27.2. CLI에서 IdM 권한 관리

절차

1. ipa permission-add 명령을 사용하여 새 권한 항목을 생성합니다.
   예를 들어 dns admin 이라는 권한을 추가하려면 :

   $ ipa permission-add "dns admin"

   Copy to Clipboard Toggle word wrap

2. 다음 옵션을 사용하여 권한의 속성을 지정합니다.
   

   • --bindtype 은 바인드 규칙 유형을 지정합니다. 이 옵션은 모든,익명 및 권한 인수를 허용합니다. 권한 바인드 유형은 역할을 통해 이 권한을 부여 받은 사용자만 수행할 수 있음을 나타냅니다.
     예를 들면 다음과 같습니다.

     $ ipa permission-add "dns admin" --bindtype=all

     Copy to Clipboard Toggle word wrap

     --bindtype 을 지정하지 않으면 permission 이 기본값입니다.

     참고

     기본이 아닌 바인드 규칙 유형의 권한을 권한에 추가할 수 없습니다. 또한 권한이 이미 권한에 있는 권한을 기본이 아닌 바인드 규칙 유형으로 설정할 수 없습니다.

   • --right 는 권한에 의해 부여된 권한을 나열하고 더 이상 사용되지 않는 --permissions 옵션을 대체합니다. 사용 가능한 값은 add,delete,read,search,compare,write,all 입니다.

     여러 --right 옵션을 사용하거나 중괄호 안에 쉼표로 구분된 목록을 사용하여 여러 특성을 설정할 수 있습니다. 예를 들면 다음과 같습니다.

     $ ipa permission-add "dns admin" --right=read --right=write

     Copy to Clipboard Toggle word wrap

     $ ipa permission-add "dns admin" --right={read,write}

     Copy to Clipboard Toggle word wrap
     참고

     추가 및 삭제 는 항목 수준 작업(예: 사용자 삭제, 그룹 추가, 그룹 추가 등)입니다. 읽기,검색,비교 및 쓰기 는 더 많은 속성 수준: userCertificate 에 쓸 수 있지만 userPassword 를 읽을 수 없습니다.

   • --attrs 는 권한이 부여되는 속성 목록을 제공합니다.
     여러 --attrs 옵션을 사용하거나 중괄호 안의 쉼표로 구분된 목록에 옵션을 나열하여 여러 특성을 설정할 수 있습니다. 예를 들면 다음과 같습니다.

     $ ipa permission-add "dns admin" --attrs=description --attrs=automountKey

     Copy to Clipboard Toggle word wrap

     $ ipa permission-add "dns admin" --attrs={description,automountKey}

     Copy to Clipboard Toggle word wrap

     --attrs 로 제공되는 속성은 존재해야 하며 지정된 오브젝트 유형에 대해 허용된 속성이 있어야 합니다. 그렇지 않으면 스키마 구문 오류로 인해 명령이 실패합니다.

   • --type 은 권한이 적용되는 항목 오브젝트 유형(예: 사용자, 호스트 또는 서비스)을 정의합니다. 각 유형에는 허용된 속성 집합이 있습니다.
     예를 들면 다음과 같습니다.

     $ ipa permission-add "manage service" --right=all --type=service --attrs=krbprincipalkey --attrs=krbprincipalname --attrs=managedby

     Copy to Clipboard Toggle word wrap

   • --subtree 는 하위 트리 항목을 제공합니다. 필터는 이 하위 트리 항목 아래의 모든 항목을 대상으로 합니다. 기존 하위 트리 항목을 제공합니다 . --subtree 는 와일드카드 또는 존재하지 않는 도메인 이름(DN)을 허용하지 않습니다. 디렉터리에 DN을 포함합니다.
     IdM은 간소화된 플랫 디렉터리 트리 구조를 사용하기 때문에 --subtree 를 사용하여 다른 구성의 컨테이너 또는 상위 항목인 자동 마운트 위치와 같은 일부 항목을 대상으로 지정할 수 있습니다. 예를 들면 다음과 같습니다.

     $ ipa permission-add "manage automount locations" --subtree="ldap://ldap.example.com:389/cn=automount,dc=example,dc=com" --right=write --attrs=automountmapname --attrs=automountkey --attrs=automountInformation

     Copy to Clipboard Toggle word wrap
     참고

     type 및 --subtree 옵션은 상호 배타적입니다. --type에 대한 필터가 -- subtree 의 간소화로 표시되어 관리자가 쉽게 사용할 수 있도록 합니다.

   • --filter 는 LDAP 필터를 사용하여 권한이 적용되는 항목을 식별합니다.
     IdM은 지정된 필터의 유효성을 자동으로 확인합니다. 필터는 유효한 LDAP 필터일 수 있습니다. 예를 들면 다음과 같습니다.

     $ ipa permission-add "manage Windows groups" --filter="(!(objectclass=posixgroup))" --right=write --attrs=description

     Copy to Clipboard Toggle word wrap

   • --memberOf는 그룹이 존재하는지 확인한 후 대상 필터를 지정된 그룹의 멤버로 설정합니다. 예를 들어 이 권한이 있는 사용자가 engineer 그룹의 멤버의 로그인 쉘을 수정하도록 하려면 다음을 수행합니다.

     $ ipa permission-add ManageShell --right="write" --type=user --attr=loginshell --memberof=engineers

     Copy to Clipboard Toggle word wrap

   • --targetGroup 은 그룹이 존재하는지 확인한 후 지정된 사용자 그룹으로 target을 설정합니다. 예를 들어 권한이 있는 사용자가 engineers 그룹에 member 속성을 쓰도록 하려면(구성원 추가 또는 제거 가능).

     $ ipa permission-add ManageMembers --right="write" --subtree=cn=groups,cn=accounts,dc=example,dc=test --attr=member --targetgroup=engineers

     Copy to Clipboard Toggle word wrap

   • 선택적으로 DN(대상 도메인 이름)을 지정할 수 있습니다.
     

     • --target 은 권한을 적용할 DN을 지정합니다. 와일드카드가 허용됩니다.
     • --targetto 는 항목을 이동할 수 있는 DN 하위 트리를 지정합니다.
     • --targetfrom 은 항목을 이동할 수 있는 DN 하위 트리를 지정합니다.