31.2. CLI에서 IdM 권한 관리

프로세스

1. ipa permission-add 명령을 사용하여 새 권한 항목을 생성합니다. 예를 들어 dns admin 이라는 권한을 추가하려면 다음을 수행합니다.

   $ ipa permission-add "dns admin"

   Copy to Clipboard Toggle word wrap

2. 다음 옵션을 사용하여 권한 속성을 지정합니다.
   

   • --bindtype 은 바인딩 규칙 유형을 지정합니다. 이 옵션은 모든,익명 및 권한 인수를 허용합니다. 권한 bindtype은 역할을 통해 이 권한을 부여한 사용자만 이를 수행할 수 있음을 의미합니다.

     예를 들면 다음과 같습니다.

     $ ipa permission-add "dns admin" --bindtype=all

     Copy to Clipboard Toggle word wrap

     --bindtype 을 지정하지 않으면 permission 이 기본값입니다.

     참고

     기본이 아닌 바인딩 규칙 유형의 권한을 권한에 추가할 수 없습니다. 또한 권한에 이미 존재하는 권한을 기본이 아닌 바인딩 규칙 유형으로 설정할 수 없습니다.

   • --right 는 권한에서 부여한 권한을 나열하고 더 이상 사용되지 않는 --permissions 옵션을 대체합니다. 사용 가능한 값은 add,delete,read,search,compare,write 입니다.

     여러 --right 옵션을 사용하거나 중괄호 내에 쉼표로 구분된 목록을 사용하여 여러 속성을 설정할 수 있습니다. 예를 들면 다음과 같습니다.

     $ ipa permission-add "dns admin" --right=read --right=write
     $ ipa permission-add "dns admin" --right={read,write}

     Copy to Clipboard Toggle word wrap
     참고

     추가 및 삭제 는 항목 수준 작업(예: 사용자 삭제, 그룹 추가, 그룹 추가 등)입니다. 읽기,검색,비교 및 쓰기 는 더 많은 속성 수준: userCertificate 에 쓸 수 있지만 userPassword 를 읽을 수 없습니다.

   • --attrs 는 권한이 부여된 속성 목록을 제공합니다.

     여러 --attrs 옵션을 사용하거나 중괄호 내에 쉼표로 구분된 목록에 옵션을 나열하여 여러 속성을 설정할 수 있습니다. 예를 들면 다음과 같습니다.

     $ ipa permission-add "dns admin" --attrs=description --attrs=automountKey
     $ ipa permission-add "dns admin" --attrs={description,automountKey}

     Copy to Clipboard Toggle word wrap

     --attrs 와 함께 제공되는 속성이 있어야 하며 지정된 오브젝트 유형에 대해 허용된 속성이 있어야 합니다. 그러지 않으면 명령이 스키마 구문 오류로 인해 실패합니다.

   • --type 은 권한이 적용되는 항목 오브젝트 유형(예: user, host 또는 service)을 정의합니다. 각 유형에는 허용되는 자체 속성 세트가 있습니다.
     예를 들면 다음과 같습니다.

     $ ipa permission-add "manage service" --right=all --type=service --attrs=krbprincipalkey --attrs=krbprincipalname --attrs=managedby

     Copy to Clipboard Toggle word wrap

   • --subtree 는 하위 트리 항목을 제공합니다. 필터는 이 하위 트리 항목 아래에 있는 모든 항목을 대상으로 합니다. 기존 하위 트리 항목을 제공합니다. --subtree 는 와일드카드 또는 존재하지 않는 도메인 이름(DN)을 허용하지 않습니다. 디렉터리에 DN을 포함합니다.

     IdM은 간소화된 플랫 디렉터리 트리 구조를 사용하므로 --subtree 를 사용하여 다른 구성의 컨테이너 또는 상위 항목인 audit 위치와 같은 일부 유형의 항목을 대상으로 할 수 있습니다. 예를 들면 다음과 같습니다.

     $ ipa permission-add "manage automount locations" --subtree="ldap://ldap.example.com:389/cn=automount,dc=example,dc=com" --right=write --attrs=automountmapname --attrs=automountkey --attrs=automountInformation

     Copy to Clipboard Toggle word wrap
     참고

     --type 및 --subtree 옵션은 상호 배타적입니다. --type 의 필터 포함을 --subtree 의 단순화로 볼 수 있으므로 관리자가 더 쉽게 사용할 수 있습니다.

   • --filter 는 LDAP 필터를 사용하여 권한이 적용되는 항목을 식별합니다.

     IdM은 지정된 필터의 유효성을 자동으로 확인합니다. 필터는 유효한 LDAP 필터일 수 있습니다. 예를 들면 다음과 같습니다.

     $ ipa permission-add "manage Windows groups" --filter="(!(objectclass=posixgroup))" --right=write --attrs=description

     Copy to Clipboard Toggle word wrap

   • --memberOf 는 그룹이 존재하는지 확인한 후 지정된 그룹의 멤버로 대상 필터를 설정합니다. 예를 들어 이 권한이 있는 사용자가 engineers 그룹 멤버의 로그인 쉘을 수정하도록 하려면 다음을 수행합니다.

     $ ipa permission-add ManageShell --right="write" --type=user --attr=loginshell --memberof=engineers

     Copy to Clipboard Toggle word wrap
     참고

     대상 LDAP 항목에 그룹 멤버십에 대한 참조가 포함되지 않은 경우 memberof 속성 권한을 설정하지 않습니다.

   • --TargetGroup은 그룹이 존재하는지 확인한 후 지정된 사용자 그룹에 target을 설정합니다. 예를 들어 권한이 있는 사용자가 engineers 그룹의 member 속성을 작성하도록 하려면 멤버를 추가하거나 제거할 수 있습니다.

     $ ipa permission-add ManageMembers --right="write" --subtree=cn=groups,cn=accounts,dc=example,dc=test --attr=member --targetgroup=engineers

     Copy to Clipboard Toggle word wrap

   • 선택적으로 대상 도메인 이름(DN)을 지정할 수 있습니다.

     • --target 은 권한을 적용할 DN을 지정합니다. 와일드카드가 허용됩니다.
     • --targetto 는 항목을 이동할 수 있는 DN 하위 트리를 지정합니다.
     • --targetfrom 은 항목을 이동할 수 있는 DN 하위 트리를 지정합니다.