스마트 카드 리디렉션을 위해 RHEL 8.x 데스크톱을 AD(Active Directory) 도메인에 통합하려면 다음 절차를 사용합니다.

이 절차의 일부 예제는 AD 도메인의 DNS 이름과 같은 네트워크 구성의 엔티티를 나타내기 위해 자리 표시자 값을 사용합니다. 다음 표에 설명된 대로 자리 표시자 값을 구성과 관련된 정보로 바꿉니다.

자리 표시자 값 설명
dns_IP_ADDRESS DNS 이름 서버의 IP 주소
rhel8sc.rzview2.com RHEL 8.0 시스템의 정규화된 호스트 이름
rhel8sc RHEL 8.0 시스템의 정규화되지 않은 호스트 이름
rzview2.com AD 도메인의 DNS 이름
RZVIEW2.COM AD 도메인의 DNS 이름(모두 대문자)
RZVIEW2 Samba 서버를 포함하는 작업 그룹 또는 NT 도메인의 DNS 이름(모두 대문자)
rzviewdns.rzview2.com AD 서버의 호스트 이름

프로시저

  1. RHEL 8.x 시스템에서 다음을 수행합니다.
    1. 조직에 필요한 네트워크 및 DNS 설정을 구성합니다.
    2. IPv6를 사용하지 않도록 설정합니다.
    3. 자동 DNS를 사용하지 않도록 설정합니다.
  2. 다음 예와 유사하게 /etc/hosts 구성 파일을 구성합니다.
    127.0.0.1        rhel8sc.rzview2.com rhel8sc localhost localhost.localdomain localhost4 localhost4.localdomain4
    ::1              localhost localhost.localdomain localhost6 localhost6.localdomain6
     
    dns_IP_ADDRESS   rzviewdns.rzview2.com
  3. 다음 예와 유사하게 /etc/resolv.conf 구성 파일을 구성합니다.
    # Generated by NetworkManager
    search rzview2.com
    nameserver dns_IP_ADDRESS
  4. AD 통합에 필요한 패키지를 설치합니다.
    # yum install -y samba-common-tools oddjob-mkhomedir
  5. oddjobd 서비스를 사용하도록 설정합니다.
    # systemctl enable oddjobd.service
    # systemctl start oddjobd.service
    
  6. 시스템 ID 및 인증 소스를 지정합니다.
    # authselect select sssd with-smartcard with-mkhomedir
    
    
  7. oddjobd 서비스를 시작합니다.
    # systemctl enable oddjobd.service
    # systemctl start oddjobd.service
    
  8. 스마트 카드 인증을 지원하려면 /etc/sssd/sssd.conf 파일을 생성합니다.
    # touch /etc/sssd/sssd.conf
    # chmod 600 touch /etc/sssd/sssd.conf
    # chown root:root /etc/sssd/sssd.conf
  9. 다음 예와 같이 필요한 콘텐츠를 /etc/sssd/sssd.conf에 추가합니다. [pam] 섹션에서 pam_cert_auth = True를 지정합니다.
    [sssd]
    config_file_version = 2
    domains = rzview2.com
    services = nss, pam, pac
     
    [domain/RZVIEW2.COM]
    id_provider = ad
    auth_provider = ad
    chpass_provider = ad
    access_provider = ad
    cache_credentials = true
     
    [pam]
    pam_cert_auth = True
  10. sssd 서비스를 사용하도록 설정합니다.
    # systemctl enable sssd.service
    # systemctl start sssd.service
  11. 다음 예와 유사하게 /etc/krb5.conf 구성 파일을 편집합니다.
    # To opt out of the system crypto-policies configuration of krb5, remove the
    # symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
    includedir /etc/krb5.conf.d/
     
    [logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log
     
    [libdefaults]
        dns_lookup_realm = false
        ticket_lifetime = 24h
        renew_lifetime = 7d
        forwardable = true
        rdns = false
        pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
        spake_preauth_groups = edwards25519
        default_realm = RZVIEW2.COM
        default_ccache_name = KEYRING:persistent:%{uid}
     
    [realms]
     RZVIEW2.COM = {
         kdc = rzviewdns.rzview2.com
         admin_server = rzviewdns.rzview2.com
         default_domain = rzviewdns.rzview2.com
         pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
         pkinit_cert_match = <KU>digitalSignature
         pkinit_kdc_hostname = rzviewdns.rzview2.com
     }
     
    [domain_realm]
     .rzview2.com = RZVIEW2.COM
     rzview2.com = RZVIEW2.COM
  12. 다음 예와 유사하게 /etc/samba/smb.conf 구성 파일을 편집합니다.
    [global]
            workgroup = RZVIEW2
            security = ads
            passdb backend = tdbsam
            printing = cups
            printcap name = cups
            load printers = yes
            cups options = raw
            password server = rzviewdns.rzview2.com
            realm = RZVIEW2.COM
            idmap config * : range = 16777216-33554431
            template homedir =/home/RZVIEW2/%U
            template shell = /bin/bash
            kerberos method = secrets and keytab
     
    [homes]
            comment = Home Directories
            valid users = %S, %D%w%S
            browseable = No
            read only = No
            inherit acls = Yes
     
    [printers]
            comment = All Printers
            path = /var/tmp
            printable = Yes
            create mask = 0600
            browseable = No
     
    [print$]
            comment = Printer Drivers
            path = /var/lib/samba/drivers
            write list = @printadmin root
            force group = @printadmin
            create mask = 0664
            directory mask = 0775
  13. 다음 예제와 같이 AD 도메인에 가입합니다.
    # net ads join -U AdminUser
    join 명령을 실행하면 다음 예와 유사한 출력이 반환됩니다.
    Enter AdminUser's password:
    Using short domain name -- RZVIEW2
    Joined 'RHEL8SC' to dns domain 'rzview2.com'
  14. RHEL 8.x 데스크톱이 AD 도메인에 성공적으로 가입되었는지 확인합니다.
    # net ads testjoin
    
    Join is OK

다음에 수행할 작업

RHEL 8.x 데스크톱에 스마트 카드 리디렉션 구성