Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

13장. 사용자 및 호스트 그룹 관리

13.1. IdM에서 사용자 및 호스트 그룹 작업 방식

13.1.1. 사용자 및 호스트 그룹의 정의

사용자 그룹은 공통 권한, 암호 정책 및 기타 특성을 가진 사용자 집합입니다.
호스트 그룹은 일반적인 액세스 제어 규칙과 기타 특성을 가진 IdM 호스트 집합입니다.
예를 들어 회사 부서, 물리적 위치 또는 액세스 제어 요구 사항에 대한 그룹을 정의할 수 있습니다.

13.1.2. 지원되는 그룹 멤버

IdM의 사용자 그룹은 다음을 포함할 수 있습니다.
  • IdM 사용자
  • 기타 IdM 사용자 그룹
  • IdM 외부에 존재하는 외부 사용자
IdM의 호스트 그룹은 다음을 포함할 수 있습니다.
  • IdM 서버 및 클라이언트
  • 기타 IdM 호스트 그룹

13.1.3. 직접 및 간접 그룹 멤버

IdM의 사용자 및 호스트 그룹 속성은 직접 및 간접 멤버 모두에 적용됩니다. B 그룹이 A 그룹의 멤버인 경우 B 그룹의 모든 사용자는 A 그룹의 멤버로 간주됩니다.
예를 들면 그림 13.1. “직접 및 간접 그룹 멤버쉽” 에서 다음을 수행합니다.
  • 사용자 1 및 사용자 2는 A 그룹의 직접 구성원 입니다.
  • 사용자 3, 사용자 4 및 사용자 5는 A 그룹의 간접 구성원 입니다.

그림 13.1. 직접 및 간접 그룹 멤버쉽

직접 및 간접 그룹 멤버쉽
사용자 그룹 A에 대한 암호 정책을 설정한 경우 정책은 사용자 그룹 B의 모든 사용자에게도 적용됩니다.

예 13.1. 직접 및 간접 그룹 멤버 보기

  1. group_Agroup_B 그룹 두 그룹을 생성합니다. 13.2절. “사용자 또는 호스트 그룹 추가 및 제거” 참조하십시오.
  2. 추가:
    • group_A의 멤버인 한 사용자
    • group_B의 멤버인 또 다른 사용자
    • group_Bgroup_A의 멤버로
  3. 웹 UI에서 다음을 수행합니다. IdentityGroups 를 선택합니다. 왼쪽의 사이드 표시줄에 나열된 개별 그룹 유형에서 User Groups 를 선택하고 group_A 의 이름을 클릭합니다. 직접 멤버십과 Indirect Membership 간에 전환하십시오.

    그림 13.2. 간접 및 직접 멤버

    간접 및 직접 멤버
  4. 명령줄에서 다음을 수행합니다. ipa group-show 명령을 사용합니다.
    $ ipa group-show group_A
      ...
      Member users: user_1
      Member groups: group_B
      Indirect Member users: user_2
간접 멤버 목록에는 신뢰할 수 있는 Active Directory 도메인의 외부 사용자가 포함되지 않습니다. Active Directory 신뢰 사용자 오브젝트는 IdM 내에 LDAP 오브젝트로 존재하지 않기 때문에 IdM 인터페이스에 표시되지 않습니다.

13.1.4. IdM의 사용자 그룹 유형

POSIX 그룹 (기본값)
POSIX 그룹은 해당 멤버에 대해 POSIX 속성을 지원합니다. Active Directory와 상호 작용하는 그룹은 POSIX 속성을 사용할 수 없습니다.
non-POSIX 그룹
이 유형의 모든 그룹 멤버는 IdM 도메인에 속해야 합니다.
외부 그룹
외부 그룹을 사용하면 IdM 도메인 외부의 ID 저장소에 존재하는 그룹 멤버를 추가할 수 있습니다. 외부 저장소는 로컬 시스템, Active Directory 도메인 또는 디렉터리 서비스일 수 있습니다.
비POSIX 및 외부 그룹은 POSIX 특성을 지원하지 않습니다. 예를 들어 이러한 그룹에는 GID가 정의되어 있지 않습니다.

예 13.2. 다양한 유형의 사용자 그룹 검색

  1. ipa group-find 명령을 실행하여 모든 사용자 그룹을 표시합니다.
  2. ipa group-find --posix 명령을 실행하여 모든 POSIX 그룹을 표시합니다.
  3. ipa group-find --nonposix 명령을 실행하여 모든 비POSIX 그룹을 표시합니다.
  4. ipa group-find --external 명령을 실행하여 모든 외부 그룹을 표시합니다.

13.1.5. 기본값으로 생성된 사용자 및 호스트 그룹

표 13.1. 기본값으로 생성된 사용자 및 호스트 그룹

그룹 이름 사용자 또는 호스트 기본 그룹 멤버
ipausers 사용자 그룹 모든 IdM 사용자
admins 사용자 그룹 처음 기본 admin 사용자인 관리자 권한이 있는 사용자
editors 사용자 그룹 관리 사용자의 모든 권한 없이 웹 UI에서 다른 IdM 사용자를 편집할 수 있는 사용자
신뢰 관리자 사용자 그룹 Active Directory 트러스트를 관리할 수 있는 권한이 있는 사용자
ipaservers 호스트 그룹 모든 IdM 서버 호스트
사용자 그룹에 사용자를 추가하면 그룹과 연결된 권한 및 정책을 적용합니다. 예를 들어 admins 그룹에 사용자를 추가하면 사용자에게 관리 권한이 부여됩니다.
주의
admins 그룹을 삭제하지 마십시오. admins 는 IdM에 필요한 사전 정의된 그룹이므로 이 작업으로 인해 특정 명령에 문제가 발생합니다.
주의
ipaservers 호스트 그룹에 호스트를 추가할 때는 주의하십시오. ipaservers 의 모든 호스트에서는 IdM 서버로 승격할 수 있습니다.
또한 IdM에서 새 사용자가 생성될 때마다 기본적으로 사용자 개인 그룹을 생성합니다.
  • 사용자 개인 그룹의 이름은 해당 그룹이 생성된 사용자와 동일합니다.
  • 사용자는 사용자 개인 그룹의 유일한 멤버입니다.
  • 개인 그룹의 GID는 사용자의 UID와 일치합니다.

예 13.3. 사용자 개인 그룹 보기

ipa group-find --private 명령을 실행하여 모든 사용자 개인 그룹을 표시합니다.
$ ipa group-find --private
----------------
2 groups matched
----------------
  Group name: user1
  Description: User private group for user1
  GID: 830400006

  Group name: user2
  Description: User private group for user2
  GID: 830400004
----------------------------
Number of entries returned 2
----------------------------
경우에 따라 NIS 그룹 또는 다른 시스템 그룹이 사용자 개인 그룹에 할당될 GID를 이미 사용하는 경우와 같이 사용자 개인 그룹을 생성하지 않는 것이 좋습니다. 13.4절. “사용자 개인 그룹 비활성화” 참조하십시오.