27.2. CLI에서 IdM 권한 관리


CLI(명령줄 인터페이스)를 사용하여 IdM(Identity Management) 권한을 관리하려면 다음 절차를 따르십시오.

사전 요구 사항

절차

  1. ipa permission-add 명령을 사용하여 새 권한 항목을 생성합니다.
    예를 들어 dns admin 이라는 권한을 추가하려면 :

    $ ipa permission-add "dns admin"
  2. 다음 옵션을 사용하여 권한의 속성을 지정합니다.

    • --bindtype 은 바인드 규칙 유형을 지정합니다. 이 옵션은 모든,익명권한 인수를 허용합니다. 권한 바인드 유형은 역할을 통해 이 권한을 부여 받은 사용자만 수행할 수 있음을 나타냅니다.
      예를 들면 다음과 같습니다.

      $ ipa permission-add "dns admin" --bindtype=all

      --bindtype 을 지정하지 않으면 permission 이 기본값입니다.

      참고

      기본이 아닌 바인드 규칙 유형의 권한을 권한에 추가할 수 없습니다. 또한 권한이 이미 권한에 있는 권한을 기본이 아닌 바인드 규칙 유형으로 설정할 수 없습니다.

    • --right 는 권한에 의해 부여된 권한을 나열하고 더 이상 사용되지 않는 --permissions 옵션을 대체합니다. 사용 가능한 값은 add,delete,read,search,compare,write,all 입니다.

      여러 --right 옵션을 사용하거나 중괄호 안에 쉼표로 구분된 목록을 사용하여 여러 특성을 설정할 수 있습니다. 예를 들면 다음과 같습니다.

      $ ipa permission-add "dns admin" --right=read --right=write
      $ ipa permission-add "dns admin" --right={read,write}
      참고

      추가삭제 는 항목 수준 작업(예: 사용자 삭제, 그룹 추가, 그룹 추가 등)입니다. 읽기,검색,비교쓰기 는 더 많은 속성 수준: userCertificate 에 쓸 수 있지만 userPassword 를 읽을 수 없습니다.

    • --attrs 는 권한이 부여되는 속성 목록을 제공합니다.
      여러 --attrs 옵션을 사용하거나 중괄호 안의 쉼표로 구분된 목록에 옵션을 나열하여 여러 특성을 설정할 수 있습니다. 예를 들면 다음과 같습니다.

      $ ipa permission-add "dns admin" --attrs=description --attrs=automountKey
      $ ipa permission-add "dns admin" --attrs={description,automountKey}

      --attrs 로 제공되는 속성은 존재해야 하며 지정된 오브젝트 유형에 대해 허용된 속성이 있어야 합니다. 그렇지 않으면 스키마 구문 오류로 인해 명령이 실패합니다.

    • --type 은 권한이 적용되는 항목 오브젝트 유형(예: 사용자, 호스트 또는 서비스)을 정의합니다. 각 유형에는 허용된 속성 집합이 있습니다.
      예를 들면 다음과 같습니다.

      $ ipa permission-add "manage service" --right=all --type=service --attrs=krbprincipalkey --attrs=krbprincipalname --attrs=managedby
    • --subtree 는 하위 트리 항목을 제공합니다. 필터는 이 하위 트리 항목 아래의 모든 항목을 대상으로 합니다. 기존 하위 트리 항목을 제공합니다 . --subtree 는 와일드카드 또는 존재하지 않는 도메인 이름(DN)을 허용하지 않습니다. 디렉터리에 DN을 포함합니다.
      IdM은 간소화된 플랫 디렉터리 트리 구조를 사용하기 때문에 --subtree 를 사용하여 다른 구성의 컨테이너 또는 상위 항목인 자동 마운트 위치와 같은 일부 항목을 대상으로 지정할 수 있습니다. 예를 들면 다음과 같습니다.

      $ ipa permission-add "manage automount locations" --subtree="ldap://ldap.example.com:389/cn=automount,dc=example,dc=com" --right=write --attrs=automountmapname --attrs=automountkey --attrs=automountInformation
      참고

      type--subtree 옵션은 상호 배타적입니다. --type에 대한 필터가 -- subtree 의 간소화로 표시되어 관리자가 쉽게 사용할 수 있도록 합니다.

    • --filter 는 LDAP 필터를 사용하여 권한이 적용되는 항목을 식별합니다.
      IdM은 지정된 필터의 유효성을 자동으로 확인합니다. 필터는 유효한 LDAP 필터일 수 있습니다. 예를 들면 다음과 같습니다.

      $ ipa permission-add "manage Windows groups" --filter="(!(objectclass=posixgroup))" --right=write --attrs=description
    • --memberOf는 그룹이 존재하는지 확인한 후 대상 필터를 지정된 그룹의 멤버로 설정합니다. 예를 들어 이 권한이 있는 사용자가 engineer 그룹의 멤버의 로그인 쉘을 수정하도록 하려면 다음을 수행합니다.

      $ ipa permission-add ManageShell --right="write" --type=user --attr=loginshell --memberof=engineers
    • --targetGroup 은 그룹이 존재하는지 확인한 후 지정된 사용자 그룹으로 target을 설정합니다. 예를 들어 권한이 있는 사용자가 engineers 그룹에 member 속성을 쓰도록 하려면(구성원 추가 또는 제거 가능).

      $ ipa permission-add ManageMembers --right="write" --subtree=cn=groups,cn=accounts,dc=example,dc=test --attr=member --targetgroup=engineers
    • 선택적으로 DN(대상 도메인 이름)을 지정할 수 있습니다.

      • --target 은 권한을 적용할 DN을 지정합니다. 와일드카드가 허용됩니다.
      • --targetto 는 항목을 이동할 수 있는 DN 하위 트리를 지정합니다.
      • --targetfrom 은 항목을 이동할 수 있는 DN 하위 트리를 지정합니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.