PAM으로 인증
SUSE Manager은(는) SSSD를 사용하는 플러그형 인증 모듈(PAM)을 사용하여 네트워크 기반 인증 시스템을 지원합니다. PAM은 SUSE Manager을(를) 중앙집중식 인증 메커니즘과 통합할 수 있는 라이브러리 모음으로, 여러 개의 비밀번호를 기억할 필요가 없습니다. SUSE Manager은(는) LDAP, Kerberos 및 기타 네트워크 기반 인증을 지원합니다.
1. SSSD 구성
-
SUSE Manager Web UI에서 으로 이동하고 새로운 또는 기존 사용자를 활성화하여 PAM으로 인증합니다.
사용자 이름에는 영숫자 외에
-,_,.,@을 사용할 수 있습니다. -
PAM(Pluggable Authentication Modules)확인란을 선택하십시오. -
서버 컨테이너에서 SSSD를 구성하십시오. SUSE Manager 컨테이너 호스트의 명령 프롬프트에서 루트 권한으로 서버 컨테이너를 입력하십시오.
mgrctl term
-
컨테이너 내에서 다음 단계를 실행하십시오.
-
구성에 따라
/etc/sssd/sssd.conf를 편집합니다. 예제는 Active Directory와 LDAP 통합 예제에서 확인할 수 있습니다. -
완료하면 컨테이너를 종료:
exit
-
-
다음을 사용하여 SUSE Manager을(를) 다시 시작합니다.
mgradm restart
|
SUSE Manager Web UI에서 비밀번호를 변경하면 SUSE Manager 서버의 로컬 비밀번호만 변경됩니다. 해당 사용자에 대해 PAM이 활성화된 경우 로컬 비밀번호가 사용되지 않을 수 있습니다. 예를 들어, 위의 예에서 Kerberos 비밀번호는 변경되지 않습니다. 이러한 사용자의 경우 네트워크 서비스의 비밀번호 변경 메커니즘을 사용하여 비밀번호를 변경하십시오. |
PAM 구성에 대한 자세한 내용은 SUSE Linux Enterprise Server 보안 가이드를 참조하십시오. 이 보안 가이드에는 다른 네트워크 기반 인증 방법에도 적용되는 일반적인 예제도 포함되어 있습니다. 또한 AD(Active Directory) 서비스를 구성하는 방법도 설명합니다. 자세한 내용은 https://documentation.suse.com/sles/15-SP4/html/SLES-all/part-auth.html을 참조하십시오.
1.1. Active Directory와 LDAP 통합 예제
Active Directory와 LDAP를 직접 통합하려면 다음 예제를 사용하면 됩니다.
코드 조각에서 사용자 환경에 따라 다음 자리 표시자를 변경합니다.
$domain-
도메인 이름
$ad_server-
$domain$uyuni-hostname에서 자동 감지되지 않는 경우 AD 서버의 FQDN입니다. 이는 이 AD 클라이언트가 알아야 하는 컴퓨터의 이름입니다. 설정하지 않으면uyuni-server.mgr.internal로 설정됩니다.
/etc/sssd/sssd.conf에 대한 예시 코드 조각:
[sssd]
config_file_version = 2
services = nss, pam
domains = $domain
[nss]
[pam]
[domain/$domain]
id_provider = ad
chpass_provider = ad
access_provider = ad
auth_provider = ad
ad_domain = $domain
ad_server = $ad_server
ad_hostname = $uyuni-hostname
ad_gpo_map_network = +susemanager
krb5_keytab = FILE:/etc/rhn/krb5.conf.d/krb5.keytab
krb5_ccname_template = FILE:/tmp/krb5cc_%{uid}