중첩 그룹 설정
엔터프라이즈 관리 서버에서 권한 있는 계정 액세스에 대한 역할에 범위 규칙을 설정할 때 중첩 그룹을 사용할 수 있습니다.
cminder12901kr
엔터프라이즈 관리 서버에서 권한 있는 계정 액세스에 대한 역할에 범위 규칙을 설정할 때 중첩 그룹을 사용할 수 있습니다.
중첩 그룹을 사용하려면 다음과 같은 작업을 수행해야 합니다.
- CA Identity Manager Management Console에서ac-dir.xml파일을 업데이트하여 중첩 그룹을 찾을 수 있도록 설정합니다.다음 단계를 수행하십시오.
- CA Identity Manager Management Console에서Directories(디렉터리)를 클릭합니다.
- ac-dir디렉터리를 클릭합니다.
- Directory Properties(디렉터리 속성) 창의 맨 아래에서Export(내보내기)를 클릭합니다.
- ac-dir.xml파일을 편집하기 위해 엽니다.
- GroupTypes값을 검색하여ALL로 바꿉니다. 기본값은 DYNAMIC입니다.예:<!-- ******************** Directory Groups Behavior ******************** --><!-- OPTIONAL - GroupTypes determines what kind of groups Identity Manager will use. --><!-- GroupTypes consists of the following attributes: --><!-- 1. type - indicates the type of groups Identity Manager uses (NONE, ALL, DYNAMIC, NESTED) --><!-- If type is ALL or NESTED, be sure to determine and configure the nested group membership --><!-- if the nested group members are to be stored in a separate static member list, the an additional --><!-- ImsManagedObjectAttribute for %NESTED_GROUP_MEMBERSHIP% will need to be provided --><!-- in the definition for the Group Managed Object. --><GroupTypes type="ALL"/>
- ac-dir.xml파일에서 다음 텍스트를 검색합니다.<Container objectclass="top,organizationalUnit" attribute="ou"/>이 끝에 value=""를 추가합니다.예:<Container objectclass="top,organizationalUnit" attribute="ou" value=""/>
- ac-dir.xml파일을 저장합니다.
- CA Identity Manager Management Console의Directory Properties(디렉터리 속성) 페이지에서Update(업데이트)를 클릭하여 XML 파일을 가져옵니다.
- CA Identity Manager Management Console에서Home(홈),Environments(환경),ac-env,Advanced Settings(고급 설정),Miscellaneous(기타)로 이동합니다.SkipLDAPDynamicGroupSearch및StoreADUsersInCache가 false로 설정되어 있는지 확인합니다.UseInMemoryEvaluation을 구성한 경우 해당 값이 3으로 설정되어 있는지 확인합니다.
- wbemPath 특성에서 중첩 그룹을 설정할 수 있도록 범위 규칙에서 참조하는 각 그룹을 업데이트합니다. 엔터프라이즈 관리 서버는 Active Directory 특성 wbemPath를 통해 Active Directory에 중첩된 그룹을 확인할 수 있습니다. 중첩 그룹에 대한 네이티브 지원은 없으므로 중첩 그룹 중 엔터프라이즈 관리 서버에서 사용할 각 중첩 그룹의 wbemPath를 업데이트하여 중첩된 그룹의 목록을 지정해야 합니다.Note:To see the wbemPath value in the Active Directory User and Computers, you must enable the Advanced Features in the View Menu.예: 최상위 그룹은 SAMUsers입니다. 이 그룹의 구성원은 SAMAuthUser 그룹입니다. 액세스 권한이 필요한 사용자는 SAMAuthUser 그룹 내에 있습니다. 중첩 그룹의 전체 DN을 포함하도록 SAMUsers의 wbemPath를 업데이트해야 합니다.
이 목록에 각 구성원 그룹을 하나씩 추가해야 합니다. 그런 다음Privileged Identity Manager엔터프라이즈 콘솔 내의 역할을 업데이트하여 최상위 그룹에 연결합니다. 이 그룹 내의 모든 그룹 및 사용자에게는 범위에 따라 액세스 권한이 부여됩니다.역할 예:PUPM의 권한 있는 액세스 역할에 대한 액세스 제어
SAMUsers 그룹의 구성원인 사용자는 PUPM 끝점 유형에 대한 액세스 제어에 따라 권한 있는 계정에 대한 액세스 권한을 갖습니다. 이 사용자는 SAMUsers의 직접 구성원은 아니지만 SAMUsers 아래에 중첩된 SAMAuthUser 그룹의 구성원입니다.