자료를 찾아보니
디렉토리 서버 컴퓨터: GSSAPI를 활성화하도록 디렉토리 서버 구성
먼저 /data/ds/shared/bin/gssapi.ldif 파일을 만들어 디렉토리 서버에서 사용할 매핑을 정의하고 사용자(Principal)를 기반으로 인증할 Kerberos 사용자를 식별합니다. 다음 예와 동일한 내용으로 파일을 만듭니다.
예 6–4 gssapi.ldif 파일 내용
dn: cn=GSSAPI,cn=identity mapping,cn=config
changetype: add
objectClass: top
objectClass: nsContainer
cn: GSSAPI
dn: cn=default,cn=GSSAPI,cn=identity mapping,cn=config
changetype: add
objectClass: top
objectClass: nsContainer
objectClass: dsIdentityMapping
objectClass: dsPatternMatching
cn: default
dsMatching-pattern: \${Principal}
dsMatching-regexp: (.*)@EXAMPLE.COM
dsMappedDN: uid=\$1,ou=People,dc=example,dc=com
dn: cn=SASL,cn=security,cn=config
changetype: modify
replace: dsSaslPluginsPath
dsSaslPluginsPath: /usr/lib/mps/sasl2/libsasl.so
|
다음으로, 아래 예와 같이 ldapmodify 명령을 사용하여 적절한 매핑으로 GSSAPI를 활성화하도록 디렉토리 서버를 업데이트합니다.
$ ldapmodify -D cn=admin,cn=Administrators,cn=config -w - -a -f /data/ds/shared/bin/gssapi.ldif
adding new entry cn=GSSAPI,cn=identity mapping,cn=config
adding new entry cn=default,cn=GSSAPI,cn=identity mapping,cn=config
modifying entry cn=SASL,cn=security,cn=config
$
|
dn: cn=nssproxy@example.com,ou=kerberos,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: krb5Principal
objectClass: krb5KDCEntry
krb5PrincipalName: nssproxy@EXAMPLE.COM
krb5KeyVersionNumber: 1
krb5MaxLife: 86400
krb5MaxRenew: 604800
krb5KDCFlags: 126
cn: nssproxy@example.com
sn: nssproxy@example.com
userPassword: {SASL}nssproxy@EXAMPLE.COM
이런 식으로 매핑을 시킨다는데 자세한 설명 좀 부탁드립니다.
저 같은 경우에는
dn: ou=People,dc=ssl,dc=infraware,dc=net
ou: People
objectClass: top
objectClass: organizationalUnit
objectClass: domainRelatedObject
associatedDomain: ssl.infraware.net
이런 식으로 했는데 ... 요부분에서 통 감을 못잡겠네여 ㅠ.ㅠ
고수님들의 조언 부탁드립니다.
만약 도메인이 ssl.infraware.net 이라면
kerberos.infraware.net 하고는 연동이 안될까여?
밑에 글을 읽으니 단일 도메인에서 가능하다 했는데 그렇다면 ldap을 셋팅할때 infraware.net 으로 도메인을 잡고 했었어야하는지 이부분 때문일지도 모르겠네여 ...
apache 로 버처 호스팅을 만들었습니다.
sso1
sso2 는 같은 머신에 ssl.infraware.net/kerberos , ssl.infraware.net/kerberos2 로 셋팅 되어 있습니다. 이렇게는 로그인 없이 접속이 됩니다
다른 머신에 sso3, sso4/를 만들어서 kerberos.infraware.net/kerberos1 , kerberos.infraware.net/kerberos2 로 만들어 역시 같은 머신에서는 로그인 없이 잘 작동하는듯(?) 합니다.
하지만 ssl.infraware.net/kerberos 로그인 후 kerberos.infraware.net/kerberos로 넘어가면 다시 로그인 창이 뜨네요
key값을 어떤 식으로 공유하는지 찾아보니 mapping을 하는것 같은데 이 부분을 잘 모르겠습니다.
또한 도메인 문제도 있는것 같은데 휴 ...ㅠ.ㅠ
|