table of contents
AUTHSELECT-MIGRATIO(7) | AUTHSELECT-MIGRATIO(7) |
NAME¶
authselect-migration - authconfig에서 authselect까지 이전 방법 안내.
설명¶
이 설명서는 시스템 인증과 원천을 식별하는 설정에서 이전 도구인 authconfig와 이를 대체하는 authselect 사이에서 주요 차이점을 설명합니다. 이는 또한 authconfig에서 authselect 까지 이전하기 위해서 실행이 필요한 동작과 같은 것을 설명합니다.
주요 차이점¶
Authselect는 이전 도구 authconfig 보다 시스템 설정에 완전히 다른 접근을 가집니다.
Authconfig는 파일을 발생시키는 사용자 설명서 변화를 유지하기 위해 가장 좋은 시도입니다. 이는 PAM 설정 파일과 nsswithch.conf 뿐만 아니라 발생합니다(인증 모델과 공급원 식별 설정)만 또한 LDAP 및 Kerberos와 같은 여러 서비스를 위하여 단순 설정을 발생시킵니다.
authselect는 그런 것들을 하지 않습니다. PAM과 nsswitch.conf외에 다른 설정 파일을 발생시키지 않으며 이는 발생된 설정에 다른 수동 변화를 엄격히 금지합니다. 이 프로파일이라고 불리는 파일 설정을 제공합니다. 각각의 프로파일은 결과 설정이 어떻게 되는지를 설명하고, 이는 특정 선택 기능을 활성화 또는 비활성화에 의해 약간 수정 될 수 있습니다. 만약 요구가 authselect가 제공하는 것보다 다른 프로파일이 필요한 경우에, 관리자는 모든 새로운 프로파일 생성과 authselect를 사용하는 선택을 가지고 있습니다. 프로파일에 대해서 보다 더 알고 싶으면 authselect-profile(5)를 참조하세요.
이는 큰 불이익처럼 보이며 사실과는 다릅니다. Authconfig는 매우 오래된 도구이며 요구되는 서비스를 제공하는 응용프로그램은 근래(몇년 사이)에 빨리 변화하였습니다. 전형적으로, 이는 PAM과 nsswitch.conf에서 다중 인증 모듈을 더 이상 가질 필요가 없습니다, 왜냐하면 SSSD에 의하여 대부분의 사용사례는 처리됩니다. 그러므로 그것들을 특별히 추가하거나 지우거나 할 필요가 없습니다.이는 또한 realm 와 같이 원격 도메인에 자동 처리에 참가하는 것을 도울 수 있는 시스템 데몬을 위하여 설정을 생성하는 보다 좋은 도구가 있습니다. 게다가, 이 탑재된 프로파일은 완전히 시험되어졌으며 보다 적은 오류 발생 가능성이 훨씬 적으며 이해 할 수 있고 결정적인 시스템을 환경을 제공합니다. 이는 또한 많은 시스템을 통해 그런 환경을 배분 하는 것을 보다 쉽게 할 수 있습니다.
아마도 대부분 논쟁의 변화는 authselect가 단지 sssd와 winbind 제공자를 위해 프로파일만 탑재한 것입니다. 그들 두개의 제공자는 로컬 사용자와 기존 LDAP 도메인에서 IPA 또는 동적 디렉토리 서버와 함께 복합 설정까지 모든 최근의 사용 경우를 제공합니다. 이 프로파일은 nss-pam-ldapd를 위한 지원을 더 이상 포함하지 않으며 사용자는 전환을 sssd로 하는 것이 좋습니다.
원격 도메인 가입¶
당신은 ipa-client-install 또는 IPA 도메인에 참여하는 realm 중 하나와 동적 디렉토리 도메인에 참여하는 `realm`을 사용 할 수 있습니다. 이들 도구는 정확한 authselect 프로파일이 선택하는 모든 데몬과 서비스가 적절히 설정되어져 있는 것을 확실히 만들어 줍니다.
당신의 스크립트 변환하기¶
만약 당신이 도메인에 가입하는데 ipa-client-install 또는 `realm`을 사용하면, 당신의 스크립트에서 어떤 authconfig도 제거 할 수 있습니다. 만약 이들 선택을 사용하지 않으면, 당신은 개별 authconfig 호출과 이와 동일한 authselect 호출은 요구한 기능과 함께 정확한 프로파일을 선택에 교체가 필요합니다. 그런 후에 당신은 필요한 서비스를 위하여 설정 파일을 작성이 또한 필요합니다.
Table 1. authconfig 선택과 authselect 프로파일과의 관계
Authconfig options | Authselect profile |
--enableldap --enableldapauth | sssd |
--enablesssd --enablesssdauth | sssd |
--enablekrb5 | sssd |
--enablewinbind --enablewinbindauth | winbind |
--enablenis | none |
Table 2. authconfig 선택과 authselect 프로파일 기능과의 관계
Authconfig options | Authselect profile feature |
--enablesmartcard | with-smartcard |
--enablefingerprint | with-fingerprint |
--enablemkhomedir | with-mkhomedir |
--enablefaillock | with-faillock |
--enablepamaccess | with-pamaccess |
--enablewinbindkrb5 | with-krb5 |
--enableshadow | none |
--passalgo | none |
Note
Authconfig 선택 --enableshadow`와 `--passalgo=sah512`는 비밀번호는 `sha512 알고리즘을 사용하여 `/etc/shadow`에서 저장되어지도록 자주 사용되곤 합니다. authselect 프로파일은 이제 sha512 해쉬 방법을 사용합니다 그리고 이는 선택(사용자 정의 프로파일 생성에서만)을 통해 변경 될 수 없습니다. 당신은 다만 이들 옵션을 생략 할 수 있습니다.
예제.
authconfig --enableldap --enableldapauth --enablefaillock --updateall authselect select sssd with-faillock authconfig --enablesssd --enablesssdauth --enablesmartcard --smartcardmodule=sssd --updateall authselect select sssd with-smartcard authconfig --enablepamaccess --updateall authselect select sssd with-pamaccess authconfig --enablewinbind --enablewinbindauth --winbindjoin=Administrator --updateall realm join -U Administrator --client-software=winbind WINBINDDOMAIN
설정 파일¶
이 부분은 다양한 서비스의 최소 설정을 위해 부분 인용을 포함합니다.
LDAP¶
심지어 LDAP는 `pam_ldap`과 `nss_ldap`를 통해서 곧바로 사용되지 않은 경우에, openldap-libs구성하고 간접적으로 ldap.conf 설정하는데 아직 유용합니다. 예. `ldapsearch`와 같은 예로LDAP 도구.
/etc/openldap/ldap.conf.
# Set the default base dn BASE dc=example,dc=com # Set the default LDAP server URI ldap://ldap.example.com ldap://ldap-master.example.com:666
KERBEROS¶
만약당신이 Kerberos를 사용하면, 기본 Kerberos 영역은 krb5-lib와 즉시동작하는 `kinit`와 같은 이들 도구를 위하여 설정되어질 수 있습니다.
/etc/krb5.conf.
[libdefaults] default_realm = MYREALM [realms] MYREALM = {
kdc = kdc.myrealm.org } [domain_realm] myrealm.org = MYREALM .myrealm.org = MYREALM
SSSD¶
Authselect는 사용자에게 가능한 어디에서나 SSSD를 사용하도록 장려합니다.이들은 많은 구성 선택을 갖고 있으며, sssd.conf(5)를 참조하세요. 이는 `기본`라고 불리우는 하나의 LDAP 도메인을 생성하는 최소 구성입니다. LDAP 서버는 DNS조회를 통해 자동발견됩니다.
/etc/sssd/sssd.conf.
[sssd] config_file_version = 2 domains = default [domain/default] id_provider = ldap ldap_uri = _srv_ dns_discovery_domain = myrealm
그리고 이 곳에서 동일한 도메인을 위해 단편 설정이며, 지금 인증은 Kerberos를 통해 이뤄집니다. KDC 서버는 DNS 조회를 통해 자동 조회됩니다.
/etc/sssd/sssd.conf.
[sssd] config_file_version = 2 domains = default [domain/default] id_provider = ldap auth_provider = krb5 ldap_uri = _srv_ krb5_server = _srv_ krb5_realm = MYREALM dns_discovery_domain = myrealm
만약 당신이 IPA 또는 동적 디렉토리 도메인을 위해 SSSD 구성하고자 하면,realm 도구를 사용하세요. 이는 Kerberos keytab 생성과 기본 SSSD 구성을 발생하는 것을 포함하여 초기 설정을 수행할 것입니다. 당신은 /etc/sssd/sssd.conf의 수정을 통한 다음에 조정 할 수 있습니다.
WINBIND¶
만약 당신이 Winbind를 사용하여 장비(machine)를 설정하고 한다면, `realm`을 사용하세요. 이는 도메인 가입에 Kerberos keytab생성과 `adcli`동작하는 것을 포함하여 초기 설정을 수행 할 것입니다. 이는 또한 `smb.conf`에 변화를 만들 것입니다. 당신은 /etc/samba/smb.conf를 수정을 통한 다음에 조정 할 수 있습니다.
NIS¶
NIS 인증 작업을 만들기 위하여 설정이 필요한 몇 가지 경우입니다. 우선, /etc/yp.conf.NIS에서 NIS 도메인과 선택적인 NIS 서버 또한 설정해야 합니다.
/etc/yp.conf.
domain mydomain broadcast # or # domain mydomain server myserver
NIS 도메인은 시스템 네트워크 구성에 설정되어 있어야 합니다.
/etc/sysconfig/network.
NISDOMAIN=mydomain
이제, 당신은 시스템을 재 시작 할 필요 없이 명령줄에서 도메인 이름을 설정 할 수 있습니다. 추가적으로, selinux에서 NIS 활성화가 필요 할 수 있습니다.
$ domainname mydomain $ setsebool -P allow_ypbind 1
비밀번호 품질¶
Authselect는 pam_pwquality 모듈을 비밀번호 품질 제한에 강제하는 것을 활성화 합니다. 이들 모듈은 로컬 사용자를 위해서면 활성화됩니다. 원격 사용자는 개별 원격서버에의해 강제되어지는 비밀번호 정책을 사용해야만 합니다.
pam_pwquality 모듈은 sysconfdir}/security/pwquality.conf에서 설정되어질 수 있습니다. 이 설정 선택과 기본값을 보기에 pam_pwquality(8)을 참조하세요.
서비스 시작¶
당신의 설정에 따라, systemd에 필요한 서비스를 수동으로 시작해야 합니다.
systemctl enable sssd.service ; systemctl start sssd.service
systemctl enable winbind.service ; systemctl start winbind.service
systemctl enable rpcbind.service ; systemctl start rpcbind.service systemctl enable ypbind.service ; systemctl start ypbind.service
systemctl enable oddjobd.service ; systemctl start oddjobd.service
AUTHCONFIG 도구¶
Authconfig는 _cacertdir_rehash_라고 불리는 도구를 제공합니다. 만약 당신이 이 도구를 사용하는 경우라면, 원래의 _openssl_명령으로 전환하세요: openssl rehash <directory> 그 서버는 동일한 용도로 사용합니다.
또 보세요¶
authselect(8), authselect-profiles(5), realm(8), ipa-client-install(1), sssd.conf(5), smb.conf(5), ldap.conf(5), krb5.conf(5)
2021-06-05 |