14.12. IdM에서 로컬 및 원격 그룹에 대한 그룹 병합 활성화
그룹은 IdM(Identity Management) 또는 AD(Active Directory)와 같은 도메인에서 제공하거나 etc/group
파일의 로컬 시스템에서 관리합니다. 대부분의 경우 사용자는 중앙 집중식 관리 저장소에 의존합니다. 그러나 경우에 따라 소프트웨어는 액세스 제어를 관리하기 위해 알려진 그룹의 멤버십을 사용합니다.
도메인 컨트롤러와 로컬 etc/그룹 파일에서 그룹을 관리하려면 그룹
병합을 활성화할 수 있습니다. nsswitch.conf
파일을 구성하여 로컬 파일과 원격 서비스를 모두 확인할 수 있습니다. 그룹이 둘 다 표시되면 멤버 사용자 목록이 결합되고 단일 응답으로 반환됩니다.
아래 단계에서는 idmuser 사용자에 대해 그룹 병합을 활성화하는 방법을 설명합니다.
절차
/etc/nsswitch.conf
파일에[SUCCESS=merge]
를 추가합니다.# Allow initgroups to default to the setting for group. initgroups: sss [SUCCESS=merge] files
IdM에 idmuser 를 추가합니다.
# ipa user-add idmuser First name: idm Last name: user --------------------- Added user "idmuser" --------------------- User login: idmuser First name: idm Last name: user Full name: idm user Display name: idm user Initials: tu Home directory: /home/idmuser GECOS: idm user Login shell: /bin/sh Principal name: idmuser@IPA.TEST Principal alias: idmuser@IPA.TEST Email address: idmuser@ipa.test UID: 19000024 GID: 19000024 Password: False Member of groups: ipausers Kerberos keys available: False
로컬
오디오
그룹의 GID를 확인합니다.$ getent group audio --------------------- audio:x:63
IdM에 그룹
오디오를
추가합니다.$ ipa group-add audio --gid 63 ------------------- Added group "audio" ------------------- Group name: audio GID: 63
참고IdM에
오디오
그룹을 추가할 때 정의한 GID는 로컬오디오
그룹의 GID와 동일해야 합니다.IdM
오디오
그룹에 idmuser 사용자를 추가합니다.$ ipa group-add-member audio --users=idmuser Group name: audio GID: 63 Member users: idmuser ------------------------- Number of members added 1 -------------------------
검증
- idmuser 로 로그인합니다.
idmuser 가 세션에 로컬 그룹이 있는지 확인합니다.
$ id idmuser uid=1867800003(idmuser) gid=1867800003(idmuser) groups=1867800003(idmuser),63(audio),10(wheel)