관리자 액세스 제한
조직의 관리자 종류에 따라 액세스 레벨을 다르게 지정할 수 있습니다. 예를 들어 팀의 모든 관리자를 데이터베이스 관리자로 지정하는 반면 소수의 관리자에게만 '시스템 관리자' 권한을 부여할 수도 있습니다.
이 태스크 정보
관리자 권한은 계층적으로 부여되며, 권한 계층은 다음과 같습니다.
- 전체 액세스 관리자 - 나열된 모든 관리 권한의 모든 권한을 가집니다.
- 관리자 - 데이터베이스 관리자 및 전체 콘솔 관리자(시스템 관리자는 아님)의 모든 권한을 가집니다.
- 전체 콘솔 관리자 - 보기 전용 콘솔 관리자(시스템 관리자는 아님)의 권한을 가집니다.
- 시스템 관리자 - 제한된 시스템 관리자의 권한을 가집니다.
각 필드마다 사용자를 나열할 필요는 없습니다. 사용자를 최상위 레벨의 관리자 액세스에 추가하면 계층의 하위 레벨에 대해 나열되는 모든 권한을 해당 사용자에게 자동으로 부여합니다.
관리자 액세스를 제한하려면
프로시저
- Domino® Administrator에서 구성 탭을 클릭하고 서버 문서를 엽니다.
- 보안 탭을 클릭합니다.
-
관리자 섹션에서 다음 필드 중 하나 이상을 완료한 후 문서를 저장합니다. 다음 필드 모두의 경우, 개별 계층 이름, 그룹 및 와일드카드를 지정할 수 있습니다(예: */Sales/Renovations). 여러 개의 항목을 콤마로 구분하십시오.
주: 관리자 필드를 제외하고, 다음 필드 모두 기본적으로 공백입니다(액세스 권한이 없음을 의미함).
표 1. 관리자 액세스 설명 필드
조치
전체 액세스 관리자
서버를 관리하기 위한 전체 액세스 권한을 가진 관리자 이름을 입력합니다. 이것은 가장 높은 레벨의 관리 권한입니다.
관리자
서버를 관리할 수 있는 관리자 이름을 입력합니다. 이 필드의 기본값은 서버를 처음 설정한 관리자의 이름입니다. 여기에 나열된 관리자는 다음과 같은 권한을 가지고 있습니다.
- 웹 관리자 데이터베이스(WEBADMIN.NSF)에 대한 관리자 권한
- 폴더 및 데이터베이스 연결 작성, 업데이트 및 삭제
- 디렉토리 연결 ACL 작성, 업데이트 및 삭제
- 데이터베이스 압축 및 삭제
- 전체 텍스트 색인 작성, 업데이트 및 삭제
- 데이터베이스, 복제본 및 마스터 템플리트 작성
- 특정 데이터베이스 옵션(예: 서비스 중/서비스 중이 아님, 데이터베이스 할당량 등) 설정
- 메시지 추적 사용 및 제목 추적
- 콘솔을 사용하여 UNIX™ 서버를 원격으로 관리
- 원격 콘솔 명령어 생성
주: (Java™) 서버 제어기를 사용하며 이 필드에 그룹 이름을 입력하는 경우 관리자 이름이 관리자 필드에 표시되도록 그룹에 다용도 그룹 유형이 있어야 합니다.주: Domino® 6.0 및 후속 릴리스의 경우, NOTES.INI 에서 변수Server_Restricted
가 서버 액세스를 제한하는 데 사용되면 관리자는 여전히 서버에서 데이터베이스를 열 수 있습니다.데이터베이스 관리자
서버에서 데이터베이스 관리를 담당할 관리자 이름을 입력합니다. 서버 데이터베이스에 대한 관리자 권한이 데이터베이스 관리자에게 자동으로 부여되지 않으며, 웹 관리자 데이터베이스에 대한 권한도 부여되지 않습니다. 여기에 나열된 사용자는 다음 작업에 대한 권한만 가지고 있습니다.
- 폴더 및 데이터베이스 연결 작성, 업데이트 및 삭제
- 디렉토리 연결 ACL 작성, 업데이트 및 삭제
- 데이터베이스 압축 및 삭제
- 전체 텍스트 색인 작성, 업데이트 및 삭제
- 데이터베이스, 복제본 및 마스터 템플리트 작성
- 특정 데이터베이스 옵션(예: 서비스 중/서비스 중이 아님, 데이터베이스 할당량 등)
전체 원격 콘솔 관리자
원격 콘솔을 사용하여 해당 서버에 명령을 내릴 수 있는 관리자 이름을 입력합니다.
보기 전용 관리자
원격 콘솔을 사용하여 시스템 상태 정보를 제공하는 명령어(예: SHOW TASKS 및 SHOW SERVER)만 발송할 수 있는 관리자 이름을 입력합니다.
보기 전용 관리자는 서버 동작에 영향을 미치는 명령을 내릴 수 없습니다.
시스템 관리자
운영 체제 명령을 전체적으로 서버에 내릴 수 있는 관리자 이름을 입력합니다.
명령의 종류와 범위는 서버 운영 체제에 따라 다릅니다. 예를 들어, Linux™ 서버의 관리자만 Linux™ 명령을 실행할 수 있습니다.
주: 이 기능을 사용하려면 서버 시스템에서 Domino® 서버 제어기를 실행해야 합니다.제한된 시스템 관리자
제한된 시스템 명령 필드에 나열된 운영 체제 명령만 실행할 수 있는 관리자의 이름을 입력합니다.
주: 이 기능을 사용하려면 서버 시스템에서 Domino® 서버 제어기를 실행해야 합니다.제한된 시스템 명령
제한된 시스템 관리자가 내릴 수 있는 운영 체제 명령의 일부를 입력합니다. 명령의 종류 및 범위는 서버 운영 체제와 제한된 시스템 관리자가 수행해야 하는 태스크에 따라 다릅니다.
예를 들어, 제한된 시스템 관리자에게 UNIX™ 인쇄 큐를 관리하도록 할 수도 있습니다. 이 필드에서 인쇄 큐를 관리하기 위한 UNIX™ 명령을 입력합니다. 제한한 시스템 관리자 필드에 입력한 이름에는 이 명령에 대한 액세스 권한만 부여됩니다.
브라우저에서 서버 관리(Domino® 6 이후 사용되지 않음)
이 설정은 이전 버전과 호환될 수 있도록 이전 Domino 6 서버에만 적용됩니다. Domino® 웹 관리자 클라이언트는 Domino® 6 이상의 서버에서만 작동합니다. 기존 도메인의 Domino® 디렉토리가 Domino® 5에서 이후 릴리스로 업그레이드된 경우, 업그레이드하지 않은 해당 서버가 이전 버전의 웹 관리자를 사용할 수 있도록 서버 문서에 이 설정이 계속 필요합니다.
결과
전체 액세스 관리자
이 태스크 정보
전체 액세스 관리자에게는 서버에 대한 최상위 레벨의 관리 액세스 권한이 있습니다. 전체 액세스 관리자 기능을 사용하면 Notes® 클라이언트를 서버에서 로컬로 실행할 필요가 없습니다. 전체 액세스 관리자를 설정하면 데이터베이스 ACL의 관리자만 조직을 떠날 때 발생할 수 있는 액세스 제어 문제가 해결됩니다.
전체 액세스 관리자는 다음과 같은 권한을 가집니다.
- 모든 액세스 레벨에서 관리자에게 부여되는 모든 권한(표 1 참조).
- 데이터베이스 ACL 설정에 상관없이 서버의 모든 데이터베이스에 대해 모든 액세스 권한이 사용 가능한 관리자 권한을 가집니다. 주: 전체 액세스 관리자의 경우 ACL 역할을 수동으로 사용 가능으로 설정해야 합니다.
- 모든 권한 및 역할이 사용 가능한 웹 관리자 데이터베이스(WEBADMIN.NSF)에 대한 관리자 권한을 가집니다.
- 독자 이름 필드와 상관없이, 모든 데이터베이스의 모든 문서에 대한 액세스 권한을 가집니다.
- 전체 관리 권한을 가지고 제한 없이 실행되는 에이전트 작성 권한을 가집니다
- 서버의 암호화되지 않은 데이터에 대한 액세스 권한을 가집니다.주: 전체 액세스 관리자는 암호화된 데이터에 대한 액세스를 허용하지 않습니다. 공개 키로 암호화된 문서를 해독하려면 지정된 사용자의 개인 키를 사용해야 합니다. 이와 유사하게, 비밀 키로 암호화된 문서를 해독하려면 비밀 키가 필요합니다.
전체 액세스 관리자 모드 사용 가능
이 태스크 정보
전체 액세스 관리자 모드에서 작업하려면 관리자는 다음 사항에 해당되어야 합니다.
- 관리 클라이언트 사용
- 서버 문서에 있는 보안 탭의 관리자 섹션에서 전체 액세스 관리자 필드에 나열해야 합니다. 기본적으로 이 필드는 공백입니다.
- 전체 액세스 관리 모드를 사용으로 설정하십시오. 이 모드를 사용 가능으로 설정하지 않는 경우, 서버 문서에 전체 액세스 관리자로 나열된 사용자도 서버에 대한 전체 관리자 권한을 가질 수 없으며 대신 관리자 권한이 부여됩니다. 를 선택하여 관리자 클라이언트에서
전체 액세스 관리자 모드를 사용할 수 있는 경우, 클라이언트 창 제목, 탭 제목 및 상태 표시줄이 전체 액세스 관리자 모드로 표시됩니다. 이것은 사용자가 최상위 레벨의 권한으로 서버에 액세스 중임을 나타내므로 주의해야 한다는 의미입니다.
관리자가 관리 클라이언트에서 전체 관리 모드를 사용할 수 있는 경우, Domino® Designer 및 Notes® 클라이언트에서도 이 모드를 사용할 수 있습니다. 또한 전체 관리자 액세스가 창 제목, 탭 제목 및 상태 표시줄에 표시됩니다.
서버 문서에 전체 액세스 관리자로 나열되지 않은 사용자가 전체 액세스 관리자 모드로 전환하려는 경우, 사용자는 전체 액세스 권한이 거부되고 상태 표시줄 및 서버 콘솔에 메시지가 나타납니다. 클라이언트는 전체 액세스 모드이지만 위의 사용자는 해당 서버에 대해 전체 관리자 권한을 가질 수 없습니다. 사용자가 서버를 전환하려는 경우, 사용자의 권한이 새 서버의 서버 문서에 적합한지 확인됩니다.
전체 액세스 관리자 기능 사용 불가능
NOTES.INI 파일에서 SECURE_DISABLE_FULLADMIN = 1
을 설정하여 전체 액세스 관리자 필드를 사용 불가능으로 설정할 수 있습니다. 이 설정은 전체 액세스 관리자 권한을 사용할 수 없으며 서버 문서에 있는 필드에 나열된 이름을 겹쳐씁니다. 서버에 대한 물리적 액세스 권한과 서버의 NOTES.INI 파일을 편집할 수 있는 사용자만이 이 NOTES.INI 매개변수를 설정할 수 있습니다. 서버 콘솔, 원격 콘솔 또는 서버 문서 설정을 사용하여 이 매개변수를 설정할 수 없습니다.
전체 액세스 관리자 기능 관리를 위한 옵션
이 태스크 정보
전체 액세스 관리자를 허용하는 방법은 다음과 같이 몇 가지 방법이 있습니다.
- 특수 전체 관리 ID 파일(예: Full Admin/Sales/Renovations)을 작성하고 전체 관리 필드에만 해당 이름을 입력하십시오. 그런 다음 이 사용자 ID로 로그인하거나 전환하여 액세스 레벨을 확보해야 합니다. 선택적으로, 이 ID 파일을 설정하여 다중 비밀번호를 요구할 수 있습니다.
- OU 레벨 인증자를 작성하여 전체 관리자 액세스를 부여하고, 신뢰된 관리자에게 추가 ID를 발급합니다(예: Jane Admin/Full Admin/Acme).
- "전체 액세스 관리자" 필드를 공백으로 둡니다. 위급한 상황에 대비하여 신뢰된 사용자 이름을 추가하고 상황이 해결되면 삭제합니다.
- "전체 액세스 관리자" 필드에 제한된 신뢰된 관리자를 추가합니다.
사용된 기능을 다음과 같이 추적할 수 있습니다.
- 전체 액세스 관리 권한이 취소되면, EVENTS4.NSF를 통해 알림을 전송하도록 이벤트 핸들러를 구성합니다.
- 전체 액세스 관리자 권한을 사용하여 수행된 데이터베이스 활동은 [데이터베이스 특성] 아래에 있는 데이터베이스 활동 로그에 기록됩니다.
- 기능 사용이 서버에 기록됩니다.