Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
11.2. 사용자 라이프 사이클
Identity Management는 stage,active, preserved 등 세 가지 사용자 계정 상태를 지원합니다.
단계
사용자는 인증할 수 없습니다. 이는 초기 상태입니다. 활성 사용자에게 필요한 일부 사용자 계정 속성은 아직 설정되지 않을 수 있습니다.활성
사용자는 인증할 수 있습니다. 필요한 모든 사용자 계정 속성을 이 상태로 설정해야 합니다.보존된
사용자는 이전활성
사용자입니다. 비활성 것으로 간주되며 IdM에 인증할 수 없습니다. 보존된 사용자는 활성 사용자로 보유한 계정 속성을 대부분 유지하지만 사용자 그룹의 일부가 아닙니다.참고보존
상태의 사용자 목록은 과거 사용자 계정의 기록을 제공할 수 있습니다.
사용자 항목도 IdM 데이터베이스에서 영구적으로 삭제할 수 있습니다. 사용자 항목을 삭제하면 그룹 멤버십 및 암호를 포함하여 IdM에서 항목 자체 및 모든 정보가 영구적으로 제거됩니다. 시스템 계정 및 홈 디렉터리와 같은 사용자의 외부 구성은 삭제되지 않지만 더 이상 IdM을 통해 액세스할 수 없습니다.
중요
삭제된 사용자 계정은 복원할 수 없습니다. 사용자 계정을 삭제하면 해당 계정과 연결된 모든 정보가 영구적으로 손실됩니다.
새 관리자는 기본
admin
사용자와 같은 다른 관리자만 만들 수 있습니다. 모든 관리자 계정을 실수로 삭제하는 경우 Directory Manager는 Directory Server에서 수동으로 새 관리자를 만들어야 합니다.
주의
admin
사용자를 삭제하지 마십시오. admin
은 IdM에 필요한 사전 정의된 사용자이므로 이 작업으로 인해 특정 명령에 문제가 발생합니다. 대체 admin
사용자를 정의하고 사용하려면 하나 이상의 다른 사용자에게 admin 권한을 부여한 후 ipa user-disable admin
을 사용하여 사전 정의된 admin 사용자를 비활성화합니다.
사용자 라이프사이클 관리 작업
관리자는 사용자 프로비저닝을 관리하기 위해 사용자 계정을 한 상태에서 다른 상태로 이동할 수 있습니다. 새 사용자 계정은
활성
또는 단계로
추가할 수 있지만 보존
되지는 않습니다.
IdM은 사용자 라이프사이클 관리에 대해 다음 작업을 지원합니다.
- 단계 → 활성
단계
상태의 계정을 적절하게 활성화할 준비가 되면 관리자가활성
상태로 이동합니다.- 활성 → 유지됨
- 사용자가 퇴사한 후 관리자는 계정을
보존
상태로 이동합니다. - 유지 관리 → 활성
- 이전 사용자가 다시 회사에 가입합니다. 관리자는
보존된
상태에서활성
상태로 다시 이동하여 사용자 계정을 복원합니다. - 유지됨 → 단계
- 이전 사용자가 다시 회사에 참여할 계획입니다. 관리자는 나중에 반응할 수 있도록
보존된
상태에서stage
상태로 계정을 이동합니다.
또한 IdM에서 활성, 스테이징 및 보존 사용자를 영구적으로 삭제할 수 있습니다. 단계 사용자를
보존
상태로 이동할 수는 없으며 영구적으로 삭제할 수 있습니다.
그림 11.1. 사용자 라이프 사이클 작업
11.2.1. 단계 또는 활성 사용자 추가
웹 UI에서 사용자 추가
- Identity → Users 탭을 선택합니다.
- 활성 사용자 또는 단계 상태에 사용자를 추가할지 여부에 따라
활성
사용자 또는단계
사용자 범주를 선택합니다.그림 11.2. 사용자 카테고리 선택
- 사용자 목록 맨 위에서 추가 를 클릭합니다.
그림 11.3. 사용자 추가
- 사용자 추가 양식을 작성합니다.사용자 로그인을 수동으로 설정하지 않으면 IdM은 지정된 이름 및 성에 따라 자동으로 로그인을 생성합니다.
- 추가를 클릭합니다.또는 추가 를 클릭하고 다른 사용자 추가 또는 추가 및 편집 을 클릭하여 새 사용자 항목 편집을 시작합니다. 사용자 항목 편집에 대한 자세한 내용은 11.3절. “사용자 편집” 을 참조하십시오.
명령줄에서 사용자 추가
활성
상태에서 새 사용자를 추가하려면 ipa user-add 명령을 사용합니다. stage
상태에서 새 사용자를 추가하려면 ipa stageuser-add 명령을 사용합니다.
참고
옵션 없이 실행하는 경우, ipa user-add 및 ipa stageuser-add 프롬프트가 필요한 최소 사용자 속성을 선택하고 다른 속성에 기본값을 사용합니다. 또는 다양한 특성을 명령에 직접 지정하는 옵션을 추가할 수 있습니다.
대화형 세션에서 옵션 없이 명령을 실행한 후 IdM은 제공된 이름 및 성에 따라 자동으로 생성된 사용자 로그인을 제안하고 대괄호([ ])에 표시합니다. 기본 로그인을 허용하려면 Enter 를 눌러 확인합니다. 사용자 정의 로그인을 지정하려면 기본값을 확인하지 않고 대신 사용자 정의 로그인을 지정합니다.
$ ipa user-add First name: first_name Last name: last_name User login [default_login]: custom_login
ipa user-add 및 ipa stageuser-add 에 옵션을 추가하면 여러 사용자 속성에 대한 사용자 지정 값을 정의할 수 있습니다. 즉, 대화형 세션에 비해 더 많은 정보를 지정할 수 있습니다. 예를 들어 스테이징 사용자를 추가하려면 다음을 수행합니다.
$ ipa stageuser-add stage_user_login --first=first_name --last=last_name --email=email_address
ipa user-add 및 ipa stageuser-add 에서 허용하는 전체 옵션 목록을 보려면
--help
옵션이 추가된 명령을 실행합니다.
11.2.1.1. 사용자 이름 요구 사항
IdM은 다음 정규 표현식으로 설명할 수 있는 사용자 이름을 지원합니다.
'(?!^[0-9]+$)^[a-zA-Z0-9_.][a-zA-Z0-9_.-]*[a-zA-Z0-9_.$-]?$'
사용자 이름에는 문자, 숫자, _, ., $만 포함할 수 있으며 최소 하나의 문자만 포함해야 합니다.
참고
Samba 3.x 시스템 지원을 사용하도록 후행 달러 기호($)로 끝나는 사용자 이름이 지원됩니다.
사용자 이름에 대문자가 포함된 사용자를 추가하면 IdM에서 자동으로 이름을 저장할 때 이름을 소문자로 변환합니다. 따라서 IdM에서는 사용자가 로그인할 때 항상 사용자 이름을 소문자로 입력해야 합니다. 또한 사용자 이름은 사용자 이름(예: 사용자 및 사용자)과 같은 문자 대/소문자만 다른
사용자를
추가할 수 없습니다.
사용자 이름의 기본 최대 길이는 32자입니다. 이를 변경하려면 ipa config-mod --maxusername 명령을 사용합니다. 예를 들어 최대 사용자 이름 길이를 64자로 늘리려면 다음을 수행합니다.
$ ipa config-mod --maxusername=64 Maximum username length: 64 ...
11.2.1.2. 사용자 정의 UID 또는 GID 번호 정의
사용자 지정 UID 또는 GID 번호를 지정하지 않고 새 사용자 항목을 추가하면 IdM에서 ID 범위에서 다음에 사용할 수 있는 ID 번호를 자동으로 할당합니다. 즉, 사용자의 ID 번호는 항상 고유합니다. ID 범위에 대한 자세한 내용은 14장. 고유한 UID 및 GID 번호 할당 을 참조하십시오.
사용자 정의 ID 번호를 지정하면 서버에서 사용자 정의 ID 번호가 고유했는지 여부를 확인하지 않습니다. 이로 인해 여러 사용자 항목에 동일한 ID 번호가 할당될 수 있습니다. 동일한 ID 번호를 가진 여러 항목이 없도록 하는 것이 좋습니다.
11.2.2. 사용자 나열 및 사용자 검색
웹 UI에서 사용자 나열
- Identity → Users 탭을 선택합니다.
- 활성 사용자,단계 사용자 또는 Preserved 사용자 범주를 선택합니다.
그림 11.4. 사용자 나열
웹 UI에서 사용자 정보 표시
사용자에 대한 자세한 정보를 표시하려면 사용자 목록에서 사용자 이름을 클릭합니다.
그림 11.5. 사용자 정보 표시
명령줄에서 사용자 나열
모든 활성 사용자를 나열하려면 ipa user-find 명령을 실행합니다. 모든 단계 사용자를 나열하려면 ipa stageuser-find 명령을 사용합니다. 보존된 사용자를 나열하려면 ipa user-find --preserved=true 명령을 실행합니다.
예를 들어 다음과 같습니다.
$ ipa user-find --------------- 23 users matched --------------- User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash UID: 1453200000 GID: 1453200000 Account disabled: False Password: True Kerberos keys available: True User login: user ...
ipa user-find 및 ipa stageuser-find 에 옵션과 인수를 추가하면 검색 기준을 정의하고 검색 결과를 필터링할 수 있습니다. 예를 들어 특정 제목으로 활성 사용자를 모두 표시하려면 다음을 수행합니다.
$ ipa user-find --title=user_title --------------- 2 users matched --------------- User login: user ... Job Title: Title ... User login: user2 ... Job Title: Title ...
마찬가지로 로그인에 사용자가 포함된 모든 단계 사용자를 표시하려면 다음을
수행하십시오
.
$ ipa user-find user --------------- 3 users matched --------------- User login: user ... User login: user2 ... User login: user3 ...
ipa user-find 및 ipa stageuser-find 에서 허용하는 전체 옵션 목록을 보려면
--help
옵션이 추가된 명령을 실행합니다.
명령줄에서 사용자 정보 표시
활성 또는 보존된 사용자에 대한 정보를 표시하려면 ipa user-show 명령을 사용합니다.
$ ipa user-show user_login User login: user_login First name: first_name Last name: last_name ...
스테이지 사용자에 대한 정보를 표시하려면 ipa stageuser-show 명령을 사용합니다.
11.2.3. 사용자 활성화, 사전 예약, 삭제 및 복원
이 섹션에서는 다양한 사용자 라이프사이클 상태 간 사용자 계정 이동에 대해 설명합니다. IdM의 라이프사이클 상태에 대한 자세한 내용은 11.2절. “사용자 라이프 사이클” 을 참조하십시오.
웹 UI에서 사용자 라이프사이클 관리
스테이징 사용자를 활성화하려면 다음을 수행합니다.
- 단계 사용자 목록에서 활성화할 사용자를 선택하고 활성화를 클릭합니다.
그림 11.6. 사용자 활성화
사용자를 유지하거나 삭제하려면 다음을 수행합니다.
- Active users 또는 Stage users 목록에서 사용자를 선택합니다. 삭제를 클릭합니다.
그림 11.7. 사용자 삭제
- 활성 사용자를 선택한 경우 삭제 또는 보존을 선택합니다. stage 사용자를 선택한 경우 사용자만 삭제할 수 있습니다. 기본 UI 옵션은 delete 입니다.예를 들어 활성 사용자를 보존하려면 다음을 수행합니다.
그림 11.8. 웹 UI에서 삭제 모드 선택
확인하려면 Delete (삭제) 버튼을 클릭합니다.
보존된 사용자를 복원하려면 다음을 수행합니다.
- Preserved users 목록에서 복원할 사용자를 선택하고 복원을 클릭합니다.
그림 11.9. 사용자 복원
참고
사용자를 복원해도 계정의 이전 속성은 모두 복원되지 않습니다. 예를 들어 사용자 암호는 복원되지 않으며 다시 정의해야 합니다.
웹 UI에서는 사용자를
보존된
상태에서 stage
상태로 이동할 수 없습니다.
명령줄에서 사용자 라이프사이클 관리
단계에서
활성 상태로
이동하여 사용자 계정을 활성화하려면 ipa stageuser-activate 명령을 사용합니다.
$ ipa stageuser-activate user_login ------------------------- Stage user user_login activated ------------------------- ...
사용자 계정을 보존하거나 삭제하려면 ipa user-del 또는 ipa stageuser-del 명령을 사용합니다.
- IdM 데이터베이스에서 활성 사용자를 영구적으로 제거하려면 옵션 없이 ipa user-del 을 실행합니다.
$ ipa user-del user_login -------------------- Deleted user "user3" --------------------
- 활성 사용자 계정을 유지하려면
--preserve
옵션을 사용하여 ipa user-del 을 실행합니다.$ ipa user-del --preserve user_login -------------------- Deleted user "user_login" --------------------
- IdM 데이터베이스에서 stage 사용자를 영구적으로 제거하려면 ipa stageuser-del 를 실행합니다.
$ ipa stageuser-del user_login -------------------------- Deleted stage user "user_login" --------------------------
참고
여러 사용자를 삭제하는 경우 오류와 관계없이 명령을 강제 적용하려면
--continue
옵션을 사용합니다. 명령이 완료되면 성공 및 실패한 작업에 대한 요약이 stdout
표준 출력 스트림에 출력됩니다.
$ ipa user-del --continue user1 user2 user3
--continue
를 사용하지 않으면 명령이 오류가 발생할 때까지 사용자를 삭제하는 과정을 진행합니다. 그러면 중지되고 종료됩니다.
보존된 사용자 계정을 보존에서
활성
상태로 이동하여 보존된
사용자 계정을 복원하려면 ipa user-undel 명령을 사용합니다.
$ ipa user-undel user_login ------------------------------ Undeleted user account "user_login" ------------------------------
보존된 사용자 계정을
stage
로 이동하여 보존된
사용자 계정을 복원하려면 ipa user-stage 명령을 사용합니다.
$ ipa user-stage user_login ------------------------------ Staged user account "user_login" ------------------------------
참고
사용자 계정을 복원해도 계정의 이전 속성이 모두 복원되지는 않습니다. 예를 들어 사용자 암호는 복원되지 않으며 다시 정의해야 합니다.
이러한 명령과 허용되는 옵션에 대한 자세한 내용은
--help
옵션과 함께 실행합니다.