5.4.2. 제한 검색을 위해 LDAP 검색 기본 구성
이 절차에서는
/etc/sssd/sssd.conf 파일을 편집하여 SSSD에서 특정 하위 트리로 검색을 제한하는 방법을 설명합니다.
고려 사항
- SSSD 클라이언트가 Active Directory 도메인에 직접 연결된 경우 모든 클라이언트에서 다음 절차를 수행하십시오.
- SSSD 클라이언트가 Active Directory에 대한 신뢰에 있는 ID 관리 도메인에 있는 경우 ID 관리 서버에서만 이 절차를 수행합니다.
절차
sssd.conf에 신뢰할 수 있는 도메인에 별도의[domain]섹션이 있는지 확인합니다. 신뢰할 수 있는 도메인 섹션의 제목은 다음 템플릿을 따릅니다.[domain/main_domain/trusted_domain]
예를 들면 다음과 같습니다.[domain/idm.example.com/ad.example.com]
sssd.conf파일을 편집하여 검색 기반을 특정 OU(조직 구성 단위)로 제한합니다. 예를 들어ldap_search_base옵션은 모든 유형의 오브젝트의 검색 기반을 변경합니다.[domain/idm.example.com/ad.example.com]
ldap_search_base = ou=finance,dc=ad,dc=example,dc=comldap_user_search_base,ldap_group_search_base,ldap_netgroup_search_base,ldap_service_search_base옵션도 사용할 수 있습니다. 이러한 옵션에 대한 자세한 내용은 sssd-ldap(5) 도움말 페이지를 참조하십시오.- SSSD를 다시 시작합니다.
# systemctl restart sssd.service - 확인하려면 SSSD 클라이언트의 일부 Active Directory 사용자를 해결합니다. 예를 들어 사용자 검색 기반 및 그룹 검색 기준으로 변경 사항을 테스트하려면 다음을 수행합니다.
# getent passwd ad_user@ad.example.com # getent group ad_group@ad.example.com
SSSD가 올바르게 구성된 경우 구성된 검색 기반에서 오브젝트만 확인할 수 있습니다.
다른 검색 도메인에서 사용자를 확인할 수 있는 경우 SSSD 로그를 검사하여 문제를 해결합니다.
- SSSD 캐시를 만료합니다.
# sss_cache --everything sssd.conf의 일반적인[domain]섹션에서debug_level옵션을9로 설정합니다.- 사용자를 확인하는 데 명령을 반복합니다.
/var/log/sssd/에서 SSSD 로그에서sdap_get_generic_*함수의 메시지를 찾습니다. 함수는 사용자 검색에 사용되는 필터 및 검색 기반을 기록합니다.
추가 리소스
sssd.conf의 신뢰할 수 있는 도메인 섹션에서 사용할 수 있는 옵션 목록은 sssd.conf(5) 도움말 페이지에서 CONUSTEDDOMAINSECTION을 참조하십시오.
