Go! Bbuwoo: PHP LDAP Active Directory 연동에 달린 최근 댓글/트랙백 목록https://my.oops.org/뭘 이런걸..2024-03-19T21:30:46+09:00Textcube 1.10.10 : Tempo primo이승환님의 댓글이승환https://my.oops.org/125#comment10982009-03-04T08:58:59+09:00안녕하세여.. 지금 LDAP을 공부하고 있는데 궁금한 점이 있어 여쭈어 보려합니다.
Windows AD군과 Linux LDAP 연동인지를 알고 싶습니다.
글에 보면 Windows 2003 R2에 있는 Unix passwd entry 받아와서 Linux NIS server
로 운영하신다하셨는데 아직 제가 부족해 이해가 좀 힘드네요김정균님의 댓글김정균https://my.oops.org/125#comment10992009-03-04T14:13:34+09:00Windows 2003R2 부터는 MS 예전에 application 으로 제공해 오던 Service For Unix (SFU) 를 service 로 제공합니다. 그래서 SFU에 있는 NIS를 이용해서 AD에서 NIS service 를 할 수 있습니다. 그런데 SFU의 NIS의 문제가 AD entry 에 multibyte 문자가 존재할 경우 예를 들어 CN 값을 한글 이름으로 지정할 경우, 관리툴에서 Unix Attribute tab 의 활성화가 되지 않습니다. 그래서 power shell 로 CN부분을 id와 동일하게 넣고선, Linux 에서 AD의 nis entry 를 받아와서 CN부분을 LDAP으로 값을 가져와서 복구시킨 후에 Linux NIS 에 entry 를 생성하는 방식을 사용한 것입니다. 즉, AD의 NIS는 password sync 를 위해서만 사용을 하고, Linux NIS가 실제 NIS 서비스를 하는 셈이 되는 것이죠.
이렇게 구성하면 사용자 입장에서는 AD의 암호만 변경을 하면 NIS까지 같이 변경이 되니 2군데 암호를 변경할 필요가 없게 되는 것이고요. 그리고 이렇게 이원화를 해 놓으면, OU별로 별도의 NIS entry 를 구분할 수 있는 점이 이런 설계를 가져오게 된 것입니다. 즉, 이 문서에서의 LDAP은, Linux NIS 에서 AD에서 가져온 entry 를 복구하기 위하여 사용을 하는 꽁수 때문에 작성이 된 것입니다.이승환님의 댓글이승환https://my.oops.org/125#comment11002009-03-08T15:01:59+09:00담변 감사합니다.
SFU 3.0를 간단히 테스트해보았습니다. 테스트하면서 글을 읽으니 많이 도움이 되고 있습니다.
그런데 필자님의 글에 다른 의문이 하나 더 생겼습니다.
password sync 이 부분인데요 Windows AD의 유저, 패스워드를 어떤 식으로 Linux하고 동기화 시키는지 잘 모르겠습니다.
예로 생성파일을 user id로 정했다면 UFS를 통해 유저의 ID를 리눅스 시스템 인지하는 것은 어느정도 알겠는데 passwd 부분에서 어떻게 동기화를 시키는지 궁금합니다.
그러므로 사용자의 AD암호만 변경하면 실제로 서비스를 하는 Linux NIS까지 암호가 변경이 이해가 잘 가지 않습니다.
자꾸 귀찮게하는것 같습니다. 아직 많이 부족하여 자꾸 질문을 드리게 됩니다.
조언 기다리겠습니다.
이승환
019-445-1813
lucifertear@gmail.com
예)김정균님의 댓글김정균https://my.oops.org/125#comment11012009-03-09T04:10:29+09:00너무 대단한 작업으로 생각 하시는 것 같습니다. :-) sync 는 간단하게 Linux NIS 에서 ypcat 으로 AD의 NIS entry 를 가져와서 파싱하여 Linux NIS entry 를 새로 생성하는 것 뿐입니다. 즉 AD의 NIS entry 에서는 userid/passwd field 만 사용하고, 나머지 정보는 Linux NIS 서버에서 알아서 취급을 한다는 의미입니다.
현재는, ypcat 을 사용하지 않고, Linux NIS 서버에서 LDAP 으로 AD의 SFU entry 들을 가져와서 NIS entry 를 만들고 있습니다. ^^;이승환님의 댓글이승환https://my.oops.org/125#comment11022009-03-09T11:17:26+09:00필자님의 조언 너무 감사합니다.
제가 공부해야 할 부분이 너무 많은것 같지만 필자님 덕에 하나하나 발전하고 있습니다.
혹시 궁금한 점이 있으면 부담없이 여쭈어 보겠습니다. ^^;장재혁님의 댓글장재혁https://my.oops.org/125#comment748362018-07-30T15:01:11+09:00안녕하세요 포스트 보고 질문 드립니다.
389포트를 사용시 Bind는 잘되는 걸 확인했는데
636포트 사용시 바인드가 안되서 서치를 할 수 가 없네요.
일단 윈도우 AD 서버이고 인증서는 .pfx 를 사용했는데 pem을 꼭 사용 해야 하는지와
defaultdn, accesspw 은 AD서버 관리자께 필요한 것인가요?
변경할 AD의 아이디 패스 워드로는 변경 할 수 없는건가요?
초보 개발자가 여쭤봅니다 ㅠㅠ김정균님의 댓글김정균https://my.oops.org/125#comment749512018-09-30T03:28:50+09:00일단 bind 문제는 답변을 하기가 쉽지 않네요. AD 에서 ldaps:// protocol 을 받아 주는지 확인이 되었나 부터가 우선이 되어야 해서요.
그리고, 인증서는 저의 경우에는 PEM 형식만 가능 햇습니다. 문서들에서 PEM 형식으로 변환하라고 되어 있었고요.
그리고, defaultdn, 과 accesspw 가 고정되어 있는 이유는, 위의 스크립트의 목적이 각 개별 사용자가 암호를 변경하기 위한 목적이 아니라, 전체 리스트를 관리를 하는 것이 목적이기 때문에 super user 의 권한을 가진 ldap 계정을 지정해 놓은 것입니다.
각 계정별로 자신의 password를 수정하는 것이라면 각 계정의 dn와 pw를 이용해도 무방합니다. 단, 자기 자신의 것만 수정이 가능 하겠죠.