22.12. IdM에서 로컬 및 원격 그룹에 대한 그룹 병합 활성화

그룹은 IdM(Identity Management) 또는 AD(Active Directory)와 같은 도메인에서 제공하거나 etc/group 파일의 로컬 시스템에서 관리합니다. 대부분의 경우 사용자는 중앙 집중식 관리 저장소에 의존합니다. 그러나 경우에 따라 소프트웨어는 액세스 제어를 관리하기 위해 알려진 그룹의 멤버십을 사용합니다.

도메인 컨트롤러와 로컬 etc/그룹 파일에서 그룹을 관리하려면 그룹 병합을 활성화할 수 있습니다. nsswitch.conf 파일을 구성하여 로컬 파일과 원격 서비스를 모두 확인할 수 있습니다. 그룹이 둘 다 표시되면 멤버 사용자 목록이 결합되고 단일 응답으로 반환됩니다.

아래 단계에서는 idmuser 사용자에 대해 그룹 병합을 활성화하는 방법을 설명합니다.

절차

  1. /etc/nsswitch.conf 파일에 [SUCCESS=merge] 를 추가합니다.

    # Allow initgroups to default to the setting for group.
    initgroups: sss [SUCCESS=merge] files
  2. IdM에 idmuser 를 추가합니다.

    # ipa user-add idmuser
    First name: idm
    Last name: user
    ---------------------
    Added user "idmuser"
    ---------------------
    User login: idmuser
    First name: idm
    Last name: user
    Full name: idm user
    Display name: idm user
    Initials: tu
    Home directory: /home/idmuser
    GECOS: idm user
    Login shell: /bin/sh
    Principal name: idmuser@IPA.TEST
    Principal alias: idmuser@IPA.TEST
    Email address: idmuser@ipa.test
    UID: 19000024
    GID: 19000024
    Password: False
    Member of groups: ipausers
    Kerberos keys available: False
  3. 로컬 오디오 그룹의 GID를 확인합니다.

    $ getent group audio
    ---------------------
    audio:x:63
  4. IdM에 그룹 오디오를 추가합니다.

    $ ipa group-add audio --gid 63
    -------------------
    Added group "audio"
    -------------------
    Group name: audio
    GID: 63
    참고

    IdM에 오디오 그룹을 추가할 때 정의한 GID는 로컬 오디오 그룹의 GID와 동일해야 합니다.

  5. IdM 오디오 그룹에 idmuser 사용자를 추가합니다.

    $ ipa group-add-member audio --users=idmuser
    Group name: audio
    GID: 63
    Member users: idmuser
    -------------------------
    Number of members added 1
    -------------------------

검증

  1. idmuser 로 로그인합니다.
  2. idmuser 가 세션에 로컬 그룹이 있는지 확인합니다.

    $ id idmuser
    uid=1867800003(idmuser) gid=1867800003(idmuser) groups=1867800003(idmuser),63(audio),10(wheel)