Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

11장. 사용자의 외부 프로비저닝을 위해 IdM 구성

시스템 관리자는 ID 관리를 위한 외부 솔루션으로 사용자 프로비저닝을 지원하도록 IdM(Identity Management)을 구성할 수 있습니다.

ipa 유틸리티를 사용하는 대신 외부 프로비저닝 시스템의 관리자는 ldapmodify 유틸리티를 사용하여 IdM LDAP에 액세스할 수 있습니다. 관리자는 ldapmodify를 사용하거나 LDIF 파일을 사용하여 CLI에서 개별 스테이지 사용자를 추가할 수 있습니다.

IdM 관리자는 검증된 사용자만 추가하도록 외부 프로비저닝 시스템을 완전히 신뢰할 수 있다는 가정입니다. 그러나 동시에 외부 프로비저닝 시스템의 관리자에게 새 활성 사용자를 직접 추가할 수 있도록 User Administrator 의 IdM 역할을 할당하지 않아야 합니다.

외부 프로비저닝 시스템에서 생성한 스테이징 사용자를 활성 사용자로 자동으로 이동하도록 스크립트를 구성 할 수 있습니다.

이 섹션에서는 다음 섹션이 포함되어 있습니다.

  1. 외부 프로비저닝 시스템을 사용하도록 IdM(Identity Management) 을 준비하여 IdM에 스테이징 사용자를 추가합니다.
  2. 외부 프로비저닝 시스템에서 추가한 사용자를 스테이지에서 활성 사용자로 이동하는 스크립트 를 생성합니다.

  3. 외부 프로비저닝 시스템을 사용하여 IdM 스테이징 사용자를 추가합니다. 두 가지 방법으로 이 작업을 수행할 수 있습니다.

11.1. 스테이지 사용자 계정의 자동 활성화를 위해 IdM 계정 준비

다음 절차에서는 외부 프로비저닝 시스템에서 사용할 두 개의 IdM 사용자 계정을 구성하는 방법을 보여줍니다. 적절한 암호 정책이 있는 그룹에 계정을 추가하여 외부 프로비저닝 시스템을 활성화하여 IdM의 사용자 프로비저닝을 관리할 수 있습니다. 다음에서는 외부 시스템에서 스테이징 사용자를 추가하는 데 사용할 사용자 계정의 이름은 provisionator 입니다. 스테이지 사용자를 자동으로 활성화하는 데 사용할 사용자 계정은 활성화 기라고 합니다.

사전 요구 사항

  • 절차를 수행하는 호스트는 IdM에 등록됩니다.

절차

  1. IdM 관리자로 로그인합니다. 

    $ kinit admin

  2. 스테이징 사용자를 추가할 권한이 있는 provisionator 라는 사용자를 생성합니다.

    1. provisionator 사용자 계정을 추가합니다. 
    $ ipa user-add provisionator --first=provisioning --last=account --password

    1. 프로비저닝기 사용자에게 필요한 권한을 부여합니다.

      1. 스테이징 사용자 추가를 관리하기 위해 사용자 지정 역할인 시스템 프로비저닝 을 생성합니다. 

        $ ipa role-add --desc "Responsible for provisioning stage users" "System Provisioning"

      2. 스테이지 사용자 프로비저닝 권한을 역할에 추가합니다. 이 권한은 스테이징 사용자를 추가할 수 있는 기능을 제공합니다. 

        $ ipa role-add-privilege "System Provisioning" --privileges="Stage User Provisioning"

      3. 역할에 provisionator 사용자를 추가합니다. 

        $ ipa role-add-member --users=provisionator "System Provisioning"
      4. IdM에 프로젝터가 있는지 확인합니다. 
      $ ipa user-find provisionator --all --raw
--------------
1 user matched
--------------
  dn: uid=provisionator,cn=users,cn=accounts,dc=idm,dc=example,dc=com
  uid: provisionator
  [...]

  3. 사용자 계정을 관리할 수 있는 권한을 가진 사용자 activator 를 만듭니다.

    1. 활성화기 사용자 계정을 추가합니다. 

      $ ipa user-add activator --first=activation --last=account --password

    2. 기본 사용자 관리자 역할에 사용자를 추가하여 activator 사용자에게 필요한 권한을 부여합니다. 

      $ ipa role-add-member --users=activator "User Administrator"

  4. 애플리케이션 계정에 대한 사용자 그룹을 생성합니다. 

    $ ipa group-add application-accounts

  5. 그룹의 암호 정책을 업데이트합니다. 다음 정책은 계정의 암호 만료 및 잠금을 방지하지만 복잡한 암호를 요구하는 경우 발생할 수 있는 위험을 보완합니다. 

    $ ipa pwpolicy-add application-accounts --maxlife=10000 --minlife=0 --history=0 --minclasses=4 --minlength=8 --priority=1 --maxfail=0 --failinterval=1 --lockouttime=0

  6. (선택 사항) IdM에 암호 정책이 있는지 확인합니다. 

    $ ipa pwpolicy-show application-accounts
  Group: application-accounts
  Max lifetime (days): 10000
  Min lifetime (hours): 0
  History size: 0
[...]

  7. 애플리케이션 계정의 그룹에 프로비저닝 및 활성화 계정을 추가합니다. 

    $ ipa group-add-member application-accounts --users={provisionator,activator}

  8. 사용자 계정의 암호를 변경합니다. 

    $ kpasswd provisionator
$ kpasswd activator

    새 IdM 사용자 암호가 즉시 만료되므로 암호를 변경해야 합니다.

추가 리소스:

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.