Red Hat Summit1.5. AD 도메인 멤버 서버로 Samba 설정
AD 또는 NT4 도메인을 실행 중인 경우 Samba를 사용하여 Red Hat Enterprise Linux 서버를 도메인에 멤버로 추가하여 다음을 얻을 수 있습니다.
- 다른 도메인 구성원의 도메인 리소스에 액세스
-
sshd와 같은 로컬 서비스에 도메인 사용자를 인증합니다 - 공유 디렉토리 및 서버에서 호스트된 프린터 파일 역할을 파일 및 인쇄 서버
1.5.1. AD 도메인에 RHEL 시스템 연결
Samba Winbind는 RHEL(Red Hat Enterprise Linux) 시스템을 Active Directory(AD)와 연결하기 위한 SSSD(System Security Services Daemon) 대안입니다. realmd 를 사용하여 Samba Winbind를 구성하여 RHEL 시스템을 AD 도메인에 연결할 수 있습니다.
사전 요구 사항
- 호스트는 AD 도메인을 확인할 수 있는 DNS 서버를 사용합니다.
- 호스트의 시간이 AD의 시간과 동기화되고 시간대 설정이 올바르게 됩니다.
절차
AD에 Kerberos 인증을 위한 더 이상 사용되지 않는 RC4 암호화 유형이 필요한 경우 RHEL에서 이러한 암호에 대한 지원을 활성화합니다.
update-crypto-policies --set DEFAULT:AD-SUPPORT
# update-crypto-policies --set DEFAULT:AD-SUPPORTCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 패키지를 설치합니다.
dnf install realmd oddjob-mkhomedir oddjob samba-winbind-clients \ samba-winbind samba-common-tools samba-winbind-krb5-locator krb5-workstation# dnf install realmd oddjob-mkhomedir oddjob samba-winbind-clients \ samba-winbind samba-common-tools samba-winbind-krb5-locator krb5-workstationCopy to Clipboard Copied! Toggle word wrap Toggle overflow 도메인 구성원에서 디렉터리 또는 프린터를 공유하려면
samba패키지를 설치합니다.dnf install samba
# dnf install sambaCopy to Clipboard Copied! Toggle word wrap Toggle overflow 기존
/etc/samba/smb.confSamba 구성 파일을 백업합니다.mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
# mv /etc/samba/smb.conf /etc/samba/smb.conf.bakCopy to Clipboard Copied! Toggle word wrap Toggle overflow 도메인에 가입합니다. 예를 들어
ad.example.com이라는 도메인에 가입하려면 다음을 수행합니다.realm join --membership-software=samba --client-software=winbind ad.example.com
# realm join --membership-software=samba --client-software=winbind ad.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 명령을 사용하면
realm유틸리티가 자동으로 수행됩니다.-
ad.example.com도메인 멤버십에 대한/etc/samba/smb.conf파일을 만듭니다. -
사용자 및 그룹 조회에 대한
winbind모듈을/etc/nsswitch.conf파일에 추가합니다. -
/etc/pam.d/디렉토리에서 PAM(Pluggable Authentication Module) 구성 파일을 업데이트합니다. -
winbind서비스를 시작하고 시스템이 부팅될 때 서비스가 시작됩니다.
-
-
선택 사항:
/etc/samba/smb.conf파일에서 대체 ID 매핑 백엔드 또는 사용자 지정 ID 매핑 설정을 설정합니다.
자세한 내용은 Samba ID 매핑 이해 및 구성을 참조하십시오.
winbind서비스가 실행 중인지 확인합니다.systemctl status winbind ... Active: active (running) since Tue 2018-11-06 19:10:40 CET; 15s ago
# systemctl status winbind ... Active: active (running) since Tue 2018-11-06 19:10:40 CET; 15s agoCopy to Clipboard Copied! Toggle word wrap Toggle overflow 중요Samba를 활성화하여 도메인 사용자 및 그룹 정보를 쿼리하려면
smb를 시작하기 전에winbind서비스를 실행해야 합니다.디렉터리 및 프린터를 공유하는
samba패키지를 설치한 경우smb서비스를 활성화하고 시작합니다.systemctl enable --now smb
# systemctl enable --now smbCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
Active Directory에 대한 로컬 로그인을 인증하는 경우
winbind_krb5_localauth플러그인을 활성화합니다. MIT Kerberos 용으로 로컬 권한 부여 플러그인 사용을 참조하십시오.
검증
AD 도메인의 AD 관리자 계정과 같은 AD 사용자의 세부 정보를 표시합니다.
getent passwd "AD\administrator" AD\administrator:*:10000:10000::/home/administrator@AD:/bin/bash
# getent passwd "AD\administrator" AD\administrator:*:10000:10000::/home/administrator@AD:/bin/bashCopy to Clipboard Copied! Toggle word wrap Toggle overflow AD 도메인에서 도메인 사용자 그룹의 멤버를 쿼리합니다.
getent group "AD\Domain Users" AD\domain users:x:10000:user1,user2# getent group "AD\Domain Users" AD\domain users:x:10000:user1,user2Copy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항: 파일 및 디렉터리에 대한 권한을 설정할 때 도메인 사용자 및 그룹을 사용할 수 있는지 확인합니다. 예를 들어
/srv/samba/example.txt파일의 소유자를AD\administrator로 설정하고 그룹을AD\Domain Users로 설정하려면 다음을 수행합니다.chown "AD\administrator":"AD\Domain Users" /srv/samba/example.txt
# chown "AD\administrator":"AD\Domain Users" /srv/samba/example.txtCopy to Clipboard Copied! Toggle word wrap Toggle overflow Kerberos 인증이 예상대로 작동하는지 확인합니다.
AD 도메인 멤버에서
administrator@AD.EXAMPLE.COM주체의 티켓을 받습니다.kinit administrator@AD.EXAMPLE.COM
# kinit administrator@AD.EXAMPLE.COMCopy to Clipboard Copied! Toggle word wrap Toggle overflow 캐시된 Kerberos 티켓을 표시합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
사용 가능한 도메인을 표시합니다.
wbinfo --all-domains BUILTIN SAMBA-SERVER AD
# wbinfo --all-domains BUILTIN SAMBA-SERVER ADCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.5.2. MIT Kerberos용 로컬 인증 플러그인 사용
winbind 서비스는 Active Directory 사용자를 도메인 구성원에게 제공합니다. 관리자는 특정 상황에서 도메인 사용자가 도메인 구성원에서 실행 중인 SSH 서버와 같은 로컬 서비스에 인증할 수 있도록 설정하려고 합니다. Kerberos를 사용하여 도메인 사용자를 인증할 때 winbind_krb5_localauth 플러그인을 활성화하여 winbind 서비스를 통해 Kerberos 주체를 Active Directory 계정에 올바르게 매핑하십시오.
예를 들어 Active Directory 사용자의 sAMAccountName 속성이 EXAMPLE 으로 설정되어 있고 사용자가 사용자 이름 소문자로 로그인하려고 하면 Kerberos는 대문자로 사용자 이름을 반환합니다. 이로 인해 항목이 일치하지 않고 인증이 실패합니다.
winbind_krb5_localauth 플러그인을 사용하면 계정 이름이 올바르게 매핑됩니다. 이는 GSSAPI 인증에만 적용되며 초기 티켓 부여 티켓(TGT)은 받지 않습니다.
사전 요구 사항
- Samba는 Active Directory의 멤버로 구성되어 있습니다.
- Red Hat Enterprise Linux는 Active Directory에 대한 로그인 시도를 인증합니다.
-
winbind서비스가 실행 중입니다.
절차
/etc/krb5.conf 파일을 편집하고 다음 섹션을 추가합니다.
[plugins]
localauth = {
module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so
enable_only = winbind
}
[plugins]
localauth = {
module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so
enable_only = winbind
}1.5.3. Samba 클라이언트에서 인증서 자동 등록 활성화
인증서 자동 등록은 AD(Active Directory) 인증서 서비스의 기능입니다. 이 기능을 사용하면 사용자 개입 없이 인증서 등록을 수행할 수 있습니다. 관리자는 인증서를 수동으로 모니터링하고 갱신하지 않고 로컬 서비스에서 AD CA(인증 기관)에서 발급한 인증서를 사용할 수 있으므로 중단이 중단되는 것을 방지할 수 있습니다.
AD가 CA(인증 기관)를 제공하고 RHEL 호스트가 AD의 멤버인 경우 RHEL 호스트에서 인증서 자동 등록을 활성화할 수 있습니다. 그러면 Samba가 AD의 자동 등록 그룹 정책을 적용하고 인증서를 요청 및 관리하도록 certmonger 서비스를 구성합니다.
사전 요구 사항
- Samba는 AD의 멤버로 구성되어 있습니다.
AD의 Windows 서버에는 다음 서비스가 설치된 Active Directory 인증서 서비스 서버 역할이 있습니다.
- 인증 기관
- 인증서 등록
- 정책 웹 서비스
- ISS(Internet Information Services)는 HTTPS를 통해 인증서 자동 등록 기능을 제공하도록 구성되어 있습니다.
- ISS는 AD CA에서 발급한 인증서를 사용합니다.
- 인증서 등록 서비스는 Kerberos 인증을 지원합니다.
- 인증서 자동 등록에 대한 GPO(그룹 정책 오브젝트)가 AD에 구성되어 있습니다.
절차
samba-gpupdate패키지를 설치합니다.dnf install samba-gpupdate
# dnf install samba-gpupdateCopy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/samba/smb.conf파일에 다음 설정을 추가합니다.kerberos method = secrets and keytab sync machine password to keytab = "/etc/krb5.keytab:account_name:sync_spns:spn_prefixes=host:sync_kvno:machine_password", "/etc/samba/cepces.keytab:account_name:machine_password" apply group policies = yes
kerberos method = secrets and keytab sync machine password to keytab = "/etc/krb5.keytab:account_name:sync_spns:spn_prefixes=host:sync_kvno:machine_password", "/etc/samba/cepces.keytab:account_name:machine_password" apply group policies = yesCopy to Clipboard Copied! Toggle word wrap Toggle overflow Samba 구성에 지정된 설정에는 다음 구성이 포함됩니다.
Kerberos 방법 = secrets 및 keytab-
먼저 Kerberos 티켓을 확인한 다음
/etc/krb5.keytab파일을 확인하려면/var/lib/samba/private/secrets.tdb파일을 사용하도록 Samba를 구성합니다. sync machine password to keytab = <list_of_keytab_files_and_their_principals>-
Samba가 유지 관리하는 키탭 파일의 경로와 이러한 파일에서 Kerberos 주체를 정의합니다. 표시된 값을 사용하면 Samba는
/etc/krb5.keytab시스템 키탭을 계속 유지 관리하며, 또한certmonger에 대한cepces-submit제출 도우미가 CA에 인증하는 데 사용하는/etc/samba/cepces.keytab파일을 유지합니다. 그룹 정책 적용 = yes-
gpupdate명령을 간격으로 실행하도록winbind서비스를 구성합니다. 업데이트 간격은 90분과 0분에서 30분 사이의 임의 오프셋입니다.
/etc/samba/cepces.keytab파일을 만듭니다.net ads keytab create
# net ads keytab createCopy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/cepces/cepces.conf파일을 편집하고 다음과 같이 변경합니다.[global]섹션에서server변수를 CA 서비스를 실행하는 Windows 서버의 FQDN(정규화된 도메인 이름)으로 설정합니다.[global] server=win-server.ad.example.com
[global] server=win-server.ad.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow [kerberos]섹션에서keytab변수를/etc/samba/cepces.keytab으로 설정합니다.[kerberos] keytab=/etc/samba/cepces.keytab
[kerberos] keytab=/etc/samba/cepces.keytabCopy to Clipboard Copied! Toggle word wrap Toggle overflow
certmonger서비스를 활성화하고 시작합니다.systemctl enable --now certmonger
# systemctl enable --now certmongerCopy to Clipboard Copied! Toggle word wrap Toggle overflow certmonger서비스는 CA에서 인증서를 요청하고 만료되기 전에 자동으로 갱신합니다.samba-gpupdate를 수동으로 실행하여 AD에서 그룹 정책이 로드되었는지 확인합니다.samba-gpupdate
# samba-gpupdateCopy to Clipboard Copied! Toggle word wrap Toggle overflow certmonger서비스는 다음 디렉터리에 키와 인증서를 저장합니다.-
개인 키:
/var/lib/samba/private/certs/ 발행된 인증서:
/var/lib/samba/certs/이제 동일한 호스트의 서비스에서 키와 인증서를 사용할 수 있습니다.
-
개인 키:
선택 사항:
certmonger에서 관리하는 인증서를 표시합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기본적으로 Windows CA는
머신인증서 템플릿을 사용하여 인증서만 발행합니다. 이 호스트에 적용되는 추가 템플릿을 Windows CA에 구성한 경우certmonger도 이러한 템플릿에 대한 인증서를 요청하고getcert list출력에 대한 항목도 포함됩니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}