SSSD(System Security Services Daemon) 인증 방법은 인스턴트 클론 Linux VM(가상 시스템)에서 오프라인 도메인 가입을 수행하기 위해 지원되는 솔루션 중 하나입니다.
SSSD(System Security Services Daemon) 인증은 다음 Linux 배포를 실행하는 인스턴트 클론 데스크톱에 대해 Active Directory를 사용한 오프라인 도메인 가입을 지원합니다.
- Ubuntu 18.04/20.04/22.04
- Debian 10.x/11.x
- RHEL 7.9/8.x/9.x
- CentOS 7.9
- SLED/SLES 15.x
다음 절차에 설명된 지침을 통해 SSSD 인증을 사용하여 인스턴트 클론 Linux VM을 오프라인으로 AD(Active Directory)에 도메인 가입합니다.
프로시저
- 골든 이미지 Linux VM에서 SSSD 인증을 사용하여 도메인 가입을 수행합니다. 골든 이미지가 인스턴트 클론과 동일한 도메인을 사용하는지 확인합니다.
자세한 도메인 가입 지침은 Linux 배포에 대한 설명서를 참조하십시오.
- krb5 지원 라이브러리를 설치합니다.
- (Ubuntu) 다음 명령을 실행합니다.
sudo apt-get install krb5-user
- (RHEL/CentOS) 다음 명령을 실행합니다.
sudo yum install krb5-workstation
- (SLED/SLES) 다음 명령 시퀀스를 실행합니다.
sudo zypper install krb5-client
sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
- Linux 가상 시스템에서 Horizon Agent 설치에 설명된 대로 Horizon Agent for Linux를 설치합니다.
- 다음 예제를 참조하여 /etc/sssd/sssd.conf 구성 파일을 수정합니다.
예제의 자리 표시자 값을 구성과 관련된 정보로 바꿉니다.
- "mydomain.com" 을 AD 도메인의 DNS 이름으로 바꿉니다.
- "MYDOMAIN.COM" 을 AD 도메인의 DNS 이름으로 바꿉니다(모두 대문자 사용).
[sssd]
domains = "mydomain.com"
config_file_version = 2
services = nss, pam
[domain/ "mydomain.com" ]
ad_domain = "mydomain.com"
krb5_realm = "MYDOMAIN.COM"
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False #Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred #Add this line for SSO
ad_gpo_access_control = permissive #Deactivate GPO access control in the cloned VM
- (RHEL/CentOS 7.x, Ubuntu 18.04) rc4-hmac 암호화 알고리즘만 사용하도록 /etc/krb5.conf 구성 파일을 수정합니다.
이것은 SSSD 인증을 사용하여 인스턴트 클론 RHEL/CentOS 7.x 또는 Ubuntu 18.04 VM을 도메인에 가입할 때 지원되는 유일한 암호화 알고리즘입니다.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
default_realm = "MYDOMAIN.COM"
default_ccache_name = KEYRING:persistent:%{uid}
default_tkt_enctypes = rc4-hmac #Add this line to use rc4-hmac encryption only
default_tgs_enctypes = rc4-hmac #Add this line to use rc4-hmac encryption only
- Horizon Agent가 SSSD 인증을 사용하여 Linux VM을 도메인에 가입된 것으로 인식하도록 하려면 /etc/vmware/viewagent-custom.conf 구성 파일에 다음 줄을 추가합니다.
- 골든 이미지 Linux VM을 다시 시작하고 vCenter Server에서 VM의 스냅샷을 생성합니다.