28.2. IdM 웹 UI에서 권한 관리
IdM(Identity Management)에서 웹 인터페이스(IdM)를 사용하여 권한을 관리하려면 다음 절차를 따르십시오.
사전 요구 사항
- IdM 또는 사용자 관리자 역할을 관리하기 위한 관리자 권한.
- IdM 웹 UI에 로그인되어 있습니다. 자세한 내용은 웹 브라우저에서 IdM 웹 UI 액세스를 참조하십시오.
절차
새 권한을 추가하려면 IPA 서버 탭에서 역할 기반 액세스 제어 하위 메뉴를 열고 사용 권한 을 선택합니다.
권한 목록이 열립니다. 권한 목록 상단에 있는 Add 단추를 클릭합니다.
Add Permission(권한 추가) 양식이 열립니다. 새 권한의 이름을 지정하고 그에 따라 속성을 정의합니다.
적절한 Bind 규칙 유형을 선택합니다.
- 권한은 기본 권한 유형으로, 권한 및 역할을 통해 액세스 권한을 부여합니다.
- all 은 권한이 인증된 모든 사용자에게 적용되도록 지정합니다.
anonymous 는 인증되지 않은 사용자를 포함하여 모든 사용자에게 권한이 적용되도록 지정합니다.
참고기본이 아닌 바인드 규칙 유형의 권한을 권한에 추가할 수 없습니다. 또한 권한이 이미 권한에 있는 권한을 기본이 아닌 바인드 규칙 유형으로 설정할 수 없습니다.
- 부여된 권리에서 이 권한에 대해 부여할 권한을 선택하십시오 .
권한에 대한 대상 항목을 식별하는 메서드를 정의합니다.
- type은 사용자, 호스트 또는 서비스와 같은 항목 유형을 지정합니다. Type (유형) 설정에 값을 선택하면 해당 항목 유형에 대해 이 ACI를 통해 액세스할 수 있는 모든 가능한 속성 목록이 유효 속성 아래에 표시됩니다. Type( 유형 )을 정의하면 사전 정의된 값 중 하나로 Subtree 및 Target DN 이 설정됩니다.
-
subtree (필수)는 subtree 항목을 지정합니다. 그러면 이 subtree 항목 아래의 모든 항목을 대상으로 지정합니다. Subtree 는 와일드카드 또는 존재하지 않는 도메인 이름(DN)을 허용하지 않으므로 기존 하위 트리 항목을 제공합니다. 예:
cn=automount,dc=example,dc=com
-
추가 대상 필터는 LDAP 필터를 사용하여 권한이 적용되는 항목을 식별합니다. 필터는 유효한 LDAP 필터일 수 있습니다(예:
(!(objectclass=posixgroup))
IdM은 지정된 필터의 유효성을 자동으로 확인합니다. 잘못된 필터를 입력하면 IdM에서 권한을 저장하려고 할 때 이 문제에 대해 경고합니다. -
대상 DN 은 DN(도메인 이름)을 지정하고 와일드카드를 허용합니다. 예:
uid=*,cn=users,cn=accounts,dc=com
- 그룹의 멤버 는 대상 필터를 지정된 그룹의 멤버로 설정합니다. 필터 설정을 지정하고 Add 를 클릭하면 IdM에서 필터를 검증합니다. 모든 권한 설정이 올바르면 IdM에서 검색을 수행합니다. 일부 권한 설정이 올바르지 않으면 IdM은 어떤 설정이 잘못 설정되었는지 알려주는 메시지를 표시합니다.
권한에 속성을 추가합니다.
- 유형을 설정하는 경우 사용 가능한 ACI 속성 목록에서 유효한 속성을 선택합니다.
Type (유형)을 사용하지 않은 경우 Effective attributes(유효한 속성) 필드에 수동으로 속성을 추가하여 속성을 추가합니다. 한 번에 단일 속성을 추가합니다. 여러 특성을 추가하려면 Add(추가 )를 클릭하여 다른 입력 필드를 추가합니다.
중요권한에 대한 속성을 설정하지 않으면 권한에는 기본적으로 모든 속성이 포함됩니다.
양식 하단에 Add(추가) 버튼을 사용하여 권한 추가를 완료합니다.
- Add(추가 ) 버튼을 클릭하여 권한을 저장하고 권한 목록으로 돌아갑니다.
- 또는 권한을 저장하고 Add(추가) 버튼을 클릭하여 동일한 양식에 추가 권한을 추가할 수 있습니다.
- Add and Edit(추가 및 편집 ) 버튼을 사용하면 새로 만든 권한을 저장하고 계속 편집할 수 있습니다.
- 선택 사항: 권한 목록에서 해당 이름을 클릭하여 권한 설정 페이지를 표시하여 기존 권한의 속성을 편집할 수도 있습니다.
선택 사항: 기존 권한을 제거해야 하는 경우 목록의 이름 옆에 있는 확인란을 선택한 후 삭제 버튼을 클릭하여 The Remove permissions (권한 제거) 대화 상자를 표시합니다.
참고기본 관리 권한에 대한 작업은 제한됩니다. 수정할 수 없는 속성은 IdM 웹 UI에서 비활성화되며 관리 권한을 완전히 삭제할 수 없습니다.
그러나 모든 권한에서 관리되는 권한을 제거하여 권한으로 바인드 유형이 설정된 관리 권한을 효과적으로 비활성화할 수 있습니다.
예를 들어, 권한이 있는 사용자가 engineers 그룹의 member 속성을 쓰도록 하려면 멤버를 추가하거나 제거할 수 있습니다.