LDAP 디렉토리 서버 사용 설정

이 태스크 정보

WMC에서 LDAP 서버가 사용자 인증 및 권한 부여를 처리하게 할 것을 선택할 수 있습니다. LDAP 디렉토리 서버를 사용으로 설정할 때, LDAP 디렉토리 서버의 인증 및 권한 부여가 기본 제공 관리 사용자의 경우를 제외하고 WMC를 통해 지정한 모든 사용자, 그룹 또는 권한을 대체합니다. 그러므로 관리 사용자는 예외로 하고 LDAP 디렉토리 서버 또는 WMC를 통해(둘 다는 아님) 사용자 및 그룹을 인증 및 권한 부여할 수 있습니다. LDAP을 사용으로 설정하는지 여부와 상관없이, CLI를 통해 관리 사용자 비밀번호를 업데이트할 수 있습니다.

참고: LDAP 사용자는 스테이징 데이터베이스에 액세스할 수 없습니다.

프로시저

  1. 탐색 분할창에서 보안 > LDAP을 선택하십시오. LDAP 구성 페이지가 표시됩니다.
  2. LDAP 사용 옵션을 선택하십시오. 이 옵션을 선택하지 않는 경우, 통합 어플라이언스는 사용자가 WMC에서 정의한 기본 제공 그룹 및 사용자를 사용하여 사용자 및 WMC에 대한 액세스를 인증 및 권한 부여합니다.
  3. 호스트 정보를 지정하십시오.
    1. LDAP 디렉토리 서버의 호스트 이름과 포트 번호를 입력하십시오.
    2. 기본 DN(기본 식별 이름)을 선택하거나 페치 DN을 클릭하십시오. WMC는 LDAP 디렉토리 서버로부터 모든 디렉토리 정보 트리(DIT)의 기본 DN을 페치합니다. 권한 부여하려는 사용자를 포함하는 DIT의 기본 DN을 선택하십시오.
  4. 다음 보안 옵션 중 하나를 선택하십시오.
    • 보안 연결(SASL) 사용 - LDAP 디렉토리 서버가 지원하는 SASL(Simple Authentication and Security) 메커니즘을 사용으로 설정합니다. 이것이 가장 안전한 옵션입니다.
    • 단순 인증 사용 - 단순 인증을 사용으로 설정하지만, 신임 정보를 암호화하지 않습니다.
    • 익명 바인드 - LDAP 디렉토리 서버에 대한 익명 바인딩을 사용으로 설정합니다. 이것이 가장 덜 안전한 옵션입니다.
  5. 보안 연결(SASL) 사용 보안 옵션을 선택한 경우, 메커니즘을 지정하고 메커니즘 특성 및 메커니즘 정책을 구성하십시오.
  6. LDAP 디렉토리 서버가 디렉토리 검색을 위한 인증을 요구하는 경우, 신임 정보 섹션에 있는 프린시펄 및 비밀번호에 대한 값을 지정하십시오. 작성된 DN 모드 인증 모드를 선택할 때는 이 단계가 필요하지 않습니다. 그러나 이 단계는 LDAP 디렉토리 서버가 익명 검색을 허용하지 않을 때 DN 또는 메커니즘을 페치하기 위해 필요할 수 있습니다.

    비밀번호를 지정하지 않는 경우, WMC는 익명 사용자로서 LDAP 서버로의 초기 바인딩을 작성하려고 시도하며 LDAP 서버는 사용자가 지정한 프린시펄 신임 정보를 무시합니다.

  7. 다음 인증 모드 중 하나를 선택하십시오.
    • 작성된 DN 모드
    • 검색된 DN 모드
  8. 사용자 컨테이너 RDN을 지정하십시오. 사용자가 지정하는 인증 모드가 여기에서 지정해야 하는 값을 판별합니다.
    • 작성된 DN 모드를 선택한 경우, 사용자 컨테이너 RDN이 사용자 DN의 하나 이상의 속성으로 작성됩니다. 사용자의 바로 위 조상부터 기본 바로 아래의 항목까지 트리를 따라 이동하고 경로에 각 항목의 RDN을 추가하여 사용자 컨테이너 RDN을 구성하십시오.

      예를 들어,

      User DN = "uid=JohnK,ou=emp,dc=xyz,dc =com"

      인 경우

      사용자 컨테이너 RDN = "ou=emp"

    • 검색된 DN 모드를 선택한 경우 사용자 컨테이너 RDN은 대개 공백으로 남는데, 이것은 LDAP 디렉토리 서버가 루트(기본)에서 시작하여 전체 DIT를 검색하게 만듭니다. 그렇지 않으면, LDAP 디렉토리 서버가 DN = User Container RDN +BaseDN을 갖는 항목에 루트를 갖는 서브트리를 검색합니다.
  9. 검색된 DN 모드를 선택한 경우, LDAP 디렉토리 서버가 사용자 DN을 검색하기 위해 사용하는 사용자 검색 필터를 지정하십시오(검색 DN 모드를 선택하는 경우에만 필수임). 이 항목은 LDAP 검색 필터 스펙을 허용하며 또한 $USERNAME 양식의 사용자 이름도 허용합니다. 예를 들면,
    • MSAD에서 이 항목은 "(samAccountName=$USERNAME)"일 수 있습니다.
    • SunOne에서 이 항목은 "(uid=$USERNAME)"일 수 있습니다.
  10. LDAP 디렉토리 서버가 검색 후에 바인드하는 사용자의 DN을 지정하는 사용자 프린시펄 DN을 지정하십시오. $USERNAME 또는 $DN을 지정하여 사용자 이름 및 식별 이름을 나타낼 수 있습니다. 여기서 $DN은 작성 DN 모드의 경우 (RDN+BaseDN) 및 검색 DN 모드의 경우 검색된 DN을 나타냅니다. 대부분의 경우 $DN은 항목입니다. 그러나, MSAD에서 SASL을 사용할 때는 $USERNAME만 지정해야 할 수 있습니다. SunOne의 SASL의 경우 "dn:$DN"만 지정해야 할 수 있습니다.
  11. 그룹 맵핑 정보를 지정하십시오.
    1. 관리 그룹 필터를 지정하십시오.
    2. 공개자 그룹 필터를 지정하십시오.
    3. 그룹 필터를 지정하십시오.
  12. 저장을 클릭하십시오.