7.6. AD 사용자의 개인 그룹을 자동으로 매핑하는 옵션: POSIX 신뢰

Linux 환경의 각 사용자에게는 기본 사용자 그룹이 있습니다. RHEL(Red Hat Enterprise Linux)은 사용자 개인 그룹(UPG) 스키마를 사용합니다. UPG는 해당 그룹이 생성된 사용자와 같고 해당 사용자는 UPG의 유일한 멤버입니다.

AD 사용자에 대해 UID를 할당했지만 GID가 추가되지 않은 경우 해당 ID 범위에 대한 auto_private_groups 설정을 조정하여 UID를 기반으로 사용자의 개인 그룹을 자동으로 매핑하도록 SSSD를 구성할 수 있습니다.

기본적으로 POSIX 신뢰에 사용되는 ipa-ad-trust-posix ID 범위에 대해 auto_private_groups 옵션이 false로 설정됩니다. 이 설정을 사용하면 SSSD는 각 AD 사용자 항목에서 uidNumbergidNumber 를 검색합니다.

auto_private_groups = false

SSSD는 사용자의 UID인 gidNumber 값을 사용자의 GID에 uidNumber 값을 할당합니다. 해당 GID가 있는 그룹은 AD에 있어야 합니다. 그렇지 않으면 해당 사용자를 확인할 수 없습니다. 다음 표에서는 다른 AD 구성에 따라 AD 사용자를 확인할 수 있는지 여부를 보여 줍니다.The following table demonstrates whether you will be able to resolve AD users, depending on different AD configurations.

표 7.2. POSIX ID 범위에 대해 auto_private_groups 변수가 false 로 설정된 경우 SSSD 동작

AD에서 사용자 구성ID 사용자 이름출력

AD 사용자 항목에는 다음이 포함됩니다.

  • uidNumber = 4000
  • gidNumber 가 정의되지 않았습니다.
  • AD에 gidNumber = 4000이 있는 그룹이 없습니다.

SSSD는 사용자를 확인할 수 없습니다.

AD 사용자 항목에는 다음이 포함됩니다.

  • uidNumber = 4000
  • gidNumber = 4000
  • AD에 gidNumber = 4000이 있는 그룹이 없습니다.

SSSD는 사용자를 확인할 수 없습니다.

AD 사용자 항목에는 다음이 포함됩니다.

  • uidNumber = 4000
  • gidNumber = 4000
  • AD에는 gidNumber = 4000인 그룹이 있습니다.

# ID aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(adgroup@ad-domain.com) groups=4000(adgroup@ad-domain.com), …​

AD 사용자에게 기본 그룹이 구성되어 있지 않거나 해당 gidNumber 가 기존 그룹에 해당하지 않는 경우, 사용자가 속하는 모든 그룹을 찾을 수 없기 때문에 IdM 서버가 해당 사용자를 올바르게 확인할 수 없습니다. 이 문제를 해결하려면 auto_private_groups 옵션을 true 또는 hybrid 로 설정하여 SSSD에서 자동 개인 그룹 매핑을 활성화할 수 있습니다.

auto_private_groups = true

SSSD는 항상 AD 사용자 항목의 uidNumber 와 일치하도록 gidNumber 가 설정된 개인 그룹을 매핑합니다.

표 7.3. POSIX ID 범위에 대해 auto_private_groups 변수가 true로 설정된 경우 SSSD 동작

AD에서 사용자 구성ID 사용자 이름출력

AD 사용자 항목에는 다음이 포함됩니다.

  • uidNumber = 4000
  • gidNumber 가 정의되지 않았습니다.
  • AD에는 GID=4000인 그룹이 없습니다.

# ID aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com), …​

AD 사용자 항목에는 다음이 포함됩니다.

  • uidNumber = 4000
  • gidNumber = 5000
  • AD에는 gidNumber = 5000이 있는 그룹이 없습니다.

# ID aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com), …​

AD 사용자 항목에는 다음이 포함됩니다.

  • uidNumber = 4000
  • gidNumber = 4000
  • AD에는 gidNumber = 4000인 그룹이 없습니다.

# ID aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com), …​

AD 사용자 항목에는 다음이 포함됩니다.

  • uidNumber = 4000
  • gidNumber = 5000
  • AD에는 gidNumber = 5000이 있는 그룹이 있습니다.

# ID aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com), …​

auto_private_groups = hybrid

uidNumber 값이 gidNumber 와 일치하지만 이 gidNumber 가 있는 그룹이 없는 경우 SSSD는 개인 그룹을 uidNumber와 일치하는 gidNumber 와 함께 사용자의 기본 사용자 그룹으로 매핑합니다. uidNumber gidNumber 값이 다르고 이 gidNumber가 있는 그룹이 있는 경우 SSSD는 gidNumber 의 값을 사용합니다.

표 7.4. POSIX ID 범위에 대해 auto_private_groups 변수가 hybrid 로 설정된 경우 SSSD 동작

AD에서 사용자 구성ID 사용자 이름출력

AD 사용자 항목:

  • uidNumber = 4000
  • gidNumber 가 정의되지 않았습니다.
  • AD에는 gidNumber = 4000인 그룹이 없습니다.

SSSD는 사용자를 확인할 수 없습니다.

AD 사용자 항목:

  • uidNumber = 4000
  • gidNumber = 5000
  • AD에는 gidNumber = 5000이 있는 그룹이 없습니다.

SSSD는 사용자를 확인할 수 없습니다.

AD 사용자 항목:

  • uidNumber = 4000
  • gidNumber = 4000
  • AD에는 gidNumber = 4000인 그룹이 없습니다.

# ID aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com), …​

AD 사용자 항목:

  • uidNumber = 4000
  • gidNumber = 5000
  • AD에는 gidNumber = 5000이 있는 그룹이 있습니다.

# ID aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=5000(aduser@ad-domain.com) groups=5000(adgroup@ad-domain.com), …​