1.6. IdM 용어

Active Directory 고려 사항
AD(Active Directory)est는 공통 글로벌 카탈로그, 디렉터리 스키마, 논리 구조 및 디렉터리 구성을 공유하는 하나 이상의 도메인 트리 집합입니다. est는 사용자, 컴퓨터, 그룹 및 기타 개체에 액세스할 수 있는 보안 경계를 나타냅니다. 자세한 내용은 Forests 에 대한 Microsoft 문서를 참조하십시오.
Active Directory 글로벌 카탈로그
글로벌 카탈로그는 Active Directory(AD)의 기능으로, 개체가 도메인 컨트롤러 도메인의 멤버인지 여부에 관계없이 도메인 컨트롤러에서 포리스트의 모든 개체에 대한 정보를 제공할 수 있습니다. 글로벌 카탈로그 기능이 활성화된 도메인 컨트롤러를 글로벌 카탈로그 서버라고 합니다. 글로벌 카탈로그는 다중 도메인 AD DS(Active Directory Domain Services)의 모든 도메인에 있는 모든 개체에 대한 검색 가능한 카탈로그를 제공합니다.The global catalog provides a searchable catalog of all objects in every domain in a multi-domain Active Directory Domain Services (AD DS).
Active Directory 보안 식별자
SID(Security identifier)는 사용자, 그룹 또는 호스트와 같은 Active Directory의 개체에 할당된 고유 ID 번호입니다. Linux의 UID 및 GID와 기능적으로 동일합니다.
Ansible 플레이
Ansible 플레이는 Ansible 플레이북 의 구성 요소입니다. 플레이의 목표는 호스트 그룹을 Ansible 작업으로 표시하는 몇 가지 잘 정의된 역할에 매핑하는 것입니다.
Ansible 플레이북
Ansible 플레이북은 하나 이상의 Ansible 플레이가 포함된 파일입니다. 자세한 내용은 플레이북에 대한 공식 Ansible 설명서를 참조하십시오.
Ansible 작업
Ansible 작업은 Ansible의 작업 단위입니다. Ansible 플레이는 여러 작업을 포함할 수 있습니다. 각 작업의 목표는 매우 구체적인 인수를 사용하여 모듈을 실행하는 것입니다. Ansible 작업은 광범위한 용어에서 특정 Ansible 역할 또는 모듈에 의해 정의된 상태를 달성하는 명령 세트이며 해당 역할 또는 모듈의 변수에 의해 미세 조정됩니다. 자세한 내용은 공식 Ansible 작업 설명서를 참조하십시오.
Apache 웹 서버
Apache HTTP Server는 Apache License 2.0의 조건에 따라 릴리스되는 무료 오픈 소스 플랫폼 간 웹 서버 애플리케이션입니다. Apache는 World Wide Web의 초기 성장을 위해 중요한 역할을 했으며 현재 주요 HTTP 서버입니다. 프로세스 이름은 httpd 이며, HTTP 데몬 의 줄임말입니다. Red Hat IdM(Identity Management)은 Apache 웹 서버를 사용하여 IdM 웹 UI를 표시하고, Directory Server 및 인증 기관과 같은 구성 요소 간 통신을 조정합니다.
certificate
인증서는 개인, 서버, 회사 또는 기타 개체를 식별하고 해당 ID를 공개 키와 연결하는 데 사용되는 전자 문서입니다. 드라이버의 라이선스 또는 여권과 같이 인증서는 일반적으로 사람의 신원을 증명할 수 있습니다. 공개 키 암호화는 인증서를 사용하여 가장 문제를 해결합니다.
IdM의 CA(인증 기관)

디지털 인증서를 발급하는 엔티티입니다. Red Hat Identity Management에서 기본 CA는 IdM CA인 ipa 입니다. ipa CA 인증서는 다음 유형 중 하나입니다.

  • 자체 서명. 이 경우 ipa CA는 루트 CA입니다.
  • 외부에서 서명합니다. 이 경우 ipa CA는 외부 CA로 무효화됩니다.

IdM에서는 여러 하위 CA 를 생성할 수도 있습니다. 하위 CA는 인증서가 다음 유형 중 하나인 IdM CA입니다.

  • ipa CA에서 서명합니다.
  • 자체 및 ipa CA 간의 중간 CA에서 서명합니다. 하위 CA의 인증서는 자체 서명할 수 없습니다.

CA 서비스 계획을 참조하십시오.

cross-forest trust

신뢰는 두 개의 Kerberos 영역 간의 액세스 관계를 설정하여 한 도메인의 사용자와 서비스가 다른 도메인의 리소스에 액세스할 수 있도록 합니다.

AD(Active Directory) forest 루트 도메인과 IdM 도메인 간의 상호 간 신뢰로 AD forest 도메인의 사용자는 IdM 도메인의 Linux 시스템 및 서비스와 상호 작용할 수 있습니다. AD의 관점에서 Identity Management는 단일 AD 도메인을 사용하는 별도의 AD forest을 나타냅니다. 자세한 내용은 신뢰의 작동 방식을 참조하십시오.

디렉터리 서버
Directory Server는 사용자 ID 및 애플리케이션 정보를 중앙 집중화합니다. 애플리케이션 설정, 사용자 프로필, 그룹 데이터, 정책 및 액세스 제어 정보를 저장하기 위한 운영 체제 독립적 네트워크 기반 레지스트리를 제공합니다. 네트워크의 각 리소스는 Directory Server에 의해 개체로 간주됩니다. 특정 리소스에 대한 정보는 해당 리소스 또는 오브젝트와 연결된 속성의 컬렉션으로 저장됩니다. Red Hat Directory Server는 LDAP 표준을 준수합니다.
DNS PTR 레코드
PTR(DNS 포인터) 레코드는 호스트의 IP 주소를 도메인 또는 호스트 이름으로 확인합니다. PTR 레코드는 DNS A 및 AAAA 레코드와 반대로 호스트 이름을 IP 주소로 확인합니다. DNS PTR 레코드는 역방향 DNS 조회를 활성화합니다. PTR 레코드는 DNS 서버에 저장됩니다.
DNS SRV 레코드
DNS 서비스(SRV) 레코드는 도메인에서 사용 가능한 서비스의 호스트 이름, 포트 번호, 전송 프로토콜, 우선 순위 및 가중치를 정의합니다. SRV 레코드를 사용하여 IdM 서버 및 복제본을 찾을 수 있습니다.
DC(Domain Controller)
DC(Domain Controller)는 도메인 내의 보안 인증 요청에 응답하고 해당 도메인의 리소스에 대한 액세스를 제어하는 호스트입니다. IdM 서버는 IdM 도메인의 DC로 작동합니다. DC는 사용자를 인증하고, 사용자 계정 정보를 저장하고, 도메인에 대한 보안 정책을 적용합니다. 사용자가 도메인에 로그인하면 DC가 자격 증명을 인증하고 유효성을 검증하고 액세스를 허용하거나 거부합니다.
정규화된 도메인 이름

FQDN(정규화된 도메인 이름)은 DNS(Domain Name System)의 계층 구조 내에서 호스트의 정확한 위치를 지정하는 도메인 이름입니다. 상위 도메인 example.com 에 호스트 이름 myhost 가 있는 장치에는 FQDN myhost.example.com 이 있습니다. FQDN은 다른 도메인에서 myhost 라는 다른 호스트와 장치를 고유하게 구분합니다.

DNS 자동 검색을 사용하여 호스트 machine1 에 IdM 클라이언트를 설치하고 DNS 레코드가 올바르게 구성된 경우 machine1 의 FQDN이 필요한 모든 것입니다. 자세한 내용은 IdM에 대한 호스트 이름 및 DNS 요구 사항을 참조하십시오.

GSSAPI

개발자는 일반 보안 서비스 애플리케이션 인터페이스(GSSAPI 또는 GSS-API)를 통해 개발자는 애플리케이션이 피어 애플리케이션으로 전송되는 데이터를 보호하는 방법을 추상화할 수 있습니다. Security-service 공급업체는 보안 소프트웨어가 포함된 라이브러리로 일반적인 프로시저 호출의 GSSAPI 구현을 제공할 수 있습니다. 이러한 라이브러리는 벤더 독립적인 GSSAPI만 사용하도록 애플리케이션을 작성할 수 있는 애플리케이션 작성자에게 GSSAPI 호환 인터페이스를 제공합니다. 개발자는 이러한 유연성을 통해 특정 플랫폼, 보안 메커니즘, 보호 유형 또는 전송 프로토콜에 보안 구현을 조정할 필요가 없습니다.

Kerberos는 주요 GSSAPI 메커니즘 구현으로, Red Hat Enterprise Linux 및 Microsoft Windows Active Directory Kerberos 구현을 API와 호환할 수 있습니다.

숨겨진 복제본

숨겨진 복제본은 모든 서비스가 실행 중이고 사용 가능한 IdM 복제본이지만 서버 역할은 비활성화되어 있으며 DNS에 SRV 레코드가 없기 때문에 클라이언트는 복제본을 검색할 수 없습니다.

숨겨진 복제본은 주로 백업, 대량 가져오기 및 내보내기 또는 IdM 서비스를 종료해야 하는 작업과 같은 서비스를 위해 설계되었습니다. 숨겨진 복제본을 사용하지 않는 클라이언트가 없으므로 관리자는 클라이언트에 영향을 주지 않고 이 호스트의 서비스를 일시적으로 종료할 수 있습니다. 자세한 내용은 숨겨진 복제본 모드 을 참조하십시오.

HTTP 서버
웹 서버를 참조하십시오.
ID 매핑

SSSD는 AD 사용자의 SID를 사용하여 ID 매핑 이라는 프로세스에서 POSIX ID를 알고리즘화할 수 있습니다. ID 매핑은 Linux의 AD ID와 AD의 SID 간 맵을 생성합니다.

  • SSSD가 새 AD 도메인을 감지하면 사용 가능한 다양한 ID를 새 도메인에 할당합니다. 따라서 각 AD 도메인은 모든 SSSD 클라이언트 시스템에서 동일한 ID 범위를 갖습니다.
  • AD 사용자가 SSSD 클라이언트 시스템에 처음으로 로그인하면 SSSD 캐시에 사용자 SID 및 해당 도메인의 ID 범위를 기반으로 UID를 포함하여 사용자에 대한 항목을 만듭니다.
  • AD 사용자의 ID는 동일한 SID에서 일관된 방식으로 생성되므로 사용자는 Red Hat Enterprise Linux 시스템에 로그인할 때 동일한 UID 및 GID를 갖습니다.
ID 범위

ID 범위는 IdM 토폴로지 또는 특정 복제본에 할당된 ID 번호 범위입니다. ID 범위를 사용하여 새 사용자, 호스트 및 그룹의 유효한 UID 및 GID 범위를 지정할 수 있습니다. ID 범위는 ID 번호 충돌을 방지하는 데 사용됩니다. IdM에는 두 가지 유형의 ID 범위가 있습니다.

  • IdM ID 범위

    이 ID 범위를 사용하여 전체 IdM 토폴로지에서 사용자 및 그룹의 UID 및 GID를 정의합니다. 첫 번째 IdM 서버를 설치하면 IdM ID 범위가 생성됩니다. IdM ID 범위를 생성한 후에는 수정할 수 없습니다. 그러나 원래의 고갈에 가까운 경우와 같이 추가 IdM ID 범위를 생성할 수 있습니다.

  • DNA(Distributed Numeric Assignment) ID 범위

    이 ID 범위를 사용하여 복제본에서 새 사용자를 생성할 때 사용하는 UID 및 GID를 정의합니다. IdM 복제본에 새 사용자 또는 호스트 항목을 처음으로 추가하면 해당 복제본에 DNA ID 범위가 할당됩니다. 관리자는 DNA ID 범위를 수정할 수 있지만 새 정의가 기존 IdM ID 범위 내에 있어야 합니다.

    IdM 범위와 DNA 범위가 일치하지만 상호 연결되지는 않습니다. 하나의 범위를 변경하는 경우 다른 범위가 일치하도록 변경합니다.

자세한 내용은 ID 범위를 참조하십시오.

ID 보기

ID 보기를 사용하면 POSIX 사용자 또는 그룹 속성에 대한 새 값을 지정하고 새 값이 적용되는 클라이언트 호스트 또는 호스트를 정의할 수 있습니다. 예를 들어 ID 보기를 사용하여 다음을 수행할 수 있습니다.

  • 다양한 환경에 대해 서로 다른 특성 값을 정의합니다.
  • 이전에 생성된 속성 값을 다른 값으로 교체합니다.

IdM-AD 신뢰 설정에서 Default Trust View 는 AD 사용자 및 그룹에 적용되는 ID 보기입니다. 기본 신뢰 보기를 사용하여 AD 사용자 및 그룹에 대한 사용자 정의 POSIX 속성을 정의하여 AD에 정의된 값을 재정의할 수 있습니다.

자세한 내용은 ID 보기를 사용하여 IdM 클라이언트의 사용자 속성 값 재정의를 참조하십시오.

IdM CA 서버

IdM CA(인증 기관) 서비스가 설치되어 실행 중인 IdM 서버입니다.

대체 이름: CA 서버

IdM 배포

IdM 설치 전체를 나타내는 용어입니다. 다음 질문에 대답하여 IdM 배포를 설명할 수 있습니다.

  • IdM 배포가 테스트 배포 또는 프로덕션 배포입니까?

    • 몇 개의 IdM 서버가 있습니까?
  • IdM 배포에 통합 CA가 포함되어 있습니까?

    • 통합 CA가 자체 서명된 경우 또는 외부 서명입니까?
    • 이 경우 어떤 서버에서 사용할 수 있는 CA 역할 입니까? 어떤 서버에서 KRA 역할을 사용할 수 있습니까?
  • IdM 배포에 통합된 DNS가 포함되어 있습니까?

    • DNS 역할이 있는 경우 어떤 서버에서 사용 가능한 DNS 역할입니까?
  • AD forest 와의 신뢰 계약에 IdM 배포입니까?

IdM 서버 및 복제본

IdM 배포에 첫 번째 서버를 설치하려면 ipa-server-install 명령을 사용해야 합니다.

그런 다음 관리자는 ipa-replica-install 명령을 사용하여 설치된 첫 번째 서버 외에도 복제본 을 설치할 수 있습니다. 기본적으로 복제본을 설치하면 생성된 IdM 서버와의 복제 계약이 생성되어 나머지 IdM에 업데이트를 수신 및 전송할 수 있습니다.

설치된 첫 번째 서버와 복제본 사이에 기능적 차이가 없습니다. 둘 다 완전하게 기능적인 읽기/쓰기 IdM 서버입니다.

더 이상 사용되지 않는 이름: 마스터 서버

IdM CA 갱신 서버

IdM 토폴로지에 통합 CA(인증 기관)가 포함된 경우 한 서버에 CA 갱신 서버의 고유한 역할이 있습니다. 이 서버는 IdM 시스템 인증서를 유지 관리하고 갱신합니다.

기본적으로 설치하는 첫 번째 CA 서버는 이 역할을 수행하지만 CA 서버는 CA 갱신 서버로 구성할 수 있습니다. 통합 CA가 없는 배포에는 CA 갱신 서버가 없습니다.

더 이상 사용되지 않는 이름: 마스터 CA

IdM CRL 게시자 서버

IdM 토폴로지에 통합 인증 기관(CA)이 포함된 경우 한 서버에 CRL(인증서 취소 목록) 게시자 서버의 고유한 역할이 있습니다. 이 서버는 CRL을 유지 관리해야 합니다.

기본적으로 CA 갱신 서버 역할을 충족하는 서버는 이 역할을 충족하지만 모든 CA 서버를 CRL 게시자 서버로 구성할 수 있습니다. 통합된 CA가 없는 배포에는 CRL 게시자 서버가 없습니다.

IdM 토폴로지
IdM 솔루션의 구조를 참조하는 용어, 특히 개별 데이터 센터와 클러스터 간의 복제 계약.
Kerberos 인증 표시

인증 지표는 Kerberos 티켓에 연결되어 있으며 티켓을 얻는 데 사용되는 초기 인증 방법을 나타냅니다.

  • 이중 인증(암호 + 일회성 암호)의 경우 OTP
  • RD IUS(Remote Authentication Dial-In User Service) 인증 (일반적으로 802.1x 인증의 경우)
  • PK INIT for Public Key Cryptography for Initial Authentication in Kerberos (PKINIT), 스마트 카드 또는 인증서 인증
  • brute-force 시도에 대해 강화된 암호의 경우 강화

자세한 내용은 Kerberos 인증 표시기 를 참조하십시오.

Kerberos 키탭

암호는 사용자의 기본 인증 방법이지만 keytabs는 호스트 및 서비스의 기본 인증 방법입니다. Kerberos keytab은 Kerberos 사용자 목록 및 관련 암호화 키를 포함하는 파일이므로, 서비스에서 자체 Kerberos 키를 검색하고 사용자 ID를 확인할 수 있습니다.

예를 들어 모든 IdM 클라이언트에는 Kerberos 영역에 클라이언트 시스템을 나타내는 호스트 주체에 대한 정보를 저장하는 /etc/krb5.keytab 파일이 있습니다.

Kerberos 사용자

고유한 Kerberos 사용자가 Kerberos 영역에서 각 사용자, 서비스 및 호스트를 식별합니다.

엔터티이름 지정 규칙예제

사용자

identifier@REALM

admin@EXAMPLE.COM

서비스

service/fully-qualified-hostname@REALM

http/server.example.com@EXAMPLE.COM

호스트

host/fully-qualified-hostname@REALM

host/client.example.com@EXAMPLE.COM

Kerberos 프로토콜
Kerberos는 비밀 키 암호화를 사용하여 클라이언트 및 서버 애플리케이션에 대한 강력한 인증을 제공하는 네트워크 인증 프로토콜입니다. IdM 및 Active Directory는 사용자, 호스트 및 서비스를 인증하는 데 Kerberos를 사용합니다.
Kerberos 영역
Kerberos 영역은 KerberosDC(Kerberos Key Distribution Center)에서 관리하는 모든 주체를 포함합니다. IdM 배포에서 Kerberos 영역에는 모든 IdM 사용자, 호스트 및 서비스가 포함됩니다.
Kerberos 티켓 정책

KDC(Kerberos Key Distribution Center)는 연결 정책을 통해 티켓 액세스 제어를 적용하고 티켓 라이프사이클 정책을 통해 Kerberos 티켓 기간을 관리합니다. 예를 들어 기본 글로벌 티켓 수명은 1일이며 기본 글로벌 최대 갱신 기간은 1주일입니다.

자세한 내용은 IdM Kerberos 티켓 정책 유형을 참조하십시오.

키 배포 센터 (KDC)

KerberosDC(Kerberos Key Distribution Center)는 Kerberos 자격 증명 정보를 관리하는 신뢰할 수 있는 중앙 기관 역할을 하는 서비스입니다. EgressIP는 Kerberos 티켓을 발행하고 IdM 네트워크 내의 엔티티에서 발생하는 데이터의 신뢰성을 보장합니다.

자세한 내용은 IdM DASD 의 역할을 참조하십시오.

LDAP
LDAP(Lightweight Directory Access Protocol)는 네트워크를 통해 분산 디렉터리 정보 서비스에 액세스하고 유지 관리하기 위한 오픈 벤더 중립적인 애플리케이션 프로토콜입니다. 이 사양의 일부는 디렉터리 서비스 항목의 고유 이름(DN)으로 구성된 계층형 구조의 데이터를 나타내는 DIT(디렉터 정보 트리)입니다. LDAP는 네트워크의 디렉터리 서비스에 대해 ISO X.500 표준에서 설명하는 "lightweight" 버전의 DAP(Directory Access Protocol)입니다.
경량 하위 CA

IdM에서 경량 하위 CA는 인증서를 IdM 루트 CA 또는 하위 CA 중 하나로 서명하는 인증 기관(CA)입니다. 경량 하위 CA는 VPN 또는 HTTP 연결을 보호하는 등 특정 목적으로만 인증서를 발행합니다.

자세한 내용은 인증서 서브 세트만 신뢰하도록 애플리케이션 제한을 참조하십시오.

암호 정책

암호 정책은 특정 IdM 사용자 그룹의 암호가 충족해야 하는 조건 집합입니다. 조건에는 다음 매개 변수가 포함될 수 있습니다.

  • 암호의 길이
  • 사용되는 문자 클래스 수
  • 암호의 최대 수명입니다.

자세한 내용은 What is a password policy 를 참조하십시오.

POSIX 속성

POSIX 속성은 운영 체제 간 호환성을 유지하기 위한 사용자 속성입니다.

Red Hat Identity Management 환경에서 사용자를 위한 POSIX 속성은 다음과 같습니다.

  • cn, 사용자 이름
  • UID, 계정 이름(로그인)
  • uidNumber, 사용자 번호 (UID)
  • Gid Number , 기본 그룹 번호 (GID)
  • HomeDirectory 사용자의 홈 디렉터리

Red Hat Identity Management 환경에서 그룹에 대한 POSIX 속성은 다음과 같습니다.

  • C n, 그룹 이름
  • gidNumber, 그룹 번호 (GID)

이러한 속성은 사용자와 그룹을 별도의 엔터티로 식별합니다.

복제 계약

복제 계약은 동일한 IdM 배포에 있는 두 개의 IdM 서버 간의 계약입니다. 복제 계약을 통해 데이터와 구성이 두 서버 간에 지속적으로 복제됩니다.

IdM은 두 가지 유형의 복제 계약, 즉 ID 정보를 복제하는 도메인 복제 계약과 인증서 정보를 복제하는 인증서 복제 계약의 두 가지 유형을 사용합니다.

자세한 내용은 다음을 참조하십시오.

스마트 카드
스마트 카드는 리소스에 대한 액세스를 제어하는 데 사용되는 이동식 장치 또는 카드입니다. 내장 통합 회로 (IC) 칩, Yubikey와 같은 소형 USB 장치 또는 기타 유사한 장치가있는 성가신 카드일 수 있습니다. 스마트 카드는 사용자가 스마트 카드를 호스트 컴퓨터에 연결할 수 있도록 하여 인증을 제공할 수 있으며 호스트 컴퓨터의 소프트웨어는 사용자를 인증하기 위해 스마트 카드에 저장된 주요 자료와 상호 작용합니다.
SSSD
SSSD(System Security Services Daemon)는 RHEL 호스트에서 사용자 인증 및 사용자 권한을 관리하는 시스템 서비스입니다. SSSD는 선택적으로 오프라인 인증을 위해 원격 공급자에서 검색된 사용자 ID 및 인증 정보를 캐시합니다. 자세한 내용은 SSSD 및 해당 이점 이해를 참조하십시오.
SSSD 백엔드
데이터 공급자라고도 하는 SSSD 백엔드는 SSSD 캐시를 관리하고 생성하는 SSSD 하위 프로세스입니다. 이 프로세스는 LDAP 서버와 통신하고 다른 조회 쿼리를 수행하고 결과를 캐시에 저장합니다. 또한 LDAP 또는 Kerberos에 대해 온라인 인증을 수행하고 로그인 중인 사용자에게 액세스 및 암호 정책을 적용합니다.
티켓 통합 티켓 (TGT)

KerberosDC(Kerberos Key Distribution Center)를 인증한 후 사용자는 웹사이트 및 이메일과 같은 다른 서비스에 대한 액세스 티켓을 요청하는 데 사용할 수 있는 임시 인증 정보 세트인 TGT( ticket-granting ticket)를 받습니다.

TGT를 사용하여 추가 액세스를 요청하면 사용자가 여러 서비스에 액세스하기 위해 한 번만 인증해야 하므로 SSO(Single Sign-On) 환경을 사용자에게 제공합니다. TGT는 갱신할 수 있으며, Kerberos 티켓 정책은 티켓 갱신 제한 및 액세스 제어를 결정합니다.

자세한 내용은 Kerberos 티켓 정책 관리를 참조하십시오.

웹 서버
웹 서버는 페이지, 이미지 또는 애플리케이션과 같은 웹 콘텐츠에 대한 요청을 허용하는 컴퓨터 소프트웨어 및 기본 하드웨어입니다. 웹 브라우저와 같은 사용자 에이전트는 HTTP, 웹 콘텐츠를 배포하는 데 사용되는 네트워크 프로토콜 또는 보안 변형 HTTPS를 사용하여 특정 리소스를 요청합니다. 웹 서버는 해당 리소스의 콘텐츠 또는 오류 메시지로 응답합니다. 웹 서버는 사용자 에이전트에서 전송된 리소스를 수락하고 저장할 수도 있습니다. Red Hat IdM(Identity Management)은 Apache 웹 서버를 사용하여 IdM 웹 UI를 표시하고, Directory Server 및 CA(인증 기관)와 같은 구성 요소 간 통신을 조정합니다. Apache 웹 서버.

추가 용어집

이 용어집에서 ID 관리 용어를 찾을 수 없는 경우 Directory Server 및 Certificate System 용어집을 참조하십시오.