Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

11.2. 사용자 라이프 사이클

Identity Management는 stage,active, preserved 등 세 가지 사용자 계정 상태를 지원합니다.
  • 단계 사용자는 인증할 수 없습니다. 이는 초기 상태입니다. 활성 사용자에게 필요한 일부 사용자 계정 속성은 아직 설정되지 않을 수 있습니다.
  • 활성 사용자는 인증할 수 있습니다. 필요한 모든 사용자 계정 속성을 이 상태로 설정해야 합니다.
  • 보존된 사용자는 이전 활성 사용자입니다. 비활성 것으로 간주되며 IdM에 인증할 수 없습니다. 보존된 사용자는 활성 사용자로 보유한 계정 속성을 대부분 유지하지만 사용자 그룹의 일부가 아닙니다.
    참고
    보존 상태의 사용자 목록은 과거 사용자 계정의 기록을 제공할 수 있습니다.
사용자 항목도 IdM 데이터베이스에서 영구적으로 삭제할 수 있습니다. 사용자 항목을 삭제하면 그룹 멤버십 및 암호를 포함하여 IdM에서 항목 자체 및 모든 정보가 영구적으로 제거됩니다. 시스템 계정 및 홈 디렉터리와 같은 사용자의 외부 구성은 삭제되지 않지만 더 이상 IdM을 통해 액세스할 수 없습니다.
중요
삭제된 사용자 계정은 복원할 수 없습니다. 사용자 계정을 삭제하면 해당 계정과 연결된 모든 정보가 영구적으로 손실됩니다.
새 관리자는 기본 admin 사용자와 같은 다른 관리자만 만들 수 있습니다. 모든 관리자 계정을 실수로 삭제하는 경우 Directory Manager는 Directory Server에서 수동으로 새 관리자를 만들어야 합니다.
주의
admin 사용자를 삭제하지 마십시오. admin 은 IdM에 필요한 사전 정의된 사용자이므로 이 작업으로 인해 특정 명령에 문제가 발생합니다. 대체 admin 사용자를 정의하고 사용하려면 하나 이상의 다른 사용자에게 admin 권한을 부여한 후 ipa user-disable admin 을 사용하여 사전 정의된 admin 사용자를 비활성화합니다.

사용자 라이프사이클 관리 작업

관리자는 사용자 프로비저닝을 관리하기 위해 사용자 계정을 한 상태에서 다른 상태로 이동할 수 있습니다. 새 사용자 계정은 활성 또는 단계로 추가할 수 있지만 보존 되지는 않습니다.
IdM은 사용자 라이프사이클 관리에 대해 다음 작업을 지원합니다.
단계 → 활성
단계 상태의 계정을 적절하게 활성화할 준비가 되면 관리자가 활성 상태로 이동합니다.
활성 → 유지됨
사용자가 퇴사한 후 관리자는 계정을 보존 상태로 이동합니다.
유지 관리 → 활성
이전 사용자가 다시 회사에 가입합니다. 관리자는 보존된 상태에서 활성 상태로 다시 이동하여 사용자 계정을 복원합니다.
유지됨 → 단계
이전 사용자가 다시 회사에 참여할 계획입니다. 관리자는 나중에 반응할 수 있도록 보존된 상태에서 stage 상태로 계정을 이동합니다.
또한 IdM에서 활성, 스테이징 및 보존 사용자를 영구적으로 삭제할 수 있습니다. 단계 사용자를 보존 상태로 이동할 수는 없으며 영구적으로 삭제할 수 있습니다.

그림 11.1. 사용자 라이프 사이클 작업

사용자 라이프 사이클 작업

11.2.1. 단계 또는 활성 사용자 추가

웹 UI에서 사용자 추가

  1. IdentityUsers 탭을 선택합니다.
  2. 활성 사용자 또는 단계 상태에 사용자를 추가할지 여부에 따라 활성 사용자 또는 단계 사용자 범주를 선택합니다.

    그림 11.2. 사용자 카테고리 선택

    사용자 카테고리 선택
    활성 또는 단계 사용자 라이프 사이클 상태에 대한 자세한 내용은 11.2절. “사용자 라이프 사이클” 을 참조하십시오.
  3. 사용자 목록 맨 위에서 추가 를 클릭합니다.

    그림 11.3. 사용자 추가

    사용자 추가
  4. 사용자 추가 양식을 작성합니다.
    사용자 로그인을 수동으로 설정하지 않으면 IdM은 지정된 이름 및 성에 따라 자동으로 로그인을 생성합니다.
  5. 추가를 클릭합니다.
    또는 추가 를 클릭하고 다른 사용자 추가 또는 추가 및 편집 을 클릭하여 새 사용자 항목 편집을 시작합니다. 사용자 항목 편집에 대한 자세한 내용은 11.3절. “사용자 편집” 을 참조하십시오.

명령줄에서 사용자 추가

활성 상태에서 새 사용자를 추가하려면 ipa user-add 명령을 사용합니다. stage 상태에서 새 사용자를 추가하려면 ipa stageuser-add 명령을 사용합니다.
참고
활성 또는 단계 사용자 라이프 사이클 상태에 대한 자세한 내용은 11.2절. “사용자 라이프 사이클” 을 참조하십시오.
옵션 없이 실행하는 경우, ipa user-addipa stageuser-add 프롬프트가 필요한 최소 사용자 속성을 선택하고 다른 속성에 기본값을 사용합니다. 또는 다양한 특성을 명령에 직접 지정하는 옵션을 추가할 수 있습니다.
대화형 세션에서 옵션 없이 명령을 실행한 후 IdM은 제공된 이름 및 성에 따라 자동으로 생성된 사용자 로그인을 제안하고 대괄호([ ])에 표시합니다. 기본 로그인을 허용하려면 Enter 를 눌러 확인합니다. 사용자 정의 로그인을 지정하려면 기본값을 확인하지 않고 대신 사용자 정의 로그인을 지정합니다. 
$ ipa user-add
First name: first_name
Last name: last_name
User login [default_login]: custom_login
ipa user-addipa stageuser-add 에 옵션을 추가하면 여러 사용자 속성에 대한 사용자 지정 값을 정의할 수 있습니다. 즉, 대화형 세션에 비해 더 많은 정보를 지정할 수 있습니다. 예를 들어 스테이징 사용자를 추가하려면 다음을 수행합니다. 
$ ipa stageuser-add stage_user_login --first=first_name --last=last_name --email=email_address
ipa user-addipa stageuser-add 에서 허용하는 전체 옵션 목록을 보려면 --help 옵션이 추가된 명령을 실행합니다.

11.2.1.1. 사용자 이름 요구 사항

IdM은 다음 정규 표현식으로 설명할 수 있는 사용자 이름을 지원합니다. 
'(?!^[0-9]+$)^[a-zA-Z0-9_.][a-zA-Z0-9_.-]*[a-zA-Z0-9_.$-]?$'
사용자 이름에는 문자, 숫자, _, ., $만 포함할 수 있으며 최소 하나의 문자만 포함해야 합니다.
참고
Samba 3.x 시스템 지원을 사용하도록 후행 달러 기호($)로 끝나는 사용자 이름이 지원됩니다.
사용자 이름에 대문자가 포함된 사용자를 추가하면 IdM에서 자동으로 이름을 저장할 때 이름을 소문자로 변환합니다. 따라서 IdM에서는 사용자가 로그인할 때 항상 사용자 이름을 소문자로 입력해야 합니다. 또한 사용자 이름은 사용자 이름(예: 사용자 및 사용자)과 같은 문자 대/소문자만 다른 사용자를 추가할 수 없습니다.
사용자 이름의 기본 최대 길이는 32자입니다. 이를 변경하려면 ipa config-mod --maxusername 명령을 사용합니다. 예를 들어 최대 사용자 이름 길이를 64자로 늘리려면 다음을 수행합니다. 
$ ipa config-mod --maxusername=64
  Maximum username length: 64
  ...

11.2.1.2. 사용자 정의 UID 또는 GID 번호 정의

사용자 지정 UID 또는 GID 번호를 지정하지 않고 새 사용자 항목을 추가하면 IdM에서 ID 범위에서 다음에 사용할 수 있는 ID 번호를 자동으로 할당합니다. 즉, 사용자의 ID 번호는 항상 고유합니다. ID 범위에 대한 자세한 내용은 14장. 고유한 UID 및 GID 번호 할당 을 참조하십시오.
사용자 정의 ID 번호를 지정하면 서버에서 사용자 정의 ID 번호가 고유했는지 여부를 확인하지 않습니다. 이로 인해 여러 사용자 항목에 동일한 ID 번호가 할당될 수 있습니다. 동일한 ID 번호를 가진 여러 항목이 없도록 하는 것이 좋습니다.

11.2.2. 사용자 나열 및 사용자 검색

웹 UI에서 사용자 나열

  1. IdentityUsers 탭을 선택합니다.
  2. 활성 사용자,단계 사용자 또는 Preserved 사용자 범주를 선택합니다.

    그림 11.4. 사용자 나열

    사용자 나열

웹 UI에서 사용자 정보 표시

사용자에 대한 자세한 정보를 표시하려면 사용자 목록에서 사용자 이름을 클릭합니다.

그림 11.5. 사용자 정보 표시

사용자 정보 표시

명령줄에서 사용자 나열

모든 활성 사용자를 나열하려면 ipa user-find 명령을 실행합니다. 모든 단계 사용자를 나열하려면 ipa stageuser-find 명령을 사용합니다. 보존된 사용자를 나열하려면 ipa user-find --preserved=true 명령을 실행합니다.
예를 들어 다음과 같습니다. 
$ ipa user-find
---------------
23 users matched
---------------
  User login: admin
  Last name: Administrator
  Home directory: /home/admin
  Login shell: /bin/bash
  UID: 1453200000
  GID: 1453200000
  Account disabled: False
  Password: True
  Kerberos keys available: True

  User login: user
...
ipa user-findipa stageuser-find 에 옵션과 인수를 추가하면 검색 기준을 정의하고 검색 결과를 필터링할 수 있습니다. 예를 들어 특정 제목으로 활성 사용자를 모두 표시하려면 다음을 수행합니다. 
$ ipa user-find --title=user_title
---------------
2 users matched
---------------
  User login: user
...
  Job Title: Title
...

  User login: user2
...
  Job Title: Title
...
마찬가지로 로그인에 사용자가 포함된 모든 단계 사용자를 표시하려면 다음을 수행하십시오. 
$ ipa user-find user
---------------
3 users matched
---------------
User login: user
...

User login: user2
...

User login: user3
...
ipa user-findipa stageuser-find 에서 허용하는 전체 옵션 목록을 보려면 --help 옵션이 추가된 명령을 실행합니다.

명령줄에서 사용자 정보 표시

활성 또는 보존된 사용자에 대한 정보를 표시하려면 ipa user-show 명령을 사용합니다. 
$ ipa user-show user_login
  User login: user_login
  First name: first_name
  Last name: last_name
...
스테이지 사용자에 대한 정보를 표시하려면 ipa stageuser-show 명령을 사용합니다.

11.2.3. 사용자 활성화, 사전 예약, 삭제 및 복원

이 섹션에서는 다양한 사용자 라이프사이클 상태 간 사용자 계정 이동에 대해 설명합니다. IdM의 라이프사이클 상태에 대한 자세한 내용은 11.2절. “사용자 라이프 사이클” 을 참조하십시오.

웹 UI에서 사용자 라이프사이클 관리

스테이징 사용자를 활성화하려면 다음을 수행합니다.
  • 단계 사용자 목록에서 활성화할 사용자를 선택하고 활성화를 클릭합니다.

    그림 11.6. 사용자 활성화

    사용자 활성화
사용자를 유지하거나 삭제하려면 다음을 수행합니다.
  1. Active users 또는 Stage users 목록에서 사용자를 선택합니다. 삭제를 클릭합니다.

    그림 11.7. 사용자 삭제

    사용자 삭제
  2. 활성 사용자를 선택한 경우 삭제 또는 보존을 선택합니다. stage 사용자를 선택한 경우 사용자만 삭제할 수 있습니다. 기본 UI 옵션은 delete 입니다.
    예를 들어 활성 사용자를 보존하려면 다음을 수행합니다.

    그림 11.8. 웹 UI에서 삭제 모드 선택

    웹 UI에서 삭제 모드 선택
    확인하려면 Delete (삭제) 버튼을 클릭합니다.
보존된 사용자를 복원하려면 다음을 수행합니다.
  • Preserved users 목록에서 복원할 사용자를 선택하고 복원을 클릭합니다.

    그림 11.9. 사용자 복원

    사용자 복원
참고
사용자를 복원해도 계정의 이전 속성은 모두 복원되지 않습니다. 예를 들어 사용자 암호는 복원되지 않으며 다시 정의해야 합니다.
웹 UI에서는 사용자를 보존된 상태에서 stage 상태로 이동할 수 없습니다.

명령줄에서 사용자 라이프사이클 관리

단계에서 활성 상태로 이동하여 사용자 계정을 활성화하려면 ipa stageuser-activate 명령을 사용합니다. 
$ ipa stageuser-activate user_login
-------------------------
Stage user user_login activated
-------------------------
...
사용자 계정을 보존하거나 삭제하려면 ipa user-del 또는 ipa stageuser-del 명령을 사용합니다.
  • IdM 데이터베이스에서 활성 사용자를 영구적으로 제거하려면 옵션 없이 ipa user-del 을 실행합니다. 
    $ ipa user-del user_login
--------------------
Deleted user "user3"
--------------------
  • 활성 사용자 계정을 유지하려면 --preserve 옵션을 사용하여 ipa user-del 을 실행합니다. 
    $ ipa user-del --preserve user_login
--------------------
Deleted user "user_login"
--------------------
  • IdM 데이터베이스에서 stage 사용자를 영구적으로 제거하려면 ipa stageuser-del 를 실행합니다. 
    $ ipa stageuser-del user_login
--------------------------
Deleted stage user "user_login"
--------------------------
참고
여러 사용자를 삭제하는 경우 오류와 관계없이 명령을 강제 적용하려면 --continue 옵션을 사용합니다. 명령이 완료되면 성공 및 실패한 작업에 대한 요약이 stdout 표준 출력 스트림에 출력됩니다. 
$ ipa user-del --continue user1 user2 user3
--continue 를 사용하지 않으면 명령이 오류가 발생할 때까지 사용자를 삭제하는 과정을 진행합니다. 그러면 중지되고 종료됩니다.
보존된 사용자 계정을 보존에서 활성 상태로 이동하여 보존된 사용자 계정을 복원하려면 ipa user-undel 명령을 사용합니다. 
$ ipa user-undel user_login
------------------------------
Undeleted user account "user_login"
------------------------------
보존된 사용자 계정을 stage 로 이동하여 보존된 사용자 계정을 복원하려면 ipa user-stage 명령을 사용합니다. 
$ ipa user-stage user_login
------------------------------
Staged user account "user_login"
------------------------------
참고
사용자 계정을 복원해도 계정의 이전 속성이 모두 복원되지는 않습니다. 예를 들어 사용자 암호는 복원되지 않으며 다시 정의해야 합니다.
이러한 명령과 허용되는 옵션에 대한 자세한 내용은 --help 옵션과 함께 실행합니다.