Red Hat Training
A Red Hat training course is available for RHEL 8
7.6. AD 사용자의 개인 그룹을 자동으로 매핑하는 옵션: POSIX 신뢰
Linux 환경의 각 사용자에게는 기본 사용자 그룹이 있습니다. RHEL(Red Hat Enterprise Linux)은 사용자 개인 그룹(UPG) 체계를 사용합니다. UPG는 생성된 사용자와 이름이 동일하며 해당 사용자는 UPG의 유일한 멤버입니다.
AD 사용자에게 UID를 할당했지만 GID가 추가되지 않은 경우 해당 ID 범위에 대한 auto_private_groups 설정을 조정하여 UID에 따라 사용자의 개인 그룹을 자동으로 매핑하도록 SSSD를 구성할 수 있습니다.
POSIX 신뢰에 사용되는 ipa-ad-trust-posix
ID 범위에 대해 기본적으로 auto_private_groups 옵션이 false로 설정됩니다. 이 구성을 통해 SSSD는 각 AD 사용자 항목에서 uidNumber
및gidNumber
를 검색합니다.
- auto_private_groups = false
SSSD는 사용자 UID에
uidNumber
값을 할당하고 사용자 GID에 thegidNumber
를 할당합니다. 해당 GID가 있는 그룹이 AD에 있어야 합니다. 그렇지 않으면 해당 사용자를 확인할 수 없습니다. 다음 표에서는 다른 AD 구성에 따라 AD 사용자를 확인할 수 있는지 여부를 보여줍니다.표 7.2. POSIX ID 범위에 대해
auto_private_groups
변수가false
로 설정된 경우 SSSD 동작AD에서 사용자 설정 ID 사용자 이름
출력AD 사용자 항목은 다음과 같습니다.
-
uidNumber
= 4000 -
gidNumber
가 정의되지 않음 -
AD with
gidNumber
= 4000의 그룹이 없습니다.
SSSD에서 사용자를 해결할 수 없습니다.
AD 사용자 항목은 다음과 같습니다.
-
uidNumber
= 4000 -
gidNumber
= 4000 -
AD with
gidNumber
= 4000의 그룹이 없습니다.
SSSD에서 사용자를 해결할 수 없습니다.
AD 사용자 항목은 다음과 같습니다.
-
uidNumber
= 4000 -
gidNumber
= 4000 -
AD에는 with
gidNumber
= 4000 그룹이 있습니다.
# ID aduser@AD-DOMAIN.COM
uid=4000(aduser@ad-domain.com) gid=4000(adgroup@ad-domain.com) groups=4000(adgroup@ad-domain.com), …-
AD에 구성된 기본 그룹이 없거나 its gidNumber
가 기존 그룹에 해당하지 않는 경우 IdM 서버는 사용자가 속하는 모든 그룹을 찾을 수 없기 때문에 해당 사용자를 올바르게 확인할 수 없습니다. 이 문제를 해결하려면 auto_private_groups
옵션을 true
또는 hybrid
로 설정하여 SSSD에서 자동 개인 그룹 매핑을 활성화할 수 있습니다.
auto_private_groups = true
SSSD는 AD 사용자 항목의
uidNumber
표 7.3. POSIX ID 범위에 대해 auto_private_groups 변수가 true로 설정된 경우 SSSD 동작
AD에서 사용자 설정 ID 사용자 이름
출력AD 사용자 항목은 다음과 같습니다.
-
uidNumber
= 4000 -
gidNumber
가 정의되지 않음 - AD에는 GID=4000이 있는 그룹이 없습니다.
# ID aduser@AD-DOMAIN.COMaduser@AD-DOMAIN.COM
uid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …AD 사용자 항목은 다음과 같습니다.
-
uidNumber
= 4000 -
gidNumber
= 5000 -
AD에는 with
gidNumber
= 5000 그룹이 없습니다.
# ID aduser@AD-DOMAIN.COMaduser@AD-DOMAIN.COM
uid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …AD 사용자 항목은 다음과 같습니다.
-
uidNumber
= 4000 -
gidNumber
= 4000 -
AD에는 with
gidNumber
= 4000 그룹이 없습니다.
# ID aduser@AD-DOMAIN.COMaduser@AD-DOMAIN.COM
uid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …AD 사용자 항목은 다음과 같습니다.
-
uidNumber
= 4000 -
gidNumber
= 5000 -
AD에는 with
gidNumber
= 5000 그룹이 있습니다.
# ID aduser@AD-DOMAIN.COMaduser@AD-DOMAIN.COM
uid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …-
auto_private_groups = hybrid
uidNumber
값이 matchesgidNumber
이지만 이gidNumber
가 있는 그룹이 없는 경우 SSSD는 개인 그룹을 사용자의 기본 사용자 그룹과 매핑합니다
.
uidNumber
및gidNumber
값이 다르고 이gidNumber가 있는 그룹이 있는경우
SSSD는 fromgidNumber
값을 사용합니다.표 7.4. POSIX ID 범위에 대해
auto_private_groups
변수가하이브리드
로 설정된 경우 SSSD 동작AD에서 사용자 설정 ID 사용자 이름
출력다음을 사용하여 AD 사용자 항목:
-
uidNumber
= 4000 -
gidNumber
가 정의되지 않음 -
AD에는 with
gidNumber
= 4000 그룹이 없습니다.
SSSD에서 사용자를 해결할 수 없습니다.
다음을 사용하여 AD 사용자 항목:
-
uidNumber
= 4000 -
gidNumber
= 5000 -
AD에는 with
gidNumber
= 5000 그룹이 없습니다.
SSSD에서 사용자를 해결할 수 없습니다.
다음을 사용하여 AD 사용자 항목:
-
uidNumber
= 4000 -
gidNumber
= 4000 -
AD에는 with
gidNumber
= 4000 그룹이 없습니다.
# ID aduser@AD-DOMAIN.COMaduser@AD-DOMAIN.COM
uid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …다음을 사용하여 AD 사용자 항목:
-
uidNumber
= 4000 -
gidNumber
= 5000 -
AD에는 with
gidNumber
= 5000 그룹이 있습니다.
# ID aduser@AD-DOMAIN.COMaduser@AD-DOMAIN.COM
uid=4000(aduser@ad-domain.com) gid=5000(aduser@ad-domain.com) groups=5000(adgroup@ad-domain.com), …-