[etc] Proxmox LXC ¿¡¼­ FreeIPA ¼³Ä¡ ½Ã ±â´É Á¦ÇÑ

Ǫ»Ç   
   Á¶È¸ 3854   Ãßõ 0    

요약: LXC 에서 FreeIPA 구성 시

1. unprivileged 체크 해제 필요: 체크 되어 있으면 SSSD - Kerberos 인증이 안 됨

- 정확히 어느 제한 때문에 안되는지는 모르겠습니다.

2. NTP: --no-ntp 로 NTP 구성 안 해야 함

- 어차피 컨테이너 호스트 시간을 따라가므로 컨테이너에서 시간 동기화가 필요없기도 하고, 권한 해제하면 되긴 될텐데 굳이...?



Proxmox 에 VM 과 LXC 방식으로 가상화를 할 수 있습니다.

VM 은 하드웨어부터 가상화해서 OS 가 올라가는 방식으로 부팅 시 BIOS 화면부터 OS 까지 다 볼 수있고, 다양한 OS 를 올릴 수 있습니다.

LXC 는 리눅스 컨테이너인데, 다들 아시는 Docker 라고 생각하면 되는데 좀 다른 모양이더군요.


여하간에 저는 FreeIPA 와 Keycloak 을 구성하여 모든 인증을 합칠 생각으로 FreeIPA 를  VM 으로 구성했습니다.

잘 동작하는데..자주 사용하는 인스턴스가 아닌데 CPU 를 계속 1% 가량 쓰는게 아깝더라고요.

그래서 LXC 로 구성... NTP 서비스가 안 올라가는 문제는 --no-ntp 로 해결


설치 완료 후 FreeIPA 웹 인터페이스 정상 접속 되고, Proxmox 에 LDAP Realm 추가하여 LDAP 계정으로 Proxmox 로그인도 성공

그 뒤에 LXC 리눅스 머신 간 SSH 접속을 하니 패스워드가 맞음에도 접속 실패... 로그를 아무리 살펴봐도 잘못된 부분이 없고, 검색해봐도 OS 버그라느니 이런 내용만 있다가... 

Proxmox 키워드를 넣어보니 그제서야 unpriviliged 체크 해제하라는 글을 찾았습니다.

https://www.reddit.com/r/Proxmox/comments/rqmq1b/unprivileged_lxc_sssd_configuration/


기능상 해결은 됐는데, 이게 영향이 어느 정도인지, 정확히 KDC와 SSSD 간에 어느 권한이 필요한지는 모르겠습니다.
ÀÌ ±ÛÀ» º¸¸é UID ¹®Á¦°¡ ¾Æ´Ñ°¡ ½Í½À´Ï´Ù. Âü°íµÇ½Ã±â ¹Ù¶ø´Ï´Ù.
https://www.reddit.com/r/Proxmox/comments/rqmq1b/unprivileged_lxc_sssd_configuration/
Ǫ»Ç 04-28
https://blog.davidassigbi.com/lxclxdproxmox-container-custom-uidgid-mappings-for-freeipa-users
uid gid ¸ÊÇÎ ÀÌÈÄ ssh Á¢¼Ó Àß µË´Ï´Ù. LDAP UID °ªÀÌ ³Ê¹« Ä¿¼­ ¾ÈµÇ´Â°Å¶ó³×¿ä.

/etc/pve/lxc/CTID.conf
lxc.idmap: u 1000000 1000000 200000
lxc.idmap: g 1000000 1000000 200000
lxc.idmap: u 0 100000 65536
lxc.idmap: g 0 100000 65536

/etc/subuid, /etc/subgid ¿¡ Ãß°¡
root:1000000:2000000

freeipa-server ¼³Ä¡ ½Ã idstart, idmax °ª ÁöÁ¤
ipa-server-install \
  --setup-dns \
  --ds-password='DOMAIN PASSWORD' \
  --admin-password='IPA PASSWORD' \
  --domain=jellypo.pe.kr \
  --realm='JELLYPO.PE.KR' \
  --hostname=ipa1.jellypo.pe.kr \
  --netbios-name=IPA1 \
  --no-ntp \
  --idstart=1000000 \
  --idmax=1999999


Á¦¸ñPage 4/128
2015-12   1513090   ¹é¸Þ°¡
2014-05   4976983   Á¤ÀºÁØ1
2021-05   3256   ÆÄ°£Èñ
2021-08   3282   ¹üÀÌ´Ô
2021-03   3296   dateno1
2019-11   3307   ¼ÛÁÖȯ
2020-07   3307   ¿ì·ç·ç·ç·ç·ç
2020-09   3313   ¾ðŸÀÌƲ
2020-04   3320   ´ÞÀÎ
2022-01   3322   moriss
2022-02   3339   µå¸®µ¥ÀÌ
2021-06   3352   ³ª¶ó»ç¶û
01-25   3355   ¾ÆÀ̾¾Æ¼
2022-02   3356   »ç´©½º
2021-01   3376   osthek83
2020-04   3381   Á¤»ö¸Ç
2021-08   3390   võ¼ÒÀ¯v
2021-07   3392   ³ª¶ó»ç¶û
2018-11   3394   stims
2021-05   3419   ¹æ¶ûÀÚ7
2021-07   3424   INMD
2022-02   3432   yooni