RHEL 7.x 데스크톱에서 스마트 카드 리디렉션을 지원하려면 Samba 및 Winbind 솔루션을 사용하여 기본 VM(가상 시스템)을 AD(Active Directory) 도메인에 통합합니다.

스마트 카드 리디렉션을 위해 RHEL 7.x VM을 AD 도메인에 통합하려면 다음 절차를 사용합니다.

이 절차의 일부 예시는 AD 도메인의 DNS 이름과 같은 네트워크 구성의 엔티티를 나타내기 위해 자리 표시자 값을 사용합니다. 다음 표에 설명된 대로 자리 표시자 값을 구성과 관련된 정보로 바꿉니다.

자리 표시자 값 설명
dns_IP_ADDRESS DNS 이름 서버의 IP 주소
mydomain.com AD 도메인의 DNS 이름
MYDOMAIN.COM AD 도메인의 DNS 이름(모두 대문자)
MYDOMAIN Samba 서버를 포함하는 작업 그룹 또는 NT 도메인의 DNS 이름(모두 대문자)
ads-hostname AD 서버의 호스트 이름
참고: 스마트 카드 리디렉션은 RHEL 7.2 이상을 실행하는 데스크톱에서 지원됩니다.

프로시저

  1. RHEL 7.x VM 데스크톱에 필요한 패키지를 설치합니다.
    # yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
  2. 시스템 연결에 대한 네트워크 설정을 편집합니다. NetworkManager 제어판을 열고 시스템 연결에 대한 IPv4 설정으로 이동합니다. IPv4 방법으로 자동(DHCP)을 선택합니다. DNS 텍스트 상자에 DNS 이름 서버의 IP 주소를 입력합니다. 그런 후 적용을 클릭합니다.
  3. 다음 명령을 실행하고 RHEL 7.x VM의 FQDN(정규화된 도메인 이름)을 반환하는지 확인합니다.
    # hostname -f
  4. 다음 예시에 표시된 것처럼 /etc/resolv.conf 구성 파일을 편집합니다.
    search mydomain.com
    nameserver dns_IP_ADDRESS
  5. RHEL 7.x VM에서 SELinux(Security-Enhanced Linux)를 해제합니다. 다음 예시에 표시된 것처럼 /etc/selinux/config 구성 파일을 편집합니다.
    SELINUX=disabled
  6. 다음 예시와 같이 /etc/krb5.conf 구성 파일을 편집합니다.
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname
                default_domain = ads-hostname
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  7. 다음 예시와 같이 /etc/samba/smb.conf 구성 파일을 편집합니다.
    [global]
          workgroup = MYDOMAIN  
          password server = ads-hostname
          realm = MYDOMAIN.COM
          security = ads
          idmap config * : range = 16777216-33554431
          template homedir =/home/MYDOMAIN/%U
          template shell = /bin/bash 
          kerberos method = secrets and keytab
          winbind use default domain = true
          winbind offline logon = false 
          winbind refresh tickets = true
     
          passdb backend = tdbsam
  8. authconfig-gtk 도구를 열고 다음과 같이 설정을 구성합니다.
    1. ID 및 인증 탭을 선택합니다. 사용자 계정 데이터베이스로 Winbind를 선택합니다.
    2. 고급 옵션 탭을 선택하고 첫 번째 로그인 시 홈 디렉토리 생성 확인란을 선택합니다.
    3. ID 및 인증 탭을 선택하고 도메인 가입을 클릭합니다. 변경 내용을 저장할지 묻는 경고가 표시되면 저장을 클릭합니다.
    4. 도메인 관리자의 사용자 이름 및 암호를 입력하라는 메시지가 표시되면 입력한 후 확인을 클릭합니다.
    RHEL 7.x VM이 AD 도메인에 가입됩니다.
  9. PAM Winbind에서 티켓 캐시를 설정합니다. 다음 예시에 표시된 줄을 포함하도록 /etc/security/pam_winbind.conf 구성 파일을 편집합니다.
    [global]
    
    # authenticate using kerberos
    ;krb5_auth = yes 
    
    # create homedirectory on the fly
    ;mkhomedir = yes  
  10. Winbind 서비스를 다시 시작합니다.
    # sudo service winbind restart
  11. AD 가입을 확인하려면 다음 명령을 실행하고 올바른 출력을 반환하는지 확인합니다.
    • net ads testjoin
    • net ads info
  12. RHEL 7.x VM을 다시 시작하고 다시 로그인합니다.

다음에 수행할 작업

RHEL 7.x 가상 시스템에서 스마트 카드 리디렉션 설정