Red Hat Training
A Red Hat training course is available for RHEL 8
7.6. AD 사용자의 개인 그룹을 자동으로 매핑하는 옵션: POSIX 신뢰
Linux 환경의 각 사용자에게는 기본 사용자 그룹이 있습니다. RHEL(Red Hat Enterprise Linux)은 사용자 개인 그룹(UPG) 체계를 사용합니다. UPG는 생성된 사용자와 이름이 동일하며 해당 사용자는 UPG의 유일한 멤버입니다.
AD 사용자에게 UID를 할당했지만 GID가 추가되지 않은 경우 해당 ID 범위에 대한 auto_private_groups 설정을 조정하여 UID에 따라 사용자의 개인 그룹을 자동으로 매핑하도록 SSSD를 구성할 수 있습니다.
POSIX 신뢰에 사용되는 ipa-ad-trust-posix ID 범위에 대해 기본적으로 auto_private_groups 옵션이 false로 설정됩니다. 이 구성을 통해 SSSD는 각 AD 사용자 항목에서 uidNumber 및gidNumber 를 검색합니다.
- auto_private_groups = false
SSSD는 사용자 UID에
uidNumber값을 할당하고 사용자 GID에 thegidNumber를 할당합니다. 해당 GID가 있는 그룹이 AD에 있어야 합니다. 그렇지 않으면 해당 사용자를 확인할 수 없습니다. 다음 표에서는 다른 AD 구성에 따라 AD 사용자를 확인할 수 있는지 여부를 보여줍니다.표 7.2. POSIX ID 범위에 대해
auto_private_groups변수가false로 설정된 경우 SSSD 동작AD에서 사용자 설정 ID 사용자 이름출력AD 사용자 항목은 다음과 같습니다.
-
uidNumber= 4000 -
gidNumber가 정의되지 않음 -
AD with
gidNumber= 4000의 그룹이 없습니다.
SSSD에서 사용자를 해결할 수 없습니다.
AD 사용자 항목은 다음과 같습니다.
-
uidNumber= 4000 -
gidNumber= 4000 -
AD with
gidNumber= 4000의 그룹이 없습니다.
SSSD에서 사용자를 해결할 수 없습니다.
AD 사용자 항목은 다음과 같습니다.
-
uidNumber= 4000 -
gidNumber= 4000 -
AD에는 with
gidNumber= 4000 그룹이 있습니다.
# ID aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(adgroup@ad-domain.com) groups=4000(adgroup@ad-domain.com), …-
AD에 구성된 기본 그룹이 없거나 its gidNumber 가 기존 그룹에 해당하지 않는 경우 IdM 서버는 사용자가 속하는 모든 그룹을 찾을 수 없기 때문에 해당 사용자를 올바르게 확인할 수 없습니다. 이 문제를 해결하려면 auto_private_groups 옵션을 true 또는 hybrid 로 설정하여 SSSD에서 자동 개인 그룹 매핑을 활성화할 수 있습니다.
auto_private_groups = trueSSSD는 AD 사용자 항목의
uidNumber표 7.3. POSIX ID 범위에 대해 auto_private_groups 변수가 true로 설정된 경우 SSSD 동작
AD에서 사용자 설정 ID 사용자 이름출력AD 사용자 항목은 다음과 같습니다.
-
uidNumber= 4000 -
gidNumber가 정의되지 않음 - AD에는 GID=4000이 있는 그룹이 없습니다.
# ID aduser@AD-DOMAIN.COMaduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …AD 사용자 항목은 다음과 같습니다.
-
uidNumber= 4000 -
gidNumber= 5000 -
AD에는 with
gidNumber= 5000 그룹이 없습니다.
# ID aduser@AD-DOMAIN.COMaduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …AD 사용자 항목은 다음과 같습니다.
-
uidNumber= 4000 -
gidNumber= 4000 -
AD에는 with
gidNumber= 4000 그룹이 없습니다.
# ID aduser@AD-DOMAIN.COMaduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …AD 사용자 항목은 다음과 같습니다.
-
uidNumber= 4000 -
gidNumber= 5000 -
AD에는 with
gidNumber= 5000 그룹이 있습니다.
# ID aduser@AD-DOMAIN.COMaduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …-
auto_private_groups = hybriduidNumber값이 matchesgidNumber이지만 이gidNumber가 있는 그룹이 없는 경우 SSSD는 개인 그룹을 사용자의 기본 사용자 그룹과 매핑합니다.uidNumber및gidNumber값이 다르고 이gidNumber가 있는 그룹이 있는경우SSSD는 fromgidNumber값을 사용합니다.표 7.4. POSIX ID 범위에 대해
auto_private_groups변수가하이브리드로 설정된 경우 SSSD 동작AD에서 사용자 설정 ID 사용자 이름출력다음을 사용하여 AD 사용자 항목:
-
uidNumber= 4000 -
gidNumber가 정의되지 않음 -
AD에는 with
gidNumber= 4000 그룹이 없습니다.
SSSD에서 사용자를 해결할 수 없습니다.
다음을 사용하여 AD 사용자 항목:
-
uidNumber= 4000 -
gidNumber= 5000 -
AD에는 with
gidNumber= 5000 그룹이 없습니다.
SSSD에서 사용자를 해결할 수 없습니다.
다음을 사용하여 AD 사용자 항목:
-
uidNumber= 4000 -
gidNumber= 4000 -
AD에는 with
gidNumber= 4000 그룹이 없습니다.
# ID aduser@AD-DOMAIN.COMaduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …다음을 사용하여 AD 사용자 항목:
-
uidNumber= 4000 -
gidNumber= 5000 -
AD에는 with
gidNumber= 5000 그룹이 있습니다.
# ID aduser@AD-DOMAIN.COMaduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=5000(aduser@ad-domain.com) groups=5000(adgroup@ad-domain.com), …-
