8장. Active Directory 환경에서 ID 뷰 사용
ID 보기를 사용하면 POSIX 사용자 또는 그룹 속성의 새 값을 지정하고 새 값을 적용할 클라이언트 호스트 또는 호스트를 정의할 수 있습니다.
IdM(Identity Management) 이외의 통합 시스템은 IdM에서 사용되는 알고리즘과 다른 알고리즘을 기반으로 UID 및 GID 값을 생성하는 경우가 있습니다. IdM에서 사용된 값과 일치하도록 이전에 생성한 값을 재정의하면 다른 통합 시스템의 멤버로 사용된 클라이언트를 IdM과 완전히 통합할 수 있습니다.
참고
이 장에서는 AD(Active Directory)와 관련된 ID 뷰 기능에 대해서만 설명합니다. ID 뷰에 대한 일반적인 내용은 Linux 도메인 ID, 인증 및 정책 가이드 를 참조하십시오.
다음과 같은 목적으로 AD 환경에서 ID 보기를 사용할 수 있습니다.
- POSIX 속성 또는 SSH 로그인 세부 정보와 같은 AD 사용자 속성 덮어쓰기
- 자세한 내용은 8.3절. “ID 뷰를 사용하여 AD 사용자 속성 정의” 을 참조하십시오.
- 동기화 기반에서 신뢰 기반 통합으로 마이그레이션
- 자세한 내용은 7.2절. “동기화에서 ID 뷰를 사용하여 수동으로 신뢰로 마이그레이션” 을 참조하십시오.
- IdM 사용자 속성의 호스트별 그룹 덮어쓰기 수행
- 자세한 내용은 8.4절. “NIS 도메인을 IdM으로 마이그레이션” 을 참조하십시오.
8.1. Active Directory 기본 신뢰 보기
8.1.1. 기본 신뢰 보기
기본 신뢰 보기는 항상 신뢰할 수 있는 설정의 AD 사용자 및 그룹에 적용되는 기본 ID 뷰입니다.
ipa-adtrust-install
을 사용하여 신뢰를 설정하면 자동으로 생성되며 삭제할 수 없습니다.
Default Trust View를 사용하면 AD 사용자 및 그룹에 대한 사용자 지정 POSIX 속성을 정의하여 AD에 정의된 값을 재정의할 수 있습니다.
AD의 값 | 기본 신뢰 보기 | 결과 | ||
---|---|---|---|---|
login | ad_user | ad_user | | ad_user |
UID | 111 | 222 | | 222 |
GID | 111 | (값 없음) | | 111 |
참고
Default Trust View는 IdM 사용자 및 그룹이 아닌 AD 사용자 및 그룹에 대한 덮어쓰기만 허용합니다. IdM 서버 및 클라이언트에 적용되므로 ActiveActive Directory qcow;Directory 사용자 및 그룹에 대한 덮어쓰기만 제공해야 합니다.
8.1.2. 기타 ID 뷰를 사용하여 기본 신뢰 보기 덮어쓰기
호스트에 적용되는 다른 ID 뷰가 Default Trust View의 속성 값을 재정의하는 경우 IdM은 Default Trust View 상단에 있는 호스트별 ID 보기의 값을 적용합니다.
- 호스트별 ID 보기에 속성이 정의된 경우 IdM은 이 보기의 값을 적용합니다.
- 호스트별 ID 보기에 속성이 정의되지 않은 경우 IdM은 Default Trust View의 값을 적용합니다.
기본 신뢰 보기는 항상 IdM 서버 및 복제본과 AD 사용자 및 그룹에 적용됩니다. 다른 ID 보기를 할당할 수 없습니다. 항상 기본 신뢰 보기의 값을 적용합니다.
AD의 값 | 기본 신뢰 보기 | host-Specific View | 결과 | ||
---|---|---|---|---|---|
login | ad_user | ad_user | (값 없음) | | ad_user |
UID | 111 | 222 | 333 | | 333 |
GID | 111 | (값 없음) | 333 | | 333 |
8.1.3. 클라이언트 버전을 기반으로 하는 클라이언트 재정의
IdM 마스터는 IdM 클라이언트가 SSSD를 사용하거나 스키마 호환성 트리 요청을 사용하는 방법에 관계없이 Default Trust View의 ID 재정의를 항상 적용합니다.
그러나 호스트별 ID 보기에서 ID 재정의의 가용성은 제한됩니다.
- 기존 클라이언트: RHEL 6.3 및 이전 버전 (SSSD 1.8 이상)
- 클라이언트는 적용할 특정 ID 보기를 요청할 수 있습니다.기존 클라이언트에서 호스트별 ID 뷰를 사용하려면 클라이언트의 기본 DN을
cn=id_view_name,cn=views,cn=compat,dc=com
로 변경합니다. - RHEL 6.4에서 7.0 (SSSD 1.9 to 1.11)
- 클라이언트의 호스트별 ID 보기는 지원되지 않습니다.
- RHEL 7.1 이상 (SSSD 1.12 이상)
- 완전 지원.