50장. 짧은 AD 사용자 이름을 확인하도록 도메인 확인 순서 구성
기본적으로 AD(Active Directory) 환경에서 사용자와 그룹을 확인하고 인증하려면 user_name@domain.com
또는 domain.com\user_name
형식으로 정규화된 이름을 지정해야 합니다. 다음 섹션에서는 짧은 AD 사용자 이름과 그룹 이름을 확인하도록 IdM 서버 및 클라이언트를 구성하는 방법을 설명합니다.
50.1. 도메인 확인 순서의 작동 방식
AD(Active Directory)가 신뢰할 수 있는 IdM(Identity Management) 환경에서는 정규화된 이름을 지정하여 사용자와 그룹을 확인하고 인증할 것을 권장합니다. 예를 들어 다음과 같습니다.
-
<idm_username> idm.example.com
의 IdM 사용자의 경우idm.example.com
-
<ad_username> ad.example.com 도메인에서 AD 사용자의 경우 @
ad.example.com
기본적으로 ad_username
과 같은 짧은 이름 형식을 사용하여 사용자 또는 그룹 조회를 수행하는 경우 IdM은 IdM 도메인만 검색하고 AD 사용자 또는 그룹을 찾지 못합니다. 짧은 이름을 사용하여 AD 사용자 또는 그룹을 확인하려면 도메인 확인 순서 옵션을 설정하여 IdM이 여러 도메인을 검색하는 순서를
변경합니다.
IdM 데이터베이스에서 도메인 확인 순서를 중앙에서 설정하거나 개별 클라이언트의 SSSD 구성에서 설정할 수 있습니다. IdM은 다음과 같은 우선순위 순서로 도메인 확인 순서를 평가합니다.
-
로컬
/etc/sssd/sssd.conf
설정. - ID 보기 구성입니다.
- 글로벌 IdM 구성.
참고
-
호스트의 SSSD 구성에
default_domain_suffix
옵션이 포함되어 있고 이 옵션으로 지정되지 않은 도메인에 대한 요청을 만들려면 정규화된 사용자 이름을 사용해야 합니다. -
도메인 확인 순서
옵션을 사용하고compat
트리를 쿼리하는 경우 여러 개의 UID(사용자 ID)가 수신될 수 있습니다. 이 경우 도메인 확인 순서가 설정된 경우 Pagure 버그 report Inconsistent compat 사용자 개체를 AD 사용자 의 사용자 개체를 참조하십시오.
IdM 클라이언트 또는 IdM 서버에 full_name_format
SSSD 옵션을 사용하지 마십시오. 이 옵션에 기본값이 아닌 값을 사용하면 사용자 이름이 표시되는 방식을 변경하고 IdM 환경에서 조회가 중단될 수 있습니다.