Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.3. IdM 명령줄 유틸리티

IdM의 기본 명령줄 스크립트는 ipa 라고 합니다. ipa 스크립트는 여러 하위 명령을 위한 상위 스크립트입니다. 그런 다음 이러한 하위 명령을 사용하여 IdM을 관리합니다. 예를 들어 ipa user-add 명령은 새 사용자를 추가합니다. 
$ ipa user-add user_name
명령줄 관리는 UI의 관리에 비해 특정 이점이 있습니다. 예를 들어 명령줄 유틸리티를 사용하면 수동 조작 없이 일관된 방식으로 관리 작업을 자동화하고 수행할 수 있습니다. 또한 대부분의 관리 작업은 명령줄과 웹 UI에서 모두 사용할 수 있지만 일부 작업은 명령줄에서만 수행할 수 있습니다.
참고
이 섹션은 ipa 하위 명령에 대한 일반적인 개요만 제공합니다. 자세한 내용은 IdM 관리 특정 영역을 전담하는 다른 섹션에서 확인할 수 있습니다. 예를 들어 ipa 하위 명령을 사용하여 사용자 항목을 관리하는 방법에 대한 자세한 내용은 11장. 사용자 계정 관리 을 참조하십시오.

5.3.1. ipa 명령에 대한 도움말 가져오기

ipa 스크립트는 특정 하위 명령 집합: 주제 와 관련된 도움말을 표시할 수 있습니다. 사용 가능한 주제 목록을 표시하려면 ipa help topics 명령을 사용합니다. 
$ ipa help topics

automember         Auto Membership Rule.
automount          Automount
caacl              Manage CA ACL rules.
...
특정 항목에 대한 도움말을 표시하려면 ipa help topic_name 명령을 사용합니다. 예를 들어, automember 항목에 대한 정보를 표시하려면 다음을 수행합니다. 
$ ipa help automember

Auto Membership Rule.

Bring clarity to the membership of hosts and users by configuring inclusive
or exclusive regex patterns, you can automatically assign a new entries into
a group or hostgroup based upon attribute information.

...

EXAMPLES:

 Add the initial group or hostgroup:
   ipa hostgroup-add --desc="Web Servers" webservers
   ipa group-add --desc="Developers" devel
...
ipa 스크립트는 사용 가능한 ipa 명령 목록을 표시할 수도 있습니다. 이 작업을 수행하려면 ipa help 명령을 사용하십시오. 
$ ipa help commands
automember-add                         Add an automember rule.
automember-add-condition               Add conditions to an automember rule.
...
개별 ipa 명령에 대한 자세한 도움말을 보려면 명령에 --help 옵션을 추가합니다. 예를 들어 다음과 같습니다. 
$ ipa automember-add --help

Usage: ipa [global-options] automember-add AUTOMEMBER-RULE [options]

Add an automember rule.
Options:
  -h, --help            show this help message and exit
  --desc=STR            A description of this auto member rule
...
ipa 유틸리티에 대한 자세한 내용은 ipa(1) 도움말 페이지를 참조하십시오.

5.3.2. 값 목록 설정

IdM은 항목 속성을 목록에 저장합니다. 예를 들어 다음과 같습니다. 
ipaUserSearchFields: uid,givenname,sn,telephonenumber,ou,title
속성 목록을 업데이트할 때마다 이전 목록을 덮어씁니다. 예를 들어 이 특성만 지정하여 단일 특성을 추가하려는 시도는 이전에 정의한 전체 목록을 단일 새 속성으로 대체합니다. 따라서 속성 목록을 변경할 때 전체 업데이트 목록을 지정해야 합니다.
IdM은 다음과 같은 속성 목록을 제공하는 방법을 지원합니다.
  • 동일한 명령 호출 내에서 동일한 명령줄 인수를 여러 번 사용합니다. 예를 들어 다음과 같습니다. 
    $ ipa permission-add --permissions=read --permissions=write --permissions=delete
  • 목록을 중괄호로 묶어 쉘에서 확장을 수행할 수 있습니다. 예를 들어 다음과 같습니다. 
    $ ipa permission-add --permissions={read,write,delete}

5.3.3. 특수 문자 사용

대각 대괄호(< 및 >), plusersand(&), 별표(*) 또는 수직 표시줄(|)과 같은 특수 문자가 포함된 ipa 명령에서 명령줄 인수를 전달할 때 백슬래시(\)를 사용하여 이러한 문자를 이스케이프해야 합니다. 예를 들어 별표(*)를 이스케이프하려면 다음을 수행합니다. 
$ ipa certprofile-show certificate_profile --out=exported\*profile.cfg
이스케이프 처리되지 않은 특수 문자가 포함된 명령은 쉘에서 이러한 문자를 올바르게 구문 분석할 수 없기 때문에 예상대로 작동하지 않습니다.

5.3.4. IdM 항목 검색

IdM 항목 나열

ipa *-find 명령을 사용하여 특정 유형의 IdM 항목을 검색합니다. 예를 들어 다음과 같습니다.
  • 모든 사용자를 나열하려면 다음을 수행하십시오. 
    $ ipa user-find
---------------
4 users matched
---------------
  ...
  • 지정된 속성에 키워드가 포함된 사용자 그룹을 나열하려면 다음을 수행합니다. 
    $ ipa group-find keyword
----------------
2 groups matched
----------------
  ...
    사용자 및 사용자 그룹에 대한 IdM 검색 속성을 구성하려면 13.5절. “사용자 및 사용자 그룹에 대한 검색 속성 설정” 을 참조하십시오.
사용자 그룹을 검색할 때 검색 결과를 특정 사용자를 포함하는 그룹으로 제한할 수도 있습니다. 
$ ipa group-find --user=user_name
특정 사용자가 포함되지 않은 그룹을 검색할 수도 있습니다. 
$ ipa group-find --no-user=user_name

Particular Entry에 대한 세부 정보 표시

ipa *-show 명령을 사용하여 특정 IdM 항목에 대한 세부 정보를 표시합니다. 예를 들어 다음과 같습니다. 
$ ipa host-show server.example.com
 Host name: server.example.com
 Principal name: host/server.example.com@EXAMPLE.COM
 ...

5.3.4.1. 검색 크기 및 시간 제한 조정

사용자 목록을 보는 등의 일부 검색 결과는 매우 많은 항목을 반환할 수 있습니다. 이러한 검색 작업을 조정하여 ipa *-find 명령을 실행할 때 ipa user-find 명령을 실행하고 웹 UI에 해당 목록을 표시할 때 전체 서버 성능을 향상시킬 수 있습니다.
검색 크기 제한:
  • 클라이언트, IdM 명령줄 툴 또는 IdM 웹 UI에서 서버로 전송된 요청에 대해 반환된 최대 항목 수를 정의합니다.
  • 기본값: 100개 항목.
검색 시간 제한:
  • 서버가 검색 실행을 기다리는 최대 시간을 정의합니다. 검색이 이 제한에 도달하면 서버에서 검색을 중지하고 해당 시점에서 검색한 항목을 반환합니다.
  • 기본값: 2초.
값을 -1 로 설정하면 IdM이 검색할 때 제한을 적용하지 않습니다.
중요
검색 크기 또는 시간 제한을 너무 높게 설정하면 서버 성능에 부정적인 영향을 줄 수 있습니다.

웹 UI: 검색 크기 및 시간 제한 조정

모든 쿼리에 대해 제한을 전역적으로 조정하려면 다음을 수행합니다.
  1. IPA 서버 구성을선택합니다.
  2. Search Options (검색 옵션) 영역에서 필요한 값을 설정합니다.
  3. 페이지 상단에서 저장 을 클릭합니다.

명령줄: 검색 크기 및 시간 제한 조정

모든 쿼리에 대해 전역적으로 제한을 조정하려면 ipa config-mod 명령을 사용하고 --search recordsslimit--searchtimelimit 옵션을 추가합니다. 예를 들어 다음과 같습니다. 
$ ipa config-mod --searchrecordslimit=500 --searchtimelimit=5
명령줄에서 특정 쿼리의 제한만 조정할 수도 있습니다. 이렇게 하려면 명령에 --sizelimit 또는 --timelimit 옵션을 추가합니다. 예를 들어 다음과 같습니다. 
$ ipa user-find --sizelimit=200 --timelimit=120
중요
search records slimit 또는 --searchtimelimit 옵션과 함께 ipa config-mod 명령을 사용하여 크기 또는 시간 제한을 조정하면 ipa user-find 와 같은 ipa명령에서 반환한 항목 수에 영향을 미칩니다.
이러한 제한 외에도 Directory Server 수준에서 구성된 설정도 고려되며 더 엄격한 제한을 적용할 수 있습니다. Directory Server 제한에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드를 참조하십시오.