21.7. 사용자 개인 그룹없이 사용자 추가
기본적으로 IdM은 새 사용자가 IdM에 생성될 때마다 사용자 개인 그룹(UPG)을 생성합니다. UPG는 특정 그룹 유형입니다.
- UPG의 이름은 새로 생성된 사용자와 동일합니다.
- 사용자는 UPG의 유일한 멤버입니다. UPG는 다른 멤버를 포함할 수 없습니다.
- 개인 그룹의 GID는 사용자의 UID와 일치합니다.
그러나 UPG를 생성하지 않고 사용자를 추가할 수 있습니다.
21.7.1. 사용자 개인 그룹이 없는 사용자
NIS 그룹 또는 다른 시스템 그룹이 사용자 개인 그룹에 할당되는 GID를 이미 사용하는 경우 UPG를 생성하지 않아야 합니다.
다음 두 가지 방법으로 이 작업을 수행할 수 있습니다.
- 개인 그룹을 전역적으로 비활성화하지 않고 UPG 없이 새 사용자를 추가합니다. 개인 그룹이 전역적으로 활성화된 경우 사용자 개인 그룹이 없는 사용자 추가를 참조하십시오.
- 모든 사용자에 대해 UPG를 전역적으로 비활성화한 다음 새 사용자를 추가합니다. 모든 사용자의 경우 사용자 개인 그룹 비활성화 및 사용자 개인 그룹이 전역적으로 비활성화된 경우 사용자 추가를 참조하십시오.
두 경우 모두 IdM은 새 사용자를 추가할 때 GID를 지정해야 합니다. 그렇지 않으면 작업이 실패합니다. IdM에는 새 사용자에 대한 GID가 필요하지만 기본 사용자 그룹 ipausers 는 POSTIX 그룹이 아니므로 GID가 연결되어 있지 않기 때문입니다. 지정한 GID는 기존 그룹에 해당하지 않아도 됩니다.
GID를 지정해도 새 그룹이 생성되지 않습니다. IdM에서 속성이 필요하므로 새 사용자의 GID 속성만 설정합니다.
21.7.2. 개인 그룹이 전역적으로 활성화된 경우 사용자 개인 그룹이 없는 사용자 추가
UPG(사용자 개인 그룹)를 시스템에서 활성화된 경우에도 사용자를 만들 수 있습니다. 이를 위해서는 새 사용자에 대한 GID를 수동으로 설정해야 합니다. 필요한 이유에 대한 자세한 내용은 사용자 개인 그룹이 없는 사용자를 참조하십시오.
절차
IdM이 UPG를 생성하지 못하도록 하려면
ipa user-add명령에--noprivate옵션을 추가합니다.명령이 성공하려면 사용자 지정 GID를 지정해야 합니다. 예를 들어 GID가 10000인 새 사용자를 추가하려면 다음을 수행합니다.
$ ipa user-add jsmith --first=John --last=Smith --noprivate --gid 10000
21.7.3. 모든 사용자에 대해 사용자 개인 그룹 전역 비활성화
사용자 개인 그룹(UPG)을 전역적으로 비활성화할 수 있습니다. 이로 인해 모든 새 사용자에 대한 UPG가 생성되지 않습니다. 기존 사용자는 이 변경의 영향을 받지 않습니다.
절차
관리자 권한을 얻습니다.
$ kinit admin
IdM은 Directory Server Managed Entries 플러그인을 사용하여 UPG를 관리합니다. 플러그인 인스턴스를 나열합니다.
$ ipa-managed-entries --list
IdM이 UPG를 생성하지 않도록 하려면 사용자 개인 그룹 관리를 담당하는 플러그인 인스턴스를 비활성화합니다.
$ ipa-managed-entries -e "UPG Definition" disable Disabling Plugin
참고나중에
UPG 정의인스턴스를 다시 활성화하려면ipa-managed-entries -e "UPG Definition" enable명령을 사용합니다.Directory Server를 다시 시작하여 새 구성을 로드합니다.
$ sudo systemctl restart dirsrv.target
UPG를 비활성화한 다음 사용자를 추가하려면 GID를 지정해야 합니다. 자세한 내용은 사용자 개인 그룹이 전역적으로 비활성화된 경우 사용자 추가를 참조하십시오.
검증 단계
UPG가 전역적으로 비활성화되어 있는지 확인하려면 disable 명령을 다시 사용합니다.
$ ipa-managed-entries -e "UPG Definition" disable Plugin already disabled
21.7.4. 사용자 개인 그룹이 전역적으로 비활성화된 경우 사용자 추가
사용자 개인 그룹(UPG)이 전역적으로 비활성화되면 IdM에서 새 사용자에게 GID를 자동으로 할당하지 않습니다. 사용자를 성공적으로 추가하려면 수동으로 또는 automember 규칙을 사용하여 GID를 할당해야 합니다. 필요한 이유에 대한 자세한 내용은 사용자 개인 그룹이 없는 사용자를 참조하십시오.
전제 조건
- 모든 사용자에 대해 UPG를 전역적으로 비활성화해야 합니다. 자세한 내용은 모든 사용자에 대해 사용자 개인 그룹 전역 비활성화를 참조하십시오.
절차
UPG를 생성할 때 새 사용자를 추가하는 것이 성공했는지 확인하려면 다음 중 하나를 선택하십시오.
새 사용자를 추가할 때 사용자 지정 GID를 지정합니다. GID는 기존 사용자 그룹에 해당하지 않아도 됩니다.
예를 들어 명령줄에서 사용자를 추가하는 경우
ipa user-add명령에--gid옵션을 추가합니다.- automember 규칙을 사용하여 GID가 있는 기존 그룹에 사용자를 추가합니다.
