11장. 사용자의 외부 프로비저닝을 위한 IdM 구성

시스템 관리자는 ID 관리를 위해 외부 솔루션에서 사용자의 프로비저닝을 지원하도록 IdM(Identity Management)을 구성할 수 있습니다.

ipa 유틸리티를 사용하는 대신 외부 프로비저닝 시스템 관리자는 ldapmodify 유틸리티를 사용하여 IdM LDAP에 액세스할 수 있습니다. 관리자는 ldapmodify 또는 LDIF 파일을 사용하여 CLI에서 개별 단계 사용자를 추가할 수 있습니다.

IdM 관리자는 검증된 사용자만 추가하도록 외부 프로비저닝 시스템을 완전히 신뢰한다고 가정합니다. 그러나 동시에 외부 프로비저닝 시스템의 관리자에게 사용자 관리자의 IdM 역할을 할당하여 새 활성 사용자를 직접 추가할 수 없습니다.

외부 프로비저닝 시스템에서 생성한 스테이징된 사용자를 활성 사용자로 자동으로 이동하도록 스크립트를 구성할 수 있습니다.

이 장에는 다음 섹션이 포함되어 있습니다.

  1. 외부 프로비저닝 시스템을 사용하여 IdM(Identity Management) 을 준비하여 IdM에 단계 사용자를 추가합니다.
  2. 외부 프로비저닝 시스템에서 추가한 사용자를 스테이지에서 활성 사용자로 이동하는 스크립트를 생성합니다.

  3. 외부 프로비저닝 시스템을 사용하여 IdM 단계 사용자 추가. 다음 두 가지 방법으로 이를 수행할 수 있습니다.

11.1. 단계 사용자 계정의 자동 활성화를 위한 IdM 계정 준비

다음 절차에서는 외부 프로비저닝 시스템에서 사용할 두 개의 IdM 사용자 계정을 구성하는 방법을 설명합니다. 적절한 암호 정책이 있는 그룹에 계정을 추가하면 외부 프로비저닝 시스템에서 IdM의 사용자 프로비저닝을 관리할 수 있습니다. 다음에서는 외부 시스템에서 단계 사용자를 추가하는 데 사용하는 사용자 계정은 provisionator 라고 합니다. 스테이징 사용자를 자동으로 활성화하는 데 사용할 사용자 계정은 활성화 기라고 합니다.

사전 요구 사항

  • 절차를 수행하는 호스트는 IdM에 등록됩니다.

절차

  1. IdM 관리자로 로그인합니다. 

    $ kinit admin

  2. 스테이징 사용자를 추가할 권한이 있는 provisionator 라는 사용자를 만듭니다.

    1. provisionator 사용자 계정을 추가합니다. 
    $ ipa user-add provisionator --first=provisioning --last=account --password

    1. 프로비저너 사용자에게 필요한 권한을 부여합니다.

      1. 사용자 지정 역할인 System Provisioning 을 생성하여 스테이징 사용자 추가를 관리합니다. 

        $ ipa role-add --desc "Responsible for provisioning stage users" "System Provisioning"

      2. 역할에 Stage User Provisioning(사용자 프로비저닝 단계) 권한을 추가합니다. 이 권한은 스테이징 사용자를 추가할 수 있는 기능을 제공합니다. 

        $ ipa role-add-privilege "System Provisioning" --privileges="Stage User Provisioning"

      3. provisionator 사용자를 역할에 추가합니다. 

        $ ipa role-add-member --users=provisionator "System Provisioning"
      4. 프로비저너가 IdM에 있는지 확인합니다. 
      $ ipa user-find provisionator --all --raw
--------------
1 user matched
--------------
  dn: uid=provisionator,cn=users,cn=accounts,dc=idm,dc=example,dc=com
  uid: provisionator
  [...]

  3. 사용자 계정을 관리할 수 있는 권한을 가진 사용자 활성화 기를 만듭니다.

    1. 활성화기 사용자 계정을 추가합니다. 

      $ ipa user-add activator --first=activation --last=account --password

    2. 사용자를 기본 User Administrator 역할에 추가하여 필요한 권한을 활성화 사용자에게 부여합니다. 

      $ ipa role-add-member --users=activator "User Administrator"

  4. 애플리케이션 계정의 사용자 그룹을 생성합니다. 

    $ ipa group-add application-accounts

  5. 그룹의 암호 정책을 업데이트합니다. 다음 정책은 계정의 암호 만료 및 잠금을 방지하지만 복잡한 암호를 요구하여 잠재적인 위험을 보상합니다. 

    $ ipa pwpolicy-add application-accounts --maxlife=10000 --minlife=0 --history=0 --minclasses=4 --minlength=8 --priority=1 --maxfail=0 --failinterval=1 --lockouttime=0

  6. (선택 사항) 암호 정책이 IdM에 있는지 확인합니다. 

    $ ipa pwpolicy-show application-accounts
  Group: application-accounts
  Max lifetime (days): 10000
  Min lifetime (hours): 0
  History size: 0
[...]

  7. 애플리케이션 계정의 그룹에 프로비저닝 및 활성화 계정을 추가합니다. 

    $ ipa group-add-member application-accounts --users={provisionator,activator}

  8. 사용자 계정의 암호를 변경합니다. 

    $ kpasswd provisionator
$ kpasswd activator

    새 IdM 사용자 암호가 즉시 만료되기 때문에 암호를 변경해야 합니다.

추가 리소스: