Red Hat Training

A Red Hat training course is available for RHEL 8

28.2. IdM 웹 UI에서 권한 관리

IdM(Identity Management)에서 웹 인터페이스(IdM)를 사용하여 권한을 관리하려면 다음 절차를 따르십시오.

사전 요구 사항

  • IdM 또는 사용자 관리자 역할을 관리하기 위한 관리자 권한.
  • IdM 웹 UI에 로그인되어 있습니다. 자세한 내용은 웹 브라우저에서 IdM 웹 UI 액세스를 참조하십시오.

절차

  1. 새 권한을 추가하려면 IPA 서버 탭에서 역할 기반 액세스 제어 하위 메뉴를 열고 사용 권한 을 선택합니다.

    Permissions task

  2. 권한 목록이 열립니다. 권한 목록 상단에 있는 Add 단추를 클릭합니다.

    Adding a new permission

  3. Add Permission(권한 추가) 양식이 열립니다. 새 권한의 이름을 지정하고 그에 따라 속성을 정의합니다.

    Form for adding a permission

  4. 적절한 Bind 규칙 유형을 선택합니다.

    • 권한은 기본 권한 유형으로, 권한 및 역할을 통해 액세스 권한을 부여합니다.
    • all 은 권한이 인증된 모든 사용자에게 적용되도록 지정합니다.

    • anonymous 는 인증되지 않은 사용자를 포함하여 모든 사용자에게 권한이 적용되도록 지정합니다.

      참고

      기본이 아닌 바인드 규칙 유형의 권한을 권한에 추가할 수 없습니다. 또한 권한이 이미 권한에 있는 권한을 기본이 아닌 바인드 규칙 유형으로 설정할 수 없습니다.

  5. 부여된 권리에서 이 권한에 대해 부여할 권한을 선택하십시오 .

  6. 권한에 대한 대상 항목을 식별하는 메서드를 정의합니다.

    • type은 사용자, 호스트 또는 서비스와 같은 항목 유형을 지정합니다. Type (유형) 설정에 값을 선택하면 해당 항목 유형에 대해 이 ACI를 통해 액세스할 수 있는 모든 가능한 속성 목록이 유효 속성 아래에 표시됩니다. Type( 유형 )을 정의하면 사전 정의된 값 중 하나로 SubtreeTarget DN 이 설정됩니다.
    • subtree (필수)는 subtree 항목을 지정합니다. 그러면 이 subtree 항목 아래의 모든 항목을 대상으로 지정합니다. Subtree 는 와일드카드 또는 존재하지 않는 도메인 이름(DN)을 허용하지 않으므로 기존 하위 트리 항목을 제공합니다. 예: cn=automount,dc=example,dc=com
    • 추가 대상 필터는 LDAP 필터를 사용하여 권한이 적용되는 항목을 식별합니다. 필터는 유효한 LDAP 필터일 수 있습니다(예: (!(objectclass=posixgroup))
      IdM은 지정된 필터의 유효성을 자동으로 확인합니다. 잘못된 필터를 입력하면 IdM에서 권한을 저장하려고 할 때 이 문제에 대해 경고합니다.
    • 대상 DN 은 DN(도메인 이름)을 지정하고 와일드카드를 허용합니다. 예: uid=*,cn=users,cn=accounts,dc=com
    • 그룹의 멤버 는 대상 필터를 지정된 그룹의 멤버로 설정합니다. 필터 설정을 지정하고 Add 를 클릭하면 IdM에서 필터를 검증합니다. 모든 권한 설정이 올바르면 IdM에서 검색을 수행합니다. 일부 권한 설정이 올바르지 않으면 IdM은 어떤 설정이 잘못 설정되었는지 알려주는 메시지를 표시합니다.

  7. 권한에 속성을 추가합니다.

    • 유형을 설정하는 경우 사용 가능한 ACI 속성 목록에서 유효한 속성을 선택합니다.

    • Type (유형)을 사용하지 않은 경우 Effective attributes(유효한 속성) 필드에 수동으로 속성을 추가하여 속성을 추가합니다. 한 번에 단일 속성을 추가합니다. 여러 특성을 추가하려면 Add(추가 )를 클릭하여 다른 입력 필드를 추가합니다.

      중요

      권한에 대한 속성을 설정하지 않으면 권한에는 기본적으로 모든 속성이 포함됩니다.

  8. 양식 하단에 Add(추가) 버튼을 사용하여 권한 추가를 완료합니다.

    • Add(추가 ) 버튼을 클릭하여 권한을 저장하고 권한 목록으로 돌아갑니다.
    • 또는 권한을 저장하고 Add(추가) 버튼을 클릭하여 동일한 양식에 추가 권한을 추가할 수 있습니다.
    • Add and Edit(추가 및 편집 ) 버튼을 사용하면 새로 만든 권한을 저장하고 계속 편집할 수 있습니다.
  9. 선택 사항: 권한 목록에서 해당 이름을 클릭하여 권한 설정 페이지를 표시하여 기존 권한의 속성을 편집할 수도 있습니다.

  10. 선택 사항: 기존 권한을 제거해야 하는 경우 목록의 이름 옆에 있는 확인란을 선택한 후 삭제 버튼을 클릭하여 The Remove permissions (권한 제거) 대화 상자를 표시합니다.

    참고

    기본 관리 권한에 대한 작업은 제한됩니다. 수정할 수 없는 속성은 IdM 웹 UI에서 비활성화되며 관리 권한을 완전히 삭제할 수 없습니다.
    그러나 모든 권한에서 관리되는 권한을 제거하여 권한으로 바인드 유형이 설정된 관리 권한을 효과적으로 비활성화할 수 있습니다.

예를 들어, 권한이 있는 사용자가 engineers 그룹의 member 속성을 쓰도록 하려면 멤버를 추가하거나 제거할 수 있습니다.
Example for adding a permission