7.6. AD 사용자의 POSIX 및 ID 매핑 ID 범위 유형
IdM(Identity Management)은 사용자의 POSIX 사용자 ID(UID) 및 그룹 ID(GID)를 기반으로 액세스 제어 규칙을 적용합니다. 그러나 AD(Active Directory) 사용자는 SID(Security Identifiers)로 식별됩니다. AD 관리자는 uidNumber
,gidNumber
,unixHomeDirectory
, loginShell
과 같은 AD 사용자 및 그룹에 대한 POSIX 속성을 저장하도록 AD를 구성할 수 있습니다.
ipa-ad-trust-posix
ID 범위와 트러스트를 설정하여 이 정보를 참조하도록 상호 신뢰를 구성할 수 있습니다.
[server ~]# ipa trust-add --type=ad ad.example.com --admin administrator --password --range-type=ipa-ad-trust-posix
AD에 POSIX 속성을 저장하지 않는 경우 SSSD(System Security Services Daemon)는 ID 매핑이라는 프로세스의 사용자 SID에 따라 고유한 UID를 일관되게 매핑 할 수 있습니다. ipa-ad-trust
ID 범위로 신뢰를 생성하여 이 동작을 명시적으로 선택할 수 있습니다.
[server ~]# ipa trust-add --type=ad ad.example.com --admin administrator --password --range-type=ipa-ad-trust
신뢰를 생성할 때 ID 범위 유형을 지정하지 않으면 IdM에서est 루트 도메인의 AD 도메인 컨트롤러에서 세부 정보를 요청하여 적절한 범위 유형을 자동으로 선택합니다. IdM에서 POSIX 속성을 감지하지 않는 경우 신뢰 설치 스크립트는 Active Directory 도메인
ID 범위를 선택합니다.
IdM이 forest 루트 도메인의 POSIX 속성을 감지하면 신뢰 설치 스크립트에서 POSIX 속성 ID 범위가 있는 Active Directory 도메인
을 선택하고 해당 UID 및 GID가 AD에 올바르게 정의되어 있다고 가정합니다. AD AD에서 POSIX 속성이 올바르게 설정되지 않은 경우 AD 사용자를 확인할 수 없습니다.
예를 들어 IdM 시스템에 대한 액세스 권한이 필요한 사용자 및 그룹이 forest root 도메인의 하위 도메인에 포함되지 않은 경우 설치 스크립트에서 하위 AD 도메인에 정의된 POSIX 특성을 탐지하지 못할 수 있습니다. 이 경우 신뢰를 설정할 때 POSIX ID 범위 유형을 명시적으로 선택하는 것이 좋습니다.