20.4. map을 저장하고 검색하는 데 ldap를 사용하도록 Cryostat 구성

프로세스

1. LDAP 액세스를 구성하려면 /etc/openldap/ldap.conf 파일을 수정합니다. BASE 및 URI 옵션이 설정되어 있는지 확인합니다.

2. /etc/autofs.conf 파일에서 audit map의 LDAP 스키마를 구성합니다. 기본적으로 Cryo stat 는 구성 파일에 지정된 순서대로 일반적으로 사용되는 스키마를 확인합니다.

   #
   # Define the LDAP schema to used for lookups
   #
   # If no schema is set autofs will check each of the schemas
   # below in the order given to try and locate an appropriate
   # basdn for lookups. If you want to minimize the number of
   # queries to the server set the values here.
   #
   #map_object_class = nisMap
   #entry_object_class = nisObject
   #map_attribute = nisMapName
   #entry_attribute = cn
   #value_attribute = nisMapEntry
   #
   # Other common LDAP naming
   #
   #map_object_class = automountMap
   #entry_object_class = automount
   #map_attribute = ou
   #entry_attribute = cn
   #value_attribute = automountInformation
   #
   #map_object_class = automountMap
   #entry_object_class = automount
   #map_attribute = automountMapName
   #entry_attribute = automountKey
   #value_attribute = automountInformation

   Copy to Clipboard Toggle word wrap
   참고

   이러한 값을 명시적으로 설정하여 LDAP 쿼리를 경계적으로 줄일 수도 있습니다. /etc/autofs.conf 파일에서 하위 및 대문자로 속성을 작성할 수 있습니다.

3. LDAP에 map을 저장하기 위한 최근 설정된 스키마는 rfc2307bis 초안에 설명되어 있습니다. 이 스키마를 사용하려면 주석을 제거하고 ldap_schema 옵션에 적절한 값을 설정하여 /etc/autofs.conf 파일에서 구성합니다. 예를 들어 비표준 스키마를 사용하거나 기본 동작을 재정의해야 하는 경우 /etc/autofs.conf 파일에 관련 스키마 속성을 지정할 수 있습니다. 다음 값은 rfc2307bis 초안과 같이 일반적으로 사용되는 스키마 설정에 해당합니다.

   default_map_object_class = automountMap
   default_entry_object_class = automount
   default_map_attribute = automountMapName
   default_entry_attribute = automountKey
   default_value_atrribute = automountInformation

   Copy to Clipboard Toggle word wrap

   Cryostat는 표준 스키마를 자동으로 감지하고 이러한 설정을 지정하는 것은 일반적으로 사용자 지정 또는 혼합-schema 환경에서만 필요합니다. 사용하는 경우 하나의 전체 스키마 정의 세트만 활성화되어야 합니다.

4. 구성에서 사용자 지정 스키마를 지정하도록 선택하는 경우 스키마 관련 항목의 전체 집합만 활성화되어 있는지 확인합니다. 충돌을 피하기 위해 다른 하나를 주석 처리하십시오. rfc2307bis 스키마에서 Cryo statKey 속성은 이전 rfc2307 스키마에서 사용된 cn 속성을 대체합니다. 다음은 해당 LDAP Data Interchange Format(LDIF) 구성의 예입니다.

   # auto.master, example.com
   dn: automountMapName=auto.master,dc=example,dc=com
   objectClass: top
   objectClass: automountMap
   automountMapName: auto.master
   
   # /home, auto.master, example.com
   dn: automountMapName=auto.master,dc=example,dc=com
   objectClass: automount
   automountKey: /home
   automountInformation: auto.home
   
   # auto.home, example.com
   dn: automountMapName=auto.home,dc=example,dc=com
   objectClass: automountMap
   automountMapName: auto.home
   
   # foo, auto.home, example.com
   dn: automountKey=foo,automountMapName=auto.home,dc=example,dc=com
   objectClass: automount
   automountKey: foo
   automountInformation: filer.example.com:/export/foo
   
   # /, auto.home, example.com
   dn: automountKey=/,automountMapName=auto.home,dc=example,dc=com
   objectClass: automount
   automountKey: /
   automountInformation: filer.example.com:/export/&

   Copy to Clipboard Toggle word wrap

5. LDAP 서버의 인증을 허용하려면 /etc/autofs_ldap_auth.conf 파일을 편집합니다.

   1. authrequired 를 yes로 변경합니다.

   2. 주체를 LDAP 서버의 Kerberos 호스트 주체로 설정합니다. host/FQDN@REALM. 사용자 이름은 GSS 클라이언트 인증의 일부로 디렉터리에 연결하는 데 사용됩니다.

      <autofs_ldap_sasl_conf
           usetls="no"
           tlsrequired="no"
           authrequired="yes"
           authtype="GSSAPI"
      clientprinc="host/server.example.com@EXAMPLE.COM"/>
           secret="<ldap password>"/>

      Copy to Clipboard Toggle word wrap

      호스트 주체에 대한 자세한 내용은 IdM에서 정식 DNS 호스트 이름 사용을 참조하십시오. klist -k 를 실행하여 정확한 호스트 주체 정보를 가져올 수도 있습니다.