Linux 데스크톱에 대한 SSSD 오프라인 도메인 가입 구성

SSSD(System Security Services Daemon) 인증 방법은 인스턴트 클론 Linux VM(가상 시스템)에서 오프라인 도메인 가입을 수행하기 위해 지원되는 솔루션 중 하나입니다.

SSSD(System Security Services Daemon) 인증은 다음 Linux 배포를 실행하는 인스턴트 클론 데스크톱에 대해 Active Directory를 사용한 오프라인 도메인 가입을 지원합니다.

Ubuntu 20.04/22.04
Debian 10.x/11.x/12.x
RHEL 7.9/8.x/9.x
Rocky Linux 8.x/9.x
CentOS 7.9
SLED/SLES 15.x

다음 절차에 설명된 지침을 통해 SSSD 인증을 사용하여 인스턴트 클론 Linux VM을 오프라인으로 AD(Active Directory)에 도메인 가입합니다.

프로시저

골든 이미지 Linux VM에서 SSSD 인증을 사용하여 도메인 가입을 수행합니다. 골든 이미지가 인스턴트 클론과 동일한 도메인을 사용하는지 확인합니다.
자세한 도메인 가입 지침은 Linux 배포에 대한 설명서를 참조하십시오.
- (Ubuntu) https://ubuntu.com/server/docs로 이동한 후 SSSD 및 Active Directory와 관련된 정보를 검색합니다.
- (RHEL/CentOS) Red Hat 고객 포털로 이동하여 해당 릴리스 버전에 대한 설명서 페이지를 찾습니다. 예를 들어 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/에서 영어 설명서를 찾을 수 있습니다.
  - RHEL 9.x의 경우 "RHEL에서 인증 및 권한 부여 구성" 문서를 찾고 SSSD와 관련된 정보를 검색합니다.
  - RHEL 8.x의 경우 "RHEL 시스템을 Windows Active Directory와 직접 통합" 문서를 찾은 후 "SSSD를 사용하여 RHEL 시스템을 AD에 직접 연결"하는 작업과 관련된 정보를 검색합니다.
  - RHEL/CentOS 7.x의 경우 "Windows 통합 가이드"를 찾고 ID 도메인 검색 및 가입과 관련된 정보를 검색합니다.
- (Rocky Linux) https://docs.rockylinux.org/의 Rocky Linux 설명서 포털로 이동하여 SSSD와 관련된 정보를 검색합니다.
- (SLED/SLES) https://documentation.suse.com/의 SUSE 설명서 포털로 이동하여 Linux 및 Active Directory 환경 통합과 관련된 정보를 검색합니다.
krb5 지원 라이브러리를 설치합니다.
- (Ubuntu) 다음 명령을 실행합니다.
```
sudo apt-get install krb5-user
```
- (RHEL/CentOS 및 Rocky Linux) 다음 명령을 실행합니다.
```
sudo yum install krb5-workstation
```
- (SLED/SLES) 다음 명령 시퀀스를 실행합니다.
```
sudo zypper install krb5-client
sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
```
Linux 시스템에서 Horizon Agent 설치에 설명된 대로 Horizon Agent for Linux를 설치합니다.

다음 예제를 참조하여 /etc/sssd/sssd.conf 구성 파일을 수정합니다.

예제의 자리 표시자 값을 구성과 관련된 정보로 바꿉니다.

"mydomain.com" 을 AD 도메인의 DNS 이름으로 바꿉니다.
"MYDOMAIN.COM" 을 AD 도메인의 DNS 이름으로 바꿉니다(모두 대문자 사용).

[sssd]
domains =  "mydomain.com" 
config_file_version = 2
services = nss, pam
 
[domain/ "mydomain.com" ]
ad_domain =  "mydomain.com" 
krb5_realm =  "MYDOMAIN.COM" 
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False        #Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred    #Add this line for SSO
ad_gpo_access_control = permissive       #Deactivate GPO access control in the cloned VM

(RHEL/CentOS 7.x) rc4-hmac 암호화 알고리즘만 사용하도록 /etc/krb5.conf 구성 파일을 수정합니다.

이는 SSSD 인증을 사용하여 인스턴트 클론 RHEL/CentOS 7.x VM을 도메인에 가입할 때 지원되는 유일한 암호화 알고리즘입니다.

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm =  "MYDOMAIN.COM" 
 default_ccache_name = KEYRING:persistent:%{uid}
 default_tkt_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
 default_tgs_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only

Horizon Agent가 SSSD 인증을 사용하여 Linux VM을 도메인에 가입된 것으로 인식하도록 하려면 /etc/vmware/viewagent-custom.conf 구성 파일에 다음 줄을 추가합니다.
```
OfflineJoinDomain=sssd
```
골든 이미지 Linux VM을 다시 시작하고 vCenter Server에서 VM의 스냅샷을 생성합니다.