5.4. 인증서 프로필에 대한 액세스를 제어하기 위한 CA ACL 정의
caacl
유틸리티를 사용하여 ACL(CA Access Control List) 규칙을 정의하여 그룹의 사용자가 사용자 정의 인증서 프로필에 액세스할 수 있도록 하려면 다음 절차를 따르십시오. 이 경우 절차에서는 S/octets 사용자 그룹 및 CA ACL을 생성하여 해당 그룹의 사용자가 smime
인증서 프로필에 액세스할 수 있도록 하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자의 자격 증명을 취득했는지 확인합니다.
절차
인증서 프로필의 사용자에 대한 새 그룹을 생성합니다.
$ ipa group-add smime_users_group --------------------------------- Added group "smime users group" --------------------------------- Group name: smime_users_group GID: 75400001
smime_user_group
그룹에 추가할 새 사용자를 만듭니다.$ ipa user-add smime_user First name: smime Last name: user ---------------------- Added user "smime_user" ---------------------- User login: smime_user First name: smime Last name: user Full name: smime user Display name: smime user Initials: TU Home directory: /home/smime_user GECOS: smime user Login shell: /bin/sh Principal name: smime_user@IDM.EXAMPLE.COM Principal alias: smime_user@IDM.EXAMPLE.COM Email address: smime_user@idm.example.com UID: 1505000004 GID: 1505000004 Password: False Member of groups: ipausers Kerberos keys available: False
smime_user
를smime_users_group
그룹에 추가합니다.$ ipa group-add-member smime_users_group --users=smime_user Group name: smime_users_group GID: 1505000003 Member users: smime_user ------------------------- Number of members added 1 -------------------------
그룹의 사용자가 인증서 프로필에 액세스할 수 있도록 CA ACL을 생성합니다.
$ ipa caacl-add smime_acl ------------------------ Added CA ACL "smime_acl" ------------------------ ACL name: smime_acl Enabled: TRUE
사용자 그룹을 CA ACL에 추가합니다.
$ ipa caacl-add-user smime_acl --group smime_users_group ACL name: smime_acl Enabled: TRUE User Groups: smime_users_group ------------------------- Number of members added 1 -------------------------
CA ACL에 인증서 프로필을 추가합니다.
$ ipa caacl-add-profile smime_acl --certprofile smime ACL name: smime_acl Enabled: TRUE Profiles: smime User Groups: smime_users_group ------------------------- Number of members added 1 -------------------------
검증
생성한 CA ACL의 세부 정보를 확인합니다.
$ ipa caacl-show smime_acl ACL name: smime_acl Enabled: TRUE Profiles: smime User Groups: smime_users_group ...
추가 리소스
-
시스템의
ipa
도움말 페이지를 참조하십시오. -
ipa help caacl
을 참조하십시오.