vsftpd 인증을 Active Directory Domain Controller에서

DC가 준비되어 있는 환경이라면 굳이 ldap을 별도로 설치하지 않아도

DC의 인증 기능을 이용하여 vsftpd에 인증 서비스를 제공할 수 있다.

 

전체 구성도

구성도

 

1. 연결 Test
# host -t SRV _kerberos._udp.sdkim.shop
# host -t SRV _ldap._tcp.sdkim.shop
# host -t SRV _ldap._tcp.dc._msdcs.sdkim.shop

2. 패키지 설치
# yum install -y adcli sssd authconfig oddjob oddjob-mkhomedir samba-common-tools krb5-workstation krb5-server

-> adcli: cli를 이용하여 AD 도메인 가입 및 관리 도구
-> sssd: 시스템 보안 서비스 데몬을 사용하여 필요에 따라 클라이언트 인증을 오프로드
-> oddjob: Application을 대신하여 Client에게 odd 작업을 제공하는 D-bus 서비스
-> oddjob-mkhomedir: odd 작업 서비스와 함께 사용하여 원하는 경우 AD 계정에 대한 홈 디렉토리 생성 가능
-> samba-common-tools: 서버와 클라이언트간의 공유 도구
-> krb5-workstation: kerberos 관련 구성을 확인하기 위한 kerberos klist 명령을 제공
-> krb5-server: kerberos lib 

3. AD 도메인 검색
# adcli info sdkim.shop

4. AD 도메인 가입
# adcli join sdkim.shop
# klist -kte

5. krb5.conf 구성

krb5.conf

6. nss 및 pam 구성
# authconfig --enablesssd --enablesssdauth --enablelocauthorize --enablemkhomedir --update
# systemctl restart oddjobd

7. /etc/nsswitch.conf 체크

nsswitch.conf

8. /etc/sssd/sssd.conf 구성

sssd.conf

9. sssd 권한변경 및 서비스 재시작
# chmod 600 /etc/sssd/sssd.conf
# systemctl restart sssd
# systemctl status sssd

10. /etc/pam.d/vsftpd 구성

vsftpd

11. vsftpd는 Passive Mode 설정

이전 자료 참조
마지막 라인에 반드시

port_promiscuous=YES

추가합니다.

12. Linux Local 사용자 생성
# useradd a
절대로 패스워드 설정하지 말것

13. AD에서 동일한 이름의 사용자 생성

여기서 인증을 받기 때문에 동일 계정 생성 후 ftp 접속시 해당 패스워드를 사용하는지 확인합니다.

다른 서비스에서도 이용가능하니 설정 활용해 보시기 바랍니다.

 

 

아래는 별도로 adcli에서 DC에 사용자 계정을 생성하는 과정입니다.

14. Linux Client에서 Active Directory 사용자로 로그인
# id sdkim\\administrator
# su - sdkim\\administrator
# ls -la /home/SDKIM.SHOP
# logout