Red Hat Summit1장. 액세스 제어 명령 관리
Directory Server가 요청을 수신할 때 바인딩 작업에서 사용자가 제공한 인증 정보와 디렉터리에 정의된 ACL(액세스 제어 명령)을 사용하여 요청된 항목 또는 속성에 대한 액세스를 허용하거나 거부합니다. 서버는 읽기,쓰기,검색 및 비교 와 같은 작업에 대한 권한을 허용하거나 거부할 수 있습니다. 사용자에게 부여된 권한 수준은 제공된 인증 정보에 따라 다릅니다.
Directory Server의 액세스 제어를 사용하면 ACI가 적용 가능한 시기에 대한 정확한 규칙을 설정할 수 있습니다.
- 전체 디렉터리, 하위 트리 또는 특정 항목의 경우
- 특정 사용자의 경우 특정 그룹 또는 역할에 속한 모든 사용자 또는 디렉터리의 모든 사용자
IP 주소, IP 범위 또는 DNS 이름과 같은 특정 위치의 경우
로드 밸런서는 위치별 규칙에 영향을 미칠 수 있습니다.
복잡한 ACI는 읽고 이해하기 어렵습니다. 하나의 복잡한 ACI 대신 여러 개의 간단한 규칙을 작성하여 동일한 효과를 얻을 수 있습니다. 그러나 더 많은 ACI 수에 따라 ACI 처리 비용이 증가합니다.
1.1. ACI 배치
Directory Server는 디렉터리 항목에 다중 값의 운영 특성에 ACI(액세스 제어 명령) 를 저장합니다. ACI를 설정하려면 해당 디렉터리 항목에 aci 특성을 추가합니다. Directory Server는 ACI를 적용합니다.
하위 항목이 없는 경우 ACI가 포함된 항목에만 해당합니다. 예를 들어 클라이언트에서
uid=user_name,ou=People,dc=example,dc=com오브젝트에 대한 액세스가 필요하고 ACI가dc=example,dc=com에만 설정되어 있고 하위 항목에는 이 ACI만 적용됩니다.참고추가권한이 있는 ACIS는 나중에 생성된 하위 항목에도 적용됩니다.하위 항목이 있는 경우 ACI 및 그 아래의 모든 항목에 포함된 항목으로 이동합니다. 결과적으로 서버는 지정된 항목에 대한 액세스 권한을 평가하면 요청된 항목과 디렉터리 접미사 간의 모든 항목에 대해 ACI와 항목 자체에 대한 ACIs를 확인합니다.
예를 들어 ACI는
dc=example,dc=com및ou=People,dc=example,dc=comuid=user_name,ou=People,dc=com오브젝트에 액세스하려는 경우 Directory 서버는 먼저 ou=People,dc=com 항목의 ACI를 검증합니다. 이 ACI가 액세스 권한을 부여하면 평가가 중지되고 액세스 권한이 부여됩니다. 그렇지 않은 경우 Directory Server는ou=People,dc=example,dc=com의 ACI를 확인합니다. 이 ACI가 클라이언트에 성공적으로 권한을 부여하면 오브젝트에 액세스할 수 있습니다.
rootDSE 항목의 ACIS 세트는 이 항목에만 적용됩니다.
항목에 생성된 ACI는 해당 항목에 직접 적용되지 않도록 설정할 수 있지만 아래 하위 트리의 일부 또는 모든 항목에 적용할 수 있습니다. 이 접근 방식의 장점은 일반 ACI를 디렉터리 트리에 더하여 트리에 있는 하위 항목에 영향을 줄 수 있다는 것입니다. 예를 들어 inetOrgPerson 개체 클래스를 포함하는 항목을 대상으로 하는 ACI는 organizationalUnit 항목 또는 locality 항목의 수준에서 만들 수 있습니다.
일반 규칙을 높은 수준의 분기 포인트에 배치하여 디렉터리 트리의 ACI 수를 최소화합니다. 보다 구체적인 규칙의 범위를 제한하려면 가능한 한 밀접하게 항목을 리프트에 배치하십시오.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}