독립형 LDAP 저장소를 연합 저장소 LDAP 저장소 구성으로 마이그레이션

애플리케이션 서버에 대한 보안을 구성하는 경우 연합 저장소 LDAP 저장소 구성으로 독립형 LDAP 레지스트리를 마이그레이션해야 할 수도 있습니다.

시작하기 전에

연합 저장소에서 LDAP 저장소를 구성할 때 참조용으로 마이그레이션하려는 독립형 LDAP 저장소의 스펙을 참조하십시오. 이 필드에 액세스하려면 관리 콘솔에서 보안 > 글로벌 보안을 클릭하고 사용자 계정 저장소의 사용 가능한 영역 정의 필드에서 독립형 LDAP 레지스트리 또는 연합 저장소를 선택하고 구성을 클릭하십시오. 다중 보안 도메인 환경에서 이 필드에 액세스하려면 보안 > 글로벌 보안 > 보안 도메인 > domain_name을 클릭한 후 보안 속성에서 사용자 영역을 펼치고 이 도메인에 대해 사용자 정의를 클릭하십시오. 영역 유형으로 독립형 LDAP 레지스트리 또는 연합 저장소를 선택하고 구성을 클릭하십시오.

문제점 방지 문제점 방지: LDAP 속성 사용 방법에 친숙하지 않은 경우(특히, 사용자 필터 및 그룹 필터 속성) LDAP 관리자에게 시스템에 적절한 이 속성 값의 설정에 대한 지원을 문의하십시오. gotcha

다음 테이블에서는 독립형 LDAP 저장소 구성의 관리 콘솔의 패널 및 필드와 맵핑을 위한 연합 저장소 LDAP 저장소 구성의 대응하는 필드를 보여줍니다.

표 1. 독립형 LDAP 저장소 구성 및 연합 저장소 LDAP 저장소 구성 사이의 맵핑. 다음 테이블에서는 독립형 LDAP 저장소 구성 및 연합 저장소 LDAP 저장소 구성 사이의 맵핑을 보여줍니다.
독립형 LDAP 저장소 구성 연합 저장소 구성에서 LDAP 저장소
글로벌 보안 > 독립형 LDAP 레지스트리

일반 특성 - 1차 관리자 이름

글로벌 보안 > 연합 저장소

일반 특성 - 1차 관리자 이름

글로벌 보안 > 독립형 LDAP 레지스트리

LDAP 서버 - LDAP 서버 유형

글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID

LDAP 서버 - 디렉토리 유형

글로벌 보안 > 독립형 LDAP 레지스트리

LDAP 서버 - 호스트

글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID

LDAP 서버 - 1차 호스트 이름

글로벌 보안 > 독립형 LDAP 레지스트리

LDAP 서버 - 포트

글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID

LDAP 서버 - 포트

글로벌 보안 > 독립형 LDAP 레지스트리

LDAP 서버 - 장애 복구 호스트

글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID

LDAP 서버 - 1차를 사용할 수 없는 경우 장애 복구 서버

글로벌 보안 > 독립형 LDAP 레지스트리

LDAP 서버 - 기본 식별 이름(DN)

글로벌 보안 > 연합 저장소 > 저장소 참조(영역에 기본 항목 추가 클릭)

일반 특성 - 영역에서 이 항목 세트를 고유하게 식별하는 기본 항목의 식별 이름

일반 특성 - 이 저장소에서 기본 항목의 식별 이름

글로벌 보안 > 독립형 LDAP 레지스트리

LDAP 서버 - 검색 제한시간

글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID > 성능

일반 특성 - 검색 시간 제한

글로벌 보안 > 독립형 LDAP 레지스트리

LDAP 서버 - 사용자 정의 특성

글로벌 보안 > 연합 저장소 > 사용자 정의 특성
글로벌 보안 > 독립형 LDAP 레지스트리

LDAP 서버 - 서버 사용자 ID

글로벌 보안 > 연합 저장소

일반 특성 - 서버 사용자 ID

글로벌 보안 > 독립형 LDAP 레지스트리

보안 – 바인드 식별 이름(DN)

글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID

보안 - 바인드 식별 이름

글로벌 보안 > 독립형 LDAP 레지스트리

보안 - 바인드 비밀번호

글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID

보안 - 바인드 비밀번호

글로벌 보안 > 독립형 LDAP 레지스트리 > 고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리 설정

일반 특성 - Kerberos 사용자 필터

글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID

보안 - Kerberos 프린시펄 이름에 사용된 LDAP 속성

글로벌 보안 > 독립형 LDAP 레지스트리 > 고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리 설정

일반 특성 - 인증서 맵핑 모드

글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID

보안 - 인증서 맵핑

글로벌 보안 > 독립형 LDAP 레지스트리 > 고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리 설정

일반 특성 - 인증서 필터

글로벌 보안 > 연합 저장소 > 저장소 관리 > repository_ID

보안 - 인증서 필터

연합 저장소 LDAP 구성 패널의 일반 특성 아래 영역 이름 필드는 이전 표에 나열되지 않습니다. 독립형 LDAP 구성 패널의 필드와 일대일로 대응하지 않기 때문입니다. 호스트 이름 및 포트 번호는 WebSphere Application Server 셀에서 독립형 LDAP 서버의 영역 이름을 나타냅니다. 영역 이름 변경에 대한 정보는 영역 구성 설정 주제를 참조하십시오.

사용자 필터, 그룹 필터, 사용자 ID 맵, 그룹 ID 맵, 그룹 멤버 ID 맵 필드도 이전 테이블에 나열되지 않습니다. 연합 저장소 LDAP 저장소 구성 패널의 필드에 일대일로 대응하지 않기 때문입니다. 이 LDAP 속성은 연합 저장소 LDAP 저장소 구성과 다르게 설정되며 다중 단계를 포함합니다. 이 설정은 다음 절 및 프로시저에서 자세히 설명합니다.

이 태스크 정보

독립형 LDAP 저장소 구성을 연합 저장소 LDAP 저장소 구성으로 마이그레이션하는 경우 이전 절의 테이블 1에 나온 대로, 대부분 단순한, 구성 매개변수 마이그레이션 작업이 포함됩니다. 검색 필터의 마이그레이션은 독립형 LDAP 저장소 구성을 연합 저장소 LDAP 구성으로 마이그레이션하는 중요한 부분이므로, LDAP 검색 필터의 개념 및 마이그레이션은 여기서 자세히 설명합니다.

독립형 LDAP 레지스트리 검색 필터는 LDAP 필터 구문을 준수합니다. 여기서는 검색에 기반하는 속성 및 해당 값을 지정합니다.

사용자 필터는 레지스트리에서 사용자를 검색할 때 사용됩니다. 필터에 지정된 속성을 사용하여 사용자를 인증하는 경우 사용됩니다.

그룹 필터는 레지스트리에서 그룹을 검색할 때 사용됩니다. 그룹을 검색할 특성을 지정합니다.

널리 사용되는 LDAP 사용자 필터 예제: 검색 필터의 다음 예제에서 %v는 런타임 시 사용자 또는 그룹의 대응하는 검색 패턴으로 바뀝니다.

(&(uid=%v)(objectclass=ePerson))

uid 속성이 ePerson 오브젝트 클래스의 지정된 검색 패턴과 일치하는 사용자를 검색합니다.

(&(cn=%v)(objectclass=user))

cn 속성이 user 오브젝트 클래스의 지정된 검색 패턴과 일치하는 사용자를 검색합니다.

(&(sAMAccountName=%v)(objectcategory=user))

sAMAccountName 속성이 user 오브젝트 카테고리의 지정된 검색 패턴과 일치하는 사용자를 검색합니다.

(&(userPrincipalName=%v)(objectcategory=user))

userPrinciplalName 속성이 user 오브젝트 카테고리의 지정된 검색 패턴과 일치하는 사용자를 검색합니다.

(&(mail=%v)(objectcategory=user))

mail 속성이 user 오브젝트 카테고리의 지정된 검색 패턴과 일치하는 사용자를 검색합니다.

(&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user))

sAMAccountName 또는 userPrincipaName 속성이 user 오브젝트 카테고리의 지정된 검색 패턴과 일치하는 사용자를 검색합니다.

널리 사용되는 그룹 필터 예제:

(&cn=%v)(objectCategory=group)

공통 이름(cn)에 기반하여 그룹을 찾습니다.

(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))

공통 이름(cn)에 기반하여 groupOfNames 또는 groupOfUniqueNames의 오브젝트 클래스를 사용하여 그룹을 찾습니다.

이 예제에 나온 대로, 독립형 LDAP 레지스트리 검색 필터는 검색 또는 로그인 중 수행되는 작업에 기반하여 LDAP 속성 및 오브젝트 클래스로 구성됩니다.

또한 연합 저장소의 LDAP 어댑터 구성에서 LDAP 속성 및 오브젝트 클래스를 지정할 수도 있지만, 서로 다르게 구성되면 더 많은 탄력성을 부여합니다. 연합 저장소에서 사용자는 PersonAccount 엔티티 유형으로, 그룹은 Group 엔티티 유형으로 표시됩니다. 각 엔티티 유형은 고유한 상대적 식별 이름(RDN) 특성(rdnProperties) 및 오브젝트 클래스를 보유할 수 있습니다. 예를 들어, PersonAccount의 기본 RDN 특성이 uid이고 Group의 기본 RDN 특성이 cn입니다. 기본 오브젝트 클래스 맵핑은 LDAP 서버 유형에 따라 달라집니다. 예를 들어, Tivoli Directory Server의 경우 PersonAccount의 오브젝트 클래스는 inetOrgPerson이고 Group의 오브젝트 클래스는 groupOfNames입니다. 또한 PersonAccount는 로그인 특성을 보유할 수 있습니다. 사용자가 로그인하거나 사용자 레지스트리에서 사용자를 검색하는 경우 이러한 로그인 특성은 패턴과 일치됩니다. 예를 들어, 로그인 특성이 uid 및 mail인 경우 검색 패턴, a*에 대해 uid=a* 또는 mail=a*와 일치하는 모든 사용자가 리턴됩니다.

문제점 방지 문제점 방지: 연합 저장소에서 첫 번째 로그인 특성(loginProperties) 또는 RDN 특성(rdnProperties)으로 독립형 LDAP 저장소의 사용자 ID 맵 특성(userIdMap)의 값을 지정할 수 있습니다. 연합 저장소에서 RDN 특성 및 로그인 특성 모두를 설정할 수 있어도 RDN 특성만 설정해도 충분합니다. 로그인 특성은 선택사항이며, 로그인 특성이 RDN 특성과 다르거나 둘 이상의 로그인 특성이 있는 경우에만 설정해야 합니다. RDN 특성 및 로그인 특성 모두 설정한 경우 로그인 특성이 RDN 특성보다 우선됩니다. gotcha

검색 필터 마이그레이션에는 올바른 로그인 특성 설정, 연합 저장소 특성에 백엔드 저장소의 속성 맵핑, 오브젝트 클래스 설정, 오브젝트 클래스 또는 오브젝트 카테고리를 사용하여 검색 필터 설정, 멤버 또는 멤버십 속성 설정과 같은 단계 중 하나 이상이 포함됩니다. 연합 저장소의 맵핑 및 구성은 wimconfig.xml 파일에서 유지보수됩니다.

독립형 LDAP 레지스트리 검색 필터는 다음과 같은 두 개 파트로 분할될 수 있습니다.
  • 사용자 또는 그룹 속성 필터
  • 사용자나 그룹 오브젝트 클래스 또는 오브젝트 카테고리 필터
예를 들어, 검색 필터에서 (&(cn=%v)(objectclass=user)):
  • 속성 필터는 (cn=%v)임
  • 오브젝트 클래스 필터는 (objectclass=user)임
다음 두 필터는 연합 저장소 구성에서 별도로 맵핑됩니다.
  • 속성 필터는 사용자의 경우 RDN 특성이나 로그인 특성 구성 및 그룹의 경우 RDN 특성 구성에 맵핑됩니다.
  • 오브젝트 클래스 필터는 LDAP 어댑터의 엔티티 유형 구성에 맵핑됩니다.
기본 속성 및 오브젝트 클래스 맵핑은 LDAP 서버 유형에 기반하여 설정되지만, 다음 두 개 필터를 마이그레이션하려면 추가 단계가 필요할 수 있습니다.
  • 속성 필터:
    • RDN 특성 및 로그인 특성 중 하나 또는 둘 다 설정(해당되는 경우)
    • 해당되는 경우 연합 저장소 특성을 LDAP 속성에 맵핑
  • 오브젝트 클래스 필터:
    • 해당되는 경우 엔티티 유형에 대한 오브젝트 클래스 설정
    • 해당되는 경우 엔티티 유형의 검색 필터 설정
다음 프로시저의 일부 단계는 두 개의 예제를 포함합니다. 이 단계에서는 다음과 같습니다.
  • 예제 1은 독립형 IBM Tivoli Directory Server LDAP 저장소에서 ID가 LDAPTDS인 연합 저장소 LDAP 저장소로 검색 필터 (&(cn=%v)(objectclass=ePerson))을 마이그레이션하는 시나리오에 적용 가능합니다.
  • 예제 2는 독립형 icrosoft Active Directory LDAP 저장소에서 ID가 LDAPAD인 연합 저장소 LDAP 저장소로 검색 필터 (&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user))을 마이그레이션하는 시나리오에 적용 가능합니다. sAMAccountName 및 userPrincipalName 속성은 연합 저장소에 정의되지 않으므로 해당 속성은 연합 저장소 특성에 맵핑되어야 합니다.

프로시저

  1. 연합 저장소 구성으로 마이그레이션하려는 LDAP 저장소를 추가하십시오.

    이 주제의 시작하기 전에 절에 있는 테이블 1을 참조하여 연합 저장소 아래 새 구성에서 단일 LDAP(Lightweight Directory Access Protocol) 저장소 구성 주제에서 설명하는 단계를 수행하십시오. 이 단계는 다음과 같이 완료해야 하는 기타 프로시저에 대한 링크를 포함합니다.

    • 연합 저장소 구성에서 외부 저장소 추가.
    • 연합 저장소 구성에서 지원되는 엔티티 유형 구성.
    • 연합 저장소 구성에서 LDAP(Lightweight Directory Access Protocol) 구성.

    이 단계를 완료하면 마이그레이션하려는 LDAP 저장소가 연합 저장소 구성에 구성됩니다.

  2. 해당되는 경우 로그인 특성을 설정하십시오.

    로그인 특성은 WebSphere Application Server에 로그온하는 데 사용되는 특성 이름입니다. 세미콜론(;)을 구분 기호로 사용하여 다중 로그인 특성을 지정할 수 있습니다. 일반적으로 로그인 특성으로 사용되는 연합 저장소 특성은 uid, cn, sn, givenName, mail 등입니다.

    관리 콘솔에서 로그인 특성을 설정하려면 LDAP(Lightweight Directory Access Protocol) 저장소 구성 설정 주제의 단계를 수행하고 로그인 특성 섹션 아래 설정을 적용하십시오.
    예 1: 로그인 특성 필드에 cn을 입력하십시오.
    예 2: 로그인 특성 필드에 uid;cn을 입력하십시오.

    3단계를 완료하여 LDAP 속성에 이 특성을 맵핑하십시오.

  3. 해당되는 경우 연합 저장소 특성을 LDAP 속성에 맵핑하십시오.
    LDAP 속성이 연합 저장소 특성이 아닌 경우 정의한 로그인 특성은 LDAP 속성에 맵핑되어야 합니다.
    1. 관리 콘솔에서 보안 > 전체 보안을 클릭하십시오.
    2. 사용자 계정 저장소의 사용 가능한 영역 정의 필드에서 연합 저장소를 선택하고 구성을 클릭합니다. 다중 보안 도메인 환경에서 특정 도메인을 구성하려면 보안 도메인 > domain_name을 클릭합니다. 보안 속성에서 사용자 영역을 확장하고 이 도메인에 대한 사용자 정의를 클릭합니다. 영역 유형을 연합 저장소로 선택한 다음 구성을 클릭합니다.
    3. 관련 항목에서 저장소 관리 > repository_ID를 클릭하고 추가 특성에서 LDAP 속성 링크를 클릭하십시오.
    4. 속성 맵핑이 있으면 먼저 LDAP 속성의 기존 맵핑을 삭제하고 속성의 새 맵핑을 추가해야 합니다. LDAP 속성 이름 옆의 선택란을 선택하고 삭제를 클릭하십시오.
    5. 속성 맵핑을 추가하려면 추가를 클릭하고 드롭 다운 메뉴에서 지원됨을 선택하십시오. 이름 필드에 LDAP 속성 이름을 입력하고 특성 이름 필드에 연합 저장소 특성 이름을 입력하고 엔티티 유형 필드에 속성 맵핑을 적용하는 엔티티 유형을 입력하십시오.
    예 1: 연합 저장소 특성 cn은 내재적으로 cn LDAP 속성에 맵핑되므로 추가 맵핑은 필요하지 않습니다.
    예 2: 여기서 검색 필터는 두 개의 LDAP 속성, sAMAccountName, userPrincipalName을 포함합니다.
    • LDAP 서버 유형, Active Directory의 경우 LDAP 속성 sAMAccountName은 LDAP 속성 패널의 속성 목록에 나온 대로, 연합 저장소 특성, uid에 기본적으로 맵핑됩니다. 따라서 sAMAccountName에 대한 속성 구성을 추가하기 위해 addIdMgrLDAPAttr 명령을 실행하지 않아도 됩니다.
    • LDAP 속성 userPrincipalName에 대한 속성 맵핑이 존재하면 새 구성을 추가하기 전에 기존 속성 맵핑을 삭제하십시오.
      1. userPrincalName 옆의 선택란을 선택하고 삭제를 클릭하십시오.
      2. 추가를 클릭하고 드롭 다운 메뉴에서 지원됨을 선택하십시오.
      3. 이름 필드에 userPrincipalName을 입력하십시오.
      4. 특성 이름 필드에 cn을 입력하십시오.
      5. 엔티티 유형 필드에 PersonAccount를 입력하십시오.
  4. 해당되는 경우 엔티티 유형에 대한 오브젝트 클래스를 설정하십시오.
    문제점 방지 문제점 방지: 이 단계를 실행하기 전에 현재 맵핑을 확인하십시오. 오브젝트 클래스 맵핑을 이미 설정한 경우 이 단계를 건너뛰십시오. gotcha
    관리 콘솔에서 엔티티 유형에 대한 오브젝트 클래스를 설정하려면 LDAP(Lightweight Directory Access Protocol) 저장소 엔티티 유형 설정 주제의 단계를 수행하고 오브젝트 클래스 섹션 아래 다음 설정을 적용하십시오.
    • PersonAccount를 사용자 필터의 엔티티 유형 이름으로 지정하십시오.
    • Group을 그룹 필터의 엔티티 유형 이름으로 지정하십시오.
    예 1: 엔티티 유형 필드에 PersonAccount를 입력하십시오.

    오브젝트 클래스 필드에 ePerson을 입력하십시오.

    예 2: 엔티티 유형 필드에 PersonAccount를 입력하십시오.

    오브젝트 클래스 필드에 user를 입력하십시오.

  5. 해당되는 경우 엔티티 유형에 대한 검색 필터를 설정하십시오.

    연합 저장소는 오브젝트 클래스 설정에 기반하여 검색을 수행합니다. 이 기본 설정을 변경하고 필터로 오브젝트 카테고리를 사용하려면 LDAP(Lightweight Directory Access Protocol) 엔티티 유형 설정 주제의 단계를 수행하고 검색 필터 섹션 아래 설정을 적용하십시오.

    예 1: 검색은 오브젝트 클래스에 기반하므로 추가 구성은 필요하지 않습니다.
    예 2: 검색 필터 필드에 (objectcategory=user)에 입력하십시오.
  6. 그룹 필터를 마이그레이션하려면 그룹 속성 정의 설정도 구성해야 합니다.

    관리 콘솔을 통해 그룹 속성 정의 설정을 구성하는 단계는 연합 저장소 레지스트리 내 LDP 레지스트리 섹션 아래 LDAP(Lightweight Directory Access Protocol)에서 사용자 그룹 멤버십 찾기 주제에서 지정됩니다. wsadmin 명령 addIdMgrLDAPGroupDynamicMemberAttr 또는 addIdMgrLDAPGroupMemberAttr을 사용할 수도 있습니다. 이 명령은 AdminTask 오브젝트의 IdMgrRepositoryConfig 명령 그룹 주제에서 설명합니다.

  7. 구성 변경사항을 저장하십시오.
  8. Application Server를 다시 시작하십시오.

결과

이 단계를 완료하면 연합 저장소 구성에서 사용하도록 LDAP 저장소가 구성됩니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_migrate_standaloneldap
파일 이름:twim_migrate_standaloneldap.html