SLED/SLES 데스크톱에서 스마트 카드 리디렉션을 지원하려면 Samba 및 Winbind 솔루션을 사용하여 기본 VM(가상 시스템)을 AD(Active Directory) 도메인에 통합합니다.
스마트 카드 리디렉션을 위해 SLED/SLES VM을 AD 도메인에 통합하려면 다음 절차를 사용합니다.
이 절차의 일부 예시는 AD 도메인의 DNS 이름과 같은 네트워크 구성의 엔티티를 나타내기 위해 자리 표시자 값을 사용합니다. 다음 표에 설명된 대로 자리 표시자 값을 구성과 관련된 정보로 바꿉니다.
자리 표시자 값 |
설명 |
dns_IP_ADDRESS |
DNS 이름 서버의 IP 주소 |
mydomain.com |
AD 도메인의 DNS 이름 |
MYDOMAIN.COM |
AD 도메인의 DNS 이름(모두 대문자) |
MYDOMAIN |
Samba 서버를 포함하는 작업 그룹 또는 NT 도메인의 DNS 이름(모두 대문자) |
ads-hostname |
AD 서버의 호스트 이름 |
ads-hostname.mydomain.com |
AD 서버의 FQDN(정규화된 도메인 이름) |
mytimeserver.mycompany.com |
NTP 시간 서버의 DNS 이름 |
AdminUser |
VM 관리자의 사용자 이름 |
프로시저
- SLED/SLES VM에 대한 네트워크 설정을 구성합니다.
- /etc/hostname 및 /etc/hosts 구성 파일을 편집하여 VM의 호스트 이름을 정의합니다.
- DNS 서버 IP 주소를 구성하고 자동 DNS를 사용하지 않도록 설정합니다. SLES VM의 경우 DHCP를 통해 호스트 이름 변경도 사용하지 않도록 설정합니다.
- 네트워크 시간 동기화를 구성하려면 다음 예시와 같이 NTP 서버 정보를 /etc/ntp.conf 파일에 추가합니다.
server mytimeserver.mycompany.com
- 필요한 AD 가입 패키지를 설치합니다.
zypper in krb5-client samba-winbind
- 다음 예시에 표시된 것처럼 krb5 라이브러리를 업데이트합니다.
- 필요한 구성 파일을 편집합니다.
- 다음 예시와 같이 /etc/samba/smb.conf 파일을 편집합니다.
[global]
workgroup = MYDOMAIN
usershare allow guests = NO
idmap gid = 10000-20000
idmap uid = 10000-20000
kerberos method = secrets and keytab
realm = MYDOMAIN.COM
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain=true
winbind offline logon = yes
winbind refresh tickets = yes
[homes]
...
- 다음 예시와 같이 /etc/krb5.conf 파일을 편집합니다.
[libdefaults]
default_realm = MYDOMAIN.COM
clockskew = 300
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname.mydomain.com
default_domain = mydomain.com
admin_server = ads-hostname.mydomain.com
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
minimum_uid = 1
}
- 다음 예시와 같이 /etc/security/pam_winbind.conf 파일을 편집합니다.
cached_login = yes
krb5_auth = yes
krb5_ccache_type = FILE
- 다음 예시와 같이 /etc/nsswitch.conf 파일을 편집합니다.
passwd: compat winbind
group: compat winbind
- 다음 예시와 같이 AD 도메인에 가입합니다.
net ads join -U AdminUser
- Winbind 서비스를 사용하도록 설정합니다.
- Winbind를 사용하도록 설정하고 시작하려면 다음 명령 순서를 실행합니다.
pam-config --add --winbind
pam-config -a --mkhomedir
systemctl enable winbind
systemctl start winbind
- AD 사용자가 Linux 서버를 다시 시작하지 않고 데스크톱에 로그인할 수 있도록 하려면 다음 명령 순서를 실행합니다.
systemctl stop nscd
nscd -i passwd
nscd -i group
systemctl start nscd
- AD 가입을 확인하려면 다음 명령을 실행한 후 올바른 출력을 반환하는지 확인합니다.