다.

    [root@ipaserver ~]# smbclient -L server.idm.example.com -k
    lp_load_ex: changing to config backend registry
        Sharename       Type      Comment
        ---------       ----      -------
        IPC$            IPC       IPC Service (Samba 4.12.3)
    ...