2장. authselect를 사용하여 사용자 인증 구성


Authselect 는 특정 프로필을 선택하여 시스템 ID 및 인증 소스를 구성할 수 있는 유틸리티입니다. 프로필은 결과적으로 PAM(Pluggable Authentication Modules) 및 NSS(Network Security Services) 구성을 설명하는 파일 집합입니다. 기본 프로필을 선택하거나 사용자 지정 프로필을 만들 수 있습니다.

2.1. authselect 사용

authselect 유틸리티를 사용하여 Red Hat Enterprise Linux 8 호스트에서 사용자 인증을 구성할 수 있습니다.

준비된 프로필 중 하나를 선택하여 ID 정보 및 인증 소스 및 공급자를 구성할 수 있습니다.

  • 기본 sssd 프로필은 LDAP 인증을 사용하는 시스템에 대해 SSSD(System Security Services Daemon)를 활성화합니다.
  • winbind 프로필을 사용하면 Microsoft Active Directory와 직접 통합된 시스템에 대해 Winbind 유틸리티를 사용할 수 있습니다.
  • nis 프로필은 레거시 NIS(Network Information Service) 시스템과의 호환성을 보장합니다.
  • 최소 프로필은 시스템 파일에서 직접 로컬 사용자와 그룹만 제공하므로 관리자가 더 이상 필요하지 않은 네트워크 인증 서비스를 제거할 수 있습니다.

지정된 호스트에 대해 authselect 프로필을 선택하면 이 프로필이 호스트에 로그인하는 모든 사용자에게 적용됩니다.

반중앙화된 ID 관리 환경에서 authselect 를 사용하는 것이 좋습니다. 예를 들어 조직에서 LDAP, Winbind 또는 NIS 데이터베이스를 활용하여 도메인의 서비스를 사용하도록 사용자를 인증하는 것이 좋습니다.

주의

다음과 같은 경우 authselect 를 사용할 필요가 없습니다.

  • 호스트는 Red Hat Enterprise Linux IdM(Identity Management)의 일부입니다. ipa-client-install 명령을 사용하여 호스트를 IdM 도메인에 연결하면 호스트에서 SSSD 인증을 자동으로 구성합니다.
  • 호스트는 SSSD를 통한 Active Directory의 일부입니다. 호스트를 Active Directory 도메인에 연결하도록 realm join 명령 호출은 호스트에서 SSSD 인증을 자동으로 구성합니다.

ipa-client-install 또는 realm join 으로 구성된 authselect 프로필을 변경하지 않는 것이 좋습니다. 수정이 필요한 경우 수정하기 전에 현재 설정을 표시하여 필요한 경우 되돌릴 수 있습니다.

$ authselect current
Profile ID: sssd
Enabled features:
- with-sudo
- with-mkhomedir
- with-smartcard

2.1.1. 파일 및 디렉터리 authselect 수정

이전 Red Hat Enterprise Linux 버전에서 사용된 authconfig 유틸리티는 다양한 구성 파일을 생성 및 수정하여 문제 해결을 어렵게 만듭니다. Authselect 는 다음 파일 및 디렉터리만 수정하므로 테스트 및 문제 해결을 간소화합니다.

/etc/nsswitch.conf

GNU C 라이브러리 및 기타 애플리케이션은 이 NSS(Name Service Switch) 구성 파일을 사용하여 다양한 범주에서 이름 서비스 정보를 가져올 소스와 순서가 무엇인지 확인합니다. 정보의 각 카테고리는 데이터베이스 이름으로 식별됩니다.

/etc/pam.d/* 파일

Linux-PAM(Pluggable Authentication Modules)은 시스템에서 애플리케이션(서비스)의 인증 작업을 처리하는 모듈 시스템입니다. 인증의 특성은 동적으로 구성할 수 있습니다. 시스템 관리자는 개별 서비스 제공 애플리케이션이 사용자를 인증하는 방법을 선택할 수 있습니다.

/etc/pam.d/ 디렉터리의 구성 파일은 서비스에 필요한 인증 작업을 수행할 PAM과 개별 PAM이 실패하는 경우 PAM-API의 적절한 동작을 나열합니다.

특히 이 파일에는 다음에 대한 정보가 포함되어 있습니다.

  • 사용자 암호 잠금 조건
  • 스마트 카드로 인증하는 기능
  • 지문 리더로 인증하는 기능

/etc/dconf/db/distro.d/* 파일

이 디렉토리에는 dconf 유틸리티의 구성 프로필이 있으며, 이 프로필은 GNOME 데스크탑 GUI(그래픽 사용자 인터페이스)의 설정을 관리하는 데 사용할 수 있습니다.

2.1.2. /etc/nsswitch.conf의 데이터 공급자

기본 sssd 프로필은 /etc/nsswitch.conf에 sss 항목을 생성하여 SSSD를 정보 소스로 설정합니다.

passwd:     sss files
group:      sss files
netgroup:   sss files
automount:  sss files
services:   sss files
...

즉, 시스템은 먼저 이러한 항목 중 하나에 대한 정보가 요청되는 경우 SSSD를 찾습니다.

  • 사용자 정보의 passwd
  • 사용자 그룹 정보를 위한 그룹
  • NIS netgroup 정보를 위한 netgroup
  • NFS 자동 마운트 정보를 위한 자동 마운트
  • 서비스 관련 정보의 서비스

sssd 캐시에 요청한 정보를 찾을 수 없고 인증을 제공하는 서버에서 요청한 정보를 찾을 수 없거나 sssd 가 실행 중이 아닌 경우 시스템은 로컬 파일 즉 /etc/* 를 확인합니다.

예를 들어 사용자 ID에 대한 정보가 요청되면 사용자 ID가 sssd 캐시에서 먼저 검색됩니다. 여기에서 찾을 수 없는 경우 /etc/passwd 파일을 참조합니다. 논리적으로 사용자의 그룹 제휴가 요청되면 sssd 캐시에서 먼저 검색되며 찾을 수 없는 경우에만 /etc/group 파일이 참조됩니다.

실제로는 로컬 파일 데이터베이스가 일반적으로 참조되지 않습니다. 가장 중요한 예외는 sssd 에 의해 처리되지 않지만 파일에 의해 처리되지 않는 루트 사용자의 경우입니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.