18.3. 다른 호스트에서 사용자 계정에 대한 다른 속성 값 정의
관리자는 사용자 계정에서 사용하는 특성 값을 재정의하고 이러한 ID 뷰를 다른 클라이언트 호스트에 적용하는 ID 뷰를 여러 개 생성할 수 있습니다. 예: 서비스 계정은 다른 호스트에서 인증할 때 다양한 SSH 공개 키를 사용하도록 구성됩니다.
이 섹션에는 다음과 같은 절차가 포함되어 있습니다.
이 절차에서는
host1.example.com
이라는 클라이언트 호스트에 대한 ID 보기를 생성하는 방법을 보여줍니다. 다른 호스트에서 속성 값을 재정의하려면 절차를 사용하여 각 호스트에 대해 하나씩 여러 ID 뷰를 생성합니다.
다음 절차에서는 다음을 수행합니다.
user
는 특성을 재정의해야 하는 사용자 계정입니다.host1.example.com
은 ID 보기를 적용할 호스트입니다.
중요
새 ID 보기를 만든 후 ID 보기가 적용된 모든 클라이언트에서 SSSD를 다시 시작합니다.
새 ID 보기에서 UID 또는 GID를 변경하는 경우 이러한 클라이언트에서도 SSSD 캐시를 지웁니다.
18.3.1. 웹 UI: 특정 호스트에 대한 속성 값 덮어쓰기
ID 뷰를 관리하려면 먼저 IdM 웹 UI에 IdM 관리자로 로그인합니다.
새 ID 보기 생성
- Identity (ID) 탭에서 ID Views (ID 뷰)를 선택합니다.
그림 18.1. ID 보기 추가
이제 새 ID 보기가 ID 보기 목록에 표시됩니다.
그림 18.2. ID 보기 목록
ID 보기에 사용자 덮어쓰기 추가
- ID 보기 목록에서 ID 보기의 이름을 클릭합니다.
그림 18.3. ID 보기 편집
- Users 탭에서 를 클릭하여 사용자 재정의를 추가합니다.
- 재정의할 특성 값이 있는 사용자 계정을 선택하고를 클릭합니다.
이제 사용자 덮어쓰기가
example_for_host1
ID 보기 페이지에 표시됩니다.
그림 18.4. 오버라이드 목록
재정의할 속성 지정
- 특성 값을 변경하는 데 사용할 재정의를 클릭합니다.
그림 18.5. 덮어쓰기 편집
- 특성의 새 값을 정의합니다.예를 들어 사용자 계정에서 사용하는 SSH 공개 키를 재정의하려면 다음을 수행합니다.
그림 18.6. SSH 공개 키 추가
- 공개 키에 붙여넣기.
참고IdM에 SSH 키를 추가하는 방법에 대한 자세한 내용은 22.5절. “사용자를 위한 SSH 공개 키 관리” 을 참조하십시오.
특정 호스트에 ID 보기 적용
- ID 보기 목록에서 ID 보기의 이름을 클릭합니다.
그림 18.7. ID 보기 편집
- Hosts 탭에서 클릭합니다.
host1.example.com
호스트를 선택하고 Prospective 열로 이동합니다.
이제 호스트는 ID 보기가 적용되는 호스트 목록에 표시됩니다.
그림 18.8. ID 보기에 호스트 나열
18.3.2. 명령줄: 특정 호스트에 대한 속성 값 덮어쓰기
ID 보기를 관리하기 전에 IdM 관리자로 티켓을 요청합니다. 예를 들어 다음과 같습니다.
$ kinit admin
- 새 ID 보기를 만듭니다. 예를 들어
example_for_host1
이라는 ID 보기를 생성합니다.$ ipa idview-add example_for_host1 --------------------------- Added ID View "example_for_host1" --------------------------- ID View Name: example_for_host1
- 사용자 덮어쓰기를
example_for_host1
ID 뷰에 추가합니다. ipa idoverrideuser-add 명령에는 ID 보기의 이름과 재정의할 사용자가 필요합니다.- 새 특성 값을 지정하려면 해당 명령줄 옵션도 추가합니다. 사용 가능한 옵션 목록은 ipa idoverrideuser-add --help 를 실행합니다. 예를 들어
--sshpubkey
옵션을 사용하여 SSH 공개 키 값을 재정의합니다.$ ipa idoverrideuser-add example_for_host1 user --sshpubkey="ssh-rsa AAAAB3NzaC1yrRqFE...gWRL71/miPIZ user@example.com" ----------------------------- Added User ID override "user" ----------------------------- Anchor to override: user SSH public key: ssh-rsa AAAB3NzaC1yrRqFE...gWRL71/miPIZ user@example.com
참고IdM에 SSH 키를 추가하는 방법에 대한 자세한 내용은 22.5절. “사용자를 위한 SSH 공개 키 관리” 을 참조하십시오. - ipa idoverrideuser-add --certificate 명령은 지정된 ID 보기의 계정의 기존 인증서를 모두 대체합니다. 추가 인증서를 추가하려면 ipa idoverrideuser-add-cert 명령을 사용합니다.
$ ipa idoverrideuser-add-cert example_for_host1 user --certificate="MIIEATCC..."
- ipa idoverrideuser-mod 명령을 사용하면 기존 사용자 재정의에 대한 새 특성 값을 지정할 수도 있습니다.
- ipa idoverrideuser-del 명령을 사용하여 사용자 재정의를 삭제합니다.참고이 명령을 사용하여 SSH 키를 삭제하면 캐시에서 SSH 키를 즉시 삭제하지 않습니다. 기본 캐시 시간 초과 값(
entry_cache_timeout = 5400
)을 사용하면 키가 1시간 반 동안 캐시에 남아 있습니다.
host1.example.com
호스트에example_for_host1
을 적용합니다.$ ipa idview-apply example_for_host1 --hosts=host1.example.com ----------------------------- Applied ID View "example_for_host1" ----------------------------- hosts: host1.example.com --------------------------------------------- Number of hosts the ID View was applied to: 1 ---------------------------------------------
참고ipa idview-apply 명령은--hostgroups
옵션도 허용합니다. 옵션은 지정된 호스트 그룹에 속하는 호스트에 ID 보기를 적용하지만 ID 보기는 호스트 그룹 자체와 연결하지 않습니다. 대신,hostgroups
옵션은 지정된 호스트 그룹의 멤버를 확장하고--hosts
옵션을 개별적으로 적용합니다.