SLED/SLES 데스크톱에서 스마트 카드 리디렉션을 지원하려면 Samba 및 Winbind 솔루션을 사용하여 AD(Active Directory) 도메인에 데스크톱을 통합합니다.

스마트 카드 리디렉션을 위해 SLED/SLES 데스크톱을 AD 도메인에 통합하려면 다음 절차를 사용합니다.

이 절차의 일부 예제는 AD 도메인의 DNS 이름과 같은 네트워크 구성의 엔티티를 나타내기 위해 자리 표시자 값을 사용합니다. 다음 표에 설명된 대로 자리 표시자 값을 구성과 관련된 정보로 바꿉니다.

자리 표시자 값 설명
dns_IP_ADDRESS DNS 이름 서버의 IP 주소
mydomain.com AD 도메인의 DNS 이름
MYDOMAIN.COM AD 도메인의 DNS 이름(모두 대문자)
MYDOMAIN Samba 서버를 포함하는 작업 그룹 또는 NT 도메인의 DNS 이름(모두 대문자)
ads-hostname AD 서버의 호스트 이름
ads-hostname.mydomain.com AD 서버의 FQDN(정규화된 도메인 이름)
mytimeserver.mycompany.com NTP 시간 서버의 DNS 이름
AdminUser Linux 데스크톱 관리자의 사용자 이름

프로시저

  1. SLED/SLES 데스크톱에 대한 네트워크 설정을 구성합니다.
    1. /etc/hostname/etc/hosts 구성 파일을 편집하여 데스크톱의 호스트 이름을 정의합니다.
    2. DNS 서버 IP 주소를 구성하고 자동 DNS를 사용하지 않도록 설정합니다. SLES 12 SP3의 경우 DHCP를 통해 호스트 이름 변경도 사용하지 않도록 설정합니다.
    3. 네트워크 시간 동기화를 구성하려면 다음 예제와 같이 NTP 서버 정보를 /etc/ntp.conf 파일에 추가합니다.
      server mytimeserver.mycompany.com
  2. 필요한 AD 가입 패키지를 설치합니다.
    # zypper in krb5-client samba-winbind
  3. 필요한 구성 파일을 편집합니다.
    1. 다음 예제와 같이 /etc/samba/smb.conf 파일을 편집합니다.
      [global]
              workgroup = MYDOMAIN
              usershare allow guests = NO
              idmap gid = 10000-20000
              idmap uid = 10000-20000
              kerberos method = secrets and keytab
              realm = MYDOMAIN.COM
              security = ADS
              template homedir = /home/%D/%U
              template shell = /bin/bash
              winbind use default domain=true
              winbind offline logon = yes
              winbind refresh tickets = yes
      [homes]
              ...
    2. 다음 예제와 같이 /etc/krb5.conf 파일을 편집합니다.
      [libdefaults]
              default_realm = MYDOMAIN.COM
              clockskew = 300 
      
      [realms]
              MYDOMAIN.COM = {
                      kdc = ads-hostname.mydomain.com
                      default_domain = mydomain.com 
                      admin_server = ads-hostname.mydomain.com
              }
      
      [logging]
              kdc = FILE:/var/log/krb5/krb5kdc.log
              admin_server = FILE:/var/log/krb5/kadmind.log
              default = SYSLOG:NOTICE:DAEMON
      
      [domain_realm]
              .mydomain.com = MYDOMAIN.COM
              mydomain.com = MYDOMAIN.COM
      
      [appdefaults]
              pam = {
                      ticket_lifetime = 1d
                      renew_lifetime = 1d
                      forwardable = true
                      proxiable = false
                      minimum_uid = 1
              }
    3. 다음 예제와 같이 /etc/security/pam_winbind.conf 파일을 편집합니다.
      cached_login = yes
      krb5_auth = yes
      krb5_ccache_type = FILE
    4. 다음 예제와 같이 /etc/nsswitch.conf 파일을 편집합니다.
      passwd: compat winbind
      group: compat winbind
  4. 다음 예제와 같이 AD 도메인에 가입합니다.
    # net ads join -U AdminUser
  5. Winbind 서비스를 사용하도록 설정합니다.
    1. Winbind를 사용하도록 설정하고 시작하려면 다음 명령 순서를 실행합니다.
      # pam-config --add --winbind
      # pam-config -a --mkhomedir
      # systemctl enable winbind
      # systemctl start winbind
    2. AD 사용자가 Linux 서버를 다시 시작하지 않고 데스크톱에 로그인할 수 있도록 하려면 다음 명령 순서를 실행합니다.
      # systemctl stop nscd
      # nscd -i passwd
      # nscd -i group
      # systemctl start nscd
  6. AD 가입을 확인하려면 다음 명령을 실행한 후 올바른 출력을 반환하는지 확인합니다.
    # wbinfo -u
    
    # wbinfo -g

다음에 수행할 작업

SLED/SLES 데스크톱에 대한 스마트 카드 리디렉션 설정