OS authselect를 사용하여 사용자 인증 구성에 대해 알아보겠습니다. #pam_faillock #pam.d
페이지 정보
작성자 OSworker 아이디로 검색 전체게시물 댓글 0건 조회 2,307회 좋아요 0회 작성일 23-10-09 22:57본문
안녕하세요 오늘은 'authselect'를 사용하여 사용자 인증 구성에 대해 알아보겠습니다.
authselect을 처음 듣는 분들이 있을거라고 생각됩니다. 저도 테스트하기전엔 몰랐으니깐요~^^
하지만 듣다 보면 아 이거 였구나 하실겁니다.
보통 운영을 하시다 보면 User 생성 rule이나 접속 제한을 두는 경우들이 있습니다.
예를들어, 패스워드는 특수문자+대문자+소문자+숫자 포함해서 6자 이상
또는 패스워드 3번 실패시에 잠금 또는 10분간 접속 제한 등...
이런것을 우린 RHEL7버전까지는
/etc/pam.d/system-auth
/etc/pam.d/password-auth에 pam_faillock을 설정하여 사용했습니다.
또한 두 파일 모두 변경해야 적용되었습니다.~
하지만, RHEL8 이상 부터는 authselect 유틸리티를 사용하여 사용자 인증을 구성할 수 있습니다.
RHEL7과 동일하게 설정하여 사용할 수있지만
RHEL8은 /etc/pam.d/system-auth 및 /etc/pam.d/password-auth를 수동으로 편집하는 것은 권장하지 않습니다.
RHEL 8이상부터 authselect 명령어를 사용하여 설정이 가능합니다.
그럼 설정 해보도록하겠습니다.
1. 현재 상태 보기
[root@RHEL8-TEST ~]# authselect current
Profile ID: sssd
Enabled features:
- with-fingerprint
- with-silent-lastlog
> 기본 프로필 List
[root@RHEL8-TEST ]# authselect list
- minimal Local users only for minimal installations
- nis Enable NIS for system authentication
- sssd Enable SSSD for system authentication (also for local users only)
- winbind Enable winbind for system authentication
. 기본 sssd 프로필은 LDAP 인증을 사용하는 시스템에 대해 SSSD(System Security Services Daemon)를 활성화합니다.
. winbind 프로필을 사용하면 Microsoft Active Directory와 직접 통합된 시스템에 대해 Winbind 유틸리티를 사용할 수 있습니다.
. minimal 프로필은 시스템 파일에서 직접 로컬 사용자와 그룹만 제공하므로 관리자가 더 이상 필요하지 않은 네트워크 인증 서비스를 제거할 수 있습니다.
2. 신규 프로필 생성 하여 적용하기
> 신규 rule 생성 : 기존의 기본 리스트를 복사한다.
- 기존 프로필 sssd에를 New-policy 프로필 이름 으로 복사 하여 생성
[root@RHEL8-TEST]# authselect create-profile New-policy -b sssd
New profile was created at /etc/authselect/custom/New-policy
> New-policy 프로필을 현재 프로필로 설정
[root@RHEL8-TEST ~]# authselect select custom/New-policy
Profile "custom/New-policy" was selected.
The following nsswitch maps are overwritten by the profile:
- passwd
- group
- netgroup
- automount
- services
Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.
> 현재 설정 프로필 확인
[root@RHEL8-TEST ~]# authselect current
Profile ID: custom/New-policy
Enabled features: None
> 사용자 로그인 시 홈 디렉토리가 아직 없는 경우 생성, faillock을 사용하여 계정 잠금을 활성화하려면 다음 명령을 실행합니다.
[root@RHEL8-TEST ~]# authselect enable-feature with-mkhomedir
Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.
- with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module
is present and oddjobd service is enabled and active
- systemctl enable --now oddjobd.service
[root@RHEL8-TEST ~]# authselect enable-feature with-faillock
Make sure that SSSD service is configured and enabled. See SSSD documentation for more information
[root@RHEL8-TEST ~]# authselect current
Profile ID: custom/New-policy
Enabled features:
- with-mkhomedir
- with-faillock
그리고 기존 RHEL7처럼 User 생성 및 접속 설정을 하기 위해서는
. password-auth와 system-auth 을 입맛에 맞게 설정하신 다음
[root@RHEL8-TEST ~]# ls -l /etc/authselect/custom/New-policy
total 44
-rw-r--r-- 1 root root 540 Oct 9 22:55 dconf-db
-rw-r--r-- 1 root root 279 Oct 9 22:55 dconf-locks
-rw-r--r-- 1 root root 2080 Oct 9 22:55 fingerprint-auth
-rw-r--r-- 1 root root 393 Oct 9 22:55 nsswitch.conf
-rw-r--r-- 1 root root 3074 Oct 9 22:55 password-auth
-rw-r--r-- 1 root root 340 Oct 9 22:55 postlogin
-rw-r--r-- 1 root root 4372 Oct 9 22:55 README
-rw-r--r-- 1 root root 1904 Oct 9 22:55 REQUIREMENTS
-rw-r--r-- 1 root root 1976 Oct 9 22:55 smartcard-auth
-rw-r--r-- 1 root root 3828 Oct 9 22:55 system-auth
> (password-auth와 system-auth) 변경한 내용 적용
[root@RHEL8-TEST ~]# authselect apply-changes
Changes were successfully applied.
질문1) RHEL7과 동일하게 password-auth와 system-auth 수정할꺼면서 왜 이렇게 해야하나요?
사실 그말도 맞습니다. 하지만 관리차원에서 프로필을 여러개 만들어 놓고 사용하고자 하는 프로필을 골라사용하면
관리차원에서 더 안정적이라고 생각한거 같단 생각이 듭니다.
Red Hat 설명 :
지정된 호스트에 대해 authselect 프로필을 선택하면 이 프로필이 호스트에 로그인하는 모든 사용자에게 적용됩니다.
혹, 궁금한 사항 있으시면 언제든지 댓글로 질문하시면 됩니다.
감사합니다. ~
참고링크:
댓글목록
등록된 댓글이 없습니다.
Top