15.3. LDAP 페일오버를 위한 SSSD 구성
원격 기본 인증 서버에서 다음 단계를 완료합니다.
이메일 주소 및 표시 이름과 같은 속성을 검색하도록 SSSD를 구성하고 웹 인터페이스에 표시하도록 OpenShift Container Platform에 전달할 수 있습니다. 다음 단계에서는 OpenShift Container Platform에 이메일 주소를 제공하도록 SSSD를 구성합니다.
필요한 SSSD 및 웹 서버 구성 요소를 설치합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow LDAP 서버에 대해 이 VM을 인증하도록 SSSD를 설정합니다. LDAP 서버가 FreeIPA 또는 Active Directory 환경인 경우 realmd 를 사용하여 이 시스템을 도메인에 연결합니다.
realm join ldap.example.com
# realm join ldap.example.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 고급 케이스는 시스템 수준 인증 가이드를 참조하십시오.
- SSSD를 사용하여 LDAP의 장애 조치(failover) 상황을 관리하려면 ldap_uri 행의 /etc/sssd/sssd.conf 파일에 항목을 더 추가합니다. FreeIPA에 등록된 시스템은 DNS SRV 레코드를 사용하여 장애 조치(failover)를 자동으로 처리할 수 있습니다.
/etc/sssd /sssd.conf 파일의 [domain/DOMAINNAME] 섹션을 수정하고 이 속성을 추가합니다.
[domain/example.com] ... ldap_user_extra_attrs = mail
[domain/example.com] ... ldap_user_extra_attrs = mail
1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- LDAP 솔루션에 대한 이메일 주소를 검색하려면 올바른 속성을 지정합니다. IPA의 경우
mail
을 지정합니다. 다른 LDAP 솔루션에서는email
과 같은 다른 특성을 사용할 수 있습니다.
/etc/sssd/sssd.conf 파일의 domain 매개 변수에 [domain/DOMAINNAME] 섹션에 나열된 도메인 이름만 포함되어 있는지 확인합니다.
domains = example.com
domains = example.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Apache에 email 속성을 검색할 수 있는 권한을 부여합니다. /etc/sssd/sssd.conf 파일의 [ifp] 섹션에 다음 행을 추가합니다.
[ifp] user_attributes = +mail allowed_uids = apache, root
[ifp] user_attributes = +mail allowed_uids = apache, root
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 모든 변경 사항이 제대로 적용되었는지 확인하려면 SSSD를 다시 시작하십시오.
systemctl restart sssd.service
$ systemctl restart sssd.service
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 사용자 정보를 올바르게 검색할 수 있는지 테스트합니다.
getent passwd <username>
$ getent passwd <username> username:*:12345:12345:Example User:/home/username:/usr/bin/bash
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 지정한 mail 속성이 도메인에서 이메일 주소를 반환하는지 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - VM에 LDAP 사용자로 로그인하고 LDAP 자격 증명을 사용하여 로그인할 수 있는지 확인합니다. 로컬 콘솔 또는 SSH와 같은 원격 서비스를 사용하여 로그인할 수 있습니다.
기본적으로 모든 사용자는 LDAP 자격 증명을 사용하여 원격 기본 인증 서버에 로그인할 수 있습니다. 이 동작을 변경할 수 있습니다.
- IPA 참여 시스템을 사용하는 경우 호스트 기반 액세스 제어를 구성합니다.
- Active Directory에 가입된 시스템을 사용하는 경우 그룹 정책 오브젝트를 사용합니다.
- 다른 경우에는 SSSD 구성 설명서를 참조하십시오.