AD 사용자를 위한 Unix 로컬 그룹 생성

Question

답변을 찾았지만 게시할 시간이 없었습니다. Samba 4 AD에 대한 사용자 비밀번호 인증을 구현하는 완전한 방법은 다음과 같습니다.

libnss-ldapd 설치
Samba 4 AD에 대한 인증서를 받아 CA에 추가하세요.
CA 인증서 업데이트
ldapsearch를 사용하여 연결 확인
pam-auth-update 및 LDAP를 사용해야 하는 서비스 선택
필요한 경우 로그인 시 홈페이지 만들기를 이용하세요.

열고 /etc/nslcd.conf다음과 같이 수정합니다.

# /etc/nslcd.conf

# nslcd configuration file. See nslcd.conf(5)
# for details.

# The user and group nslcd should run as.
uid nslcd
gid nslcd

# The location at which the LDAP server(s) should be reachable.
uri ldaps://dc.example.com:636/

# The search base that will be used for all queries.
base DC=example,DC=com

# The LDAP protocol version to use.
#ldap_version 3

# The DN to bind with for normal lookups.
#binddn nslcd
binddn CN=binduser,CN=Users,DC=example,DC=com
bindpw yourpassword

# The DN used for password modifications by root.
#rootpwmoddn cn=admin,dc=example,dc=com

# SSL options
#ssl start_tls
#tls_reqcert never
ssl on
tls_cacertfile /etc/ssl/certs/ca.pem
#tls_cacertfile /etc/ssl/certs/ca-certificates.crt

# The search scope.
scope sub

filter passwd (&(objectClass=user)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*))
map    passwd   uid                 sAMAccountName
map    passwd   homeDirectory       unixHomeDirectory
map    passwd   gecos               displayName
filter passwd (&(objectClass=user)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*))
map    shadow   uid                 sAMAccountName
map    shadow   shadowLastChange    pwdLastSet
filter passwd (&(objectClass=user)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*))
map    group    cn                  sAMAccountName
map    group    gidNumber           uidNumber
map    group    memberUid           sAMAccountName

로그인을 테스트하면 다음이 표시됩니다.

user@test [Home]:~$  ll /home/
drwxr-xr-x  3 user user 4096 May 20 01:41 user/
user@test [Home]:~$
user@test [Home]:~$
user@test [Home]:~$  ll /home/user/
total 28
drwxr-xr-x 3 user user 4096 May 20 01:41 ./
drwxr-xr-x 4 root root 4096 May 19 23:35 ../
-rw-r--r-- 1 user user  220 May 19 23:35 .bash_logout
-rw-r--r-- 1 user user 3771 May 19 23:35 .bashrc
drwx------ 2 user user 4096 May 19 23:35 .cache/
-rw-r--r-- 1 user user  655 May 19 23:35 .profile
-rw------- 1 user user  568 May 20 01:41 .viminfo

공개 키 인증의 경우 모든 사용자의 공개 키를 모든 서버와 모든 신규 사용자에게 복사합니다. 이는 구현하기 어렵고 오류가 발생하기 쉽습니다. 아니면 모든 사용자의 SSH 공개 키와 모든 호스트의 공개 키에 서명하면 됩니다. 이것도 어려운 것 같습니다. . 사용자 CA와 호스트 CA를 생성하고 이를 모든 서버에 배포하고 꼭두각시를 사용하여 모든 호스트 공개 키에 서명했습니다. 사용자는 키 서명을 담당해야 하며 사용자 CA를 웹 애플리케이션에 넣고 컬을 사용할 수도 있습니다.

Answer 1

답변을 찾았지만 게시할 시간이 없었습니다. Samba 4 AD에 대한 사용자 비밀번호 인증을 구현하는 완전한 방법은 다음과 같습니다.

libnss-ldapd 설치
Samba 4 AD에 대한 인증서를 받아 CA에 추가하세요.
CA 인증서 업데이트
ldapsearch를 사용하여 연결 확인
pam-auth-update 및 LDAP를 사용해야 하는 서비스 선택
필요한 경우 로그인 시 홈페이지 만들기를 이용하세요.

열고 /etc/nslcd.conf다음과 같이 수정합니다.

# /etc/nslcd.conf

# nslcd configuration file. See nslcd.conf(5)
# for details.

# The user and group nslcd should run as.
uid nslcd
gid nslcd

# The location at which the LDAP server(s) should be reachable.
uri ldaps://dc.example.com:636/

# The search base that will be used for all queries.
base DC=example,DC=com

# The LDAP protocol version to use.
#ldap_version 3

# The DN to bind with for normal lookups.
#binddn nslcd
binddn CN=binduser,CN=Users,DC=example,DC=com
bindpw yourpassword

# The DN used for password modifications by root.
#rootpwmoddn cn=admin,dc=example,dc=com

# SSL options
#ssl start_tls
#tls_reqcert never
ssl on
tls_cacertfile /etc/ssl/certs/ca.pem
#tls_cacertfile /etc/ssl/certs/ca-certificates.crt

# The search scope.
scope sub

filter passwd (&(objectClass=user)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*))
map    passwd   uid                 sAMAccountName
map    passwd   homeDirectory       unixHomeDirectory
map    passwd   gecos               displayName
filter passwd (&(objectClass=user)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*))
map    shadow   uid                 sAMAccountName
map    shadow   shadowLastChange    pwdLastSet
filter passwd (&(objectClass=user)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*))
map    group    cn                  sAMAccountName
map    group    gidNumber           uidNumber
map    group    memberUid           sAMAccountName

로그인을 테스트하면 다음이 표시됩니다.

user@test [Home]:~$  ll /home/
drwxr-xr-x  3 user user 4096 May 20 01:41 user/
user@test [Home]:~$
user@test [Home]:~$
user@test [Home]:~$  ll /home/user/
total 28
drwxr-xr-x 3 user user 4096 May 20 01:41 ./
drwxr-xr-x 4 root root 4096 May 19 23:35 ../
-rw-r--r-- 1 user user  220 May 19 23:35 .bash_logout
-rw-r--r-- 1 user user 3771 May 19 23:35 .bashrc
drwx------ 2 user user 4096 May 19 23:35 .cache/
-rw-r--r-- 1 user user  655 May 19 23:35 .profile
-rw------- 1 user user  568 May 20 01:41 .viminfo

공개 키 인증의 경우 모든 사용자의 공개 키를 모든 서버와 모든 신규 사용자에게 복사합니다. 이는 구현하기 어렵고 오류가 발생하기 쉽습니다. 아니면 모든 사용자의 SSH 공개 키와 모든 호스트의 공개 키에 서명하면 됩니다. 이것도 어려운 것 같습니다. . 사용자 CA와 호스트 CA를 생성하고 이를 모든 서버에 배포하고 꼭두각시를 사용하여 모든 호스트 공개 키에 서명했습니다. 사용자는 키 서명을 담당해야 하며 사용자 CA를 웹 애플리케이션에 넣고 컬을 사용할 수도 있습니다.

AD 사용자를 위한 Unix 로컬 그룹 생성

답변1

관련 정보