탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1에서 이름 지정 및 디렉토리 서비스 작업 Oracle Solaris 11.1 Information Library (한국어) |
4. Oracle Solaris Active Directory 클라이언트 설정(작업)
nss_ad 이름 지정 서비스 모듈이 AD에서 데이터를 검색하는 방법
10. LDAP 이름 지정 서비스에 대한 계획 요구 사항(작업)
11. LDAP 클라이언트를 사용하여 Oracle Directory Server Enterprise Edition 설정(작업)
Oracle Solaris 클라이언트가 AD 도메인에 가입해야 nss_ad를 비롯한 AD 상호 운용성 기능을 사용할 수 있습니다. kclient 유틸리티는 클라이언트를 AD에 결합하는 데 사용됩니다. 결합 작업 중에 kclient는 클라이언트에서 Kerberos v5를 구성합니다. 그런 후에 nss_ad를 사용하면 지원되는 데이터베이스의 nsswitch.conf 파일에서 ad를 소스로 지정하여 이름 지정 서비스 요청을 확인할 수 있습니다. nss_ad 모듈은 호스트 자격 증명을 사용하여 AD에서 이름 지정 서비스 정보를 조회합니다.
nss_ad 모듈은 DNS 서버 레코드를 사용하여 도메인 컨트롤러, 전역 카탈로그 서버 등의 AD 디렉토리 서버를 자동 검색합니다. 따라서 Oracle Solaris 클라이언트에서 DNS를 올바르게 구성해야 합니다. 또한 nss_ad 모듈은 LDAP v3 프로토콜을 사용하여 AD 서버의 이름 지정 정보에 액세스합니다. nss_ad는 고유 AD 스키마에서 작동하므로 AD 서버 스키마를 수정할 필요가 없습니다.
nss_ad 모듈은 현재 Windows 사용자의 Oracle Solaris 시스템 로그인을 지원하지 않습니다. 이러한 로그인이 지원될 때까지 해당 사용자는 계속해서 nis, ldap 등의 기존 백엔드를 사용하여 로그인해야 합니다.
nss_ad를 사용하려면 idmap 및 svc:/system/name-service/cache 서비스를 사용으로 설정해야 합니다. nss_ad 모듈은 idmap 서비스를 사용하여 Windows SID(보안 식별자), UNIX UID(사용자 식별자) 및 GID(그룹 식별자) 간에 매핑합니다.
모든 AD 사용자 및 그룹 이름은 정규화된 도메인 이름이어야 합니다(예: user@domain 또는 group@domain). 예를 들어, dana가 domain 도메인에서 유효한 Windows 사용자인 경우 getpwnam(dana)은 실패하지만 getpwnam(dana@domain)은 성공합니다.
nss_ad 모듈에는 다음 추가 규칙도 적용됩니다.
AD와 마찬가지로, nss_ad는 일치하는 사용자와 그룹 이름의 대소문자 무시를 수행합니다.
사용자와 그룹의 이름에 ASCII 문자만 포함된 도메인이나 UTF-8 로케일에서만 nss_ad 모듈을 사용합니다.
잘 알려진 SID는 Windows에서 일반 사용자나 일반 그룹을 식별하는 SID 세트입니다. 도메인과 관련이 없으며 모든 Windows 운영 체제에서 값이 일정하게 유지됩니다. 잘 알려진 SID의 이름은 정규화된 BUILTIN 문자열입니다(예: Remote Desktop Users@BUILTIN).
nss_ad 모듈은 열거를 지원하지 않습니다. 따라서 getpwent() 및 getgrent() 인터페이스와 두 인터페이스를 사용하는 명령(예: getent passwd 및 getent group)은 AD에서 정보를 검색할 수 없습니다.
nss_ad 모듈은 현재 passwd 및 group 파일만 지원합니다. nss_ad는 passwd 항목을 따르는 다른 이름 지정 서비스 데이터베이스(예: audit_user 및 user_attr)를 지원하지 않습니다. ad 백엔드가 구성에 따라 처리되면 이러한 데이터베이스에 대해 NOT FOUND를 반환합니다.
nss_ad 모듈에서는 Oracle Solaris 클라이언트가 호스트 확인 시 DNS를 사용합니다.
자세한 내용은 DNS 클라이언트를 사용으로 설정하는 방법을 참조하십시오.
주 - AD 도메인 이름은 domain 지시어를 통해 또는 search 지시어로 지정된 목록의 첫번째 항목으로 지정해야 합니다.
두 지시어가 모두 지정된 경우 마지막 지시어가 우선 적용됩니다. idmap 자동 검색 기능이 제대로 작동하려면 AD 도메인 이름이 필요합니다.
다음 예에서 dig 명령은 이름과 IP 주소를 사용하여 AD 서버인지 결정하기 위해 확인합니다.
# dig -x 192.168.11.22 +short myserver.ad.example # dig myserver.ad.example +short 192.168.11.22
# svccfg -s svc:/system/name-service/switch svc:/system/name-service/switch> setprop config/host = astring: "files dns" svc:/system/name-service/switch> select system/name-service/switch:default svc:/system/name-service/switch:default> refresh svc:/system/name-service/switch:default> quit
주 - 호스트 결정을 위해 nis 또는 ldap 같은 이름 지정 서비스를 추가로 포함하려면 dns 뒤에 추가하십시오.
예를 들면 다음과 같습니다.
# svcs svc:/network/dns/client STATE STIME FMRI online Oct_14 svc:/network/dns/client:default
예를 들면 다음과 같습니다.
# /usr/sbin/kclient -T ms_ad
# svccfg -s svc:/system/name-service/switch svc:/system/name-service/switch> setprop config/password = astring: "files nis ad" svc:/system/name-service/switch> setprop config/group = astring: "files nis ad" svc:/system/name-service/switch> select system/name-service/switch:default svc:/system/name-service/switch:default> refresh svc:/system/name-service/switch:default> quit
# svcadm enable idmap
# svcadm refresh name-service/switch
주 - 필요한 경우 이름 서비스 스위치를 새로 고칠 때마다 nscd 모듈이 자동으로 다시 시작됩니다.
예를 들면 다음과 같습니다.
# getent passwd 'test_user@example' test_user@example:x:2154266625:2154266626:test_user:: # getent passwd 2154266625 test_user@example:x:2154266625:2154266626:test_user::