연합 저장소 구성에서 LDAP(Lightweight Directory Access Protocol) 구성
이 주제에 따라 연합 저장소 구성에서 LDAP(Lightweight Directory Access Protocol) 설정을 구성합니다.
시작하기 전에
- 연합 저장소 아래 새 구성에서 단일 LDAP(Lightweight Directory Access Protocol) 저장소 구성
- 단일 LDAP(Lightweight Directory Access Protocol) 저장소만 포함하도록 연합 저장소 구성 변경
- 연합 저장소 구성에서 다중 LDAP(Lightweight Directory Access Protocol) 저장소 구성
- 연합 저장소 구성에서 단일 기본 파일 기반 저장소 및 하나 이상의 LDAP(Lightweight Directory Access Protocol) 저장소 구성
- 연합 저장소 구성에서 저장소 관리
이 태스크 정보
프로시저
- 저장소 ID 필드에 저장소의 고유 ID를 입력하십시오. 이 ID는 셀에서 저장소를 고유하게 식별합니다(예: LDAP1).
- 디렉토리 유형 목록에서 사용되는 LDAP 서버 유형을 선택하십시오. LDAP 서버의 유형은 WebSphere® Application Server에서 사용하는 기본 필터를
결정합니다.
IBM® Tivoli® Directory Server 사용자는 IBM Tivoli Directory Server 또는 SecureWay를 디렉토리 유형으로 선택할 수 있습니다. 성능 향상을 위해 IBM Tivoli Directory Server 디렉토리 유형을 사용합니다. 지원되는 LDAP 서버의 목록은 특정 Directory Server를 LDAP 서버로 사용의 내용을 참조하십시오.
- 1차 호스트 이름 필드에서 1차 LDAP 서버의 완전한 호스트 이름을 입력하십시오. IP 주소 또는 도메인 이름 시스템(DNS) 이름을 입력할 수 있습니다.
- 포트 필드에 LDAP 디렉토리의 서버 포트를 입력하십시오. 호스트 이름 및 포트 번호는 혼합 버전 노드 셀에서 이 LDAP 서버의 영역을
나타냅니다. 다른 셀의 서버가 LTPA(Lightweight
Third Party Authentication) 토큰을 사용하는 다른 서버와 통신하는 경우
이 영역은 모든 셀에서 정확히 일치해야 합니다.
기본값은 389이며, SSL(Secure Sockets Layer) 연결이 아닙니다. SSL(Secure Sockets Layer) 연결에 대해서는 포트 636을 사용하십시오. 일부 LDAP 서버의 경우 SSL 이외 연결 또는 SSL 연결에 대해 서로 다른 포트를 지정할 수 있습니다. 사용할 포트를 모르는 경우 LDAP 서버 관리자에게 문의하십시오.
다중 WebSphere Application Server가 동일한 싱글 사인온 도메인에서 실행되도록 설치 및 구성된 경우 또는 WebSphere Application Server가 WebSphere Application Server의 이전 버전과 상호 운용되는 경우 포트 번호는 모든 구성과 일치해야 합니다. 예를 들어, LDAP 포트가 버전 5.x 또는 6.0.x 구성에서 명시적으로 389로 지정되고 버전 6.1의 WebSphere Application Server가 버전 5.x 또는 6.0.x 서버와 상호 운용하려는 경우 포트 389가 버전 6.1 서버에 대해 명시적으로 지정되었는지 확인하십시오.
- 옵션: 장애 복구 호스트 이름 필드에서 장애 복구 LDAP 서버의 호스트 이름을 입력하십시오. 1차 디렉토리 서버를 사용할 수 없을 때 사용할 2차 디렉토리 서버를 지정할 수 있습니다. 2차 디렉토리 서버로 전환한 후 LDAP 저장소는 15분마다 1차 디렉토리 서버에 다시 연결하려고 시도합니다.
- 옵션: 포트 필드에 장애 복구 LDAP 서버의 포트를 입력하고 추가를 클릭하십시오. 기본값은 389이며, SSL(Secure Sockets Layer) 연결이 아닙니다. SSL(Secure Sockets Layer) 연결에 포트 636를 사용합니다. 일부 LDAP 서버의 경우, 비 SSL 또는 SSL 연결에 다른 포트를 지정할 수 있습니다. 사용할 포트를 모르는 경우, LDAP 서버 관리자에게 문의하십시오.
- 옵션: 참조 유형을 선택하십시오. 참조는 클라이언트 요청을 다른 LDAP 서버로 경로 재지정하는데 사용되는 엔티티입니다. 참조는 다른 오브젝트의 이름과
위치를 포함합니다. 클라이언트가 요청한 정보가 다른 위치, 가능한 다른 서버나 여러 서버에서
찾을 수 있음을 표시하도록 서버에서 전송됩니다. 기본값은 무시입니다.
- 무시
- 참조는 무시됩니다.
- 팔로우
- 참조가 자동으로 팔로우됩니다.
- 옵션: 저장소 변경 추적에 대한 지원 유형을 지정하십시오. 프로파일 관리자는
대응하는 어댑터에 요청을 전달하기 전에 이 값을 참조합니다.
이 값이 없으면 변경된 엔티티를 검색하도록 해당 저장소가 호출되지 않습니다.
- 없음
- 이 저장소에 대한 변경 추적 지원이 없음을 지정합니다.
- 네이티브
- 저장소의 네이티브 변경 추적 메커니즘은 가상 멤버 관리자에서 사용되어 변경된 엔티티를 리턴하도록 지정합니다.
- 옵션: 사용자 정의 특성으로 임의의 이름 및 값 쌍을 지정하십시오. 이름은 특성 키이고 값은 내부 시스템 구성 특성을 설정하는 데 사용할 수 있는 문자열 값입니다. 새 특성을 정의하면 관리 콘솔에서 사용 가능한 설정 이외의 설정을 구성할 수 있습니다.
- 옵션: 바인드 식별 이름 필드에 바인드 DN 이름을 입력하십시오(예: cn=root). LDAP 서버에서 쓰기 조작을 위해 또는 사용자 및 그룹 정보를
가져오는 데 익명 바인드를 사용할 수 없는 경우 바인드 DN이 필요합니다.
대부분의 경우 바인드 DN 및 바인드 비밀번호가 필요합니다. 그러나 익명 바인드가
필요한 모든 기능을 만족할 수 있으면 바인드 DN 및 바인드 비밀번호는 필요하지
않습니다. LDAP 서버가 익명 바인드를 사용하도록 설정된 경우 이 필드는
공백으로 두십시오. 이름을 지정하지 않으면 애플리케이션 서버가 익명으로 바인드합니다.
참고: LDAP 조회를 작성하거나 찾아보려면 LDAP 속성 값(예: 사용자 및 그룹 정보)을 검색하고 읽을 권한이 있는 계정의 식별 이름(DN)을 사용하여 LDAP 클라이언트를 LDAP 서버에 바인드해야 합니다. LDAP 관리자는 바인드 DN에 대한 읽기 액세스 권한을 설정해야 합니다. 읽기 액세스 권한을 통해 기본 DN의 서브트리에 액세스할 수 있으며, 사용자 및 그룹 정보 검색에 성공할 수 있습니다.
디렉토리 서버는 각 디렉토리 항목에 대한 운영 속성을 제공합니다(예: IBM Directory Server는 ibm-entryUuid를 운영 속성으로 사용함). 이 속성의 값은 UUID(Universally Unique Identifier)입니다. 이 속성은 항목을 추가할 때 디렉토리 서버가 자동으로 선택하며, 고유하다고 예상됩니다. 이 동일한 값을 보유하는 이름이 같거나 다른 기타 항목은 없습니다. 디렉토리 클라이언트는 식별 이름에 의해 식별된 오브젝트를 구별하거나 이름을 바꾼 후 오브젝트를 찾을 때 이 속성을 사용할 수 있습니다. 바인드 신임 정보가 이 속성을 읽을 권한이 있는지 확인하십시오.
- 옵션: 바인드 비밀번호 필드에 바인드 DN에 대응하는 비밀번호를 입력하십시오.
- 옵션: 로그인 특성 필드에 WebSphere Application Server에
로그인할 때 사용할 특성 이름을 입력하십시오. 이 필드는
세미콜론(;)으로 구분된 다중 로그인 특성을 사용합니다. 예: uid;mail. 참고: 로그인 특성에서 대소문자를 구분하려면 attributeCache를 사용하지 않는지 확인하십시오. 또는 식별 이름 요소의 일부가 아닌 로그인 특성 이름을 정의하도록 선택할 수 있습니다.
모든 로그인 특성은 로그인 중에 검색됩니다. 다중 항목을 찾거나 찾은 항목이 없으면 예외가 발생합니다. 예를 들어, 로그인 특성을 uid;mail로 지정하고 로그인 ID를 Bob로 지정할 경우, 검색 필터는 uid=Bob 또는 mail=Bob를 검색합니다. 검색이 단일 항목을 리턴하면 인증을 계속 진행할 수 있습니다. 그렇지 않으면 예외가 발생합니다.
지원된 구성: 여러 로그인 특성을 정의하는 경우 첫 번째 로그인 특성은 연합 저장소 principalName 특성에 프로그래밍 방식으로 맵핑됩니다. 예를 들어, 로그인 특성으로 uid;mail을 설정하면 LDAP 속성 uid 값은 연합 저장소 principalName 특성으로 맵핑됩니다. 여러 로그인 특성을 정의한 경우 로그인 후 첫 번째 로그인 특성은 principalName 특성의 값으로 리턴됩니다. 예를 들어, joe@yourco.com을 principalName 값으로 전달하고 로그인 특성을 uid;mail로 구성하면 principalName은 joe로 리턴됩니다.sptcfg
- 옵션: Kerberos 프린시펄 이름에 대한 LDAP 속성을 지정하십시오. 이 필드는 사용 가능하며, Kerberos가 구성된 경우에만 수정 가능하고, 활성 또는 선호 인증 메커니즘 중 하나입니다.
- 옵션: 인증서 맵핑 필드에서 인증서 맵 모드를 선택하십시오. LDAP을 저장소로 선택한 경우 사용자 인증을 위해 X.590 인증서를 사용할 수 있습니다. 인증서 맵핑 필드는 LDAP 디렉토리 사용자에 X.509 인증서를 맵핑할 때 EXACT_DN 또는 CERTIFICATE_FILTER 중 사용 여부를 표시하는 데 사용됩니다. EXACT_DN을 선택하면 인증서의 DN은 대소문자 및 공백을 포함하여 LDAP 서버의 사용자 항목과 정확히 일치해야 합니다.
- 인증서 맵핑 필드에서 CERTIFICATE_FILTER를
선택하는 경우 LDAP의 항목에 클라이언트 인증서의 속성을 맵핑하는 경우 LDAP 필터를
지정하십시오.
둘 이상의 LDAP 항목이 런타임 시 필터 스펙과 일치하는 경우 결과가 모호한 일치이므로 인증에 실패합니다. 이 필터의 구문 또는 구조는 다음과 같습니다.
LDAP attribute=${Client certificate attribute}
예: uid=${SubjectCN}.
필터 스펙의 첫 번째 항목(LDAP attribute)은 사용을 위해 사용자 LDAP 서버가 구성되는 스키마에 따른 LDAP 속성입니다. 필터 스펙의 다른 항목(${Client certificate attribute})은 사용자 클라이언트 인증의 공용 속성 중 하나입니다. 이 쪽은 달러 기호($)와 여는 괄호({)로 시작하고 닫는 괄호(})로 끝나야 합니다. 필터 스펙의 이 방향에서 다음 인증서 속성 값을 사용할 수 있습니다. 이때 문자열의 대소문자가 중요합니다.- ${UniqueKey}
- ${PublicKey}
- ${IssuerDN}
- ${Issuer<xx>}
여기서 <xx>는 발행자 식별 이름의 올바른 컴포넌트를 표시하는 문자로 바뀝니다. 예를 들어, 발행자 공통 이름으로 ${IssuerCN}을 사용할 수 있습니다.
- ${NotAfter}
- ${NotBefore}
- ${SerialNumber}
- ${SigAlgName}
- ${SigAlgOID}
- ${SigAlgParams}
- ${SubjectDN}
- ${Subject<xx>}
여기서 <xx>는 주제 식별 이름의 올바른 컴포넌트를 나타내는 문자로 바뀝니다. 예를 들어, 주제 공통 이름으로, ${SubjectCN}을 사용할 수 있습니다.
- ${Version}
- 옵션: LDAP 서버에서 SSL(Secure Sockets Layer) 통신을 사용하려는 경우
SSL 통신 필요 옵션을 선택하십시오. SSL 통신 필요 옵션을 선택한 경우 중앙 관리 또는 특정 SSL 별명 사용 옵션을 선택할 수 있습니다.
- 중앙에서 관리
- 한 위치에서 셀, 노드, 서버 또는 클러스터와 같은
특정 범위에 대한 SSL 구성을 지정할 수 있습니다. 중앙 관리 옵션을 사용하려면
특정 엔드포인트 세트에 대해 SSL 구성을 지정해야 합니다.
엔드포인트 보안 구성 및 신뢰 구역 관리 패널은
SSL 프로토콜을 사용하는 모든 인바운드 및 아웃바운드 엔드포인트를
표시합니다. 패널의 인바운드 또는 아웃바운드 섹션을 펼치고
노드 이름을 클릭하면 해당 노드에 있는 모든 엔드포인트에 대해 사용되는 SSL 구성을
지정할 수 있습니다. LDAP 레지스트리의 경우 LDAP에 대한 SSL 구성을 지정하여 상속된 SSL 구성을
대체할 수 있습니다. LDAP에 대한 SSL 구성을
지정하려면 다음 단계를 완료하십시오.
- 보안 > SSL 인증서 및 키 관리 > 엔드포인트 보안 구성 및 신뢰 구역 관리를 클릭하십시오.
- 아웃바운드 > cell_name > 노드 > node_name > 서버 > server_name > LDAP을 펼치십시오.
- 특정 SSL 별명 사용
- 옵션 뒤에 나오는 메뉴에서 SSL 구성 중 하나를 선택하려는 경우
특정 SSL 별명 사용 옵션을 선택합니다. 이 구성은 LDAP에 대해 SSL이 사용 가능한 경우에만 사용됩니다. 기본값은 DefaultSSLSettings입니다. 새 SSL 구성을 수정하거나 작성하려면 다음 단계를 완료하십시오.
- 보안 > SSL 인증서 및 키 관리를 클릭하십시오.
- 구성 설정에서 엔드포인트 보안 구성 및 신뢰 구역 관리 > configuration_name을 클릭하십시오.
- 관련 항목에서 SSL 구성을 클릭하십시오.
- 확인을 클릭하십시오.
결과
다음에 수행할 작업
- 연합 저장소 아래 새 구성에서 단일 LDAP(Lightweight Directory Access Protocol) 저장소 구성
- 단일 LDAP(Lightweight Directory Access Protocol) 저장소만 포함하도록 연합 저장소 구성 변경
- 연합 저장소 구성에서 다중 LDAP(Lightweight Directory Access Protocol) 저장소 구성
- 연합 저장소 구성에서 단일 기본 파일 기반 저장소 및 하나 이상의 LDAP(Lightweight Directory Access Protocol) 저장소 구성
- 연합 저장소 구성에서 저장소 관리
하위 주제
LDAP(Lightweight Directory Access Protocol) 저장소 구성 설정
선택적 장애 복구 서버로 LDAP(Lightweight Directory Access Protocol) 저장소에 대한 보안 액세스를 구성하려면 이 페이지를 사용하십시오.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_ldap_settings
파일 이름:twim_ldap_settings.html