7.5. SSSD용 시스템 서비스 구성
SSSD는 여러 시스템 서비스에 대한 인터페이스를 제공합니다. 가장 중요한 것은 다음과 같습니다.
- NSS(Name Service Switch)
- 7.5.1절. “서비스 구성: NSS” 참조하십시오.
- PAM(Pluggable Authentication Modules)
- 7.5.2절. “서비스 구성: PAM” 참조하십시오.
- OpenSSH
- Linux 도메인 ID, 인증 및 정책 가이드에서 OpenSSH 서비스에 대한 캐시를 제공하도록 SSSD 구성을 참조하십시오.
autofs- 7.5.3절. “서비스 구성: Cryo
stat” 참조하십시오. sudo- 7.5.4절. “서비스 구성:
sudo” 참조하십시오.
7.5.1. 서비스 구성: NSS
SSSD가 NSS로 작동하는 방법
NSS(Name Service Switch) 서비스는 구성 소스와 함께 시스템 ID 및 서비스를 매핑합니다. 여기에서는 서비스가 다양한 구성 및 이름 확인 메커니즘의 소스를 검색할 수 있는 중앙 구성 저장소를 제공합니다.
SSSD는 NSS 맵의 공급자로 NSS를 사용할 수 있습니다. 가장 중요한 것은 다음과 같습니다.
- 사용자 정보(
passwd맵) - 그룹(
그룹맵) - netgroups(
netgroups맵) - 서비스(
서비스맵)
사전 요구 사항
- SSSD 설치.
# yum install sssd
SSSD를 사용하도록 NSS 서비스 구성
authconfig유틸리티를 사용하여 SSSD를 활성화합니다.[root@server ~]# authconfig --enablesssd --update
이렇게 하면/etc/nsswitch.conf파일이 업데이트되어 다음 NSS 맵에서 SSSD를 사용할 수 있습니다.passwd: files sss shadow: files sss group: files sss netgroup: files sss
/etc/nsswitch.conf를 열고sss를서비스맵 줄에 추가합니다.services: files
sss
NSS로 작동하도록 SSSD 구성
/etc/sssd/sssd.conf파일을 엽니다.[sssd]섹션에서 NSS가 SSSD와 함께 작동하는 서비스 중 하나로 나열되어 있는지 확인합니다.[sssd] [... file truncated ...] services =
nss, pam[nss]섹션에서 SSSD가 NSS와 상호 작용하는 방법을 구성합니다. 예를 들어 다음과 같습니다.[nss] filter_groups = root filter_users = root entry_cache_timeout = 300 entry_cache_nowait_percentage = 75
사용 가능한 옵션의 전체 목록은 sssd.conf(5) 도움말 페이지의NSS 구성 옵션을참조하십시오.- SSSD를 다시 시작합니다.
# systemctl restart sssd.service
통합이 올바르게 작동하는지 테스트
다음 명령이 있는 사용자에 대한 정보를 표시합니다.
- ID 사용자
- getent passwd 사용자
7.5.2. 서비스 구성: PAM
주의
PAM 구성 파일의 실수는 사용자가 시스템에서 완전히 잠글 수 있습니다. 변경 사항을 수행하기 전에 구성 파일을 항상 백업하고, 변경 사항을 되돌릴 수 있도록 세션을 열어 둡니다.
SSSD를 사용하도록 PAM 구성
authconfig유틸리티를 사용하여 SSSD를 활성화합니다.# authconfig --enablesssdauth --update
이렇게 하면 PAM 구성이 업데이트되어 일반적으로/etc/pam.d/system-auth및/etc/pam.d/password-auth파일에서 SSSD 모듈을 참조합니다. 예를 들어 다음과 같습니다.[... file truncated ...] auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_sss.so use_first_pass auth required pam_deny.so [... file truncated ...]
자세한 내용은 pam.conf(5) 또는 pam(8) 도움말 페이지를 참조하십시오.
PAM에서 작동하도록 SSSD 구성
/etc/sssd/sssd.conf파일을 엽니다.[sssd]섹션에서 PAM이 SSSD와 함께 작동하는 서비스 중 하나로 나열되어 있는지 확인합니다.[sssd] [... file truncated ...] services = nss,
pam[pam]섹션에서 SSSD가 PAM과 상호 작용하는 방법을 구성합니다. 예를 들어 다음과 같습니다.[pam] offline_credentials_expiration = 2 offline_failed_login_attempts = 3 offline_failed_login_delay = 5
사용 가능한 옵션의 전체 목록은 sssd.conf(5) 도움말 페이지의PAM 구성 옵션을참조하십시오.- SSSD를 다시 시작합니다.
# systemctl restart sssd.service
통합이 올바르게 작동하는지 테스트
- 사용자로 로그인해 봅니다.
- sssctl user-checks user_name auth 명령을 사용하여 SSSD 구성을 확인합니다. 자세한 내용은 sssctl user-checks --help 명령을 사용합니다.
7.5.3. 서비스 구성: Cryo stat
SSSD와 함께 작동하는 방법
mount
유틸리티는 시스템 리소스를 절약하기 위해 자동으로 NFS 파일 시스템을 마운트 및 마운트 해제할 수 있습니다. 에 대한 자세한 내용은 스토리지 관리 가이드의 내용을 참조하십시오. https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/storage_administration_guide/index#nfs-autofs
SSSD를 가리키
도록 구성할 수 있습니다. 이 설정에서 다음을 수행합니다.
- 사용자가 디렉토리를 마운트하려고 하면 SSSD에서 LDAP에 연결하여 현재 meta2 구성에 대한 필요한 정보를 가져옵니다.
- SSSD는 LDAP 서버가 오프라인 상태인 경우에도 사용자가 디렉토리를 마운트할 수 있도록 캐시에 필요한 정보를 저장합니다.
SSSD 를 사용하도록 Cryostat 구성
- autofs 패키지를 설치합니다.
# yum install autofs
/etc/nsswitch.conf파일을 엽니다.- lines
에서ldap에서sss로map정보를 찾을 위치를 변경합니다.automount: files
sss
Cryostat와 함께 작동하도록 SSSD 구성
/etc/sssd/sssd.conf파일을 엽니다.[sssd]섹션에서 SSSD가 관리하는 서비스 목록에 Cryostat를 추가합니다.[sssd] services = nss,pam,
autofs- 새
[autofs]섹션을 만듭니다. 비워 둘 수 있습니다.[autofs]사용 가능한 옵션 목록은 sssd.conf(5) 도움말 페이지의AUTOFS 구성 옵션을참조하십시오. - SSSD가 LDAP에서 정보를 읽을 수 있도록
sssd.conf에서 LDAP 도메인을 사용할 수 있는지 확인합니다.7.3.2절. “SSSD의 LDAP 도메인 구성” 참조하십시오.sssd.conf의[domain]섹션에는 다음과 같은 여러 가지관련옵션을 사용할 수 있습니다. 예를 들어 다음과 같습니다.[domain/LDAP] [... file truncated ...]
autofs_provider=ldapldap_autofs_search_base=cn=automount,dc=example,dc=comldap_autofs_map_object_class=automountMapldap_autofs_entry_object_class=automountldap_autofs_map_name=automountMapNameldap_autofs_entry_key=automountKeyldap_autofs_entry_value=automountInformation사용 가능한 옵션의 전체 목록은 sssd.conf(5) 도움말 페이지의DOMAINEngineTIONS를 참조하십시오.추가 Cryostat 옵션을제공하지않으면 구성은 ID 공급자 설정에 따라 다릅니다. - SSSD를 다시 시작합니다.
# systemctl restart sssd.service
설정 테스트
- SSSD에서 맵을 인쇄하려면 -m 명령을 사용합니다.
7.5.4. 서비스 구성: sudo
SSSD가 sudo로 작동하는 방식
SSSD를 가리키도록
sudo 를 구성할 수 있습니다. 이 설정에서 다음을 수행합니다.
- 사용자가
sudo작업을 시도하면 SSSD에서 LDAP 또는 AD에 연결하여 현재sudo구성에 대한 필요한 정보를 가져옵니다. - SSSD는
sudo정보를 캐시에 저장하므로 사용자가 LDAP 또는 AD 서버가 오프라인 상태인 경우에도sudo작업을 수행할 수 있습니다.
SSSD는
sudo Host 속성 값에 따라 로컬 시스템에 적용되는 sudo 규칙만 캐시합니다. 자세한 내용은 sssd-sudo(5) 도움말 페이지를 참조하십시오.
SSSD를 사용하도록 sudo 구성
/etc/nsswitch.conf파일을 엽니다.sudoers행의 목록에 SSSD를 추가합니다.sudoers: files
sss
sudo와 함께 작동하도록 SSSD 구성
/etc/sssd/sssd.conf파일을 엽니다.[sssd]섹션에서 SSSD가 관리하는 서비스 목록에sudo를 추가합니다.[sssd] services = nss,pam,
sudo- 새
[sudo]섹션을 생성합니다. 비워 둘 수 있습니다.[sudo]사용 가능한 옵션 목록은 sssd.conf(5) 도움말 페이지의SUDO 구성 옵션을참조하십시오. - SSSD가 디렉터리에서
sudo정보를 읽을 수 있도록 LDAP 또는 AD 도메인을sssd.conf에서 사용할 수 있는지 확인합니다. 자세한 내용은 다음을 참조하십시오.- Windows 통합 가이드 의 SSSD용 ID 프로바이더로 Active Directory 사용 섹션.
LDAP 또는 AD 도메인의[domain]섹션에는 다음과 같은sudo관련 매개변수가 포함되어야 합니다.[domain/LDAP_or_AD_domain] ...
sudo_provider = ldapldap_sudo_search_base = ou=sudoers,dc=example,dc=com참고ID 공급자로 Identity Management 또는 AD를 설정하면sudo공급자가 자동으로 활성화됩니다. 이 경우sudo_provider매개 변수를 지정할 필요가 없습니다.사용 가능한 옵션의 전체 목록은 sssd.conf(5) 도움말 페이지의DOMAINEngineTIONS를 참조하십시오.sudo공급자에 사용할 수 있는 옵션은 sssd-ldap(5) 도움말 페이지를 참조하십시오. - SSSD를 다시 시작합니다.
# systemctl restart sssd.service
AD를 공급자로 사용하는 경우
sudo 규칙을 지원하도록 AD 스키마를 확장해야 합니다. 자세한 내용은 sudo 설명서를 참조하십시오.
LDAP 또는 AD에
sudo 규칙을 제공하는 방법에 대한 자세한 내용은 sudoers.ldap(5) 도움말 페이지를 참조하십시오.
