Microsoft Active Directory를 사용하는 인증
많은 설치는 Microsoft Active Directory를 사용자 인증 및 사용자 데이터를 관리하기 위한 1차 컴포넌트로서 사용합니다. Microsoft Active Directory의 한 부분은 LDAP(Lightweight Directory Access Protocol) 서비스를 제공합니다. WebSphere® Application Server에서는 LDAP을 지원하며 따라서 WebSphere Application Server는 Microsoft Active Directory를 지원합니다.
Microsoft Active Directory가 완벽하게 LDAP을 준수하며 LDAP 정보를 WebSphere Application Server에 대한 디렉토리 정보를 확보하기 어렵게 만드는 방식으로 표시합니다.
WebSphere Application Server는 단일 LDAP 디렉토리가 조작에 필요한 모든 정보를 포함하는 것으로 가정하여 다양한 방식으로 작동합니다. 복잡한 Microsoft Active Directory 구성을 사용하는 경우 이는 적용되지 않습니다. WebSphere Application Server - Microsoft Active Directory 설치는 데이터가 포레스트의 도메인 제어기에서 분산되기 때문에 고유한 인증 확인을 처리해야 합니다.
Microsoft Active Directory 설치는 자주 포레스트 사용을 통합합니다. 따라서 사용자 ID 고유성에 연관된 보안 질문, 신뢰 가능한 사용자 그룹 정보 확보, 포레스트에 분산된 그룹 멤버십이 중요합니다.
다음 그림은 일반적인 Microsoft Active Directory 설치 환경을 강조표시합니다.

이 그림은 하나 이상의 트리가 포함된 두 개의 포레스트를 설명합니다. 트리는 도메인이 구성된 환경에 대한 기반을 양식화하는 단일 아토믹 단위인 하나 이상의 도메인을 포함합니다. 각 도메인은 식별 이름(DN)의 기본 도메인 컴포넌트로 구성됩니다(예: dc=acme, dc=com). 포레스트는 신뢰를 다른 포레스트로 확장할 수 있습니다(이 신뢰는 Kerberos를 기반으로 함). .
WebSphere Application Server가 포함된 Microsoft Active Directory 구성
- 단순 구성
- 일반 구성
- 덜 일반적인 구성
- 거의 없는 구성
가장 단순한 구성은 단일 도메인을 나타내는 독립형 LDAP 레지스트리로 구성됩니다. 이 구성은 WebSphere Application Server 및 Microsoft Active Directory 사이에서 가장 잘 맞는 구성을 나타냅니다. 이 구성에서 Microsoft Active Directory는 WebSphere Application Server 독립형 LDAP 사용자 레지스트리 구현을 통해 지원됩니다. 또는 이 단일 Microsoft Active Directory 도메인에 단일 LDAP 저장소를 포함하는 연합된 저장소 레지스트리를 통해 액세스할 수 있습니다.
단순 단일 도메인 Microsoft Active Directory 구성 외에 일반 Microsoft Active Directory 구성은 각 트리 분기가 도메인인 포레스트의 단일 트리로 구성됩니다. 4개의 도메인(A, B, C, D)의 단일 트리로 구성되는 이 구성의 예는 다음 예에서 보여줍니다.


덜 일반적인 WebSphere Application Server - Microsoft Active Directory 구성은 더 큰 엔터프라이즈의 조직 단위의 병합자로부터 진화됩니다. 도메인의 단일 포레스트가 엔터프라이즈를 서비스하면 몇 개의 새 조직 단위의 병합자는 트리를 포레스트에 추가하거나 단일 포레스트 이상을 환경에 추가할 수 있습니다. 이 환경에서 WebSphere Application Server LDAP 구성에는 더 조심스러운 디자인이 필요합니다. 별도의 LDAP 저장소가 포레스트의 각 트리 최상위로 맵핑되는 이런 환경에서는 연합된 저장소 레지스트리를 사용해야 합니다. 다시, Microsoft Active Directory 트리가 최상위 레벨 도메인 밑에 있는 경우 LDAP 참조는 LDAP 레지스트리에 대해 사용되어야 합니다. 병합자로 인해 작성된 포레스트는 다음 그림과 유사합니다.

거의 없는 구성은 사용자 포레스트 및 그룹 포레스트의 조합이 있는 구성된 Microsoft Active Directory 도메인으로 구성됩니다. 사용자는 그룹 포레스트에 ForeignSecurityPrincipals 오브젝트로 가져오기 됩니다. 그룹은 ForeignSecurityPrincipals 오브젝트의 식별 이름(DN)을 멤버로 포함합니다.
이 구성 양식에서 직접 그룹 검색은 발생하지 않습니다. 검색은 다중 레지스트리에서 정적 그룹 조회로 하향됩니다. 이 구성에는 사용자 정의 사용자 레지스트리가 필요합니다. 그렇지만 WebSphere Application Server 레지스트리는 이 유형의 구성을 지원하지 않습니다. 다음 그림을 참조하십시오.

Microsoft Active Directory 포레스트를 LDAP - 사용자 필터로 사용
다중 저장소 또는 분산 LDAP(예: Microsoft Active Directory 포레스트)에서 사용자 인증은 모험일 수 있습니다. 모호한 일치 결과로 인해 런타임에서 둘 이상의 일치가 발생하는 경우 전체 레지스트리의 모든 검색에서 인증이 실패합니다. 다중 Microsoft Active Directory 도메인 환경에서 WebSphere Application Server 관리자는 Microsoft Active Directory에서의 기본 고유 ID가 사용자의 sAMAccountName 속성이 되도록 고려해야 합니다. 사용자 ID는 단일 도메인에서 고유하도록 보장되지만 지정된 사용자 ID가 트리 또는 포레스트에서 고유하도록 보장하는 것은 가능하지 않습니다. Microsoft Active Directory 내에서 사용자의 sAMAccountName 속성을 사용하여 사용자 ID를 검색하는 방법에 대해서는 "Microsoft Active Directory 포레스트에서 LDAP 레지스트리를 사용하여 사용자 인증" 주제를 참조하십시오.
