검색

7.3. SSSD의 ID 및 인증 공급자 구성

download PDF

7.3.1. SSSD의 ID 및 인증 공급자 소개

SSSD 도메인. ID 및 인증 공급자

ID 및 인증 프로바이더는 SSSD 구성 파일의 도메인으로 구성됩니다. 단일 도메인을 다음과 같이 사용할 수 있습니다.
  • ID 공급자 (사용자 정보용)
  • 인증 공급자 (인증 요청용)
  • 액세스 제어 공급자 (허용 요청용)
  • 이러한 공급자의 조합 (모든 해당 작업이 단일 서버 내에서 수행되는 경우)
SSSD에 대해 여러 도메인을 구성할 수 있습니다. 하나 이상의 도메인을 구성해야 합니다. 그렇지 않으면 SSSD가 시작되지 않습니다.
/etc/sssd/sssd.conf 파일의 access_provider 옵션은 도메인에 사용되는 액세스 제어 공급자를 설정합니다. 기본적으로 옵션은 항상 모든 액세스를 허용하는 용으로 설정됩니다. 자세한 내용은 sssd.conf(5) 도움말 페이지를 참조하십시오.

프록시 공급자

프록시 공급자는 SSSD와 SSSD에서 사용할 수 없는 리소스 간의 중간 릴레이 역할을 합니다. 프록시 공급자를 사용하는 경우 SSSD는 프록시 서비스에 연결하고 프록시는 지정된 라이브러리를 로드합니다.
프록시 공급자를 사용하여 다음을 사용하도록 SSSD를 구성할 수 있습니다.
  • 지문 스캐너와 같은 대체 인증 방법
  • NIS와 같은 레거시 시스템
  • /etc/passwd 및 원격 인증에 정의된 로컬 시스템 계정

ID 및 인증 공급자의 사용 가능한 조합

표 7.1. ID 및 인증 공급자의 사용 가능한 조합
ID 공급자 인증 공급자
IdM (Identity Management) [a] Identity Management [a]
Active Directory [a] Active Directory [a]
LDAP LDAP
LDAP Kerberos
proxy proxy
proxy LDAP
proxy Kerberos
[a] LDAP 프로바이더 유형의 확장입니다.
이 가이드에서는 모든 프로바이더 유형을 설명하지는 않습니다. 자세한 내용은 다음 추가 리소스를 참조하십시오.

7.3.2. SSSD의 LDAP 도메인 구성

사전 요구 사항

  • SSSD 설치.
    # yum install sssd

LDAP 도메인을 검색하도록 SSSD 설정

  1. /etc/sssd/sssd.conf 파일을 엽니다.
  2. LDAP 도메인에 대한 [domain] 섹션을 생성합니다.
    [domain/LDAP_domain_name]
  3. LDAP 서버를 ID 공급자, 인증 공급자 또는 둘 다로 사용하려는 경우 를 지정합니다.
    1. LDAP 서버를 ID 공급자로 사용하려면 id_provider 옵션을 ldap 로 설정합니다.
    2. LDAP 서버를 인증 공급자로 사용하려면 auth_provider 옵션을 ldap 로 설정합니다.
    예를 들어 LDAP 서버를 둘 다 사용하려면 다음을 수행합니다.
    [domain/LDAP_domain_name]
    id_provider = ldap
    auth_provider = ldap
  4. LDAP 서버를 지정합니다. 다음 중 하나를 선택합니다.
    1. 서버를 명시적으로 정의하려면 ldap_uri 옵션을 사용하여 서버의 URI를 지정합니다.
      [domain/LDAP_domain_name]
      id_provider = ldap
      auth_provider = ldap
      
      ldap_uri = ldap://ldap.example.com
      ldap_uri 옵션은 서버의 IP 주소도 허용합니다. 그러나 서버 이름 대신 IP 주소를 사용하면 TLS/SSL 연결이 실패할 수 있습니다. Red Hat Knowledgebase의 인증서 주체 이름에서 IP 주소를 사용하도록 SSSD 공급자 구성을 참조하십시오.
    2. DNS 서비스 검색을 사용하여 서버를 동적으로 검색하도록 SSSD를 구성하려면 7.4.3절. “DNS 서비스 검색 구성” 을 참조하십시오.
    선택적으로 ldap_backup_uri 옵션에 백업 서버를 지정합니다.
  5. ldap_search_base 옵션에 LDAP 서버의 검색 기반을 지정합니다.
    [domain/LDAP_domain_name]
    id_provider = ldap
    auth_provider = ldap
    
    ldap_uri = ldap://ldap.example.com
    ldap_search_base = dc=example,dc=com
  6. LDAP 서버에 대한 보안 연결을 설정하는 방법을 지정합니다. 권장되는 방법은 TLS 연결을 사용하는 것입니다. 이렇게 하려면 ldap_id_use_start_tls 옵션을 활성화하고 이러한 CA 인증서 관련 옵션을 사용합니다.
    • ldap_tls_reqcert 는 클라이언트가 서버 인증서를 요청하는지 및 인증서에서 수행되는 검사를 지정합니다.
    • ldap_tls_cacert 는 인증서가 포함된 파일을 지정합니다.
    [domain/LDAP_domain_name]
    id_provider = ldap
    auth_provider = ldap
    
    ldap_uri = ldap://ldap.example.com
    ldap_search_base = dc=example,dc=com
    
    ldap_id_use_start_tls = true
    ldap_tls_reqcert = demand
    ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
    참고
    SSSD는 항상 암호화된 채널을 인증을 위해 사용하므로 암호가 암호화되지 않은 네트워크를 통해 전송되지 않습니다. ldap_id_use_start_tls = true 에서는 ID 조회(예: id 또는 getent 유틸리티를 기반으로 하는 명령)도 암호화됩니다.
  7. [sssd] 섹션의 domain 옵션에 새 도메인을 추가합니다. 옵션은 SSSD에서 쿼리하는 도메인을 나열합니다. 예를 들어 다음과 같습니다.
    domains = LDAP_domain_name, domain2

추가 리소스

위 절차에서는 LDAP 프로바이더에 대한 기본 옵션을 보여줍니다. 자세한 내용은 다음을 참조하십시오.
  • sssd.conf(5) 도움말 페이지: 모든 유형의 도메인에 사용 가능한 글로벌 옵션을 설명합니다.
  • LDAP와 관련된 옵션을 설명하는 sssd-ldap(5) 도움말 페이지

7.3.3. SSSD의 파일 공급자 구성

파일 공급자는 SSSD를 통해 이러한 파일에서 사용자와 그룹을 사용할 수 있도록 /etc/passwd/etc/groups 파일의 콘텐츠를 미러링합니다. 이를 통해 /etc/nsswitch.conf 파일에서 사용자 및 그룹의 첫 번째 소스로 sss 데이터베이스를 설정할 수 있습니다.
passwd:     sss files
group:      sss files
이 설정을 통해 파일 공급자가 /etc/sssd/sssd.conf 에 구성된 경우 Red Hat Enterprise Linux는 사용자 및 그룹에 대한 모든 쿼리를 먼저 SSSD로 보냅니다. SSSD가 실행 중이 아니거나 SSSD가 요청된 항목을 찾을 수 없는 경우 시스템은 로컬 파일에서 사용자와 그룹을 찾을 수 없습니다. LDAP 디렉터리와 같은 중앙 데이터베이스에 대부분의 사용자와 그룹을 저장하는 경우 이 설정은 사용자 및 그룹 조회의 속도를 높입니다.

사전 요구 사항

  • SSSD 설치.
    # yum install sssd

파일 도메인을 검색하도록 SSSD 구성

  1. /etc/sssd/sssd.conf 파일에 다음 섹션을 추가합니다.
    [domain/files]
    id_provider = files
  2. 선택적으로 /etc/sssd/sssd.conf 파일에서 사용자 및 그룹 조회의 첫 번째 소스로 sss 데이터베이스를 설정합니다.
    passwd:     sss files
    group:      sss files
  3. 시스템이 부팅될 때 sssd 서비스가 시작되는 방식으로 시스템을 구성합니다.
    # systemctl enable sssd
  4. sssd 서비스를 다시 시작합니다.
    # systemctl restart sssd

추가 리소스

위의 절차에서는 파일 공급자에 대한 기본 옵션을 보여줍니다. 자세한 내용은 다음을 참조하십시오.
  • sssd.conf(5) 도움말 페이지: 모든 유형의 도메인에 사용 가능한 글로벌 옵션을 설명합니다.
  • 파일 공급자와 관련된 옵션을 설명하는 sssd-files(5) 도움말 페이지

7.3.4. SSSD용 프록시 공급자 구성

사전 요구 사항

  • SSSD 설치.
    # yum install sssd

프록시 도메인을 검색하도록 SSSD 구성

  1. /etc/sssd/sssd.conf 파일을 엽니다.
  2. 프록시 공급자에 대한 [domain] 섹션을 생성합니다.
    [domain/proxy_name]
  3. 인증 공급자를 지정하려면 다음을 수행합니다.
    1. auth_provider 옵션을 proxy 로 설정합니다.
    2. proxy_pam_target 옵션을 사용하여 PAM 서비스를 인증 프록시로 지정합니다.
    예를 들어 다음과 같습니다.
    [domain/proxy_name]
    auth_provider = proxy
    proxy_pam_target = sssdpamproxy
    중요
    프록시 PAM 스택에 pam_sss.so 가 재귀적으로 포함되지 않는지 확인합니다.
  4. ID 공급자를 지정하려면 다음을 수행합니다.
    1. id_provider 옵션을 proxy 로 설정합니다.
    2. proxy_lib_name 옵션을 사용하여 NSS 라이브러리를 ID 프록시로 지정합니다.
    예를 들어 다음과 같습니다.
    [domain/proxy_name]
    id_provider = proxy
    proxy_lib_name = nis
  5. [sssd] 섹션의 domain 옵션에 새 도메인을 추가합니다. 옵션은 SSSD에서 쿼리하는 도메인을 나열합니다. 예를 들어 다음과 같습니다.
    domains = proxy_name, domain2

추가 리소스

위 절차에서는 프록시 프로바이더에 대한 기본 옵션을 보여줍니다. 자세한 내용은 모든 유형의 도메인 및 기타 프록시 관련 옵션에 사용할 수 있는 글로벌 옵션을 설명하는 sssd.conf(5) 도움말 페이지를 참조하십시오.

7.3.5. Kerberos 인증 공급자 구성

사전 요구 사항

  • SSSD 설치.
    # yum install sssd

Kerberos 도메인을 검색하도록 SSSD 구성

  1. /etc/sssd/sssd.conf 파일을 엽니다.
  2. SSSD 도메인의 [domain] 섹션을 생성합니다.
    [domain/Kerberos_domain_name]
  3. ID 공급자를 지정합니다. 예를 들어 LDAP ID 공급자 구성에 대한 자세한 내용은 7.3.2절. “SSSD의 LDAP 도메인 구성” 을 참조하십시오.
    지정된 ID 프로바이더에서 Kerberos 주체 이름을 사용할 수 없는 경우 SSSD는 username@REALM 형식을 사용하여 주체를 구성합니다.
  4. Kerberos 인증 공급자 세부 정보를 지정합니다.
    1. auth_provider 옵션을 krb5 로 설정합니다.
      [domain/Kerberos_domain_name]
      id_provider = ldap
      auth_provider = krb5
    2. Kerberos 서버를 지정합니다.
      1. 서버를 명시적으로 정의하려면 krb5_server 옵션을 사용합니다. 옵션은 서버의 호스트 이름 또는 IP 주소를 허용합니다.
        [domain/Kerberos_domain_name]
        id_provider = ldap
        auth_provider = krb5
        
        krb5_server = kdc.example.com
      2. DNS 서비스 검색을 사용하여 서버를 동적으로 검색하도록 SSSD를 구성하려면 7.4.3절. “DNS 서비스 검색 구성” 을 참조하십시오.
      선택적으로 krb5_backup_server 옵션에 백업 서버를 지정합니다.
    3. 암호 변경 서비스가 krb5_server 또는 krb5_backup_server 에 지정된 KDC에서 실행되지 않는 경우 krb5_passwd 옵션을 사용하여 서비스가 실행 중인 서버를 지정합니다.
      [domain/Kerberos_domain_name]
      id_provider = ldap
      auth_provider = krb5
      
      krb5_server = kdc.example.com
      krb5_backup_server = kerberos.example.com
      krb5_passwd = kerberos.admin.example.com
      krb5_passwd 를 사용하지 않는 경우 SSSD는 krb5_server 또는 krb5_backup_server 에 지정된 KDC를 사용합니다.
    4. krb5_realm 옵션을 사용하여 Kerberos 영역의 이름을 지정합니다.
      [domain/Kerberos_domain_name]
      id_provider = ldap
      auth_provider = krb5
      
      krb5_server = kerberos.example.com
      krb5_backup_server = kerberos2.example.com
      krb5_passwd = kerberos.admin.example.com
      krb5_realm = EXAMPLE.COM
  5. [sssd] 섹션의 domain 옵션에 새 도메인을 추가합니다. 옵션은 SSSD에서 쿼리하는 도메인을 나열합니다. 예를 들어 다음과 같습니다.
    domains = Kerberos_domain_name, domain2

추가 리소스

위의 절차에서는 Kerberos 프로바이더의 기본 옵션을 보여줍니다. 자세한 내용은 다음을 참조하십시오.
  • sssd.conf(5) 도움말 페이지: 모든 유형의 도메인에 사용 가능한 글로벌 옵션을 설명합니다.
  • Kerberos와 관련된 옵션을 설명하는 sssd-krb5(5) 도움말 페이지
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.