제가 정리한 내용을 가지고 따라서 하시고 계시는거라면 정확히 어디에서 막히는 것인지를 적어주셔야 할 것 같은데요? 질문이 너무 막연하네요.

지금 말한 부분도 제가 정리한 문서에 자세히 나와있는 듯한데요.

그리고 지금 작업하시려는 부분 openldap 자체에 대해서 먼저 열심히 공부를 해두지 않으면 작업이 쉽지 않습니다.

/etc/ldap.conf

nss_base_netgroup     ou=netgroup,dc=linux252,dc=com

/etc/nsswatch.conf

netgroup:          ldap

dn: cn=QAUsers,ou=Netgroup,dc=linux252,dc=com

objectClass: nisNetgroup

objectClass: top

cn: QAUsers

description: netgroup test group

nisNetgroupTriple: (,test2,)

dn: cn=QASystems,ou=Netgroup,dc=linux252,dc=com

objectClass: nisNetgroup

objectClass: top

cn: QASystems

description: netgroup test group

nisNetgroupTriple: (,,linux252.com)

/etc/security/access.conf

+ : @QAUsers@@QASystems : 203.247.50.0/24

이런식으로 추가를 해주고 수정을 했는데 test2가 접속이 되는것 으로 이해 했는데 그 반대로 test2만 접속이 않되고 나머지가 다 접속이 됩니다. ㅠㅠ

답변 부탁드립니다.

승환님 커버러스 연동 성공하면 그런 정보 좀 공유하면 좋겠네요.

그리고 태경님 제가 작성한 문서는 상당히 오래되어서 지금은 제가 내용을 많이 까먹었습니다. 계속 쓰고 있는것이 아니다보니.

근데 예전 작성했던 문서를 보니 아래 내용이 있는데 이것도 설정을 하신건가요?

OS에서 netgroup을 찾을 수 있도록 /etc/nsswitch.conf 에서 netgroup 에 대한 설정을 한다.

제가 정리한 내용에서 PAM 접근제어 연동에는 nisNetgroupTriple에 NIS 도메인 정보를 넣어주었네요.

nisNetgroupTriple: (,bobby,example.com)

그리고 제가 작업했던 것은 OpenLDAP 2.2.x rpm 으로 설치한 것이었고 버전이 올라가면서 달라지는 부분이 생길 수도 있지요.

kerberos 당연히 공유해야지요....그런데 쉽지가 않아서 떡실신 일보 직전까지 왔습니다. ㅎㅎ

좀 더 테스트해보고 지금까지의 내용 정리해서 올리겠습니다.

간단히 말씀드리자면 우선 제 방법은 이렇게 접근을 했습니다.

저희 회사는 크게 Windows AD 군이 있습니다.

중요 AD에는 익스체인지 서버와 인증서버, DNS 서버, BPM(출근 등)서버로 되어 있습니다.

두번째 팀들이 스케줄 및 일정관리를 하기위해 TMS 시스템이 도입이 되었습니다.

방법론은 에자일 방법론과 Trac으로 준비를 하였습니다.

제가 담당하게 된 파트가 TMS project입니다. 물론 리눅스입니다.

그래서 지금은 openldap(ubuntu 이상하게 프로그래머들이 ubuntu를 요청을 하였습니다) + trac(ubuntu) 이렇게 사용해서 잘 사용하고 있다가 지금 이슈가

SSO였습니다. SSO 방법을 찾아보다가 kerberos를 찾게 되었고 진행을 하다보니 쉽지가 않았습니다.

위에는 지금의 환경을 말씀드렸습니다. kerberos를 하다가 생기는 문제점을 정리해보겠습니다.

------------------------------------------------------

Windows AD 같은 경우 저희는 회사에 출근을 해서 개개인의 pc에 로그인을 하는순간 key값을 받아오는것을 확인했습니다. 확인 방법은 마이크로관리자 kit tools 중 (Windows Resource Kits) kerbtray.exe라는 것이 있습니다. AD에 묶여 있는 pc에서 실행해 보시면 어떤 key값들이 있는지 정확하게 보실 수 있습니다. 즉 이 key값이 중요한 열쇠로 Windows AD에서는 로그인하는 순간 key값을 클라이언트들에게 할당해 줍니다.

그런데 문제는 linux에서는 이 키값을 어떻게 client에게 할당을 하는가를 연구해 보다가 opldap mapping 기술을 쓰는것 같습니다(이 부분이 이직 정확하지 않은 내용입니다)

그래서 우선 약식 테스트를 하기 위해서 ssh를 테스트해본 결과 가능하고 key값을 받아오는것을 확인 할 수 있었습니다.

위에 결과로 kerberos 인증 자체 셋팅이나 설정은 무난한 것으로 판단하고 이런 생각을 하게 되었습니다.

즉 제가 테스트하는 리눅스 서버를 3대 만들었습니다. openldap , kerberos, dns 하지만 제가 테스트하는 클라이언트는 제 pc 즉 제 pc에는 어떠한 kerberos 설정이 되어 있지 않고 원격으로 테스트를하니 key를 못받아온다고 판단에 다른 테스트 서버에 linux + XWindows + kerberos client 설정하고 익스플로어는 Firefox(Firefox auth 부분을 셋팅하였습니다)를 하여 부분적이나마 SSO를 테스트를 간단히 성공할 수 있었습니다.

openldap처럼 정확하게 유저를 분류해 내는 것도 테스트 확인 할 수 있었습니다.

하지만 지금 문제점은 어떻게 openldap과 mapping을 설정하고 그랬을 경우 각각의 일반 pc(client user's)들이 로그인을 가능하게하며 sso가 가능할지, 또한 익스플로어를 다양하게 가능한지는 좀더 테스트를 해보아야 할 것 같습니다.

좀더 크게는 Windows AD군과의 계정 통합 이슈가 너무 크게 보이네요..

정리가 좀더 된 후에 문서 정리해서 공유하겠습니다.