37.5. IdM ID 범위에서 보안 및 상대 식별자의 역할
IdM(Identity Management) ID 범위는 여러 매개변수로 정의됩니다.
- 범위 이름
- 범위의 첫 번째 POSIX ID
- 범위 크기: 범위의 ID 수
- 해당 RID 범위의 첫 번째 상대 식별자 (RID)
- 보조 RID 범위의 첫 번째 RID
ipa idrange-show
명령을 사용하여 이러한 값을 볼 수 있습니다.
$ ipa idrange-show IDM.EXAMPLE.COM_id_range
Range name: IDM.EXAMPLE.COM_id_range
First Posix ID of the range: 196600000
Number of IDs in the range: 200000
First RID of the corresponding RID range: 1000
First RID of the secondary RID range: 1000000
Range type: local domain range
보안 식별자
로컬 도메인의 ID 범위 데이터는 IdM 서버에서 IdM 사용자 및 그룹에 고유한 보안 식별자 (SID)를 할당하는 데 사용됩니다. STS는 사용자 및 그룹 개체에 저장됩니다. 사용자의 SID는 다음으로 구성됩니다.
- 도메인 SID
- 사용자 상대 식별자 (RID)는 도메인 STS에 추가된 네 자리 32비트 값입니다.
예를 들어 도메인 SID가 S-1-5-21-123-456-789이고 이 도메인의 사용자 RID가 1008인 경우, 사용자에게 S-1-5-21-123-456-789-1008의 HEAD가 있습니다.
상대 식별자
RID 자체는 다음과 같은 방식으로 계산됩니다.
범위의 첫 번째 POSIX ID를 사용자의 POSIX UID에서 빼고 해당 RID 범위의 첫 번째 RID를 결과에 추가합니다. 예를 들어 idmuser 의 UID가 196600008인 경우 첫 번째 POSIX ID는 jenkinsfile600000이고 첫 번째 RID는 1000이고 idmuser 's RID는 1008입니다.
사용자의 RID 알고리즘을 계산하는 알고리즘은 지정된 POSIX ID가 해당 RID를 계산하기 전에 할당된 ID 범위에 속하는지 확인합니다. 예를 들어 첫 번째 ID가 jenkinsfile600000이고 범위 크기가 200000인 경우, 이 범위의 POSIX ID는 ID 범위 외부에 있고 알고리즘은 RID를 계산하지 않습니다.
보조 상대 식별자
IdM에서 POSIX UID는 POSIX GID와 같을 수 있습니다. 즉, idmuser 가 196600008 UID가 있는 경우 GID가 196600008인 새 idmgroup 그룹을 계속 생성할 수 있습니다.
그러나 STS는 사용자 또는 그룹 한 개만 정의할 수 있습니다. idmuser 용으로 이미 생성된 S-1-5-21-123-456-789-1008의 SID는 idmgroup 과 공유할 수 없습니다. idmgroup 에 대해 대체 STS를 생성해야 합니다.
IdM은 보조 상대 식별자 (또는 보조 RID)를 사용하여 conflict replacess가 발생하지 않습니다. 이 보조 RID는 다음과 같이 구성됩니다.
- 2차 RID 기반
- 범위 크기(기본 범위 크기와 기본적으로 동일)
위의 예에서 보조 RID 베이스는 1000000으로 설정됩니다. 새로 생성된 idmgroup 의 RID를 계산하려면 : 사용자의 POSIX UID에서 범위의 첫 번째 POSIX ID를 제거하고 보조 RID 범위의 첫 번째 RID를 결과에 추가합니다. idmgroup 은 RID 1000008이 할당됩니다. 그 결과 idmgroup 의 SID는 S-1-5-21-123-456-789-1000008입니다.
IdM은 보조 RID를 사용하여 사용자 또는 그룹 오브젝트가 이전에 수동으로 설정된 POSIX ID를 사용하여 생성한 경우에만 STS를 계산합니다. 그렇지 않으면 자동 할당으로 동일한 ID를 두 번 할당하지 않습니다.