중첩 그룹 설정

엔터프라이즈 관리 서버에서 권한 있는 계정 액세스에 대한 역할에 범위 규칙을 설정할 때 중첩 그룹을 사용할 수 있습니다. 
cminder12901kr
엔터프라이즈 관리 서버에서 권한 있는 계정 액세스에 대한 역할에 범위 규칙을 설정할 때 중첩 그룹을 사용할 수 있습니다. 
중첩 그룹을 사용하려면 다음과 같은 작업을 수행해야 합니다.
  1. CA Identity Manager Management Console에서
    ac-dir.xml
    파일을 업데이트하여 중첩 그룹을 찾을 수 있도록 설정합니다.
    다음 단계를 수행하십시오.
    1. CA Identity Manager Management Console에서
      Directories
      (디렉터리)를 클릭합니다.
    2. ac-dir
      디렉터리를 클릭합니다.
    3. Directory Properties
      (디렉터리 속성) 창의 맨 아래에서
      Export
      (내보내기)를 클릭합니다.
    4. ac-dir.xml
      파일을 편집하기 위해 엽니다.
    5. GroupTypes
      값을 검색하여
      ALL
      로 바꿉니다. 기본값은 DYNAMIC입니다.
      예: 
      <!--   ******************** Directory Groups Behavior ********************   -->
        <!-- OPTIONAL - GroupTypes determines what kind of groups Identity Manager will use. -->
        <!-- GroupTypes consists of the following attributes:  -->
        <!-- 1. type - indicates the type of groups Identity Manager uses  (NONE, ALL, DYNAMIC, NESTED)  -->
        <!-- If type is ALL or NESTED, be sure to determine and configure the nested group membership -->
        <!-- if the nested group members are to be stored in a separate static member list, the an additional  -->
        <!-- ImsManagedObjectAttribute for %NESTED_GROUP_MEMBERSHIP% will need to be provided  -->
        <!-- in the definition for the Group Managed Object.  -->
       <GroupTypes type="ALL"/>
    6. ac-dir.xml
      파일에서 다음 텍스트를 검색합니다.
      <Container objectclass="top,organizationalUnit" attribute="ou"/>
      이 끝에 value=""를 추가합니다.
      예:
      <Container objectclass="top,organizationalUnit" attribute="ou" value=""/>
    7. ac-dir.xml
      파일을 저장합니다.
    8. CA Identity Manager Management Console의
      Directory Properties
      (디렉터리 속성) 페이지에서
      Update
      (업데이트)를 클릭하여 XML 파일을 가져옵니다.
    9. CA Identity Manager Management Console에서
      Home
      (홈),
      Environments
      (환경),
      ac-env
      ,
      Advanced Settings
      (고급 설정),
      Miscellaneous
      (기타)로 이동합니다.
      SkipLDAPDynamicGroupSearch
      StoreADUsersInCache
      가 false로 설정되어 있는지 확인합니다.
      UseInMemoryEvaluation
      을 구성한 경우 해당 값이 3으로 설정되어 있는지 확인합니다.
    이제 엔터프라이즈 관리 서버가 범위 규칙에서 중첩 그룹을 볼 수 있도록 설정되었습니다. 
  2. wbemPath 특성에서 중첩 그룹을 설정할 수 있도록 범위 규칙에서 참조하는 각 그룹을 업데이트합니다. 엔터프라이즈 관리 서버는 Active Directory 특성 wbemPath를 통해 Active Directory에 중첩된 그룹을 확인할 수 있습니다. 중첩 그룹에 대한 네이티브 지원은 없으므로 중첩 그룹 중 엔터프라이즈 관리 서버에서 사용할 각 중첩 그룹의 wbemPath를 업데이트하여 중첩된 그룹의 목록을 지정해야 합니다.
    Note:
     To see the wbemPath value in the Active Directory User and Computers, you must enable the Advanced Features in the View Menu.
    예: 최상위 그룹은 SAMUsers입니다. 이 그룹의 구성원은 SAMAuthUser 그룹입니다. 액세스 권한이 필요한 사용자는 SAMAuthUser 그룹 내에 있습니다. 중첩 그룹의 전체 DN을 포함하도록 SAMUsers의 wbemPath를 업데이트해야 합니다. 
    image2017-7-13 22:46:42.png
    이 목록에 각 구성원 그룹을 하나씩 추가해야 합니다. 그런 다음
    Privileged Identity Manager
    엔터프라이즈 콘솔 내의 역할을 업데이트하여 최상위 그룹에 연결합니다. 이 그룹 내의 모든 그룹 및 사용자에게는 범위에 따라 액세스 권한이 부여됩니다. 
    역할 예:
    PUPM의 권한 있는 액세스 역할에 대한 액세스 제어
    image2017-7-13 22:47:34.png
    SAMUsers 그룹의 구성원인 사용자는 PUPM 끝점 유형에 대한 액세스 제어에 따라 권한 있는 계정에 대한 액세스 권한을 갖습니다. 이 사용자는 SAMUsers의 직접 구성원은 아니지만 SAMUsers 아래에 중첩된 SAMAuthUser 그룹의 구성원입니다.