3.4. winbind
Winbind를 시스템의 ID 저장소로 구성하기 전에 Samba를 구성해야 합니다. Samba 서버를 설정하고 사용자 계정에 사용해야 하거나 Samba를 백엔드 ID 저장소로 사용하도록 Samba를 구성해야 합니다.
Samba 구성은 Samba 프로젝트 문서에서 다룹니다. Samba를 Active Directory와 통합 지점으로 구체적으로 구성하는 것은 Windows 통합 가이드 의 Active Directory 통합에 Samba 사용 섹션에서도 다룹니다.
3.4.1. authconfig GUI에서 Winbind 활성화
samba-winbind패키지를 설치합니다. 이는 Samba 서비스의 Windows 통합 기능에 필요하지만 기본적으로 설치되지 않습니다.[root@server ~]# yum install samba-winbind
- authconfig UI를 엽니다.
[root2server ~]# authconfig-gtk
- ID 및 인증 탭의 사용자 계정 데이터베이스 드롭다운 메뉴에서 를 선택합니다.
- Microsoft Active Directory 도메인 컨트롤러에 연결하는 데 필요한 정보를 설정합니다.
- winbind 도메인 은 연결할 Windows 도메인을 제공합니다.이는 DOMAIN 과 같은 Windows 2000 형식이어야 합니다.
- Security Model 은 Samba 클라이언트에 사용할 보안 모델을 설정합니다. authconfig 는 다음 네 가지 유형의 보안 모델을 지원합니다.
- ads 는 Active Directory Server 영역에서 도메인 멤버로 작동하도록 Samba를 구성합니다. 이 모드에서 작동하려면
krb5-server패키지를 설치해야 하며 Kerberos를 올바르게 구성해야 합니다. - domain 은 Windows 서버와 유사하게 Windows 기본 또는 백업 도메인 컨트롤러를 통해 인증하여 사용자 이름과 암호를 검증합니다.
- 서버에 는 로컬 Samba 서버가 Windows 서버와 같은 다른 서버를 통해 인증하여 사용자 이름과 암호의 유효성을 검사합니다. 서버 인증 시도가 실패하면 시스템은 사용자 모드를 사용하여 인증을 시도합니다.
- 사용자가 유효한 사용자 이름과 암호를 사용하여 로그인해야 합니다. 이 모드는 암호화된 암호를 지원합니다.사용자 이름 형식은 domain\user 여야 합니다(예: EXAMPLE\jsmith ).참고지정된 사용자가 Windows 도메인에 있는지 확인하는 경우 항상
domain\user_name형식을 사용하고 백슬래시(\) 문자를 이스케이프합니다. 예를 들어 다음과 같습니다.[root@server ~]# getent passwd domain\\user DOMAIN\user:*:16777216:16777216:Name Surname:/home/DOMAIN/user:/bin/bash
기본 옵션입니다.
- winbind ADS Cryostat 는 Samba 서버가 참여할 Active Directory 영역을 제공합니다. 이는 광고 보안 모델에만 사용됩니다.
- winbind 도메인 컨트롤러는 시스템을 등록하는 데 사용할 도메인 컨트롤러의 호스트 이름 또는 IP 주소를 제공합니다.
- 템플릿 쉘 은 Windows 사용자 계정 설정에 사용할 로그인 쉘을 설정합니다.
- 오프라인 로그인을 허용 하면 인증 정보를 로컬 캐시에 저장할 수 있습니다. 사용자가 시스템이 오프라인 상태인 상태에서 시스템 리소스를 인증하려고 할 때 캐시를 참조합니다.
3.4.2. 명령줄에서 Winbind 활성화
Windows 도메인에는 여러 가지 보안 모델이 있으며 도메인에 사용되는 보안 모델은 로컬 시스템의 인증 구성을 결정합니다. 사용자 및 서버 보안 모델의 경우 Winbind 구성에는 도메인(또는 작업 그룹) 이름과 도메인 컨트롤러 호스트 이름만 필요합니다.
--winbindjoin 매개변수는 Active Directory 도메인에 연결하는 데 사용할 사용자를 설정하고 --enablelocalauthorize 는 로컬 권한 부여 작업을 설정하여 /etc/passwd 파일을 확인합니다.
authconfig 명령을 실행한 후 Active Directory 도메인에 참여합니다.
[root@server ~]# authconfig --enablewinbind --enablewinbindauth --smbsecurity=user|server --enablewinbindoffline --smbservers=ad.example.com --smbworkgroup=EXAMPLE --update --enablelocauthorize --winbindjoin=admin [root@server ~]# net join ads
참고
사용자 이름 형식은 domain\user 여야 합니다(예: EXAMPLE\jsmith ).
지정된 사용자가 Windows 도메인에 있는지 확인하는 경우 항상 domain\user 형식을 사용하고 백슬래시(\) 문자를 이스케이프합니다. 예를 들어 다음과 같습니다.
[root@server ~]# getent passwd domain\\user DOMAIN\user:*:16777216:16777216:Name Surname:/home/DOMAIN/user:/bin/bash
광고 및 도메인 보안 모델의 경우 Winbind 구성은 템플릿 쉘 및 영역에 대한 추가 구성을 허용합니다(ads only). 예를 들어 다음과 같습니다.
[root@server ~]# authconfig --enablewinbind --enablewinbindauth --smbsecurity ads --enablewinbindoffline --smbservers=ad.example.com --smbworkgroup=EXAMPLE --smbrealm EXAMPLE.COM --winbindtemplateshell=/bin/sh --update
Windows 기반 인증을 구성하는 다른 옵션과 이름 형식, 사용자 이름을 사용하여 도메인 이름 필요 여부, UID 범위 등의 Windows 사용자 계정에 대한 정보가 많이 있습니다. 이러한 옵션은 authconfig 도움말에 나열됩니다.
