| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 11.1에서 이름 지정 및 디렉토리 서비스 작업 Oracle Solaris 11.1 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 11.1에서 이름 지정 및 디렉토리 서비스 작업 Oracle Solaris 11.1 Information Library (한국어) |
4. Oracle Solaris Active Directory 클라이언트 설정(작업)
10. LDAP 이름 지정 서비스에 대한 계획 요구 사항(작업)
11. LDAP 클라이언트를 사용하여 Oracle Directory Server Enterprise Edition 설정(작업)
다음 절에서는 LDAP 구성 문제에 대해 설명하고 문제 해결 방법을 제안합니다.
LDAP 클라이언트 백엔드는 호스트 조회에 대해 정규화된 호스트 이름(예: gethostbyname() 및 getaddrinfo()에 의해 반환되는 호스트 이름)을 반환합니다. 저장된 이름이 정규화된 경우, 즉 점이 하나 이상 포함된 경우 클라이언트는 이름을 있는 그대로 반환합니다. 예를 들어, 저장된 이름이 hostB.eng이면 반환되는 이름은 hostB.eng입니다.
LDAP 디렉토리에 저장된 이름이 정규화되지 않은 경우(점을 포함하지 않음) 클라이언트 백엔드가 이름에 도메인 부분을 추가합니다. 예를 들어, 저장된 이름이 hostA이면 반환되는 이름은 hostA.domainname입니다.
DNS 도메인 이름이 LDAP 도메인 이름과 다른 경우 호스트 이름이 정규화된 상태로 저장되어 있지 않으면 LDAP 이름 지정 서비스를 사용하여 호스트 이름을 제공할 수 없습니다.
LDAP 클라이언트는 로그인 중에 PAM 모듈을 사용자 인증에 사용합니다. 표준 UNIX PAM 모듈을 사용하는 경우 암호가 서버에서 읽혀 클라이언트측에서 확인됩니다. 이 프로세스는 다음 이유 중 하나로 인해 실패할 수 있습니다.
ldap이 이름 서비스 스위치의 passwd 데이터베이스와 연관되어 있지 않습니다.
프록시 에이전트가 서버 목록의 사용자 userPassword 속성을 읽을 수 없습니다. 프록시 에이전트가 비교를 위해 암호를 클라이언트로 반환하기 때문에 최소한 프록시 에이전트가 암호를 읽을 수 있도록 해야 합니다. pam_ldap에는 암호에 대한 읽기 권한이 필요하지 않습니다.
프록시 에이전트에 올바른 암호가 없을 수도 있습니다.
항목에 shadowAccount 객체 클래스가 없습니다.
사용자의 암호가 정의되어 있지 않습니다.
ldapaddent를 사용하는 경우 -p 옵션을 사용하여 사용자 항목에 암호가 추가되도록 해야 합니다. -p 옵션 없이 ldapaddent를 사용하는 경우 ldapaddent를 사용하여 /etc/shadow 파일도 추가하지 않으면 사용자 암호가 디렉토리에 저장되지 않습니다.
연결할 수 있는 LDAP 서버가 없습니다.
서버의 상태를 확인합니다.
# /usr/lib/ldap/ldap_cachemgr -g
pam.conf가 잘못 구성되었습니다.
LDAP 이름 공간에 사용자가 정의되어 있지 않습니다.
pam_unix_* 모듈에 대해 NS_LDAP_CREDENTIAL_LEVEL이 anonymous로 설정되었는데 익명 사용자는 userPassword를 사용할 수 없습니다.
암호가 crypt 형식으로 저장되어 있지 않습니다.
pam_ldap이 계정 관리를 지원하도록 구성된 경우 로그인 실패는 다음 중 하나의 결과일 수 있습니다.
사용자 암호가 만료되었습니다.
실패한 로그인 시도 횟수가 너무 많아서 사용자 계정이 잠겼습니다.
관리자가 사용자 계정을 비활성화했습니다.
사용자가 ssh 또는 sftp와 같은 비암호 기반 프로그램을 사용하여 로그인을 시도했습니다.
per-user 인증 및 sasl/GSSAPI를 사용 중인 경우 Kerberos의 일부 구성 요소나 pam_krb5 구성이 잘못 설정된 것입니다. 이러한 문제 해결에 대한 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스를 참조하십시오.
LDAP 데이터베이스는 색인을 사용하여 검색 성능을 향상시킵니다. 색인이 잘못 구성된 경우 성능이 심각하게 저하됩니다. 본 설명서에는 색인화해야 하는 일반적인 속성 세트가 포함되어 있습니다. 고유한 색인을 추가하여 사이트의 성능을 향상시킬 수도 있습니다.
ldapclient 명령이 지정된 profileName 속성과 함께 init 옵션을 사용할 때 클라이언트를 초기화하지 못했습니다. 가능한 실패 이유는 다음과 같습니다.
명령줄에서 잘못된 도메인 이름을 지정했습니다.
지정된 클라이언트 도메인의 시작점을 나타내는 nisDomain 속성이 DIT에 설정되어 있지 않습니다.
서버에 액세스 제어 정보가 제대로 설정되지 않아 LDAP 데이터베이스에서 익명 검색을 사용할 수 없습니다.
잘못된 서버 주소가 ldapclient 명령에 전달되었습니다. ldapsearch 명령을 사용하여 서버 주소를 확인합니다.
잘못된 프로파일 이름이 ldapclient 명령에 전달되었습니다. ldapsearch 명령을 사용하여 DIT의 프로파일 이름을 확인합니다.
클라이언트 네트워크 인터페이스의 snoop를 사용하여 나가는 트래픽 종류와 통신 중인 서버를 확인합니다.
-g 옵션을 사용하여 ldap_cachemgr 데몬을 실행하면 현재 클라이언트 구성과 통계를 볼 수 있으므로 디버깅에 유용할 수 있습니다. 예를 들어,
# ldap_cachemgr -g
는 앞에서 설명한 대로 모든 LDAP 서버의 상태를 비롯한 현재 구성 및 통계를 표준 출력에 인쇄합니다. 이 명령을 실행하기 위해 수퍼유저가 될 필요는 없습니다.
ldapclient 명령이 중단될 경우 Ctrl-C를 누르면 이전 환경을 복원한 후 종료됩니다. 이 경우 서버 관리자에게 문의하여 서버가 실행 중인지 확인하십시오.
또한 프로파일이나 명령줄에서 서버 목록 속성을 검사하고 서버 정보가 올바른지 확인하십시오.
|