SLED/SLES 데스크톱에서 스마트 카드 리디렉션을 지원하려면 Samba 및 Winbind 솔루션을 사용하여 기본 VM(가상 시스템)을 AD(Active Directory) 도메인에 통합합니다.

스마트 카드 리디렉션을 위해 SLED/SLES VM을 AD 도메인에 통합하려면 다음 절차를 사용합니다.

이 절차의 일부 예시는 AD 도메인의 DNS 이름과 같은 네트워크 구성의 엔티티를 나타내기 위해 자리 표시자 값을 사용합니다. 다음 표에 설명된 대로 자리 표시자 값을 구성과 관련된 정보로 바꿉니다.

자리 표시자 값 설명
dns_IP_ADDRESS DNS 이름 서버의 IP 주소
mydomain.com AD 도메인의 DNS 이름
MYDOMAIN.COM AD 도메인의 DNS 이름(모두 대문자)
MYDOMAIN Samba 서버를 포함하는 작업 그룹 또는 NT 도메인의 DNS 이름(모두 대문자)
ads-hostname AD 서버의 호스트 이름
ads-hostname.mydomain.com AD 서버의 FQDN(정규화된 도메인 이름)
mytimeserver.mycompany.com NTP 시간 서버의 DNS 이름
AdminUser VM 관리자의 사용자 이름

사전 요구 사항

SLED/SLES VM이 스마트 카드 리디렉션 설정에 설명된 시스템 요구 사항을 충족하는지 확인합니다.

프로시저

  1. SLED/SLES VM에 대한 네트워크 설정을 구성합니다.
    1. /etc/hostname/etc/hosts 구성 파일을 편집하여 VM의 호스트 이름을 정의합니다.
    2. DNS 서버 IP 주소를 구성하고 자동 DNS를 사용하지 않도록 설정합니다. SLES VM의 경우 DHCP를 통해 호스트 이름 변경도 사용하지 않도록 설정합니다.
    3. 네트워크 시간 동기화를 구성하려면 다음 예시와 같이 NTP 서버 정보를 /etc/ntp.conf 파일에 추가합니다.
      server mytimeserver.mycompany.com
  2. 필요한 AD 가입 패키지를 설치합니다.
    zypper in krb5-client samba-winbind
  3. 다음 예시에 표시된 것처럼 krb5 라이브러리를 업데이트합니다.
    zypper up krb5
  4. 필요한 구성 파일을 편집합니다.
    1. 다음 예시와 같이 /etc/samba/smb.conf 파일을 편집합니다.
      [global]
              workgroup = MYDOMAIN
              usershare allow guests = NO
              idmap gid = 10000-20000
              idmap uid = 10000-20000
              kerberos method = secrets and keytab
              realm = MYDOMAIN.COM
              security = ADS
              template homedir = /home/%D/%U
              template shell = /bin/bash
              winbind use default domain=true
              winbind offline logon = yes
              winbind refresh tickets = yes
      [homes]
              ...
    2. 다음 예시와 같이 /etc/krb5.conf 파일을 편집합니다.
      [libdefaults]
              default_realm = MYDOMAIN.COM
              clockskew = 300 
      
      [realms]
              MYDOMAIN.COM = {
                      kdc = ads-hostname.mydomain.com
                      default_domain = mydomain.com 
                      admin_server = ads-hostname.mydomain.com
              }
      
      [logging]
              kdc = FILE:/var/log/krb5/krb5kdc.log
              admin_server = FILE:/var/log/krb5/kadmind.log
              default = SYSLOG:NOTICE:DAEMON
      
      [domain_realm]
              .mydomain.com = MYDOMAIN.COM
              mydomain.com = MYDOMAIN.COM
      
      [appdefaults]
              pam = {
                      ticket_lifetime = 1d
                      renew_lifetime = 1d
                      forwardable = true
                      proxiable = false
                      minimum_uid = 1
              }
    3. 다음 예시와 같이 /etc/security/pam_winbind.conf 파일을 편집합니다.
      cached_login = yes
      krb5_auth = yes
      krb5_ccache_type = FILE
    4. 다음 예시와 같이 /etc/nsswitch.conf 파일을 편집합니다.
      passwd: compat winbind
      group: compat winbind
  5. 다음 예시와 같이 AD 도메인에 가입합니다.
    net ads join -U AdminUser
  6. Winbind 서비스를 사용하도록 설정합니다.
    1. Winbind를 사용하도록 설정하고 시작하려면 다음 명령 순서를 실행합니다.
      pam-config --add --winbind
      pam-config -a --mkhomedir
      systemctl enable winbind
      systemctl start winbind
    2. AD 사용자가 Linux 서버를 다시 시작하지 않고 데스크톱에 로그인할 수 있도록 하려면 다음 명령 순서를 실행합니다.
      systemctl stop nscd
      nscd -i passwd
      nscd -i group
      systemctl start nscd
  7. AD 가입을 확인하려면 다음 명령을 실행한 후 올바른 출력을 반환하는지 확인합니다.
    wbinfo -u
    wbinfo -g

다음에 수행할 작업

SLED/SLES 가상 시스템에서 스마트 카드 리디렉션 설정을 계속 진행합니다.