3.7. 도메인 사용자에 대한 로그인 권한 관리
기본적으로 도메인 측 액세스 제어가 적용되므로 도메인 사용자에 대한 로그인 정책이 도메인 자체에서 정의됩니다. 클라이언트 측 액세스 제어가 사용되도록 이 기본 동작을 재정의할 수 있습니다. 클라이언트 측 액세스 제어를 사용하면 로컬 정책에 의해서만 로그인 권한이 정의됩니다.
도메인이 클라이언트 측 액세스 제어를 적용하면
realmd
시스템을 사용하여 해당 도메인에서 사용자에 대한 기본 허용 또는 액세스 규칙을 구성할 수 있습니다. 이러한 액세스 규칙은 시스템의 모든 서비스에 대한 액세스를 허용하거나 거부합니다. 특정 시스템 리소스 또는 도메인에 대해 보다 구체적인 액세스 규칙을 설정해야 합니다.
액세스 규칙을 설정하려면 다음 두 명령을 사용하십시오.
- realm deny
- realm deny 명령은 도메인 내의 모든 사용자에 대한 액세스를 거부하기만 합니다.
--all
옵션과 함께 이 명령을 사용합니다. - 영역 허용
- realm permit 명령을 사용하여 다음을 수행할 수 있습니다.
- 예를 들어
--all
옵션을 사용하여 모든 사용자에게 액세스 권한을 부여합니다.$ realm permit --all
- 예를 들어 지정된 사용자에게 액세스 권한을 부여합니다.
$ realm permit user@example.com $ realm permit 'AD.EXAMPLE.COM\user'
- 예를 들어
-x
옵션을 사용하여 지정된 사용자에 대한 액세스를 거부합니다.$ realm permit -x 'AD.EXAMPLE.COM\user'
현재 액세스를 허용하는 것은 신뢰할 수 있는 도메인의 사용자가 아닌 기본 도메인의 사용자만 작동합니다. 이는 사용자 로그인에 도메인 이름이 포함되어야 하지만 현재 SSSD는
영역의
사용 가능한 하위 도메인에 대한 정보를 제공할 수 없기 때문입니다.
중요
특히 선택된 사용자 또는 그룹에 대한 액세스 권한을 일부 사용자에게 거부하는 것보다는 액세스를 허용하는 것이 더 안전합니다. 따라서 영역 허용 -x를 사용하여 지정된 사용자에게만 권한을 거부하는 동안 기본적으로 모든 액세스를 허용하지 않는 것이 좋습니다. 대신 Red Hat은 모든 사용자에게 기본 액세스 정책을 유지하고 영역 허용 을 사용하여 선택한 사용자에게만 액세스 권한을 부여할 것을 권장합니다.
영역 거부 및 영역 허용 명령에 대한 자세한 내용은 realm(8) 도움말 페이지를 참조하십시오.