30장. CLI를 사용하여 IdM에서 역할 기반 액세스 제어 관리

IdM(Identity Management)의 역할 기반 액세스 제어 및 CLI(명령줄 인터페이스)에서 실행되는 다음 작업에 대해 자세히 알아보십시오.

30.1. IdM의 역할 기반 액세스 제어

IdM의 역할 기반 액세스 제어(RBAC)는 셀프 서비스 및 위임 액세스 제어와 비교하여 사용자에게 매우 다른 종류의 권한을 부여합니다.

역할 기반 액세스 제어는 다음 세 부분으로 구성됩니다.

  • 권한 은 사용자 추가 또는 삭제, 그룹 수정, 읽기 액세스 활성화와 같은 특정 작업을 수행할 수 있는 권한을 부여합니다.
  • 권한은 권한을 결합합니다(예: 새 사용자를 추가하는 데 필요한 모든 권한).
  • 역할은 사용자, 사용자 그룹, 호스트 또는 호스트 그룹에 일련의 권한을 부여합니다.

30.1.1. IdM의 권한

권한은 역할 기반 액세스 제어의 최하위 단위이며, 해당 작업이 적용되는 LDAP 항목과 함께 작업을 정의합니다. 구성 요소와 비교했을 때 필요한 수의 권한에 권한을 할당할 수 있습니다.
하나 이상의 권한은 다음을 허용하는 작업을 정의합니다.

  • write
  • read
  • search
  • 비교
  • add
  • delete
  • all

이러한 작업은 세 개의 기본 대상에 적용됩니다 :

  • subtree: 도메인 이름(DN), 이 DN 아래의 하위 트리
  • 대상 필터: LDAP 필터
  • 대상: 항목을 지정하는 데 사용할 수 있는 와일드카드가 있는 DN

또한 다음과 같은 편의성 옵션은 해당 특성을 설정합니다.

  • type: 유형의 개체 (사용자, 그룹 등)는 subtreetarget filter를 설정합니다.
  • memberOf: 그룹의 구성원; 대상 필터를설정합니다.
  • targetGroup: 특정 그룹을 수정할 액세스 권한을 부여합니다(예: 그룹 멤버십을 관리할 수 있는 권한 부여). 대상을설정합니다.

IdM 권한을 사용하면 어떤 사용자가 어떤 오브젝트에 대한 액세스 권한이 있는지 그리고 이러한 오브젝트의 속성까지 제어할 수 있습니다. IdM을 사용하면 개별 속성을 허용 또는 차단하거나 사용자, 그룹 또는 sudo와 같은 특정 IdM 기능의 전체 가시성을 모든 익명 사용자, 모든 인증된 사용자 또는 특정 권한 있는 사용자 그룹에 변경할 수 있습니다.
예를 들어 이 접근 방식의 권한의 유연성은 사용자 또는 그룹에 대한 액세스만 제한하려는 관리자에게 유용합니다. 사용자 또는 그룹이 액세스해야 하는 특정 섹션으로만 액세스하고 다른 섹션에 완전히 숨길 수 있도록 합니다.

참고

권한에는 다른 권한이 포함될 수 없습니다.

30.1.2. 기본 관리 권한

관리 권한은 기본적으로 IdM과 함께 제공되는 권한입니다. 다음과 같은 차이점을 사용하여 사용자가 생성한 다른 권한처럼 작동합니다.

  • 해당 파일을 삭제하거나 이름, 위치, 대상 특성을 수정할 수 없습니다.

  • 여기에는 세 가지 속성 세트가 있습니다.

    • 기본 속성은 IdM에서 관리하므로 사용자가 수정할 수 없습니다.
    • 사용자가 추가한 속성인 포함된 속성
    • 사용자가 제거하는 속성인 제외된 속성

관리되는 권한은 기본 및 포함된 특성 세트에 표시되지만 제외된 속성 세트에는 표시되지 않는 모든 속성에 적용됩니다.

참고

관리 권한을 삭제할 수는 없지만 바인딩 유형을 권한으로 설정하고 모든 권한에서 관리 권한을 제거하면 효과적으로 비활성화됩니다.

관리되는 모든 권한의 이름은 시스템:(예: 시스템): Sudo rule 또는 시스템을 추가합니다: Services 를 수정합니다. 이전 버전의 IdM에서는 기본 권한에 다른 체계를 사용했습니다. 예를 들어 사용자는 삭제할 수 없으며 권한에만 할당할 수 있었습니다. 이러한 기본 권한은 대부분 관리 권한으로 설정되었지만 다음 권한은 여전히 이전 체계를 사용합니다.

  • Automember Rebuild Membership 작업 추가
  • 구성 하위 항목 추가
  • 복제 계약 추가
  • 인증서 제거 보류
  • CA에서 인증서 상태 가져오기
  • DNA 범위 읽기
  • DNA 범위 수정
  • PassSync 관리자 구성 읽기
  • PassSync 관리자 구성 수정
  • 복제 계약 읽기
  • 복제 계약 수정
  • 복제 계약 제거
  • LDBM 데이터베이스 구성 읽기
  • 요청 인증서
  • CA ACL을 무시하는 인증서 요청
  • 다른 호스트의 인증서 요청
  • CA에서 인증서 검색
  • 인증서 해지
  • IPA 설정 쓰기
참고

명령줄에서 관리 권한을 수정하려고 하면 시스템에서 수정할 수 없는 특성을 변경할 수 없으므로 명령이 실패합니다. 웹 UI에서 관리 권한을 수정하려고 하면 수정할 수 없는 속성이 비활성화됩니다.

30.1.3. IdM의 권한

권한은 역할에 적용할 수 있는 권한 그룹입니다.
권한은 단일 작업을 수행할 수 있는 권한을 제공하지만 성공하려면 여러 권한이 필요한 특정 IdM 작업이 있습니다. 따라서 권한은 특정 작업을 수행하는 데 필요한 다양한 권한을 결합합니다.
예를 들어 새 IdM 사용자의 계정을 설정하려면 다음과 같은 권한이 필요합니다.

  • 새 사용자 항목 생성
  • 사용자 암호 재설정
  • 새 사용자를 기본 IPA 사용자 그룹에 추가

이러한 세 가지 하위 수준 작업을 이름이 지정된 사용자 지정 권한의 형태로 더 높은 수준의 작업(예: 사용자 추가) 에 결합하면 시스템 관리자가 역할을 쉽게 관리할 수 있습니다. IdM에는 이미 몇 가지 기본 권한이 포함되어 있습니다. 사용자 및 사용자 그룹 외에도 호스트 및 호스트 그룹은 네트워크 서비스에도 권한이 할당됩니다. 이 방법을 사용하면 특정 네트워크 서비스를 사용하는 호스트 집합의 사용자 집합에 의한 작업을 세부적으로 제어할 수 있습니다.

참고

권한에는 다른 권한이 없을 수 있습니다.

30.1.4. IdM의 역할

역할은 역할에 지정된 사용자가 보유하는 권한 목록입니다.
실제로 권한은 지정된 하위 수준 작업(예: 사용자 항목 생성 및 그룹에 항목을 추가하는 등)을 수행할 수 있는 기능을 부여하며, 권한은 상위 수준 작업(예: 지정된 그룹에서 새 사용자를 만드는 등)에 필요한 이러한 권한 중 하나 이상을 결합합니다. 역할은 필요에 따라 권한을 함께 수집합니다. 예를 들어 사용자 관리자 역할은 사용자를 추가, 수정, 삭제할 수 있습니다.

중요

역할은 허용된 작업을 분류하는 데 사용됩니다. 권한 분리를 구현하거나 권한 에스컬레이션으로부터 보호하는 툴로 사용되지 않습니다.

참고

역할에 다른 역할은 포함할 수 없습니다.

30.1.5. ID 관리에 사전 정의된 역할

Red Hat Identity Management는 다음과 같은 일련의 사전 정의 역할을 제공합니다.

표 30.1. ID 관리에서 사전 정의된 역할

Role권한설명

등록 관리자

호스트 등록

클라이언트 또는 호스트 등록 담당자

helpdesk

사용자 및 암호 재설정, 그룹 멤버십 수정

간단한 사용자 관리 작업 수행 담당

IT 보안 전문가

Netgroups 관리자, HBAC 관리자, Sudo 관리자

호스트 기반 액세스 제어와 같은 보안 정책 관리, sudo 규칙

IT 전문가

호스트 관리자, 호스트 그룹 관리자, 서비스 관리자, 자동 마운트 관리자

호스트 관리 담당

보안 설계자

위임 관리자, 복제 관리자, 쓰기 IPA 구성, 암호 정책 관리자

Identity Management 환경 관리, 신뢰 생성, 복제 계약 생성

사용자 관리자

사용자 관리자, 그룹 관리자, 단계 사용자 관리자

사용자 및 그룹 생성 담당