6.5. 간단한 액세스 공급자 규칙 구성
간단한
액세스 프로바이더는 사용자 이름 또는 그룹 목록에 따라 액세스를 허용하거나 거부합니다. 이를 통해 특정 시스템에 대한 액세스를 제한할 수 있습니다.
예를 들어 간단한
액세스 공급자를 사용하여 특정 사용자 또는 그룹에 대한 액세스를 제한할 수 있습니다. 다른 사용자 또는 그룹은 구성된 인증 프로바이더에 대해 성공적으로 인증하더라도 로그인할 수 없습니다.
사전 요구 사항
-
루트
액세스
절차
-
/etc/sssd/sssd.conf
파일을 엽니다. access_provider
옵션을simple
로 설정합니다.[domain/your-domain-name] access_provider = simple
사용자에 대한 액세스 제어 규칙을 정의합니다.
-
사용자에 대한 액세스를 허용하려면
simple_allow_users
옵션을 사용합니다. 사용자에 대한 액세스를 거부하려면
simple_deny_users
옵션을 사용합니다.중요특정 사용자에 대한 액세스를 거부하는 경우 다른 모든 사용자에 대한 액세스를 자동으로 허용합니다. 특정 사용자에 대한 액세스 허용은 거부하는 것보다 안전한 것으로 간주됩니다.
-
사용자에 대한 액세스를 허용하려면
그룹에 대한 액세스 제어 규칙을 정의합니다. 다음 중 하나를 선택합니다.
-
그룹에 대한 액세스를 허용하려면
simple_allow_groups
옵션을 사용합니다. 그룹에 대한 액세스를 거부하려면
simple_deny_groups
옵션을 사용합니다.중요특정 그룹에 대한 액세스를 거부하면 다른 모든 그룹에 대한 액세스를 자동으로 허용합니다. 특정 그룹에 대한 액세스 허용은 거부하는 것보다 안전한 것으로 간주됩니다.
예 6.3. 특정 사용자 및 그룹에 대한 액세스 허용
다음 예제에서는 user1, user2 및 group1의 액세스를 허용하는 동시에 다른 모든 사용자에 대한 액세스를 거부합니다.
[domain/your-domain-name] access_provider = simple simple_allow_users = user1, user2 simple_allow_groups = group1
-
그룹에 대한 액세스를 허용하려면
거부 목록을 비워 두면 모든 사용자에 대한 액세스를 허용할 수 있습니다.
신뢰할 수 있는 AD 사용자를 simple_allow_users
목록에 추가하는 경우 FQDN(정규화된 도메인 이름) 형식을 사용해야 합니다(예: aduser@ad.example.com). 다른 도메인의 짧은 이름은 동일할 수 있으므로 액세스 제어 구성에 문제가 발생하지 않습니다.
추가 리소스
-
sssd-simple
도움말 페이지