49장. 짧은 AD 사용자 이름 확인 순서 구성
기본적으로 user_name@domain.com 또는 domain.com\user_name 형식으로 정규화된 이름을 지정하여 AD(Active Directory) 환경에서 사용자와 그룹을 확인하고 인증해야 합니다. 다음 섹션에서는 짧은 AD 사용자 이름 및 그룹 이름을 확인하도록 IdM 서버 및 클라이언트를 구성하는 방법을 설명합니다.
49.1. 도메인 확인 순서가 작동하는 방식
AD(Active Directory) 신뢰가 있는 IdM(Identity Management) 환경에서는 정규화된 이름을 지정하여 사용자와 그룹을 확인하고 인증하는 것이 좋습니다. 예를 들면 다음과 같습니다.
-
<idm_username>idm.example.com 도메인의 IdM 사용자를 위한 @idm.example.com -
<ad_username>@ad.example.com도메인의 AD 사용자용 @ad.example.com
기본적으로 ad_username 과 같은 짧은 이름 형식을 사용하여 사용자 또는 그룹 조회를 수행하는 경우 IdM 도메인만 검색하고 AD 사용자 또는 그룹을 찾지 못합니다. 단축 이름을 사용하여 AD 사용자 또는 그룹을 확인하려면 도메인 확인 순서 옵션을 설정하여 IdM이 여러 도메인을 검색하는 순서를 변경합니다.
IdM 데이터베이스 또는 개별 클라이언트의 SSSD 구성에서 도메인 확인 순서를 중앙에서 설정할 수 있습니다. IdM은 도메인 확인 순서를 다음 순서로 평가합니다.
-
로컬
/etc/sssd/sssd.conf구성. - ID 보기 구성입니다.
- 글로벌 IdM 구성입니다.
참고
-
호스트의 SSSD 구성에
default_domain_suffix옵션이 포함되어 있고 이 옵션으로 지정되지 않은 도메인에 요청하려는 경우 정규화된 사용자 이름을 사용해야 합니다. -
도메인 확인 순서옵션을 사용하고compat트리를 쿼리하는 경우 여러 UID(사용자 ID)가 수신될 수 있습니다. 이것이 영향을 줄 수 있는 경우 도메인 확인 순서가 설정된 경우 Pagure 버그 보고서 Inconsistent compat user objects for AD users 를 참조하십시오.
중요
IdM 클라이언트 또는 IdM 서버에서 full_name_format SSSD 옵션을 사용하지 마십시오. 이 옵션에 기본값이 아닌 값을 사용하면 사용자 이름이 표시되는 방식이 변경되고 IdM 환경에서 조회가 중단될 수 있습니다.
