호스트 액세스를 제어하고 UNAB를 구성하는 방법
목차
cminder12901kr
목차
Privileged Identity Manager
엔터프라이즈 콘솔을 통해 UNIX 호스트에 대한 사용자 및 그룹 액세스를 제어하고 UNAB 호스트를 구성할 수 있습니다. 호스트에 로그인하도록 허가된 사용자 및 그룹에게만 액세스 권한을 부여하여 UNIX 호스트에 대한 사용자 및 그룹 액세스를 제어합니다.호스트에 대한 액세스 제어를 구성하는 것과 같은 방법으로 UNAB 호스트를 구성합니다.
Privileged Identity Manager
엔터프라이즈 콘솔을 사용하여 엔터프라이즈 내에서 UNAB 호스트의 기능을 먼저 제어한 후 모든 호스트에 적용합니다.사용자 및 그룹 로그인 권한을 할당하거나 구성 토큰 값을 정의하면
Privileged Identity Manager
엔터프라이즈 콘솔이 이 정보를 정책에 적용하고 다음 작업을 수행합니다.- 사용자와 그룹 목록 또는 구성 매개 변수를 포함하는 배포 패키지를 만들어 정책을 적용할 호스트 또는 호스트 그룹에 할당합니다.
- 호스트에 배포하기 위해 패키지를 배포 서버에 전달합니다.
UNAB는 배포 서버에서 패키지를 가져와 정책을 설치하고
Privileged Identity Manager
엔터프라이즈 콘솔에 확인 메시지를 보냅니다.참고
호스트에 엔터프라이즈 로그인 정책과 UNAB 로그인 정책을 모두 배포한 경우 엔터프라이즈 로그인 정책이 UNAB 로그인 정책보다 우선 순위가 높습니다.UNAB 로그인 권한 부여 관리
UNAB 호스트 또는 호스트 그룹에 대한 사용자 로그인을 제어하려면 액세스 권한이 부여된 사용자 또는 그룹 목록을 만드십시오. 그러면
Privileged Identity Manager
엔터프라이즈 콘솔이 선택된 호스트 또는 호스트 그룹에 할당하고 배포하는 정책에 이 목록이 적용됩니다. 로그인 정책의 이름은 login@hostName
으로 설정됩니다.참고:
"배포 감사" 작업을 사용하여 정책의 배포 상태를 볼 수 있습니다.다음 단계를 수행하십시오.
- Privileged Identity Manager엔터프라이즈 콘솔에서정책 관리,Unix 인증 브로커,호스트또는호스트 그룹을 차례로 클릭합니다.
- 다음 중 적합한하나를수행합니다.
- 호스트 로그인 권한 부여 관리를 클릭합니다."호스트 로그인 권한 부여 관리: 호스트 검색" 화면이 나타납니다.
- 호스트 그룹 로그인 권한 부여 관리를 클릭합니다."호스트 그룹 로그인 권한 부여 관리: 호스트 그룹 검색" 화면이 나타납니다.
- 수정할 호스트 또는 호스트 그룹의 이름을 입력하고검색을 클릭합니다.필터 조건과 일치하는 호스트 또는 호스트 그룹의 목록이 나타납니다.
- 수정할 호스트 또는 호스트 그룹을 선택하고선택을 클릭합니다."호스트 로그인 권한 부여 관리:HostName" 또는 "호스트 그룹 로그인 권한 부여 관리:HostGroupName" 페이지가 나타납니다.
- (선택 사항) 다음과 같이 사용자를 추가합니다.
- 드롭다운 메뉴에서사용자를 선택합니다.
- 다음 형식으로 사용자의 이름을 입력합니다:domain/user.
- 추가를 클릭합니다.추가한 사용자가 권한이 부여된 사용자 및 그룹 목록에 나타납니다.
- (선택 사항) 다음과 같이 그룹을 추가합니다.
- 드롭다운 메뉴에서그룹을 선택합니다.
- 추가할 그룹의 이름을 입력합니다.
- 추가를 클릭합니다.추가한 그룹이 권한이 부여된 사용자 및 그룹 목록에 나타납니다.
- (선택 사항) 다음과 같이 사용자 및 그룹을 제거합니다.
- 권한이 부여된 사용자 및 그룹 목록에서 제거할 사용자 및 그룹을 선택합니다.
- 제거를 클릭합니다.선택한 사용자 및 그룹은 권한이 부여된 사용자 및 그룹 목록에서 제거됩니다.
- 제출을 클릭합니다.지정된 호스트 또는 호스트 그룹에 사용자 및 그룹 목록이 할당됩니다.
UNAB 호스트 또는 호스트 그룹 구성
UNAB 호스트 및 호스트 그룹을 제어하는 구성 설정을 정의할 수 있습니다.
Privileged Identity Manager
엔터프라이즈 콘솔을 사용하여 UNAB 구성 파일(uxauth.ini) 또는 Privileged Identity Manager
구성 파일(accommon.ini)의 설정 값을 지정합니다. 구성 설정에 값을 할당하고 나면 Privileged Identity Manager
엔터프라이즈 콘솔이 업데이트된 설정 값을 포함하는 구성 정책을 만들어 호스트 또는 호스트 그룹에 할당합니다. 정책 이름은 config@hostName
으로 설정됩니다.참고:
"배포 감사" 작업을 사용하여 정책의 배포 상태를 볼 수 있습니다.다음 단계를 수행하십시오.
- Privileged Identity Manager엔터프라이즈 콘솔에서정책 관리,UNIX 인증 브로커,호스트또는호스트 그룹을 차례로 클릭합니다.
- 다음 중 적합한하나를수행합니다.
- UNAB 호스트 구성을 클릭합니다."UNAB 호스트 구성: 호스트 검색" 화면이 나타납니다.
- UNAB 호스트 그룹 구성을 클릭합니다."UNAB 호스트 그룹 구성: 호스트 그룹 검색" 화면이 나타납니다.
- 수정할 호스트 또는 호스트 그룹의 이름을 입력하고검색을 클릭합니다.필터 조건과 일치하는 호스트 또는 호스트 그룹의 목록이 나타납니다.
- 수정할 호스트 또는 호스트 그룹을 선택하고선택을 클릭합니다."UNAB 구성:HostName" 또는 "UNAB 구성:HostGroupName" 화면이 나타납니다.
- 수정할 섹션 및 토큰을 선택하고토큰 추가를 클릭합니다.지정된 구성 토큰이 나타납니다.
- 구성 토큰의 값을 수정합니다.참고:구성 토큰에 대한 자세한 내용은참조 안내서를 참조하십시오.
- (선택 사항) 수정할 다른 섹션 및 토큰을 선택하고,토큰 추가를 클릭하고, 구성 토큰의 값을 필요한 대로 수정합니다.
- 제출을 클릭합니다.Privileged Identity Manager엔터프라이즈 콘솔은 선택한 UNAB 호스트 또는 호스트 그룹의 구성 토큰 값을 설정합니다.
Privileged Identity Manager
엔터프라이즈 콘솔이 호스트에 정책을 커밋했는지 확인권한 부여 및 구성 목록을 작성한 후에는 배포 감사 옵션을 통해
Privileged Identity Manager
엔터프라이즈 콘솔이 변경 내용을 UNAB 호스트에 커밋했는지 확인할 수 있습니다.다음 단계를 수행하십시오.
- Privileged Identity Manager엔터프라이즈 콘솔에서정책 관리,정책,배포,배포 감사를 차례로 클릭합니다.배포 감사 검색 화면이 열립니다.
- 표시할 호스트 및 정책을 선택하고실행을 클릭합니다.쿼리에 대한 검색 결과가 표시됩니다.참고로그인 정책의 이름은login@으로 시작됩니다.
- 결과 줄을 클릭하여 배포 작업 상태 및 출력을 표시합니다.
사용자 및 그룹을 Active Directory로 마이그레이션하는 방법
UNIX 호스트에서 Active Directory로 사용자를 마이그레이션하면 관리 작업이 하나의 관리 응용 프로그램으로 통합되므로 사용자 및 그룹의 관리가 단순해집니다.
사용자 및 그룹을 Active Directory로 마이그레이션하려면 다음을 수행하십시오.
- 에뮬레이션 모드에서 마이그레이션 프로세스를 실행합니다.에뮬레이션 모드에서는 UNAB가 사용자 또는 그룹을 Active Directory로 마이그레이션하지 않습니다. 충돌이 발생할 경우 UNAB는 사용자 및 그룹 특성에서 가능한 충돌을 보고하는 로그 파일에 이를 기록합니다. 기본적으로 UNAB 충돌 파일(migrate.conflicts)은 다음 디렉터리에 있습니다./opt/CA/uxauth/log
- 충돌 파일을 다운로드합니다.Privileged Identity Manager엔터프라이즈 콘솔에서 호스트의 충돌 파일을 CVS 형식으로 다운로드합니다.참고CSV 파일을 다운로드할 수 있으려면 다음 예약된 보고서 스냅숏이 완료될 때까지 기다려야 합니다.
- Active Directory로 마이그레이션할 각 로컬 계정에 대해 Active Directory 계정을 만듭니다.UNAB는 기존 Active Directory 사용자 계정이 있는 사용자만 마이그레이션합니다.참고사용자 계정을 만들 때 UNIX 특성을 지정할 필요는 없습니다. Active Directory에 그룹을 만들 필요는 없습니다. 마이그레이션 도구가 마이그레이션 프로세스 중에 그룹을 만듭니다.
- 충돌을 해결하는 CSV 파일을 호스트에 업로드합니다.UNAB가 마이그레이션 프로세스를 다시 시작하여 해결된 계정과 그룹의 마이그레이션을 시도합니다.
- 마이그레이션이 끝난 후 충돌 파일을 다시 검토하여 이전에 충돌 파일에서 보고된 사용자 및 그룹이 성공적으로 마이그레이션되었는지 확인합니다.
참고:
UNIX 끝점이 NIS(네트워크 정보 서비스) 클라이언트인 경우 UNAB는 NIS 사용자를 Active Directory로 마이그레이션하지 않습니다.마이그레이션 충돌 해결
UNAB는 마이그레이션 프로세스 중에 발견한 충돌을 충돌 파일에 기록합니다. 이 파일은 로컬 호스트에서 Active Directory로 사용자 및 그룹을 마이그레이션하지 못하게 만든 충돌의 원인에 대한 자세한 정보를 수록합니다.
이 충돌 파일을 CSV 파일로 내보내 컴퓨터로 다운한 다음 검토하여 충돌을 해결할 수 있습니다. 나중에 수정된 스프레드시트를 다시
Privileged Identity Manager
엔터프라이즈 콘솔에 업로드하여 메시지 큐로 보낼 수 있습니다. UNAB는 이 파일을 검색한 후 마이그레이션 프로세스를 다시 시작하여 이전에 마이그레이션되지 않은 사용자 및 그룹을 마이그레이션합니다.참고:
호스트 그룹을 마이그레이션하는 경우 충돌 파일을 다운로드할 수 없습니다. 하지만 마이그레이션 프로세스의 충돌을 해결할 수 있도록 수정된 충돌 파일을 업로드할 수 있습니다.다음 단계를 수행하십시오.
- Privileged Identity Manager엔터프라이즈 콘솔에서정책 관리,UNIX 인증 브로커,호스트또는호스트 그룹을 차례로 클릭합니다.
- 다음 중 적합한하나를수행합니다.
- 호스트 마이그레이션 충돌 해결을 클릭합니다."호스트 마이그레이션 충돌 해결: 호스트 검색" 화면이 나타납니다.
- 호스트 그룹 마이그레이션 충돌 해결을 클릭합니다."호스트 그룹 마이그레이션 충돌 해결: 호스트 그룹 검색" 화면이 나타납니다.
- 충돌을 해결할 호스트 또는 호스트 그룹의 이름을 입력한 다음검색을 클릭합니다.필터 조건과 일치하는 호스트 또는 호스트 그룹의 목록이 나타납니다.
- 충돌을 해결할 호스트 또는 호스트 그룹을 선택하고선택을 클릭합니다."UNAB 마이그레이션:HostName" 또는 "UNAB 마이그레이션:HostGroupName" 페이지가 나타납니다.
- (선택 사항) 다음과 같이 호스트 마이그레이션에 대한 충돌 파일을 다운로드한 다음 충돌을 해결합니다.
- "UNAB 마이그레이션 충돌 정보 다운로드" 섹션에서 "내보내기 및 다운로드" 링크를 선택합니다.대화 상자 창이 열립니다.
- 파일을 저장할 위치로 이동한 다음저장을 선택합니다.CSV 파일이 지정된 위치로 다운로드됩니다.
- 이 CSV 파일을 열고 파일에 보고된 충돌을 해결한 다음 저장하고 파일을 닫습니다.
- (선택 사항) 호스트 그룹 마이그레이션에 대한 충돌을 해결하는 CSV 파일을 만들어 저장합니다.
- 다음과 같이 호스트 및 호스트 그룹 마이그레이션에 대한 충돌을 해결하는 CSV 파일을 업로드합니다.
- "UNAB 마이그레이션 솔루션 업로드" 섹션에서찾아보기단추를 선택합니다.대화 상자 창이 열립니다.
- 파일을 찾은 다음열기를 클릭합니다.
- 업로드를 클릭합니다.파일이 업로드됩니다.
- 제출을 클릭합니다.Privileged Identity Manager엔터프라이즈 콘솔이 메시지 큐에 파일을 보냅니다. UNAB는 큐에서 파일을 검색하고 마이그레이션 프로세스를 다시 시작하여 해결된 계정과 그룹의 마이그레이션을 시도합니다.
- 마이그레이션이 끝난 후 충돌 파일을 다시 검토하여 이전에 충돌 파일에서 보고된 사용자 및 그룹이 성공적으로 마이그레이션되었는지 확인합니다.
참고:
Active Directory에 동일한 이름의 사용자 또는 그룹이 있으면 사용자 또는 그룹을 마이그레이션할 수 없습니다. 예를 들어 이름이 g1인 그룹을 마이그레이션하려고 할 때 이름이 g1인 사용자가 Active Directory에 있으면 UNAB가 이 그룹을 마이그레이션할 수 없습니다.예: UNAB 충돌 파일 출력
다음 예는 마이그레이션 프로세스 중 작성된 UNAB 충돌 파일 출력에서 가져왔습니다.
*** Conflict Details as found by the CA Access Control UNAB Migration tool at 12/29/10 10:49 *** *** CRITICAL Conflicts:*** *** The next found conflicts prevent the user/group migration and need the intervention *** *** of the system administrator as they cannot be solved by the migration tool.*** User 'John' conflicts: User 'John' from domain 'development.computer.com' is assigned id '47670' and Unix id is '300821' User 'John' from domain 'development.computer.com' is assigned primary group '47670' and Unix primary group is '1011' User 'John' from domain 'development.computer.com' is assigned home directory '/home/aletestu' and Unix home directory is '/home/john1' User 'John' from domain 'development.computer.com' is assigned shell '/sbin/nologin' and Unix shell is '/bin/bash' *** AUTOMATIC Conflicts:*** *** Migration tool will try to solve the next found conflicts when run in "administrative mode", *** ***if not solved this conflicts will prevent the user/group migration Group 'alegcheck' conflicts: Cannot add members to Active Directory group 'dev_users' because UNIX group 'dev_users' contains member[s] that do not exist in domain 'development.computer.com'. UNIX group 'alegcheck' members: aleucheck1;aleucheck2 User 'John1' conflicts: User 'John1' from domain 'development.computer.com' has no UNIX attributes. *** IGNORED Conflicts:*** *** The next found Conflicts are shown for informational purpose, they will be ignored for ***while migration the user/group*** User 'John' conflicts: User 'John' from domain 'development.computer.com' is assigned gecos '' and Unix gecos is 'gecos of John' User 'John' primary group '1011' was not migrated
이 예에서 UNAB는 다음과 같은 심각한 충돌을 보고했습니다.
- 사용자 'john'에 다음 특성이 없습니다.
- 사용자 id(47670)가 UNIX 사용자 id(300821)와 충돌합니다.
- 사용자 주 그룹(47670)이 Active Directory 그룹(1011)과 충돌합니다.
- 사용자 홈 UNIX 디렉터리(home/john1)가 Active Directory 홈 디렉터리 설정(/home/john)과 충돌합니다.
- 사용자 UNIX 셸(/bin/bash)이 Active Directory 셸 특성(/sbin/nologin)과 충돌합니다.
UNAB가 다음과 같은 충돌을 보고했습니다. UNAB는 다음에 마이그레이션 프로세스가 실행될 때 이 충돌을 해결하려고 시도합니다.
UNIX 그룹(dev_users)이 Active Directory에 없습니다.
- UNIX 특성이 사용자 'john1'에 대해 구성되지 않았습니다.
<una>가 마이그레이션 프로세스 중에 무시할 다음과 같은 사소한 충돌을 보고했습니다.
- The user gecos ("") conflicts with the UNIX assigned gecos (gecos for john)
- 사용자 주 그룹(1011)이 마이그레이션되지 않았습니다.
예: UNAB 충돌 해결 파일
다음 예는 UNAB가 충돌 파일에 보고한 충돌을 해결하기 위해 사용자가 만드는 UNAB 충돌 해결 CSV 파일에서 가져왔습니다.
Privileged Identity Manager
엔터프라이즈 콘솔을 사용하여 UNAB 호스트에 CSV 파일을 제출합니다.솔루션 엔터티 유형 | 솔루션 엔터티 이름 | 솔루션 작업 | 솔루션 AD 매핑 이름 | 충돌 | UID | 홈 디렉터리 | GID | 소속 그룹 | 구성원 | GECOS |
USER | 슈퍼_사용자 | 루트 | 그룹 마이그레이션, AD 없음 | 1 | /home/superuser/ | 1 |
이 예에서 충돌 해결 CSV 파일은 다음을 포함하고 있습니다.
- 솔루션 엔터티 유형 - USER
- 솔루션 엔터티 이름 - superuser
- 솔루션 AD 매핑 이름 - root
- 충돌 - 사용자 그룹이 Active Directory에 없습니다.
- UID - 1
- 홈 디렉터리 - /home/superuser/
- GID - 1
참고
사용자 마이그레이션에 대한 자세한 내용은 구현 안내서
를 참조하십시오.