뭘 이런걸..

Posted
Filed under Tech/Mozilla
현재 회사에서 하고 있는 일 중의 하나가 Windows 와 Linux 간의 인증 통합입니다. 물론 Windows Active Directory 가 구성이 되어 있고, intranet 이 Exchange 환경으로 구성이 되어 있는 관계로 인증의 주체는 Active Directory 이고, Linux/BSD 서버들이 Active Directory 의 인증 정보를 이용하여 authentication 을 하는 것을 목표로 하고 있습니다.

현재의 대충 구조도는 다음과 같습니다.

AD+NIS 구성도



일단 Active Diretory 의 구성은 다음과 같습니다.

1. Windows 2003 R2 2. Active Directory 구성 3. SFU 3.0 NIS Service 구성


그리고, Active Directory 및에 Linux NIS 가 AD 서버의 NIS 에 client 로 붙습니다. 이런 이중적인 구조로 붙는 이유는 다음과 같은 문제가 있습니다.

1. 서버군 별로 group 관리를 하기 위한 AD 권한 위임 문제 2. SFU 에서 Multibyte 가 입력이 되지 않는 문제 3. SFU 의 Unix Attribute Tab 이 자동으로 활성화 되지 않는 문제


등등이 있습니다. 그래서 그림의 AD 사이의 1번 도형이 위의 1/2 번 문제가 발생해서 생기는 구조이고, 3번 문제를 해결하기 위해서 2번 도형과 같이 NIS서버에서 openldap 을 이용해서 AD의 Unix Attribute tab 을 활성화 시키고, AD 서버에 NIS password entry 를 생성시키고 등등의 작업을 한번에 처리 가능하도록 한 모델입니다.

이 작업이 종료되고 나면, 회사와 일반에 해당 모델을 공개할 예정입니다. 한번 기대해 보실만도.. :-)

각설하고, 제목과 상관없이 다른 얘기만 진행이 되었는데, 이 인증 통합작업을 하는 과정 중에서 가장 문제가 되었던 부분이 Firefox 에서 AD SSO 연결이 매끄럽지 못하게 진행이 된다는 것입니다. 즉 IE 에서는 SSO button 만 클릭하면 그냥 로그인이 되는데, Firefox 의 경우에는 인증 창이 뜨고, 인증 정보를 입력을 해 줘야 하는 (기존의 로그인과 동일한..) 과정을 처리해야 한다는 문제였습니다. 그래서 처음에는 이 문제를 해결하기 위해서 NTLM 인증을 요청하면 Domain login 크리덴셜을 넘겨줄 수 있는 Firefox Extension 을 제작하려고 했으나.. 결국에는 방법을 찾아내고 말았습니다.

  1. 일단 Firefox 를 실행 합니다.
  2. 주소줄에 about:config 를 입력합니다.
  3. FF3 의 경우에는 "고급 환경 설정 기능" 어쩌구 하면서 경고 화면이 나올 수 있습니다. 사뿐이 동의해 주세요.
  4. 필터(I)줄에 "network.automatic-ntlm-auth.trusted-uris" 문자열을 입력합니다. 그러면 하단에 해당 설정이 출력 됩니다. 출력된 라인을 더블 클릭 합니다.
  5. 더블 클릭을 하면 입력창이 하나 뜨게 됩니다. 여기에 NTLM 인증을 요청하는 웹 사이트를 입력합니다. 예를 들어 ADS 서버를 사용하여 SSO를 구현한다면 "http://ads.mycompany.com" 과 같이 등록 합니다. 여러개의 사이트를 등록 할 때는 ','를 구분자로 사용할 수 있습니다.
  6. SSO 가 구성된 사이트로 이동하여 사뿐이 접속해 봅니다.
  7. Domain에 가입되지 않은 PC는 소용이 없다는 것 정도는 아시겠죠 ^^


이로서 전 완벽한 AD + Linux 인증을 구성할 수 있게 되었습니다. 이를 위해서 따로 개발한 리스트로는..

Apache NIS module
Lighttpd NIS module
PHP Active Directory Pear package (With Ldap)
Extended Access PAM module

등등등.. 이 있네요 :-)
2008/11/07 03:02 2008/11/07 03:02
냠냠

시간 제대로 들여서 제대로 된 녀석이 나올 것 같아요!!

Rhea君

ㅋㅋㅋ 여기가 정균님 블로그였군요!
잘 둘러보다 갑니다. :D