5.6. 신뢰할 수 있는 Active Directory 도메인에서 ID 관리 또는 SSSD를 선택한 Active Directory 서버 또는 사이트로 제한
관리자는 SSSD에서 통신하는 Active Directory 서버 목록을 제한할 수 있도록 신뢰할 수 있는 Active Directory 도메인의 자동 검색 및 서버, 사이트 또는 둘 다 수동으로 나열할 수 있습니다. 예를 들어, 이를 통해 액세스할 수 없는 사이트에 접속하지 않도록 할 수 있습니다.
5.6.1. 특정 Active Directory Server에 문의하도록 SSSD 구성
이 절차에서는
/etc/sssd/sssd.conf 파일을 편집하여 SSSD가 연결하는 Active Directory 서버를 수동으로 설정하는 방법을 설명합니다.
고려 사항
- SSSD 클라이언트가 Active Directory 도메인에 직접 연결된 경우 모든 클라이언트에서 다음 절차를 수행하십시오.이 설정에서 Active Directory 도메인 컨트롤러 (DC) 또는 사이트를 제한하면 인증을 위해 특정 서버 또는 사이트에 연결하도록 SSSD 클라이언트도 구성합니다.
- SSSD 클라이언트가 Active Directory에 대한 신뢰에 있는 ID 관리 도메인에 있는 경우 ID 관리 서버에서만 이 절차를 수행합니다.이 설정에서 Active Directory DC 또는 사이트를 제한해도 인증을 위해 특정 서버 또는 사이트에 연결하도록 ID 관리 클라이언트를 구성하지 않습니다. 신뢰할 수 있는 Active Directory 사용자 및 그룹은 Identity Management 서버를 통해 해결되지만 Active Directory DC에 대해 직접 인증이 수행됩니다. Red Hat Enterprise Linux 7.6 및 sssd-1.16.2-5.el7 부터
ad_server및ad_site옵션을 사용하여 특정 AD 서버 또는 사이트를 사용하도록 IdM 클라이언트에서 SSSD를 구성할 수 있습니다. 이전 버전의 Red Hat Enterprise Linux 7에서는 클라이언트의/etc/krb5.conf파일에서 필요한 Active Directory DC를 정의하여 인증을 제한합니다.
절차
sssd.conf에 신뢰할 수 있는 도메인에 별도의[domain]섹션이 있는지 확인합니다. 신뢰할 수 있는 도메인 섹션의 제목은 다음 템플릿을 따릅니다.[domain/main_domain/trusted_domain]
예를 들면 다음과 같습니다.[domain/idm.example.com/ad.example.com]
sssd.conf파일을 편집하여 SSSD를 연결할 Active Directory 서버 또는 사이트의 호스트 이름을 나열합니다.Active Directory 서버에 대해ad_server및, 선택적으로ad_server_backup옵션을 사용합니다. Active Directory 사이트에ad_site옵션을 사용합니다. 이러한 옵션에 대한 자세한 내용은 sssd-ad(5) 도움말 페이지를 참조하십시오.예를 들면 다음과 같습니다.[domain/idm.example.com/ad.example.com]
ad_server = dc1.ad.example.com- SSSD를 다시 시작합니다.
# systemctl restart sssd.service - 확인하려면 SSSD 클라이언트에서 구성된 서버 또는 사이트의 Active Directory 사용자로 확인 또는 인증합니다. 예를 들면 다음과 같습니다.
# id ad_user@ad.example.com
사용자 또는 인증을 해결할 수 없는 경우 다음 단계를 사용하여 문제를 해결합니다.
sssd.conf의 일반적인[domain]섹션에서debug_level옵션을9로 설정합니다./var/log/sssd/에서 SSSD 로그를 검사하여 SSSD에 연결된 서버를 확인합니다.
추가 리소스
sssd.conf의 신뢰할 수 있는 도메인 섹션에서 사용할 수 있는 옵션 목록은 sssd.conf(5) 도움말 페이지에서 CONUSTEDDOMAINSECTION을 참조하십시오.
