Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.3.3. ActiveActive Directory HAT;Directory 사용자를 위한 IdM 그룹 생성

사용자 그룹은 IdM 사용자에게 액세스 권한, 호스트 기반 액세스 제어, sudo 규칙 및 기타 제어를 설정하는 데 필요합니다. 이러한 그룹은 IdM 도메인 리소스에 대한 액세스 권한 부여 및 액세스 제한입니다.
AD 사용자 및 AD 그룹 모두 IdM 사용자 그룹에 직접 추가할 수 있습니다. 이를 위해 먼저 AD 사용자 또는 그룹을 비POSIX IdM 외부 그룹에 추가한 다음 로컬 IdM POSIX 그룹에 추가합니다. 그런 다음 POSIX 그룹을 AD 사용자의 사용자 및 역할 관리에 사용할 수 있습니다. IdM에서 비POSIX 그룹을 처리하는 원칙에 대한 내용은 5.1.3.2절. “Active Directory 사용자 및 ID 관리 그룹” 에 설명되어 있습니다.
참고
IdM 외부 그룹에 멤버로 AD 사용자 그룹을 추가할 수도 있습니다. 이렇게 하면 단일 AD 영역 내에서 사용자 및 그룹 관리를 유지하여 Windows 사용자에 대한 정책을 더 쉽게 정의할 수 있습니다.
  1. 선택 사항: IdM 영역에서 AD 사용자를 관리하는 데 사용할 AD 도메인에서 그룹을 생성하거나 선택합니다. IdM 측의 여러 그룹을 사용하고 다양한 그룹에 추가할 수 있습니다.
  2. ipa group-add 명령에 --external 옵션을 추가하여 ActiveActive Directory 6.7;Directory 사용자의 IdM 도메인에 외부 그룹을 생성합니다. external 옵션 은 이 그룹에 IdM 도메인 외부의 멤버가 포함되어 있음을 나타냅니다. 예를 들면 다음과 같습니다. 
    [root@ipaserver ~]# ipa group-add --desc='AD users external map' ad_users_external --external
-------------------------------
Added group "ad_users_external"
-------------------------------
  Group name: ad_users_external
  Description: AD users external map
    참고
    외부 그룹은 사용자의 기본 그룹이 아닌 추가 사용자 그룹에 연결되어 있어야 합니다. ActiveActive Directory QCOW;Directory는 그룹 속성에 그룹 멤버 를 저장하고, IdM은 이 특성을 사용하여 멤버를 확인합니다. 그러나 ActiveActive Directory {{;Directory는 해결되지 않은 사용자 항목의 primaryGroupID 속성에 사용자 그룹을 저장합니다.
  3. 새 IdM POSIX 그룹을 생성하거나 IdM 정책을 관리할 기존 그룹을 선택합니다. 예를 들어 새 그룹을 생성하려면 다음을 실행합니다. 
    [root@ipaserver ~]# ipa group-add --desc='AD users' ad_users
----------------------
Added group "ad_users"
----------------------
  Group name: ad_users
  Description: AD users
  GID: 129600004
  4. IdM 외부 그룹에 AD 사용자 또는 그룹을 외부 멤버로 추가합니다. AD 멤버는 DOMAIN\group_name 또는 DOMAIN\username 과 같은 정규화된 이름으로 식별됩니다. 그러면 AD ID가 사용자 또는 그룹의 ActiveActive Directory Long;Directory SID에 매핑됩니다.
    예를 들어 AD 그룹의 경우 다음을 수행합니다. 
    [root@ipaserver ~]# ipa group-add-member ad_users_external --external "AD\Domain Users"
 [member user]:
 [member group]:
  Group name: ad_users_external
  Description: AD users external map
  External member: S-1-5-21-3655990580-1375374850-1633065477-513 SID_DOM_GROUP (2)
-------------------------
Number of members added 1
-------------------------
  5. 외부 IdM 그룹을 POSIX IdM 그룹에 멤버로 추가합니다. 예를 들면 다음과 같습니다. 
    [root@ipaserver ~]# ipa group-add-member ad_users --groups ad_users_external
  Group name: ad_users
  Description: AD users
  GID: 129600004
  Member groups: ad_users_external
-------------------------
Number of members added 1
-------------------------