독립형 LDAP 저장소를 연합 저장소 LDAP 저장소 구성으로 마이그레이션
애플리케이션 서버에 대한 보안을 구성하는 경우 연합 저장소 LDAP 저장소 구성으로 독립형 LDAP 레지스트리를 마이그레이션해야 할 수도 있습니다.
시작하기 전에
연합 저장소에서 LDAP 저장소를 구성할 때 참조용으로 마이그레이션하려는 독립형 LDAP 저장소의 스펙을 참조하십시오. 이 필드에 액세스하려면 관리 콘솔에서 보안 > 글로벌 보안을 클릭하고 사용자 계정 저장소의 사용 가능한 영역 정의 필드에서 독립형 LDAP 레지스트리 또는 연합 저장소를 선택하고 구성을 클릭하십시오. 다중 보안 도메인 환경에서 이 필드에 액세스하려면 보안 > 글로벌 보안 > 보안 도메인 > domain_name을 클릭한 후 보안 속성에서 사용자 영역을 펼치고 이 도메인에 대해 사용자 정의를 클릭하십시오. 영역 유형으로 독립형 LDAP 레지스트리 또는 연합 저장소를 선택하고 구성을 클릭하십시오.

다음 테이블에서는 독립형 LDAP 저장소 구성의 관리 콘솔의 패널 및 필드와 맵핑을 위한 연합 저장소 LDAP 저장소 구성의 대응하는 필드를 보여줍니다.
독립형 LDAP 저장소 구성 | 연합 저장소 구성에서 LDAP 저장소 |
---|---|
글로벌 보안 > 독립형 LDAP 레지스트리 일반 특성 - 1차 관리자 이름 |
글로벌 보안 > 연합 저장소 일반 특성 - 1차 관리자 이름 |
글로벌 보안 > 독립형 LDAP 레지스트리 LDAP 서버 - LDAP 서버 유형 |
글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID
LDAP 서버 - 디렉토리 유형 |
글로벌 보안 > 독립형 LDAP 레지스트리 LDAP 서버 - 호스트 |
글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID
LDAP 서버 - 1차 호스트 이름 |
글로벌 보안 > 독립형 LDAP 레지스트리 LDAP 서버 - 포트 |
글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID
LDAP 서버 - 포트 |
글로벌 보안 > 독립형 LDAP 레지스트리 LDAP 서버 - 장애 복구 호스트 |
글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID
LDAP 서버 - 1차를 사용할 수 없는 경우 장애 복구 서버 |
글로벌 보안 > 독립형 LDAP 레지스트리 LDAP 서버 - 기본 식별 이름(DN) |
글로벌 보안 > 연합 저장소 > 저장소 참조(영역에 기본 항목 추가 클릭) 일반 특성 - 영역에서 이 항목 세트를 고유하게 식별하는 기본 항목의 식별 이름 및 일반 특성 - 이 저장소에서 기본 항목의 식별 이름 |
글로벌 보안 > 독립형 LDAP 레지스트리 LDAP 서버 - 검색 제한시간 |
글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID > 성능
일반 특성 - 검색 시간 제한 |
글로벌 보안 > 독립형 LDAP 레지스트리 LDAP 서버 - 사용자 정의 특성 |
글로벌 보안 > 연합 저장소 > 사용자 정의 특성 |
글로벌 보안 > 독립형 LDAP 레지스트리 LDAP 서버 - 서버 사용자 ID |
글로벌 보안 > 연합 저장소 일반 특성 - 서버 사용자 ID |
글로벌 보안 > 독립형 LDAP 레지스트리 보안 – 바인드 식별 이름(DN) |
글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID
보안 - 바인드 식별 이름 |
글로벌 보안 > 독립형 LDAP 레지스트리 보안 - 바인드 비밀번호 |
글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID
보안 - 바인드 비밀번호 |
글로벌 보안 > 독립형 LDAP 레지스트리 >
고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리
설정 일반 특성 - Kerberos 사용자 필터 |
글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID
보안 - Kerberos 프린시펄 이름에 사용된 LDAP 속성 |
글로벌 보안 > 독립형 LDAP 레지스트리 >
고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리
설정 일반 특성 - 인증서 맵핑 모드 |
글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID
보안 - 인증서 맵핑 |
글로벌 보안 > 독립형 LDAP 레지스트리 >
고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리
설정 일반 특성 - 인증서 필터 |
글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID
보안 - 인증서 필터 |
연합 저장소 LDAP 구성 패널의 일반 특성 아래 영역 이름 필드는 이전 표에 나열되지 않습니다. 독립형 LDAP 구성 패널의 필드와 일대일로 대응하지 않기 때문입니다. 호스트 이름 및 포트 번호는 WebSphere Application Server 셀에서 독립형 LDAP 서버의 영역 이름을 나타냅니다. 영역 이름 변경에 대한 정보는 영역 구성 설정 주제를 참조하십시오.
사용자 필터, 그룹 필터, 사용자 ID 맵, 그룹 ID 맵, 그룹 멤버 ID 맵 필드도 이전 테이블에 나열되지 않습니다. 연합 저장소 LDAP 저장소 구성 패널의 필드에 일대일로 대응하지 않기 때문입니다. 이 LDAP 속성은 연합 저장소 LDAP 저장소 구성과 다르게 설정되며 다중 단계를 포함합니다. 이 설정은 다음 절 및 프로시저에서 자세히 설명합니다.
이 태스크 정보
독립형 LDAP 저장소 구성을 연합 저장소 LDAP 저장소 구성으로 마이그레이션하는 경우 이전 절의 테이블 1에 나온 대로, 대부분 단순한, 구성 매개변수 마이그레이션 작업이 포함됩니다. 검색 필터의 마이그레이션은 독립형 LDAP 저장소 구성을 연합 저장소 LDAP 구성으로 마이그레이션하는 중요한 부분이므로, LDAP 검색 필터의 개념 및 마이그레이션은 여기서 자세히 설명합니다.
독립형 LDAP 레지스트리 검색 필터는 LDAP 필터 구문을 준수합니다. 여기서는 검색에 기반하는 속성 및 해당 값을 지정합니다.
사용자 필터는 레지스트리에서 사용자를 검색할 때 사용됩니다. 필터에 지정된 속성을 사용하여 사용자를 인증하는 경우 사용됩니다.
그룹 필터는 레지스트리에서 그룹을 검색할 때 사용됩니다. 그룹을 검색할 특성을 지정합니다.
(&(uid=%v)(objectclass=ePerson))
uid 속성이 ePerson 오브젝트 클래스의 지정된 검색 패턴과 일치하는 사용자를 검색합니다.
(&(cn=%v)(objectclass=user))
cn 속성이 user 오브젝트 클래스의 지정된 검색 패턴과 일치하는 사용자를 검색합니다.
(&(sAMAccountName=%v)(objectcategory=user))
sAMAccountName 속성이 user 오브젝트 카테고리의 지정된 검색 패턴과 일치하는 사용자를 검색합니다.
(&(userPrincipalName=%v)(objectcategory=user))
userPrinciplalName 속성이 user 오브젝트 카테고리의 지정된 검색 패턴과 일치하는 사용자를 검색합니다.
(&(mail=%v)(objectcategory=user))
mail 속성이 user 오브젝트 카테고리의 지정된 검색 패턴과 일치하는 사용자를 검색합니다.
(&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user))
sAMAccountName 또는 userPrincipaName 속성이 user 오브젝트 카테고리의 지정된 검색 패턴과 일치하는 사용자를 검색합니다.
널리 사용되는 그룹 필터 예제:
(&cn=%v)(objectCategory=group)
공통 이름(cn)에 기반하여 그룹을 찾습니다.
(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))
공통 이름(cn)에 기반하여 groupOfNames 또는 groupOfUniqueNames의 오브젝트 클래스를 사용하여 그룹을 찾습니다.
이 예제에 나온 대로, 독립형 LDAP 레지스트리 검색 필터는 검색 또는 로그인 중 수행되는 작업에 기반하여 LDAP 속성 및 오브젝트 클래스로 구성됩니다.
또한 연합 저장소의 LDAP 어댑터 구성에서 LDAP 속성 및 오브젝트 클래스를 지정할 수도 있지만, 서로 다르게 구성되면 더 많은 탄력성을 부여합니다. 연합 저장소에서 사용자는 PersonAccount 엔티티 유형으로, 그룹은 Group 엔티티 유형으로 표시됩니다. 각 엔티티 유형은 고유한 상대적 식별 이름(RDN) 특성(rdnProperties) 및 오브젝트 클래스를 보유할 수 있습니다. 예를 들어, PersonAccount의 기본 RDN 특성이 uid이고 Group의 기본 RDN 특성이 cn입니다. 기본 오브젝트 클래스 맵핑은 LDAP 서버 유형에 따라 달라집니다. 예를 들어, Tivoli Directory Server의 경우 PersonAccount의 오브젝트 클래스는 inetOrgPerson이고 Group의 오브젝트 클래스는 groupOfNames입니다. 또한 PersonAccount는 로그인 특성을 보유할 수 있습니다. 사용자가 로그인하거나 사용자 레지스트리에서 사용자를 검색하는 경우 이러한 로그인 특성은 패턴과 일치됩니다. 예를 들어, 로그인 특성이 uid 및 mail인 경우 검색 패턴, a*에 대해 uid=a* 또는 mail=a*와 일치하는 모든 사용자가 리턴됩니다.

검색 필터 마이그레이션에는 올바른 로그인 특성 설정, 연합 저장소 특성에 백엔드 저장소의 속성 맵핑, 오브젝트 클래스 설정, 오브젝트 클래스 또는 오브젝트 카테고리를 사용하여 검색 필터 설정, 멤버 또는 멤버십 속성 설정과 같은 단계 중 하나 이상이 포함됩니다. 연합 저장소의 맵핑 및 구성은 wimconfig.xml 파일에서 유지보수됩니다.
- 사용자 또는 그룹 속성 필터
- 사용자나 그룹 오브젝트 클래스 또는 오브젝트 카테고리 필터
- 속성 필터는 (cn=%v)임
- 오브젝트 클래스 필터는 (objectclass=user)임
- 속성 필터는 사용자의 경우 RDN 특성이나 로그인 특성 구성 및 그룹의 경우 RDN 특성 구성에 맵핑됩니다.
- 오브젝트 클래스 필터는 LDAP 어댑터의 엔티티 유형 구성에 맵핑됩니다.
- 속성 필터:
- RDN 특성 및 로그인 특성 중 하나 또는 둘 다 설정(해당되는 경우)
- 해당되는 경우 연합 저장소 특성을 LDAP 속성에 맵핑
- 오브젝트 클래스 필터:
- 해당되는 경우 엔티티 유형에 대한 오브젝트 클래스 설정
- 해당되는 경우 엔티티 유형의 검색 필터 설정
- 예제 1은 독립형 IBM Tivoli Directory Server LDAP 저장소에서 ID가 LDAPTDS인 연합 저장소 LDAP 저장소로 검색 필터 (&(cn=%v)(objectclass=ePerson))을 마이그레이션하는 시나리오에 적용 가능합니다.
- 예제 2는 독립형 icrosoft Active Directory LDAP 저장소에서 ID가 LDAPAD인 연합 저장소 LDAP 저장소로 검색 필터 (&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user))을 마이그레이션하는 시나리오에 적용 가능합니다. sAMAccountName 및 userPrincipalName 속성은 연합 저장소에 정의되지 않으므로 해당 속성은 연합 저장소 특성에 맵핑되어야 합니다.