13장. 사용자 및 호스트 그룹 관리
13.1. IdM에서 사용자 및 호스트 그룹 작업 방식
13.1.1. 사용자 및 호스트 그룹의 정의
사용자 그룹은 공통 권한, 암호 정책 및 기타 특성을 가진 사용자 집합입니다.
호스트 그룹은 일반적인 액세스 제어 규칙과 기타 특성을 가진 IdM 호스트 집합입니다.
예를 들어 회사 부서, 물리적 위치 또는 액세스 제어 요구 사항에 대한 그룹을 정의할 수 있습니다.
13.1.2. 지원되는 그룹 멤버
IdM의 사용자 그룹은 다음을 포함할 수 있습니다.
- IdM 사용자
- 기타 IdM 사용자 그룹
- IdM 외부에 존재하는 외부 사용자
IdM의 호스트 그룹은 다음을 포함할 수 있습니다.
- IdM 서버 및 클라이언트
- 기타 IdM 호스트 그룹
13.1.3. 직접 및 간접 그룹 멤버
IdM의 사용자 및 호스트 그룹 속성은 직접 및 간접 멤버 모두에 적용됩니다. B 그룹이 A 그룹의 멤버인 경우 B 그룹의 모든 사용자는 A 그룹의 멤버로 간주됩니다.
예를 들면 그림 13.1. “직접 및 간접 그룹 멤버쉽” 에서 다음을 수행합니다.
- 사용자 1 및 사용자 2는 A 그룹의 직접 구성원 입니다.
- 사용자 3, 사용자 4 및 사용자 5는 A 그룹의 간접 구성원 입니다.
그림 13.1. 직접 및 간접 그룹 멤버쉽
사용자 그룹 A에 대한 암호 정책을 설정한 경우 정책은 사용자 그룹 B의 모든 사용자에게도 적용됩니다.
예 13.1. 직접 및 간접 그룹 멤버 보기
- 추가:
group_A
의 멤버인 한 사용자group_B
의 멤버인 또 다른 사용자group_B
를group_A
의 멤버로
- 웹 UI에서 다음을 수행합니다.
를 선택합니다. 왼쪽의 사이드 표시줄에 나열된 개별 그룹 유형에서 를 선택하고 group_A
의 이름을 클릭합니다. 직접 멤버십과 Indirect Membership 간에 전환하십시오. - 명령줄에서 다음을 수행합니다. ipa group-show 명령을 사용합니다.
$ ipa group-show group_A ... Member users: user_1 Member groups: group_B Indirect Member users: user_2
간접 멤버 목록에는 신뢰할 수 있는 Active Directory 도메인의 외부 사용자가 포함되지 않습니다. Active Directory 신뢰 사용자 오브젝트는 IdM 내에 LDAP 오브젝트로 존재하지 않기 때문에 IdM 인터페이스에 표시되지 않습니다.
13.1.4. IdM의 사용자 그룹 유형
- POSIX 그룹 (기본값)
- POSIX 그룹은 해당 멤버에 대해 POSIX 속성을 지원합니다. Active Directory와 상호 작용하는 그룹은 POSIX 속성을 사용할 수 없습니다.
- non-POSIX 그룹
- 이 유형의 모든 그룹 멤버는 IdM 도메인에 속해야 합니다.
- 외부 그룹
- 외부 그룹을 사용하면 IdM 도메인 외부의 ID 저장소에 존재하는 그룹 멤버를 추가할 수 있습니다. 외부 저장소는 로컬 시스템, Active Directory 도메인 또는 디렉터리 서비스일 수 있습니다.
비POSIX 및 외부 그룹은 POSIX 특성을 지원하지 않습니다. 예를 들어 이러한 그룹에는 GID가 정의되어 있지 않습니다.
예 13.2. 다양한 유형의 사용자 그룹 검색
- ipa group-find 명령을 실행하여 모든 사용자 그룹을 표시합니다.
- ipa group-find --posix 명령을 실행하여 모든 POSIX 그룹을 표시합니다.
- ipa group-find --nonposix 명령을 실행하여 모든 비POSIX 그룹을 표시합니다.
- ipa group-find --external 명령을 실행하여 모든 외부 그룹을 표시합니다.
13.1.5. 기본값으로 생성된 사용자 및 호스트 그룹
그룹 이름 | 사용자 또는 호스트 | 기본 그룹 멤버 |
---|---|---|
ipausers | 사용자 그룹 | 모든 IdM 사용자 |
admins | 사용자 그룹 | 처음 기본 admin 사용자인 관리자 권한이 있는 사용자 |
editors | 사용자 그룹 | 관리 사용자의 모든 권한 없이 웹 UI에서 다른 IdM 사용자를 편집할 수 있는 사용자 |
신뢰 관리자 | 사용자 그룹 | Active Directory 트러스트를 관리할 수 있는 권한이 있는 사용자 |
ipaservers | 호스트 그룹 | 모든 IdM 서버 호스트 |
사용자 그룹에 사용자를 추가하면 그룹과 연결된 권한 및 정책을 적용합니다. 예를 들어
admins
그룹에 사용자를 추가하면 사용자에게 관리 권한이 부여됩니다.
주의
admins
그룹을 삭제하지 마십시오. admins
는 IdM에 필요한 사전 정의된 그룹이므로 이 작업으로 인해 특정 명령에 문제가 발생합니다.
주의
ipaservers
호스트 그룹에 호스트를 추가할 때는 주의하십시오. ipaservers
의 모든 호스트에서는 IdM 서버로 승격할 수 있습니다.
또한 IdM에서 새 사용자가 생성될 때마다 기본적으로 사용자 개인 그룹을 생성합니다.
- 사용자 개인 그룹의 이름은 해당 그룹이 생성된 사용자와 동일합니다.
- 사용자는 사용자 개인 그룹의 유일한 멤버입니다.
- 개인 그룹의 GID는 사용자의 UID와 일치합니다.
예 13.3. 사용자 개인 그룹 보기
ipa group-find --private 명령을 실행하여 모든 사용자 개인 그룹을 표시합니다.
$ ipa group-find --private ---------------- 2 groups matched ---------------- Group name: user1 Description: User private group for user1 GID: 830400006 Group name: user2 Description: User private group for user2 GID: 830400004 ---------------------------- Number of entries returned 2 ----------------------------
경우에 따라 NIS 그룹 또는 다른 시스템 그룹이 사용자 개인 그룹에 할당될 GID를 이미 사용하는 경우와 같이 사용자 개인 그룹을 생성하지 않는 것이 좋습니다. 13.4절. “사용자 개인 그룹 비활성화” 참조하십시오.