10.3. 사용자 권한 위임
위임은 한 그룹의 사용자가 다른 사용자 그룹의 항목을 관리할 수 있는 권한이 할당된다는 점에서 역할과 매우 유사합니다. 그러나 위임된 권한은 전체 액세스의 셀프 서비스 규칙과 훨씬 더 유사하지만 전체 항목이 아닌 특정 사용자 속성에만 적용됩니다. 또한 위임된 권한의 그룹은 액세스 제어를 위해 특별히 생성된 역할 대신 기존 IdM 사용자 그룹입니다.
10.3.1. 웹 UI에서 사용자 그룹에 대한 액세스 위임
- 상단 메뉴의 IPA Server 탭에서
선택합니다. - 위임 액세스 제어 지침 목록의 맨 위에 있는 추가 링크를 클릭합니다.
그림 10.4. 새 위임 추가
- 새 위임 ACI의 이름을 지정합니다.
- 지정된 속성(읽기)을 볼 수 있는 권한이 있는지 여부를 확인란을 선택하여 사용 권한을 설정하고 주어진 속성을 추가 또는 변경합니다(쓰기).일부 사용자는 정보를 볼 필요가 있지만 편집할 수는 없어야 합니다.
- 사용자 그룹 드롭다운 메뉴에서 사용자 그룹의 사용자 항목에 대한 권한이 부여된 그룹을 선택합니다.
그림 10.5. 위임 추가 양식
- Member 사용자 그룹 드롭다운 메뉴에서 위임 그룹 멤버에서 항목을 편집할 수 있는 그룹을 선택합니다.
- 특성 상자에서 member 사용자 그룹이 권한이 부여되는 특성별로 확인란을 선택합니다.
- Add 버튼을 클릭하여 새 위임 ACI를 저장합니다.
10.3.2. 명령줄에서 사용자 그룹에 대한 액세스 위임
새로운 위임 액세스 제어 규칙이 delegation-add 명령을 사용하여 추가됩니다. 다음과 같은 세 가지 필수 인수가 있습니다.
--group -
사용자 그룹에 있는 사용자 항목에 대한 권한을 부여받고 있는 그룹입니다.--membergroup
, group w those 항목은 위임 그룹의 구성원이 편집할 수 있습니다.--attrs
: 멤버 그룹의 사용자가 보거나 편집할 수 있는 속성입니다.
예를 들어 다음과 같습니다.
$ ipa delegation-add "basic manager attrs" --attrs=manager --attrs=title --attrs=employeetype --attrs=employeenumber --group=engineering_managers --membergroup=engineering -------------------------------------- Added delegation "basic manager attrs" -------------------------------------- Delegation name: basic manager attrs Permissions: write Attributes: manager, title, employeetype, employeenumber Member user group: engineering User group: engineering_managers
위임 규칙은 delegation-mod 명령을 사용하여 편집합니다. at
trs 옵션은
지원되는 속성의 이전 목록이 무엇이든 덮어 쓰므로 항상 새 속성과 함께 전체 속성 목록을 포함합니다.
[jsmith@server ~]$ ipa delegation-mod "basic manager attrs" --attrs=manager --attrs=title --attrs=employeetype --attrs=employeenumber --attrs=displayname ----------------------------------------- Modified delegation "basic manager attrs" ----------------------------------------- Delegation name: basic manager attrs Permissions: write Attributes: manager, title, employeetype, employeenumber, displayname Member user group: engineering User group: engineering_managers
중요
기존 항목을 포함하여 위임 규칙을 수정할 때 모든 특성을 포함합니다.