2장. authselect를 사용하여 사용자 인증 구성
Authselect
는 특정 프로필을 선택하여 시스템 ID 및 인증 소스를 구성할 수 있는 유틸리티입니다. 프로필은 결과적으로 PAM(Pluggable Authentication Modules) 및 NSS(Network Security Services) 구성을 설명하는 파일 집합입니다. 기본 프로필을 선택하거나 사용자 지정 프로필을 만들 수 있습니다.
2.1. authselect 사용
authselect
유틸리티를 사용하여 Red Hat Enterprise Linux 8 호스트에서 사용자 인증을 구성할 수 있습니다.
준비된 프로필 중 하나를 선택하여 ID 정보 및 인증 소스 및 공급자를 구성할 수 있습니다.
-
기본
sssd
프로필은 LDAP 인증을 사용하는 시스템에 대해 SSSD(System Security Services Daemon)를 활성화합니다. -
winbind
프로필을 사용하면 Microsoft Active Directory와 직접 통합된 시스템에 대해 Winbind 유틸리티를 사용할 수 있습니다. -
nis
프로필은 레거시 NIS(Network Information Service) 시스템과의 호환성을 보장합니다. -
최소
프로필은 시스템 파일에서 직접 로컬 사용자와 그룹만 제공하므로 관리자가 더 이상 필요하지 않은 네트워크 인증 서비스를 제거할 수 있습니다.
지정된 호스트에 대해 authselect
프로필을 선택하면 이 프로필이 호스트에 로그인하는 모든 사용자에게 적용됩니다.
반중앙화된 ID 관리 환경에서 authselect
를 사용하는 것이 좋습니다. 예를 들어 조직에서 LDAP, Winbind 또는 NIS 데이터베이스를 활용하여 도메인의 서비스를 사용하도록 사용자를 인증하는 것이 좋습니다.
다음과 같은 경우 authselect
를 사용할 필요가 없습니다.
-
호스트는 Red Hat Enterprise Linux IdM(Identity Management)의 일부입니다.
ipa-client-install
명령을 사용하여 호스트를 IdM 도메인에 연결하면 호스트에서 SSSD 인증을 자동으로 구성합니다. -
호스트는 SSSD를 통한 Active Directory의 일부입니다. 호스트를 Active Directory 도메인에 연결하도록
realm join
명령 호출은 호스트에서 SSSD 인증을 자동으로 구성합니다.
ipa-client-install
또는 realm join
으로 구성된 authselect
프로필을 변경하지 않는 것이 좋습니다. 수정이 필요한 경우 수정하기 전에 현재 설정을 표시하여 필요한 경우 되돌릴 수 있습니다.
$ authselect current
Profile ID: sssd
Enabled features:
- with-sudo
- with-mkhomedir
- with-smartcard
2.1.1. 파일 및 디렉터리 authselect 수정
이전 Red Hat Enterprise Linux 버전에서 사용된 authconfig
유틸리티는 다양한 구성 파일을 생성 및 수정하여 문제 해결을 어렵게 만듭니다. Authselect
는 다음 파일 및 디렉터리만 수정하므로 테스트 및 문제 해결을 간소화합니다.
| GNU C 라이브러리 및 기타 애플리케이션은 이 NSS(Name Service Switch) 구성 파일을 사용하여 다양한 범주에서 이름 서비스 정보를 가져올 소스와 순서가 무엇인지 확인합니다. 정보의 각 카테고리는 데이터베이스 이름으로 식별됩니다. |
| Linux-PAM(Pluggable Authentication Modules)은 시스템에서 애플리케이션(서비스)의 인증 작업을 처리하는 모듈 시스템입니다. 인증의 특성은 동적으로 구성할 수 있습니다. 시스템 관리자는 개별 서비스 제공 애플리케이션이 사용자를 인증하는 방법을 선택할 수 있습니다.
특히 이 파일에는 다음에 대한 정보가 포함되어 있습니다.
|
|
이 디렉토리에는 |
2.1.2. /etc/nsswitch.conf
의 데이터 공급자
기본 sssd
프로필은 /etc/nsswitch.conf에
sss
항목을 생성하여 SSSD를 정보 소스로 설정합니다.
passwd: sss files group: sss files netgroup: sss files automount: sss files services: sss files ...
즉, 시스템은 먼저 이러한 항목 중 하나에 대한 정보가 요청되는 경우 SSSD를 찾습니다.
-
사용자 정보의
passwd
-
사용자
그룹
정보를 위한 그룹 -
NIS
netgroup
정보를 위한netgroup
-
NFS
자동 마운트
정보를 위한 자동 마운트 -
서비스
관련 정보의 서비스
sssd
캐시에 요청한 정보를 찾을 수 없고 인증을 제공하는 서버에서 요청한 정보를 찾을 수 없거나 sssd
가 실행 중이 아닌 경우 시스템은 로컬 파일 즉 /etc/*
를 확인합니다.
예를 들어 사용자 ID에 대한 정보가 요청되면 사용자 ID가 sssd
캐시에서 먼저 검색됩니다. 여기에서 찾을 수 없는 경우 /etc/passwd
파일을 참조합니다. 논리적으로 사용자의 그룹 제휴가 요청되면 sssd
캐시에서 먼저 검색되며 찾을 수 없는 경우에만 /etc/group
파일이 참조됩니다.
실제로는 로컬 파일
데이터베이스가 일반적으로 참조되지 않습니다. 가장 중요한 예외는 sssd
에 의해 처리되지 않지만 파일에
의해 처리되지 않는 루트
사용자의 경우입니다.