35.5. ID 보기를 사용하여 특정 호스트의 IdM 사용자 로그인 이름 덮어쓰기

다음 절차에 따라 특정 IdM 사용자와 연결된 POSIX 속성 값을 덮어쓰는 특정 IdM 클라이언트에 대한 ID 뷰를 생성합니다. 이 절차에서는 idm_user라는 IdM 사용자가 user_ 1234 로그인 이름을 사용하여 host1 이라는 IdM 클라이언트에 로그인할 수 있는 ID 보기의 예를 사용합니다.

사전 요구 사항

  • IdM 관리자로 로그인했습니다.

절차

  1. 새 ID 보기 생성. 예를 들어 example_for_host1 이라는 ID 보기를 생성하려면 다음을 실행합니다.

    $ ipa idview-add example_for_host1
    ---------------------------
    Added ID View "example_for_host1"
    ---------------------------
      ID View Name: example_for_host1
  2. example_for_host1 ID 보기에 사용자 재정의를 추가합니다. 사용자 로그인을 재정의하려면 다음을 수행합니다.

    • ipa idoverrideuser-add 명령을 입력합니다.
    • ID 보기의 이름 추가
    • 앵커라고도 하는 사용자 이름 추가
    • login 옵션을 추가합니다.

      $ ipa idoverrideuser-add example_for_host1 idm_user --login=user_1234
      -----------------------------
      Added User ID override "idm_user"
      -----------------------------
        Anchor to override: idm_user
        User login: user_1234

      사용 가능한 옵션 목록은 ipa idoverrideuser-add --help를 실행합니다.

      참고

      ipa idoverrideuser-add --certificate 명령은 지정된 ID 보기에 있는 계정의 기존 인증서를 모두 대체합니다. 추가 인증서를 추가하려면 대신 ipa idoverrideuser-add-cert 명령을 사용하십시오.

      $ ipa idoverrideuser-add-cert example_for_host1 user --certificate="MIIEATCC..."
  3. 선택 사항: ipa idoverrideuser-mod 명령을 사용하여 기존 사용자 재정의에 대한 새 속성 값을 지정할 수 있습니다.
  4. example_for_host1host1.idm.example.com 호스트에 적용합니다.

    $ ipa idview-apply example_for_host1 --hosts=host1.idm.example.com
    -----------------------------
    Applied ID View "example_for_host1"
    -----------------------------
    hosts: host1.idm.example.com
    ---------------------------------------------
    Number of hosts the ID View was applied to: 1
    ---------------------------------------------
    참고

    ipa idview-apply 명령은 --hostgroups 옵션도 허용합니다. 옵션은 지정된 호스트 그룹에 속하는 호스트에 ID 보기를 적용하지만 ID 보기를 호스트 그룹 자체와 연결하지 않습니다. 대신, --hostgroups 옵션은 지정된 호스트 그룹의 멤버를 확장하고 --hosts 옵션을 각 호스트 그룹에 개별적으로 적용합니다.

    즉, 나중에 호스트가 호스트 그룹에 추가되면 ID 보기가 새 호스트에 적용되지 않습니다.

  5. 새 구성을 host1.idm.example.com 시스템에 즉시 적용하려면 다음을 수행합니다.

    1. 시스템에 root로 SSH 연결을 수행합니다.

      $ ssh root@host1
      Password:
    2. SSSD 캐시를 지웁니다.

      root@host1 ~]# sss_cache -E
    3. SSSD 데몬을 다시 시작합니다.
    root@host1 ~]# systemctl restart sssd

검증 단계

  • user_1234 의 자격 증명이 있는 경우 이를 사용하여 host1 의 IdM에 로그인할 수 있습니다.

    1. user_1234 를 로그인 이름으로 사용하여 host1 에 SSH로 연결합니다.

      [root@r8server ~]# ssh user_1234@host1.idm.example.com
      Password:
      
      Last login: Sun Jun 21 22:34:25 2020 from 192.168.122.229
      [user_1234@host1 ~]$
    2. 작업 디렉터리를 표시합니다.

      [user_1234@host1 ~]$ pwd
      /home/idm_user/
  • 또는 host1 에 root 자격 증명이 있는 경우 이를 사용하여 id 명령의 출력을 idm_user 및 user_ 1234 에 대해 확인할 수 있습니다.

    [root@host1 ~]# id idm_user
    uid=779800003(user_1234) gid=779800003(idm_user) groups=779800003(idm_user)
    [root@host1 ~]# user_1234
    uid=779800003(user_1234) gid=779800003(idm_user) groups=779800003(idm_user)