Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

1.3. AD에 직접 연결

SSSD(System Security Services Daemon)는 RHEL(Red Hat Enterprise Linux) 시스템을 AD(Active Directory)에 연결하는 데 권장되는 구성 요소입니다. SSSD의 기본값인 POSIX ID 매핑을 사용하거나 AD에 정의된 POSIX 특성을 사용하여 AD와 직접 통합할 수 있습니다.

중요

1.3.1. AD에서 POSIX ID 매핑 또는 POSIX 특성을 사용하는 옵션
링크 복사

Linux 및 Windows 시스템은 사용자와 그룹에 대해 서로 다른 식별자를 사용합니다.

  • Linux는 UID( 사용자 ID ) 및 그룹 ID (GID)를 사용합니다. 기본 시스템 설정 구성에서 사용자 및 그룹 계정 관리 소개 참조하십시오. Linux UID 및 GID는 POSIX 표준과 호환됩니다.
  • Windows에서는 보안 ID (SID)를 사용합니다.
중요

RHEL 시스템을 AD에 연결한 후 AD 사용자 이름과 암호로 인증할 수 있습니다. 중복 이름을 사용하면 충돌하고 인증 프로세스를 중단할 수 있으므로 Windows 사용자와 동일한 이름의 Linux 사용자를 생성하지 마십시오.

RHEL 시스템에 AD 사용자로 인증하려면 UID 및 GID가 할당되어야 합니다. SSSD는 AD에서 POSIX ID 매핑 또는 POSIX 속성을 사용하여 AD와 통합할 수 있는 옵션을 제공합니다. 기본값은 POSIX ID 매핑을 사용하는 것입니다.

1.3.2. POSIX ID 매핑을 사용하여 AD에 연결
링크 복사

SSSD는 AD 사용자의 SID를 사용하여 POSIX ID 매핑이라는 프로세스에서 POSIX ID를 알고리즘 방식으로 생성합니다. POSIX ID 매핑은 AD의 SID와 Linux의 ID 간에 연결을 생성합니다.

  • SSSD에서 새 AD 도메인을 감지하면 사용 가능한 ID 범위를 새 도메인에 할당합니다.
  • AD 사용자가 SSSD 클라이언트 시스템에 처음 로그인하면 SSSD에서 사용자 SID 및 해당 도메인의 ID 범위를 포함하여 SSSD 캐시에 사용자에 대한 항목을 생성합니다.
  • AD 사용자의 ID가 동일한 SID에서 일관된 방식으로 생성되므로 사용자는 RHEL 시스템에 로그인할 때 UID와 GID가 동일합니다.
참고

모든 클라이언트 시스템에서 SSSD를 사용하여 SID를 Linux ID에 매핑하면 매핑이 일관되게 이루어집니다. 일부 클라이언트가 다른 소프트웨어를 사용하는 경우 다음 중 하나를 선택하십시오.

  • 모든 클라이언트에서 동일한 매핑 알고리즘이 사용되는지 확인합니다.
  • AD에 정의된 명시적 POSIX 특성을 사용합니다.

자세한 내용은 sssd-ad 도움말 페이지의 ID 매핑 섹션을 참조하십시오.

1.3.2.1. SSSD를 사용하여 AD 도메인 검색 및 가입
링크 복사

다음 절차에 따라 AD 도메인을 검색하고 SSSD를 사용하여 RHEL 시스템을 해당 도메인에 연결합니다.

사전 요구 사항

  • AD 도메인 컨트롤러에서 다음 포트가 열려 있고 RHEL 호스트에서 액세스할 수 있는지 확인합니다.

    Expand
    표 1.1. SSSD를 사용하여 Linux 시스템을 AD로 직접 통합하기 위해 필요한 포트
    Service포트프로토콜참고

    DNS

    53

    UDP 및 TCP

    		 

    LDAP

    389

    UDP 및 TCP

    		 

    samba

    445

    UDP 및 TCP

    AD Group Policy Objects(GPO)의 경우

    Kerberos

    88

    UDP 및 TCP

    		 

    Kerberos

    464

    UDP 및 TCP

    kadmin 에서 암호 설정 및 변경에 사용

    LDAP 글로벌 카탈로그

    3268

    TCP

    id_provider = ad 옵션을 사용하는 경우

    NTP

    123

    UDP

    선택 사항

  • DNS에 AD 도메인 컨트롤러 서버를 사용 중인지 확인합니다.
  • 두 시스템의 시스템 시간이 동기화되었는지 확인합니다. 이렇게 하면 Kerberos가 올바르게 작동할 수 있습니다.

절차

  1. 다음 패키지를 설치합니다. 

    # yum install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
    Copy to Clipboard Toggle word wrap

  2. 특정 도메인에 대한 정보를 표시하려면 영역 검색을 실행하고 검색 하려는 도메인의 이름을 추가합니다. 

    # realm discover ad.example.com
ad.example.com
  type: kerberos
  realm-name: AD.EXAMPLE.COM
  domain-name: ad.example.com
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common
    Copy to Clipboard Toggle word wrap

    realmd 시스템은 DNS SRV 조회를 사용하여 이 도메인의 도메인 컨트롤러를 자동으로 찾습니다.

    참고

    realmd 시스템은 Active Directory 및 Identity Management 도메인을 모두 검색할 수 있습니다. 두 도메인이 모두 환경에 있는 경우 --server-software=active-directory 옵션을 사용하여 검색 결과를 특정 유형의 서버로 제한할 수 있습니다.

  3. realm join 명령을 사용하여 로컬 RHEL 시스템을 구성합니다. realmd 제품군은 필요한 모든 구성 파일을 자동으로 편집합니다. 예를 들어 ad.example.com 이라는 도메인의 경우 : 

    # realm join ad.example.com
    Copy to Clipboard Toggle word wrap

검증

  • 관리자와 같은 AD 사용자 세부 정보를 표시합니다. 

    # getent passwd administrator@ad.example.com
administrator@ad.example.com:*:1450400500:1450400513:Administrator:/home/administrator@ad.example.com:/bin/bash
    Copy to Clipboard Toggle word wrap

1.3.3. Active Directory에 정의된 POSIX 속성을 사용하여 AD에 연결
링크 복사

AD는 uidNumber,gidNumber ,unixdesignDirectory 또는 loginShell 과 같은 POSIX 속성을 만들고 저장할 수 있습니다.

POSIX ID 매핑을 사용하는 경우 SSSD는 새 UID 및 GID를 생성하여 AD에 정의된 값을 재정의합니다. AD 정의 값을 유지하려면 SSSD에서 POSIX ID 매핑을 비활성화해야 합니다.

최상의 성능을 위해 POSIX 속성을 AD 글로벌 카탈로그에 게시합니다. POSIX 속성이 글로벌 카탈로그에 없으면 SSSD는 LDAP 포트에서 직접 개별 도메인 컨트롤러에 연결됩니다.

사전 요구 사항

  • RHEL 호스트의 다음 포트가 열려 있고 AD 도메인 컨트롤러에 액세스할 수 있는지 확인합니다.

    Expand
    표 1.2. SSSD를 사용하여 Linux 시스템을 AD로 직접 통합하기 위해 필요한 포트
    Service포트프로토콜참고

    DNS

    53

    UDP 및 TCP

    		 

    LDAP

    389

    UDP 및 TCP

    		 

    Kerberos

    88

    UDP 및 TCP

    		 

    Kerberos

    464

    UDP 및 TCP

    kadmin이 암호 설정 및 변경에 사용합니다

    LDAP 글로벌 카탈로그

    3268

    TCP

    id_provider = ad 옵션을 사용하는 경우

    NTP

    123

    UDP

    선택 사항

  • DNS에 AD 도메인 컨트롤러 서버를 사용 중인지 확인합니다.
  • 두 시스템의 시스템 시간이 동기화되었는지 확인합니다. 이렇게 하면 Kerberos가 올바르게 작동할 수 있습니다.

절차

  1. 다음 패키지를 설치합니다. 

    # yum install realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
    Copy to Clipboard Toggle word wrap

  2. realm join 명령을 --automatic-id-mapping=no 옵션으로 사용하여 POSIX ID 매핑이 비활성화된 로컬 RHEL 시스템을 구성합니다. realmd 제품군은 필요한 모든 구성 파일을 자동으로 편집합니다. 예를 들어 ad.example.com 이라는 도메인의 경우 : 

    # realm join --automatic-id-mapping=no ad.example.com
    Copy to Clipboard Toggle word wrap

  3. 도메인에 이미 가입한 경우 SSSD에서 POSIX ID 매핑을 수동으로 비활성화할 수 있습니다.

    1. /etc/sssd/sssd.conf 파일을 엽니다.
    2. AD domain(추가 도메인) 섹션에서 ldap_id_mapping = false 설정을 추가합니다.

    3. SSSD 캐시를 제거합니다. 

      rm -f /var/lib/sss/db/*
      Copy to Clipboard Toggle word wrap

    4. SSSD를 다시 시작합니다. 

      systemctl restart sssd
      Copy to Clipboard Toggle word wrap

SSSD에서는 이제 로컬에서 로컬로 생성하는 대신 AD의 POSIX 속성을 사용합니다.

참고

AD에 있는 사용자를 위해 구성된 관련 POSIX 속성(uidNumber, gidNumber,unixjobDirectoryloginShell)이 있어야 합니다.

검증

  • 관리자와 같은 AD 사용자 세부 정보를 표시합니다. 

    # getent passwd administrator@ad.example.com
administrator@ad.example.com:*:10000:10000:Administrator:/home/Administrator:/bin/bash
    Copy to Clipboard Toggle word wrap

1.3.4. SSSD를 사용하여 다양한 AD 포리스트의 여러 도메인에 연결
링크 복사

AD (Active Directory) Managed Service Account (MSA)를 사용하여 서로 다른 모방이 없는 AD 도메인에 액세스할 수 있습니다.

관리형 서비스 계정을 사용하여 AD 액세스를 참조하십시오.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat