RHEL 7.x 데스크톱에서 스마트 카드 리디렉션을 지원하려면 Samba 및 Winbind 솔루션을 사용하여 기본 VM(가상 시스템)을 AD(Active Directory) 도메인에 통합합니다.
스마트 카드 리디렉션을 위해 RHEL 7.x VM을 AD 도메인에 통합하려면 다음 절차를 사용합니다.
이 절차의 일부 예시는 AD 도메인의 DNS 이름과 같은 네트워크 구성의 엔티티를 나타내기 위해 자리 표시자 값을 사용합니다. 다음 표에 설명된 대로 자리 표시자 값을 구성과 관련된 정보로 바꿉니다.
자리 표시자 값 |
설명 |
dns_IP_ADDRESS |
DNS 이름 서버의 IP 주소 |
mydomain.com |
AD 도메인의 DNS 이름 |
MYDOMAIN.COM |
AD 도메인의 DNS 이름(모두 대문자) |
MYDOMAIN |
Samba 서버를 포함하는 작업 그룹 또는 NT 도메인의 DNS 이름(모두 대문자) |
ads-hostname |
AD 서버의 호스트 이름 |
참고: 스마트 카드 리디렉션은 RHEL 7.2 이상을 실행하는 데스크톱에서 지원됩니다.
프로시저
- RHEL 7.x VM 데스크톱에 필요한 패키지를 설치합니다.
# yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
- 시스템 연결에 대한 네트워크 설정을 편집합니다. NetworkManager 제어판을 열고 시스템 연결에 대한 IPv4 설정으로 이동합니다. IPv4 방법으로 자동(DHCP)을 선택합니다. DNS 텍스트 상자에 DNS 이름 서버의 IP 주소를 입력합니다. 그런 후 적용을 클릭합니다.
- 다음 명령을 실행하고 RHEL 7.x VM의 FQDN(정규화된 도메인 이름)을 반환하는지 확인합니다.
- 다음 예시에 표시된 것처럼 /etc/resolv.conf 구성 파일을 편집합니다.
search mydomain.com
nameserver dns_IP_ADDRESS
- RHEL 7.x VM에서 SELinux(Security-Enhanced Linux)를 해제합니다. 다음 예시에 표시된 것처럼 /etc/selinux/config 구성 파일을 편집합니다.
- 다음 예시와 같이 /etc/krb5.conf 구성 파일을 편집합니다.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = MYDOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
default_domain = ads-hostname
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
- 다음 예시와 같이 /etc/samba/smb.conf 구성 파일을 편집합니다.
[global]
workgroup = MYDOMAIN
password server = ads-hostname
realm = MYDOMAIN.COM
security = ads
idmap config * : range = 16777216-33554431
template homedir =/home/MYDOMAIN/%U
template shell = /bin/bash
kerberos method = secrets and keytab
winbind use default domain = true
winbind offline logon = false
winbind refresh tickets = true
passdb backend = tdbsam
- authconfig-gtk 도구를 열고 다음과 같이 설정을 구성합니다.
- ID 및 인증 탭을 선택합니다. 사용자 계정 데이터베이스로 Winbind를 선택합니다.
- 고급 옵션 탭을 선택하고 첫 번째 로그인 시 홈 디렉토리 생성 확인란을 선택합니다.
- ID 및 인증 탭을 선택하고 도메인 가입을 클릭합니다. 변경 내용을 저장할지 묻는 경고가 표시되면 저장을 클릭합니다.
- 도메인 관리자의 사용자 이름 및 암호를 입력하라는 메시지가 표시되면 입력한 후 확인을 클릭합니다.
RHEL 7.x VM이 AD 도메인에 가입됩니다.
- PAM Winbind에서 티켓 캐시를 설정합니다. 다음 예시에 표시된 줄을 포함하도록 /etc/security/pam_winbind.conf 구성 파일을 편집합니다.
[global]
# authenticate using kerberos
;krb5_auth = yes
# create homedirectory on the fly
;mkhomedir = yes
- Winbind 서비스를 다시 시작합니다.
# sudo service winbind restart
- AD 가입을 확인하려면 다음 명령을 실행하고 올바른 출력을 반환하는지 확인합니다.
- net ads testjoin
- net ads info
- RHEL 7.x VM을 다시 시작하고 다시 로그인합니다.