15장. 사용자 및 그룹 스키마
사용자 항목이 생성되면 특정 LDAP 오브젝트 클래스가 자동으로 할당되며, 이로 인해 특정 속성을 사용할 수 있습니다. LDAP 속성은 정보가 디렉터리에 저장되는 방식입니다. (이 내용은 Directory Server Deployment Guide 및 Directory Server Schema Reference 에서 자세히 설명합니다.)
개체 클래스 | Description |
---|---|
ipaobject
ipasshuser
| IdM 오브젝트 클래스 |
person
조직
inetorgperson
inetuser
posixAccount
| person 객체 클래스 |
krbprincipalaux
krbticketpolicyaux
| Kerberos 오브젝트 클래스 |
mepOriginEntry | 관리된 항목(템플릿) 오브젝트 클래스 |
사용자 항목에 다양한 특성을 사용할 수 있습니다. 일부는 수동으로 설정되며, 특정 값이 설정되지 않은 경우 기본값을 기반으로 설정됩니다. 해당 속성에 대한 UI 또는 명령줄 인수가 없는 경우에도 표 15.1. “기본 Identity Management 사용자 오브젝트 클래스” 의 오브젝트 클래스에서 사용 가능한 속성을 추가하는 옵션도 있습니다. 또한 기본 속성에서 생성하거나 사용하는 값은 15.4절. “기본 사용자 및 그룹 속성 지정” 에서와 같이 구성할 수 있습니다.
UI 필드 | 명령줄 옵션 | 필수, 선택 사항 또는 기본값[a] |
---|---|---|
사용자 로그인 | username | 필수 항목 |
이름 | --first | 필수 항목 |
성 | --last | 필수 항목 |
성명 | --cn | 선택 사항 |
표시 이름 | --displayname | 선택 사항 |
초기 | --initials | 기본값 |
홈 디렉토리 | --homedir | 기본값 |
GECOS 필드 | --gecos | 기본값 |
쉘 | --shell | 기본값 |
Kerberos 주체 | --principal | 기본값 |
이메일 주소 | --email | 선택 사항 |
암호 | --password [b] | 선택 사항 |
사용자 ID 번호 | --uid | 기본값 |
그룹 ID 번호 | --gidnumber | 기본값 |
스트리드 주소 | --street | 선택 사항 |
도시 | --city | 선택 사항 |
시/도 | --state | 선택 사항 |
zip 코드 | --postalcode | 선택 사항 |
전화 번호 | --phone | 선택 사항 |
휴대폰 번호 | --mobile | 선택 사항 |
호출자 번호 | --pager | 선택 사항 |
팩스 번호 | --fax | 선택 사항 |
조직 단위 | --OrgUnit | 선택 사항 |
직책 | --title | 선택 사항 |
관리자 | --manager | 선택 사항 |
Car 라이센스 | --carlicense | 선택 사항 |
--noprivate | 선택 사항 | |
SSH 키 | --sshpubkey | 선택 사항 |
추가 속성 | --addattr | 선택 사항 |
부서 번호 | --departmentnumber | 선택 사항 |
직원 번호 | --employeenumber | 선택 사항 |
직원 유형 | --employeetype | 선택 사항 |
선호하는 언어 | --preferredlanguage | 선택 사항 |
[a]
모든 항목에 필수 특성을 설정해야 합니다. 선택적 속성을 설정할 수 있지만, 특정 값을 지정하지 않는 한 기본 속성이 자동으로 사전 정의된 값으로 추가됩니다.
[b]
스크립트에서 인수와 함께 값을 수락하지 않고 새 암호를 묻는 메시지를 표시합니다.
|
15.1. 기본 사용자 및 그룹 스키마 변경 정보
사용자 및 그룹 항목(15장. 사용자 및 그룹 스키마)에 사용되는 오브젝트 클래스 및 속성을 추가하거나 변경할 수 있습니다.
오브젝트 클래스가 변경될 때 IdM 구성은 몇 가지 검증을 제공합니다.
- 모든 오브젝트 클래스와 지정된 속성은 LDAP 서버에 알려져 있어야 합니다.
- 항목에 대해 구성된 모든 기본 속성은 구성된 오브젝트 클래스에서 지원해야 합니다.
그러나 IdM 스키마 검증에는 제한이 있습니다. 가장 중요한 것은 IdM 서버에 정의된 사용자 또는 그룹 오브젝트 클래스에 IdM 항목에 필요한 모든 오브젝트 클래스가 포함되어 있는지 확인하지 않습니다. 예를 들어 모든 IdM 항목에는 ipaobject 오브젝트 클래스가 필요합니다. 그러나 사용자 또는 그룹 스키마가 변경되면 서버에서 이 개체 클래스가 포함되어 있는지 확인하지 않습니다. 개체 클래스가 실수로 삭제되면 이후 항목 추가 작업이 실패합니다.
또한 모든 개체 클래스 변경 사항은 증분식이 아니라 원자적입니다. 기본 오브젝트 클래스의 전체 목록은 변경될 때마다 정의해야 합니다. 예를 들어 회사에서는 연상 및 고용 시작일과 같은 직원 정보를 저장하기 위한 맞춤형 객체 클래스를 만들 수 있습니다. 관리자는 단순히 사용자 지정 개체 클래스를 목록에 추가할 수 없습니다. 현재 기본 개체 클래스 와 새 개체 클래스의 전체 목록을 설정해야 합니다. 구성을 업데이트할 때 기존 기본 오브젝트 클래스를 항상 포함해야 합니다. 그렇지 않으면 현재 설정을 덮어쓸 것이며 심각한 성능 문제가 발생합니다.