32.2. IdM 웹 UI에서 권한 관리
IdM(Identity Management)에서 웹 인터페이스(IdM)를 사용하여 권한을 관리하려면 다음 절차를 따르십시오.
사전 요구 사항
- IdM 또는 사용자 관리자 역할을 관리하기 위한 관리자 권한.
- IdM 웹 UI에 로그인되어 있습니다. 자세한 내용은 웹 브라우저에서 IdM 웹 UI 액세스를 참조하십시오.
절차
새 권한을 추가하려면 IPA 서버 탭에서 역할 기반 액세스 제어 하위 메뉴를 열고 사용 권한 을 선택합니다.
권한 목록이 열립니다. 권한 목록 상단에서 Add 버튼을 클릭합니다.
권한 추가 양식이 열립니다. 새 권한의 이름을 지정하고 그에 따라 해당 속성을 정의합니다.
적절한 바인딩 규칙 유형을 선택합니다.
- 권한은 기본 권한 유형이며 권한 및 역할을 통해 액세스 권한을 부여합니다.
- all 는 인증된 모든 사용자에게 권한이 적용되도록 지정합니다.
anonymous 는 인증되지 않은 사용자를 포함하여 모든 사용자에게 권한이 적용되도록 지정합니다.
참고기본이 아닌 바인딩 규칙 유형의 권한을 권한에 추가할 수 없습니다. 또한 기본이 아닌 바인딩 규칙 유형에 이미 있는 권한도 설정할 수 없습니다.
- 부여된 권한에서 이 권한을 부여할 권한을 선택합니다.
권한에 대한 대상 항목을 식별하는 메서드를 정의합니다.
- type은 user, host 또는 service와 같은 항목 유형을 지정합니다. Type 설정에 대한 값을 선택하면 해당 항목 유형에 대해 이 ACI를 통해 액세스할 수 있는 모든 속성 목록이 Effective Attributes 아래에 표시됩니다. Type 을 정의하면 Subtree 및 Target DN 을 사전 정의된 값 중 하나로 설정합니다.
-
하위 트리 (필수)는 하위 트리를 지정합니다. 이 하위 트리 항목 아래의 모든 항목을 대상으로 합니다. Subtree 에서 와일드카드 또는 존재하지 않는 도메인 이름(DN)을 허용하지 않으므로 기존 하위 트리 항목을 제공합니다. 예:
cn=automount,dc=example,dc=com
-
추가 대상 필터 는 LDAP 필터를 사용하여 권한이 적용되는 항목을 식별합니다. 필터는 유효한 LDAP 필터(예:
(!(objectclass=posixgroup))
IdM에서 지정된 필터의 유효성을 자동으로 확인할 수 있습니다. 유효하지 않은 필터를 입력하면 IdM에서 권한을 저장하려고 할 때 이에 대해 경고합니다. -
대상 DN 은 도메인 이름(DN)을 지정하고 와일드카드를 허용합니다. 예:
uid=*,cn=users,cn=accounts,dc=com
- 그룹의 멤버는 대상 필터를 지정된 그룹의 멤버로 설정합니다. 필터 설정을 지정하고 추가 를 클릭하면 IdM에서 필터를 검증합니다. 모든 권한 설정이 올바르면 IdM에서 검색을 수행합니다. 일부 권한 설정이 올바르지 않으면 IdM에서 어떤 설정이 잘못 설정되었는지 알려주는 메시지를 표시합니다.
권한에 속성을 추가합니다.
- 유형 을 설정하는 경우 사용 가능한 ACI 속성 목록에서 효과를 적용할 수 있는 속성을 선택합니다.
Type 을 사용하지 않은 경우 Effective attributes 필드에 작성하여 속성을 수동으로 추가합니다. 한 번에 단일 속성을 추가합니다. 여러 속성을 추가하려면 Add 를 클릭하여 다른 입력 필드를 추가합니다.
중요권한의 속성을 설정하지 않으면 권한에는 기본적으로 모든 속성이 포함됩니다.
양식 하단에 있는 Add 버튼을 사용하여 권한을 추가합니다.
- 추가 버튼을 클릭하여 권한을 저장하고 권한 목록으로 돌아갑니다.
- 또는 권한을 저장하고 Add and Add another 버튼을 클릭하여 동일한 양식에 추가 권한을 계속 추가할 수 있습니다.
- Add 및 Edit 버튼을 사용하면 새로 만든 권한을 저장하고 계속 편집할 수 있습니다.
- 선택 사항: 권한 목록에서 해당 이름을 클릭하여 권한 설정 페이지를 표시하여 기존 권한의 속성을 편집할 수도 있습니다.
선택 사항: 기존 권한을 제거해야 하는 경우 목록에서 이름 옆에 있는 확인란을 선택한 후 삭제 버튼을 클릭하여 권한 제거 대화 상자를 표시합니다.
참고수정할 수 없는 특성은 IdM 웹 UI에서 비활성화되어 있으며 관리 권한을 완전히 삭제할 수 없습니다.
그러나 모든 권한에서 관리되는 권한을 제거하여 바인딩 유형이 권한으로 설정된 관리되는 권한을 효과적으로 비활성화할 수 있습니다.
예를 들어, 권한이 있는 사용자가 engineers 그룹의 member 속성을 쓰도록 하려면 멤버를 추가하거나 제거할 수 있습니다.