웹사이트 검색

OpenLDAP 서버에 Rocky Linux 시스템을 추가하는 방법

이 페이지에서

  1. 전제 조건
  2. OpenLDAP 사용자 확인\n
  3. 호스트 파일 및 FQDN 설정\n
  4. OpenLDAP 클라이언트 및 SSSD 패키지 설치
  5. 인증 프로필을 SSSD로 변경\n
  6. OpenLDAP 클라이언트 및 SSSD 서비스 구성
  7. 테스트
  8. 결론

OpenLDAP 설치를 완료한 후에는 OpenLDAP 서버에 대해 인증할 클라이언트 시스템도 추가해야 합니다.

OpenLDAP 서버에 클라이언트 시스템을 추가하는 방법에는 여러 가지가 있으며 그 중 하나는 SSSD 서비스를 사용하는 것입니다. SSSD 서비스는 거의 Linux 배포판 리포지토리(패키지 이름이 다름)에서 사용할 수 있으므로 관리가 더 쉬워지고 OpenLDAP 클라이언트 시스템의 프로비저닝 속도가 빨라집니다.

이 자습서에서는 SSSD 서비스를 사용하여 Rocky Linux 시스템을 설정하고 OpenLDAP 서버에 추가하는 방법을 배웁니다.

전제 조건

  • OpenLDAP가 있는 서버가 설치 및 구성되었습니다.
  • Rocky Linux 클라이언트. 이 예제에서는 Rocky Linux 8.5를 사용합니다.\n
  • 루트 권한이 구성된 루트가 아닌 사용자.\n

OpenLDAP 사용자 확인

처음에는 OpenLDAP 서버에서 사용 가능한 사용자 목록을 확인합니다. 따라서 OpenLDAP 서버에서 다음 명령을 실행해야 합니다.

이 예에서 OpenLDAP 서버는 도메인 이름 ldap.mydomain.io에서 실행 중입니다.

아래의 ldapsearch 명령을 사용하여 OpenLDAP에서 사용 가능한 사용자 목록을 확인하십시오.

sudo ldapsearch -x -b "ou=people,dc=mydomain,dc=io"

이제 OpenLDAP 서버에 사용자 목록이 표시되어야 합니다. 아래 스크린샷에는 테스트에 사용할 John이라는 OpenLDAP 사용자가 있습니다.

호스트 파일 및 FQDN 설정

패키지를 설치하기 전에 Rocky Linux 시스템 FQDN(정규화된 도메인 이름)을 설정하고 OpenLDAP 서버 도메인을 정의하기 위한 /etc/hosts 파일을 설정합니다.

이 예에서 ldap.mydomain.io는 IP 주소 192.168.10.50에서 실행 중입니다. 그리고 Rocky Linux 클라이언트는 IP 주소 192.168.10.80으로 실행 중입니다.

아래의 hostnamectl 명령을 실행하여 Rocky Linux FQDN을 RockyLinux.mydomain.io로 설정합니다.

sudo hostnamectl set-hostname RockyLinux.mydomain.io

이제 nano 편집기를 사용하여 /etc/hosts 구성을 편집하십시오.

sudo nano /etc/hosts

OpenLDAP 서버 도메인 이름과 IP 주소를 추가하고 아래와 같이 Rocky Linux 클라이언트 세부 정보를 추가합니다.

192.168.10.50 ldap.mydomain.io ldap
192.168.10.80 RockyLinux.mydomain.io RockyLinux

완료되면 파일을 저장하고 닫습니다.

다음으로 다음 명령을 실행하여 Rocky Linux 시스템의 FQDN을 확인하고 Rocky Linux 시스템과 OpenLDAP 서버 간의 연결을 확인합니다.

sudo hostname -f
sudo ping -c3 ldap.mydomain.io

아래 스크린샷과 같은 출력을 받아야 합니다. Rocky Linux 시스템의 FQDN은 RockyLinux.mydomain.io이고 OpenLDAP 서버에 성공적으로 연결되었습니다.

OpenLDAP 클라이언트 및 SSSD 패키지 설치

Rocky Linux 시스템에서 FQDN 및 호스트 파일을 구성한 후. 이제 OpenLDAP 클라이언트와 SSSD를 Rocky Linux 시스템에 설치해야 합니다.

OpenLDAP 클라이언트는 클라이언트 시스템에 설치되어야 하며 SSSD 서비스는 OpenLDAP 서버에 대한 모든 인증을 처리합니다.

SSSD 또는 시스템 보안 서비스 데몬은 종종 Linux 시스템을 IPA 서버, Active Directory 및 LDAP 도메인에 등록하는 데 사용됩니다.

아래의 dnf 명령을 실행하여 OpenLDAP 클라이언트 패키지, 추가 LDAP 지원이 있는 SSSD 서비스 패키지 및 oddjob-mkhomedir 패키지를 설치하여 OpenLDAP 사용자를 위한 홈 디렉토리를 자동으로 생성하십시오.

sudo dnf -y install openldap-clients sssd sssd-ldap oddjob-mkhomedir

모든 패키지 설치가 완료될 때까지 기다리십시오.

인증 프로필을 SSSD로 변경

OpenLDAP 클라이언트 패키지 및 SSSD 패키지를 설치한 후 이제 SSSD 서비스에 대한 시스템 인증 및 ID 소스를 설정합니다.

authselect 명령을 사용하면 관리자가 Rocky Linux를 비롯한 RHEL 기반 시스템의 기본 인증 및 ID 소스를 더 쉽게 관리할 수 있습니다.

아래의 authselect 명령을 실행하여 사용 가능한 인증 및 ID 프로필을 나열합니다.

authselect list

NIS, SSSD 및 Winbind와 같은 여러 인증 및 ID 소스가 표시되어야 합니다.

아래의 authselect 명령을 사용하여 기본 인증 및 ID 프로필을 sssd로 변경합니다. 또한 with-mkhomedir 옵션은 모든 사용자의 홈 디렉토리를 자동으로 생성하도록 설정하는 데 필요합니다.

authselect select sssd with-mkhomedir --force

이제 아래 스크린샷과 같은 출력을 얻어야 합니다. 인증 프로필 sssd는 Rocky Linux 시스템에서 기본 프로필로 선택됩니다.

또한 아래 명령을 사용하여 oddjobd 서비스를 시작하고 활성화해야 합니다.

sudo systemctl enable --now oddjobd.service

이제 oddjobd 서비스를 확인하고 확인하여 실행 중인지 확인하십시오.

sudo systemctl status oddjobd.service

아래 스크린샷과 같은 출력이 표시되어야 합니다.

OpenLDAP 클라이언트 및 SSSD 서비스 구성

이제 OpenLDAP 클라이언트를 구성하고 SSSD 서비스를 설정할 시간입니다.

nano 편집기를 사용하여 OpenLDAP 클라이언트 구성 /etc/openldap/ldap.conf을 편집합니다.

sudo nano /etc/openldap/ldap.conf

OpenLDAP 서버 및 기본 검색 도메인 이름을 정의합니다. 도메인 이름을 도메인으로 변경해야 합니다.

URI ldap://ldap.mydomain.io/
BASE dc=mydomain,dc=io

완료되면 파일을 저장하고 닫습니다.

다음으로 nano 편집기를 사용하여 새 SSSD 서비스 구성 /etc/sssd/sssd.conf을 만듭니다.

sudo nano /etc/sssd/sssd.conf

다음 구성을 복사하고 OpenLDAP 서버에서 ldap_uri 및 ldap_search_base를 변경했는지 확인합니다. 그런 다음 구성을 붙여넣습니다.

[domain/default]
id_provider = ldap
autofs_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://ldap.mydomain.io/
ldap_search_base = dc=mydomain,dc=io
ldap_id_use_start_tls = True
ldap_tls_cacertdir = /etc/openldap/certs
cache_credentials = True
ldap_tls_reqcert = allow

[sssd]
services = nss, pam, autofs
domains = default

[nss]
homedir_substring = /home

파일을 저장하고 닫습니다.

이제 SSSD 서비스 구성의 권한을 0600으로 변경하십시오. 이렇게 하면 구성이 보호되고 소유자만 액세스할 수 있습니다.

sudo chmod 0600 /etc/sssd/sssd.conf

마지막으로 SSSD 서비스를 다시 시작하고 확인하여 아래의 systemctl 명령을 사용하여 새 구성을 적용합니다.

sudo systemctl restart sssd
sudo systemctl status sssd

SSSD 서비스의 현재 상태가 활성(실행 중)으로 표시되어야 합니다.

테스트

이제 SSSD 서비스를 사용하여 Rocky Linux 시스템을 OpenLDAP 서버에 추가했습니다. 이제 구성을 확인하겠습니다.

이 예에서는 OpenLDAP 사용자 john으로 Rocky Linux 클라이언트 시스템에 로그인하여 설치를 테스트합니다.

아래 예에서 사용자 john으로 Rocky Linux 클라이언트 시스템에 로그인했습니다. 정의된 uid 및 gid 번호가 OpenLDAP 서버의 사용자 john과 일치하는 것을 볼 수 있습니다.

선택적으로 SSH 연결을 통해 Rocky Linux 클라이언트 시스템에 로그인을 시도할 수도 있지만 여전히 OpenLDAP 사용자를 사용하고 있습니다.

아래 사용자 john은 SSH 연결을 통해 Rocky Linux 시스템에 성공적으로 연결됩니다.

ssh

결론

축하합니다! 이제 SSSD 서비스를 통해 Rocky Linux 클라이언트 시스템을 OpenLDAP 서버에 성공적으로 추가했습니다. 이 가이드는 CentOS, AlmaLinux, Fedora와 같은 일반적인 RHEL 기반 배포판에도 적용할 수 있습니다.