3.4. ID 도메인 검색 및 연결
realm discover 명령은 전체 도메인 구성과 시스템을 도메인에 등록하기 위해 설치해야 하는 패키지 목록을 반환합니다.
그러면 realm join 명령은 로컬 시스템 서비스와 ID 도메인의 항목을 모두 구성하여 지정된 도메인과 함께 사용할 로컬 시스템을 설정합니다. 영역 참여 에서 실행되는 프로세스는 다음 단계를 따릅니다.
- 지정된 도메인에 대한 검색 검사 실행.
- 시스템을 도메인에 연결하는 데 필요한 패키지 자동 설치.여기에는 SSSD 및 PAM 홈 디렉터리 작업 패키지가 포함됩니다. 패키지의 자동 설치에는
PackageKit제품군이 실행 중이어야 합니다.참고PackageKit이 비활성화된 경우 시스템은 누락된 패키지를 입력하라는 메시지를 표시하고yum유틸리티를 사용하여 수동으로 설치해야 합니다. - 디렉터리에 시스템에 대한 계정 항목을 생성하여 도메인에 가입합니다.
/etc/krb5.keytab호스트 키탭 파일 만들기.- SSSD에서 도메인을 구성하고 서비스를 다시 시작합니다.
- PAM 구성 및
/etc/nsswitch.conf파일에서 시스템 서비스에 대한 도메인 사용자를 활성화합니다.
도메인 검색
옵션 없이 실행하면 realm discover 명령은 DHCP(Dynamic Host Configuration Protocol)를 통해 할당된 도메인인 기본 DNS 도메인에 대한 정보를 표시합니다.
# realm discover ad.example.com type: kerberos realm-name: AD.EXAMPLE.COM domain-name: ad.example.com configured: no server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common
특정 도메인에 대한 검색을 실행할 수도 있습니다. 이렇게 하려면 realm discover 를 실행하고 검색할 도메인의 이름을 추가합니다.
# realm discover ad.example.com
그러면
realmd 시스템은 DNS SRV 조회를 사용하여 이 도메인의 도메인 컨트롤러를 자동으로 찾습니다.
참고
realm discover 명령을 실행하려면 NetworkManager가 실행 중이어야 합니다. 특히 NetworkManager의 D-Bus 인터페이스에 따라 다릅니다. 시스템에서 NetworkManager를 사용하지 않는 경우 항상 realm discover 명령에 도메인 이름을 지정합니다.
realmd 시스템은 Active Directory 및 Identity Management 도메인을 모두 검색할 수 있습니다. 두 도메인이 모두 사용자 환경에 있는 경우 --server-software 옵션을 사용하여 검색 결과를 특정 유형의 서버로 제한할 수 있습니다. 예를 들면 다음과 같습니다.
# realm discover --server-software=active-directory
검색 검색에서 반환된 속성 중 하나는
login-policy 이며, 도메인 사용자가 가입이 완료되는 즉시 로그인할 수 있는지 표시됩니다. 기본적으로 로그인이 허용되지 않는 경우 realm permit 명령을 사용하여 수동으로 허용할 수 있습니다. 자세한 내용은 3.7절. “도메인 사용자에 대한 로그인 권한 관리”의 내용을 참조하십시오.
realm discover 명령에 대한 자세한 내용은 realm(8) 도움말 페이지를 참조하십시오.
도메인 가입
중요
Active Directory 도메인을 사용하려면 고유한 컴퓨터 이름이 필요합니다. ResourceOverride 컴퓨터 이름과 DNS 호스트 이름은 모두 고유하게 정의되고 서로 일치해야 합니다.
시스템을 ID 도메인에 참여하려면 realm join 명령을 사용하여 도메인 이름을 지정합니다.
# realm join ad.example.com realm: Joined ad.example.com domain
기본적으로 조인은 도메인 관리자로 수행됩니다. AD의 경우 관리자 계정을
Administrator; IdM의 경우 admin 이라고 합니다. 다른 사용자로 연결하려면 -U 옵션을 사용합니다.
# realm join ad.example.com -U user
명령은 먼저 자격 증명 없이 연결을 시도하지만 필요한 경우 암호를 입력하라는 메시지가 표시됩니다.
Kerberos가 Linux 시스템에 올바르게 구성된 경우 인증을 위해 Kerberos 티켓으로 조인을 수행할 수도 있습니다. Kerberos 주체를 선택하려면
-U 옵션을 사용합니다.
# kinit user # realm join ad.example.com -U user
realm join 명령은 다른 여러 구성 옵션을 허용합니다. realm join 명령에 대한 자세한 내용은 realm(8) 도움말 페이지를 참조하십시오.
예 3.1. 시스템을 도메인에 등록하는 절차의 예
- realm discover 명령을 실행하여 도메인에 대한 정보를 표시합니다.
# realm discover ad.example.com ad.example.com type: kerberos realm-name: AD.EXAMPLE.COM domain-name: ad.example.com configured: no server-software: active-directory client-software: sssd
- realm join 명령을 실행하고 도메인 이름을 명령에 전달합니다. 시스템에 묻는 메시지가 표시되면 관리자 암호를 입력합니다.
# realm join ad.example.com Password for Administrator: password
도메인을 검색하거나 결합할 때
realmd 는 DNS SRV 레코드를 확인합니다.
_LDAP._tcp.domain.example.com.Identity Management 레코드- Active Directory 레코드에 대한
_LDAP._tcp.dc._msdcs.domain.example.com.
레코드는 AD가 구성되면 기본적으로 생성되며 서비스 검색에서 찾을 수 있습니다.
도메인에 가입한 후 시스템 구성 테스트
시스템이 도메인에 성공적으로 등록되어 있는지 테스트하려면 도메인에서 사용자로 로그인할 수 있고 사용자 정보가 올바르게 표시되는지 확인합니다.
- id 사용자@domain_name 명령을 실행하여 도메인의 사용자에 대한 정보를 표시합니다.
# id user@ad.example.com uid=1348601103(user@ad.example.com) gid=1348600513(domain group@ad.example.com) groups=1348600513(domain group@ad.example.com)
ssh유틸리티를 사용하여 동일한 사용자로 로그인합니다.# ssh -l user@ad.example.com linux-client.ad.example.com user@ad.example.com@linux-client.ad.example.com's password: Creating home directory for user@ad.example.com.
pwd유틸리티에서 사용자의 홈 디렉터리를 출력하는지 확인합니다.$ pwd /home/ad.example.com/user
id유틸리티가 첫 번째 단계의 id 사용자@domain_name명령과 동일한 정보를 출력하는지 확인합니다.$ id uid=1348601103(user@ad.example.com) gid=1348600513(domain group@ad.example.com) groups=1348600513(domain group@ad.example.com) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
또한
kinit 유틸리티는 도메인 조인이 성공적인지 테스트할 때 유용합니다. 유틸리티를 사용하려면 KnativeServing 5-octets 패키지가 설치되어 있어야 합니다.
