27.2. CLI에서 IdM 권한 관리
CLI(명령줄 인터페이스)를 사용하여 IdM(Identity Management) 권한을 관리하려면 다음 절차를 따르십시오.
사전 요구 사항
- IdM 또는 사용자 관리자 역할을 관리하기 위한 관리자 권한.
- 활성 Kerberos 티켓. 자세한 내용은 kinit를 사용하여 IdM에 수동으로 로그인하는 방법을 참조하십시오.
절차
ipa permission-add
명령을 사용하여 새 권한 항목을 생성합니다.
예를 들어 dns admin 이라는 권한을 추가하려면 :$ ipa permission-add "dns admin"
다음 옵션을 사용하여 권한의 속성을 지정합니다.
--bindtype
은 바인드 규칙 유형을 지정합니다. 이 옵션은모든
,익명
및권한
인수를 허용합니다.권한
바인드 유형은 역할을 통해 이 권한을 부여 받은 사용자만 수행할 수 있음을 나타냅니다.
예를 들면 다음과 같습니다.$ ipa permission-add "dns admin" --bindtype=all
--bindtype
을 지정하지 않으면permission
이 기본값입니다.참고기본이 아닌 바인드 규칙 유형의 권한을 권한에 추가할 수 없습니다. 또한 권한이 이미 권한에 있는 권한을 기본이 아닌 바인드 규칙 유형으로 설정할 수 없습니다.
--right
는 권한에 의해 부여된 권한을 나열하고 더 이상 사용되지 않는--permissions
옵션을 대체합니다. 사용 가능한 값은add
,delete
,read
,search
,compare
,write
,all
입니다.여러
--right
옵션을 사용하거나 중괄호 안에 쉼표로 구분된 목록을 사용하여 여러 특성을 설정할 수 있습니다. 예를 들면 다음과 같습니다.$ ipa permission-add "dns admin" --right=read --right=write
$ ipa permission-add "dns admin" --right={read,write}
참고추가
및삭제
는 항목 수준 작업(예: 사용자 삭제, 그룹 추가, 그룹 추가 등)입니다.읽기
,검색
,비교
및쓰기
는 더 많은 속성 수준:userCertificate
에 쓸 수 있지만userPassword
를 읽을 수 없습니다.--attrs
는 권한이 부여되는 속성 목록을 제공합니다.
여러--attrs
옵션을 사용하거나 중괄호 안의 쉼표로 구분된 목록에 옵션을 나열하여 여러 특성을 설정할 수 있습니다. 예를 들면 다음과 같습니다.$ ipa permission-add "dns admin" --attrs=description --attrs=automountKey
$ ipa permission-add "dns admin" --attrs={description,automountKey}
--attrs
로 제공되는 속성은 존재해야 하며 지정된 오브젝트 유형에 대해 허용된 속성이 있어야 합니다. 그렇지 않으면 스키마 구문 오류로 인해 명령이 실패합니다.--type
은 권한이 적용되는 항목 오브젝트 유형(예: 사용자, 호스트 또는 서비스)을 정의합니다. 각 유형에는 허용된 속성 집합이 있습니다.
예를 들면 다음과 같습니다.$ ipa permission-add "manage service" --right=all --type=service --attrs=krbprincipalkey --attrs=krbprincipalname --attrs=managedby
--subtree
는 하위 트리 항목을 제공합니다. 필터는 이 하위 트리 항목 아래의 모든 항목을 대상으로 합니다. 기존 하위 트리 항목을 제공합니다. --subtree
는 와일드카드 또는 존재하지 않는 도메인 이름(DN)을 허용하지 않습니다. 디렉터리에 DN을 포함합니다.
IdM은 간소화된 플랫 디렉터리 트리 구조를 사용하기 때문에--subtree
를 사용하여 다른 구성의 컨테이너 또는 상위 항목인 자동 마운트 위치와 같은 일부 항목을 대상으로 지정할 수 있습니다. 예를 들면 다음과 같습니다.$ ipa permission-add "manage automount locations" --subtree="ldap://ldap.example.com:389/cn=automount,dc=example,dc=com" --right=write --attrs=automountmapname --attrs=automountkey --attrs=automountInformation
참고type
및--subtree
옵션은 상호 배타적입니다.--type에 대한 필터가 --
subtree
의 간소화로 표시되어 관리자가 쉽게 사용할 수 있도록 합니다.--filter
는 LDAP 필터를 사용하여 권한이 적용되는 항목을 식별합니다.
IdM은 지정된 필터의 유효성을 자동으로 확인합니다. 필터는 유효한 LDAP 필터일 수 있습니다. 예를 들면 다음과 같습니다.$ ipa permission-add "manage Windows groups" --filter="(!(objectclass=posixgroup))" --right=write --attrs=description
--memberOf는 그룹이 존재하는지 확인한 후 대상 필터를 지정된 그룹의 멤버로 설정합니다
. 예를 들어 이 권한이 있는 사용자가 engineer 그룹의 멤버의 로그인 쉘을 수정하도록 하려면 다음을 수행합니다.$ ipa permission-add ManageShell --right="write" --type=user --attr=loginshell --memberof=engineers
--targetGroup
은 그룹이 존재하는지 확인한 후 지정된 사용자 그룹으로 target을 설정합니다. 예를 들어 권한이 있는 사용자가 engineers 그룹에 member 속성을 쓰도록 하려면(구성원 추가 또는 제거 가능).$ ipa permission-add ManageMembers --right="write" --subtree=cn=groups,cn=accounts,dc=example,dc=test --attr=member --targetgroup=engineers
선택적으로 DN(대상 도메인 이름)을 지정할 수 있습니다.
-
--target
은 권한을 적용할 DN을 지정합니다. 와일드카드가 허용됩니다. -
--targetto
는 항목을 이동할 수 있는 DN 하위 트리를 지정합니다. -
--targetfrom
은 항목을 이동할 수 있는 DN 하위 트리를 지정합니다.
-