홈
제품
OpenShift Container Platform
3.11
클러스터 구성
15.3. LDAP 페일오버를 위한 SSSD 구성

15.3. LDAP 페일오버를 위한 SSSD 구성

원격 기본 인증 서버에서 다음 단계를 완료합니다.

이메일 주소 및 표시 이름과 같은 속성을 검색하도록 SSSD를 구성하고 웹 인터페이스에 표시하도록 OpenShift Container Platform에 전달할 수 있습니다. 다음 단계에서는 OpenShift Container Platform에 이메일 주소를 제공하도록 SSSD를 구성합니다.

필요한 SSSD 및 웹 서버 구성 요소를 설치합니다.

yum install -y sssd \
                 sssd-dbus \
                 realmd \
                 httpd \
                 mod_session \
                 mod_ssl \
                 mod_lookup_identity \
                 mod_authnz_pam \
                 php \
                 mod_php

# yum install -y sssd \
                 sssd-dbus \
                 realmd \
                 httpd \
                 mod_session \
                 mod_ssl \
                 mod_lookup_identity \
                 mod_authnz_pam \
                 php \
                 mod_php

Copy to Clipboard

Toggle word wrap

LDAP 서버에 대해 이 VM을 인증하도록 SSSD를 설정합니다. LDAP 서버가 FreeIPA 또는 Active Directory 환경인 경우 realmd 를 사용하여 이 시스템을 도메인에 연결합니다.
```
realm join ldap.example.com
```
```
# realm join ldap.example.com
```
Copy to Clipboard Toggle word wrap
고급 케이스는 시스템 수준 인증 가이드를 참조하십시오.
SSSD를 사용하여 LDAP의 장애 조치(failover) 상황을 관리하려면 ldap_uri 행의 /etc/sssd/sssd.conf 파일에 항목을 더 추가합니다. FreeIPA에 등록된 시스템은 DNS SRV 레코드를 사용하여 장애 조치(failover)를 자동으로 처리할 수 있습니다.
/etc/sssd /sssd.conf 파일의 [domain/DOMAINNAME] 섹션을 수정하고 이 속성을 추가합니다.
```
[domain/example.com]
...
ldap_user_extra_attrs = mail 
```
```
[domain/example.com]
...
ldap_user_extra_attrs = mail 
```
1
Copy to Clipboard Toggle word wrap
1
LDAP 솔루션에 대한 이메일 주소를 검색하려면 올바른 속성을 지정합니다. IPA의 경우 mail 을 지정합니다. 다른 LDAP 솔루션에서는 email 과 같은 다른 특성을 사용할 수 있습니다.
/etc/sssd/sssd.conf 파일의 domain 매개 변수에 [domain/DOMAINNAME] 섹션에 나열된 도메인 이름만 포함되어 있는지 확인합니다.
```
domains = example.com
```
```
domains = example.com
```
Copy to Clipboard Toggle word wrap
Apache에 email 속성을 검색할 수 있는 권한을 부여합니다. /etc/sssd/sssd.conf 파일의 [ifp] 섹션에 다음 행을 추가합니다.
```
[ifp]
user_attributes = +mail
allowed_uids = apache, root
```
```
[ifp]
user_attributes = +mail
allowed_uids = apache, root
```
Copy to Clipboard Toggle word wrap
모든 변경 사항이 제대로 적용되었는지 확인하려면 SSSD를 다시 시작하십시오.
```
systemctl restart sssd.service
```
```
$ systemctl restart sssd.service
```
Copy to Clipboard Toggle word wrap
사용자 정보를 올바르게 검색할 수 있는지 테스트합니다.
```
getent passwd <username>
```
```
$ getent passwd <username>
username:*:12345:12345:Example User:/home/username:/usr/bin/bash
```
Copy to Clipboard Toggle word wrap

지정한 mail 속성이 도메인에서 이메일 주소를 반환하는지 확인합니다.

dbus-send --print-reply --system --dest=org.freedesktop.sssd.infopipe \
    /org/freedesktop/sssd/infopipe org.freedesktop.sssd.infopipe.GetUserAttr \
    string:username \
    array:string:mail

# dbus-send --print-reply --system --dest=org.freedesktop.sssd.infopipe \
    /org/freedesktop/sssd/infopipe org.freedesktop.sssd.infopipe.GetUserAttr \
    string:username \


    array:string:mail



method return time=1528091855.672691 sender=:1.2787 -> destination=:1.2795 serial=13 reply_serial=2
   array [
      dict entry(
         string "mail"
         variant             array [
               string "username@example.com"
            ]
      )
   ]

Copy to Clipboard

Toggle word wrap

1: LDAP 솔루션에 사용자 이름을 입력합니다.
2: 구성한 속성을 지정합니다.

VM에 LDAP 사용자로 로그인하고 LDAP 자격 증명을 사용하여 로그인할 수 있는지 확인합니다. 로컬 콘솔 또는 SSH와 같은 원격 서비스를 사용하여 로그인할 수 있습니다.

중요

기본적으로 모든 사용자는 LDAP 자격 증명을 사용하여 원격 기본 인증 서버에 로그인할 수 있습니다. 이 동작을 변경할 수 있습니다.

IPA 참여 시스템을 사용하는 경우 호스트 기반 액세스 제어를 구성합니다.
Active Directory에 가입된 시스템을 사용하는 경우 그룹 정책 오브젝트를 사용합니다.
다른 경우에는 SSSD 구성 설명서를 참조하십시오.

맨 위로 이동

15.3. LDAP 페일오버를 위한 SSSD 구성

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links