87.2. ID 덮어쓰기를 사용하여 AD 사용자가 IdM 관리 활성화
AD 사용자의 ID 재정의를 생성하고 사용하여 IdM 사용자의 사용자와 동일한 권한을 부여하려면 다음 절차를 따르십시오. 이 절차 중에 신뢰 컨트롤러 또는 신뢰 에이전트로 구성된 IdM 서버를 사용합니다.
사전 요구 사항
idm:DL1
스트림은 IdM(Identity Management) 서버에서 활성화되며 이 스트림을 통해 제공되는 RPM으로 전환했습니다.# yum module enable idm:DL1 # yum distro-sync
idm:DL1/adtrust
프로필이 IdM 서버에 설치되어 있습니다.# yum module install idm:DL1/adtrust
프로필에는 AD(Active Directory)와 신뢰할 수 있는 IdM 서버 설치에 필요한 모든 패키지가 포함되어 있습니다.
- 작동 중인 IdM 환경이 설정됩니다. 자세한 내용은 Identity Management 설치를 참조하십시오.
- IdM 환경과 AD 간의 작업 신뢰가 설정됩니다.
절차
IdM 관리자로 기본 신뢰 보기 의 AD 사용자에 대한 ID 재정의를 생성합니다. 예를 들어 사용자
ad_user@ad.example.com
:에 대한 ID 재정의를 생성하려면 다음을 수행합니다.# kinit admin # ipa idoverrideuser-add 'default trust view' ad_user@ad.example.com
기본 신뢰 보기 의 ID 재정의를 IdM 그룹의 멤버로 추가합니다. 이는 Active Directory와 상호 작용하므로 POSIX가 아닌 그룹이어야 합니다.
문제가 있는 그룹이 IdM 역할의 멤버인 경우 ID 재정의로 표시하는 AD 사용자는 명령줄 인터페이스와 IdM 웹 UI를 포함하여 IdM API를 사용할 때 역할에서 부여한 모든 권한을 얻을 수 있습니다.
예를 들어
ad_user@ad.example.com
사용자의 ID 재정의를 IdMadmins
그룹에 추가하려면 다음을 수행합니다.# ipa group-add-member admins --idoverrideusers=ad_user@ad.example.com
또는 User Administrator 역할과 같은 역할에 ID 덮어쓰기를 추가할 수 있습니다.
# ipa role-add-member 'User Administrator' --idoverrideusers=ad_user@ad.example.com