47장. 호스트 기반 액세스 제어 규칙 구성

HBAC(Host-based access control) 규칙을 사용하여 IdM(Identity Management) 도메인에서 액세스 제어를 관리할 수 있습니다. HBAC 규칙은 서비스 그룹의 서비스 또는 서비스를 사용하여 지정된 호스트 또는 호스트 그룹에 액세스할 수 있는 사용자 또는 사용자 그룹을 정의합니다. 예를 들어 HBAC 규칙을 사용하여 다음 목표를 달성할 수 있습니다.

  • 도메인의 지정된 시스템에 대한 액세스 권한을 특정 사용자 그룹의 멤버로 제한합니다.
  • 특정 서비스만 도메인의 시스템에 액세스할 수 있도록 허용합니다.

기본적으로 IdM은 allow_all 이라는 기본 HBAC 규칙을 사용하여 구성되므로 전체 IdM 도메인의 모든 관련 서비스를 통해 모든 사용자의 모든 호스트에 대한 범용 액세스가 가능합니다.

기본 allow_all 규칙을 자체 HBAC 규칙 세트로 교체하여 다른 호스트에 대한 액세스를 미세 조정할 수 있습니다. 중앙 집중식으로 간소화된 액세스 제어 관리의 경우 HBAC 규칙을 개별 사용자, 호스트 또는 서비스 대신 사용자 그룹, 호스트 그룹 또는 서비스 그룹에 적용할 수 있습니다.

47.1. WebUI를 사용하여 IdM 도메인에서 HBAC 규칙 구성

호스트 기반 액세스 제어를 위해 도메인을 구성하려면 다음 단계를 완료합니다.

참고

사용자 정의 HBAC 규칙을 만들기 전에 allow_all 규칙을 비활성화하지 마십시오. 이렇게 하면 사용자가 호스트에 액세스할 수 없습니다.

47.1.1. IdM WebUI에서 HBAC 규칙 생성

IdM WebUI를 사용하여 호스트 기반 액세스 제어를 위해 도메인을 구성하려면 다음 단계를 따르십시오. 이 예제의 목적을 위해 이 절차에서는 모든 서비스를 사용하여 도메인의 모든 시스템에 대한 단일 사용자, sysadmin 액세스 권한을 부여하는 방법을 보여줍니다.

참고

IdM은 사용자의 기본 그룹을 IdM 그룹 오브젝트에 대한 링크 대신 gidNumber 속성의 숫자 값으로 저장합니다. 이러한 이유로 HBAC 규칙은 기본 그룹이 아닌 사용자의 보조 그룹만 참조할 수 있습니다.

사전 요구 사항

  • 사용자 sysadmin 이 IdM에 있습니다.

절차

  1. 정책> 호스트 기반 액세스 제어>HBAC 규칙을 선택합니다.
  2. 추가 를 클릭하여 새 규칙 추가를 시작합니다.
  3. 규칙의 이름을 입력하고 추가 및 편집을 클릭하여 HBAC 규칙 구성 페이지를 엽니다.
  4. who 영역에서 지정된 사용자 및 그룹을 선택합니다. 그런 다음 추가 를 클릭하여 사용자 또는 그룹을 추가합니다.
  5. 사용 가능한 사용자 목록에서 sysadmin 사용자를 선택하고 >을 클릭하여 Prospective 사용자 목록으로 이동하고 추가 를 클릭합니다.
  6. 액세스 영역에서 모든 호스트 를 선택하여 모든 호스트에 HBAC 규칙을 적용합니다.
  7. Via 서비스 영역에서 모든 서비스를 선택하여 모든 서비스에 HBAC 규칙을 적용합니다.

    참고

    가장 일반적인 서비스 및 서비스 그룹만 기본적으로 HBAC 규칙에 대해 구성됩니다.

    • 현재 사용 가능한 서비스 목록을 표시하려면 정책> 호스트 기반 액세스 제어>HBAC Services 를 선택합니다.
    • 현재 사용 가능한 서비스 그룹 목록을 표시하려면 정책> 호스트 기반 액세스 제어>HBAC 서비스 그룹을 선택합니다.

    더 많은 서비스 및 서비스 그룹을 추가하려면 사용자 정의 HBAC 서비스에 대한 HBAC 서비스 항목 추가 및 HBAC 서비스 그룹 추가 를 참조하십시오.

  8. HBAC 규칙 구성 페이지에서 변경 사항을 저장하려면 페이지 상단에서 저장을 클릭합니다.

47.1.2. IdM WebUI에서 HBAC 규칙 테스트

IdM을 사용하면 시뮬레이션된 시나리오를 사용하여 다양한 상황에서 HBAC 구성을 테스트할 수 있습니다. 이러한 시뮬레이션 테스트를 수행하면 HBAC 규칙을 프로덕션에 배포하기 전에 잘못된 문제 또는 보안 위험을 확인할 수 있습니다.

중요

프로덕션 환경에서 사용하기 전에 항상 사용자 정의 HBAC 규칙을 테스트합니다.

IdM은 신뢰할 수 있는 AD(Active Directory) 사용자에 대한 HBAC 규칙의 영향을 테스트하지 않습니다. IdM LDAP 디렉터리는 AD 데이터를 저장하지 않기 때문에 HBAC 시나리오를 시뮬레이션할 때 IdM은 AD 사용자의 그룹 멤버십을 확인할 수 없습니다.

절차

  1. Policy>Host-Based Access Control>HBAC Test 를 선택합니다.
  2. who 창에서 테스트를 수행하려는 ID 아래에 사용자를 지정하고 다음을 클릭합니다.
  3. 액세스 창에서 사용자가 액세스를 시도할 호스트를 지정하고 다음을 클릭합니다.
  4. Via 서비스 창에서 사용자가 사용할 서비스를 지정하고 Next 를 클릭합니다.
  5. 규칙 창에서 테스트할 HBAC 규칙을 선택하고 다음을 클릭합니다. 규칙을 선택하지 않으면 모든 규칙이 테스트됩니다.

    상태가 활성화된 모든 규칙에서 테스트를 실행하려면 Include Enabled 를 선택합니다. Disabled 를 선택하여 상태가 Disabled 인 모든 규칙에서 테스트를 실행합니다. HBAC 규칙의 상태를 보고 변경하려면 정책> 호스트 기반 액세스 제어>HBAC 규칙을 선택합니다.

    중요

    테스트가 여러 규칙에서 실행되면 선택한 규칙 중 하나 이상이 액세스를 허용하는 경우 성공적으로 전달됩니다.

  6. Run Test 창에서 Run Test 를 클릭합니다.
  7. 테스트 결과를 검토합니다.

    • ACCESS DENIED 가 표시되면 사용자에게 테스트에서 액세스 권한이 부여되지 않습니다.
    • ACCESS GRANTED 가 표시되면 사용자가 호스트에 성공적으로 액세스할 수 있습니다.

    기본적으로 IdM은 테스트 결과를 표시할 때 테스트된 모든 HBAC 규칙을 나열합니다.

    • Matched 를 선택하여 성공적으로 액세스할 수 있는 규칙을 표시합니다.
    • Unmatched 를 선택하여 액세스를 금지한 규칙을 표시합니다.

47.1.3. IdM WebUI에서 HBAC 규칙 비활성화

HBAC 규칙을 비활성화할 수는 있지만 규칙을 비활성화하여 삭제하지 않습니다. HBAC 규칙을 비활성화하면 나중에 다시 활성화할 수 있습니다.

참고

HBAC 규칙을 비활성화하면 사용자 정의 HBAC 규칙을 처음 구성할 때 유용합니다. 새 구성이 기본 allow_all HBAC 규칙으로 재정의되지 않도록 하려면 allow_all 을 비활성화해야 합니다.

절차

  1. 정책> 호스트 기반 액세스 제어>HBAC 규칙을 선택합니다.
  2. 비활성화할 HBAC 규칙을 선택합니다.
  3. Disable 을 클릭합니다.
  4. OK 를 클릭하여 선택한 HBAC 규칙을 비활성화하도록 확인합니다.