그룹

본 장에서는 그룹에 대한 개념과 프로파일의 설정방법에 대해서 설명한다.

1. 개요

TACF의 그룹(GROUP)은 업무조직상 부서 혹은 프로젝트팀 등과 같이 리소스에 대한 공통의 접근 요구사항이 필요한 사용자 그룹이다. 공통의 접근 요구사항이 필요한 리소스에 대한 접근 권한 관리를 사용자 단위가 아닌 그룹 단위로 관리할 수 있으며, 이를 통해 프로파일을 사용자 단위가 아닌 그룹별로 관리할 수 있다.

사용자 그룹은 어떠한 그룹의 하위 그룹(sub-group)으로도 소속될 수 있으며, 이를 상위 그룹(superior-group)에 대한 하위 그룹이라고 하고, 상위 그룹은 여러 개의 그룹을 하위 그룹으로 가질 수 있다. 이로써 그룹간의 계층구조를 표현할 수 있다.

2. 그룹 프로파일

새로운 그룹을 등록하는 경우 해당 사용자의 그룹 프로파일이 생성되며, 그룹을 등록할 때 지정한 정보가 프로파일의 각 필드에 저장된다. 그룹을 등록할 때 반드시 입력해야 하는 값은 GROUPNAME이며, 그 외의 필드는 사용자가 정의한 설정 값에 따라 자동으로 설정된다.

다음은 그룹 프로파일에 저장되는 그룹 정보이다.

필드	설명
GROUPNAME	그룹 이름이 설정되며 반드시 입력해야 하는 필수 항목이다.
OWNER	사용자 아이디 또는 그룹 이름을 설정한다. 지정하지 않은 경우는 디폴트로 등록자의 사용자 아이디를 설정한다.
SUPGROUP	상위 그룹 이름을 설정한다.
SUBGROUP	하위 그룹 이름을 설정한다.

필드

설명

GROUPNAME

그룹 이름이 설정되며 반드시 입력해야 하는 필수 항목이다.

OWNER

사용자 아이디 또는 그룹 이름을 설정한다.

지정하지 않은 경우는 디폴트로 등록자의 사용자 아이디를 설정한다.

SUPGROUP

상위 그룹 이름을 설정한다.

SUBGROUP

하위 그룹 이름을 설정한다.

현재 TACF에서는 GROUP 프로파일 필드 중 MODEL, DATA, CREATION, FLAGS에 대해서는 내부적으로 사용하는 값을 사용하거나 오류를 발생시키지 않도록 형식적으로 지원하고 있다.

3. 그룹 프로파일 소유자

USER 프로파일 소유자와 동일하게 그룹 프로파일 소유자도 특정 사용자 또는 그룹을 소유자로 지정할 수 있다.

그룹 소유자는 해당 그룹에게 다음과 같은 권한을 부여할 수 있다.

사용자를 해당 그룹에 연결시키거나 연결을 해제한다.
해당 그룹 프로파일을 조회하거나 변경 또는 삭제한다.

4. 사용자와 그룹의 연결

회사내의 같은 부서에 소속된 사람들 혹은 프로젝트를 함께 수행하는 사람들은 동일한 성질의 리소스를 접근하는 경우가 많다. 이러한 그룹 내에 소속된 사람은 동일한 접근 권한을 가지고 있다. 따라서 TACF가 리소스의 접근제어를 각각의 사용자 별로 관리하기보다 이러한 사용자를 논리적으로 한 개의 그룹으로 묶어서 관리하는 것이 편리하다. 사용자와 그룹의 연결(CONNECT)이란 사용자가 소속된 그룹의 정보를 규정하는 것이다.

4.1. 연결된 그룹에 대한 속성

사용자가 특정한 그룹으로 소속되면 이를 한 사용자가 해당그룹으로 연결되었다고 한다. 사용자는 연결된 그룹에 대해 속성을 지정할 수 있다. 속성의 종류는 사용자 속성과 동일하다. 사용자 속성에 대한 자세한 내용은 사용자 속성을 참고한다.

특정 사용자가 연결된 그룹의 속성 중 special attribute를 가지는 경우 이 사용자를 해당 그룹의 group-special attribute를 가진 사용자라고 한다. 만약 연결된 그룹이 소유자로 되어있는 리소스를 group-special attribute를 가진 사용자가 접근하려고 할 때, 해당 리소스에 대해서 명시적으로 이 사용자의 접근 권한이 지정되어 있지 않더라도 해당 그룹 소유의 리소스에 대해서 접근 권한을 가진다.

group-auditor attribute를 가진 사용자란 group-special attribute와 마찬가지로 연결된 그룹에 대해 audit attribute를 가지고 있다면 그룹이 소유한 모든 리소스에 대해서 명시적으로 조회권한을 가지고 있지 않아도 해당 리소스에 대해서 조회가 가능하다.

4.2. 연결된 그룹에 대한 권한

상위 그룹으로 연결된 사용자에게 하위 그룹의 프로파일을 등록하거나 삭제, 변경 또는 조회할 수 있는 권한을 부여할 수 있으며, 사용자를 해당 그룹에 연결시킬 수 있는 권한(CONNCECT)을 부여할 수 있다.

다음은 연결그룹이 가질 수 있는 권한에 대한 설명이다.

권한	설명
USE	리소스에 대해서 소유자이거나 리소스에 접근할 수 있는 권한이 명시적으로 기술되어 있는 리소스들에 대해서 그룹의 접근이 가능하다.
CREATE	그룹의 데이터셋 프로파일을 생성할 수 있다. USE 권한을 포함한다.
CONNECT	특정 사용자를 그룹에 연결시킬 수 있다. USE와 CREATE 권한을 포함한다.
JOIN	새로운 사용자 또는 그룹을 생성할 수 있으며, 해당 사용자나 그룹에 대해서 그룹 권한을 부여할 수 있다.

권한

설명

USE

리소스에 대해서 소유자이거나 리소스에 접근할 수 있는 권한이 명시적으로 기술되어 있는 리소스들에 대해서 그룹의 접근이 가능하다.

CREATE

그룹의 데이터셋 프로파일을 생성할 수 있다. USE 권한을 포함한다.

CONNECT

특정 사용자를 그룹에 연결시킬 수 있다. USE와 CREATE 권한을 포함한다.

JOIN

새로운 사용자 또는 그룹을 생성할 수 있으며, 해당 사용자나 그룹에 대해서 그룹 권한을 부여할 수 있다.

5. 연결 프로파일

사용자를 그룹에 연결하는 경우 연결 프로파일이 생성되며, 등록할 때 지정한 정보가 프로파일의 각 필드에 저장된다. 등록할 때 반드시 입력해야 하는 값은 USERID와 GROUPNAME이며, 그 외의 필드는 사용자가 정의한 설정값에 따라 자동으로 설정된다.

다음은 연결 프로파일에 저장되는 사용자와 그룹간 연결 정보이다.

필드	설명
USERID	사용자 아이디가 설정되며 반드시 입력해야 하는 필수 항목이다.
GROUPNAME	그룹 이름이 설정되며 반드시 입력해야 하는 필수 항목이다.
AUTHORITY	사용자의 그룹에 대한 권한을 설정한다. USE CREATE CONNECT JOIN 자세한 설명은 연결된 그룹에 대한 권한을 참고한다.
ATTR	USER 프로파일의 ATTR과 동일한 그룹 속성정보를 설정한다. group-special attribute group-auditor attribute CONNECT JOIN 자세한 내용은 사용자 정보의 ATTR을 참고한다.
ACCOUNT	시스템에 로그인할 때 자신이 소속된 다수의 그룹 중에 한 개를 선택해서 로그인할 수 있으며, 로그인할 때 선택한 그룹의 접속 횟수가 설정된다.
LCONNECT	사용자가 해당 그룹으로 시스템에 마지막으로 로그인한 시간을 설정한다.

필드

설명

USERID

사용자 아이디가 설정되며 반드시 입력해야 하는 필수 항목이다.

GROUPNAME

그룹 이름이 설정되며 반드시 입력해야 하는 필수 항목이다.

AUTHORITY

사용자의 그룹에 대한 권한을 설정한다.

USE
CREATE
CONNECT
JOIN

자세한 설명은 연결된 그룹에 대한 권한을 참고한다.

ATTR

USER 프로파일의 ATTR과 동일한 그룹 속성정보를 설정한다.

group-special attribute
group-auditor attribute
CONNECT
JOIN

자세한 내용은 사용자 정보의 ATTR을 참고한다.

ACCOUNT

시스템에 로그인할 때 자신이 소속된 다수의 그룹 중에 한 개를 선택해서 로그인할 수 있으며, 로그인할 때 선택한 그룹의 접속 횟수가 설정된다.

LCONNECT

사용자가 해당 그룹으로 시스템에 마지막으로 로그인한 시간을 설정한다.

현재 TACF에서는 연결 프로파일 필드 중 UACC, CREATION, FLAGS에 대해서는 내부적으로 사용하는 값을 사용하거나 오류를 발생시키지 않도록 형식적으로 지원하고 있다.