Microsoft Active Directory 포리스트에서 LDAP 레지스트리로 사용자 인증

사용자를 여러 저장소 또는 Microsoft Active Directory 포리스트 등과 같은 분산된 LDAP(Lightweight Directory Access Protocol) 저장소를 걸쳐 인증하는 것은 쉬운 일이 아닙니다. 전체 사용자 레지스트리의 검색에서 런타임 시에 둘 이상의 일치가 있으면 모호한 일치 결과로 인해 인증이 실패합니다.

시작하기 전에

여러 Microsoft Active Directory 도메인 환경에서 WebSphere® Application Server 관리자는 Microsoft Active Directory의 기본 고유 ID가 사용자의 sAMAccountName 속성임을 고려해야 합니다.

이 태스크 정보

사용자 ID는 단일 도메인 내에서 고유한 것으로 보장됩니다. 그러나 트리 또는 포리스트 전체에서는 보증되지 않습니다. 예를 들어, 사용자 ID, smith가 포리스트 및 각 서브도메인에 추가된다고 가정하십시오. sAMAccountName=smith에 대한 검색이 세 개의 일치를 리턴합니다. WebSphere Application Server는 레지스트리에 둘 이상의 가능한 일치가 있을 때 이 사용자를 인증하지 않습니다.
그림 1. 포리스트 검색 전략. 전체 포리스트에 걸쳐 고유하지 않은 sAMAccountName의 검색 설명. 포리스트 검색 전략

sAMAccountName 속성을 기반으로 하는 대신에 포리스트에 걸쳐서 고유한 userPrincipalName 속성을 기반으로 하도록 사용자 필터를 변경하여 이 조건을 완화할 수 있습니다. 그러나 사용자는 이들이 모를 수도 있는 userPrincipalName을 사용하여 로그인해야 함을 알아야 합니다.

LDAP 사용자 레지스트리에 사용자 필터를 설정하기 위한 특정한 프로시저는 LDAP 레지스트리의 종류에 따라 다릅니다. 다음 예제는 결합 저장소 레지스트리를 위해 프로시저와 독립형 LDAP 레지스트리를 위한 프로시저를 설명합니다.

프로시저

  1. 독립형 LDAP 레지스트리에 사용자 필터를 설정하십시오. 고급 LDAP(Advance Lightweight Access Protocol) 사용자 레지스트리 설정 페이지에서 사용자 필터를 설정하여 sAMAccountName 값 대신에 userPrincipalName을 검색할 수 있습니다.
    예를 들면, 다음과 같습니다.
    (&(objectClass=user)(userPrincipalName=%w))
  2. 연합 저장소 레지스트리에서 사용자 필터 설정: 예를 들어, 관리 콘솔을 사용하여 Y LDAP 저장소의 로그인 특성을 uid;cn으로 변경할 수 있습니다.
    1. 보안 > 글로벌 보안을 클릭하십시오.
    2. 사용 가능한 영역 정의에서 연합 저장소, 구성을 차례로 선택합니다. 복합 보안 도메인 환경에서 보안 도메인 > domain_name을 클릭하십시오. 보안 속성에서 사용자 영역을 확장하고 이 도메인 사용자 정의를 클릭합니다. 영역 유형을 연합 저장소로 선택한 다음 구성을 클릭합니다.
    3. 관련 항목에서 저장소 관리를 클릭하십시오.
    4. 추가 > LDAP 저장소를 클릭하십시오.
    5. 일반 특성 아래에서 다음 정보를 추가하십시오.
      저장소 ID
      포리스트
      디렉토리 유형
      Microsoft Windows Active Directory
      1차 호스트 이름
      forest.acme.net
      포트
      389
      1차를 사용할 수 없을 때 사용되는 장애 복구 서버
      없음
      바인딩 고유 이름
      cn=wasbind, CN=Users, DC=ib
      바인드 비밀번호
      ********
      로그인 특성
      uid;cn
  3. 확인을 클릭하고 저장을 클릭하여 변경사항을 마스터 구성에 저장하십시오.
  4. LDAP 저장소 구성 페이지에서 추가 특성 아래에서 LDAP 속성을 클릭하십시오.
  5. 추가 > 지원됨을 클릭하십시오.
  6. 이름 필드에 userPrincipalName을 입력하십시오.
  7. 특성 이름 필드에 cn을 입력하십시오.
  8. 엔티티 유형 필드에 PersonAccount를 입력하십시오.
  9. 확인을 클릭하고 저장을 클릭하여 변경사항을 마스터 구성에 저장하십시오.
  10. 배치 관리자 구성에서 {WAS_HOME}\profiles\{profileName}\config\cells\{cellName}\wim\config\wimconfig.xml 또는 profile_root/conf/cells/<cell>/wim/config/wimconfig.xml 파일을 찾으십시오.
  11. wimconfig.xml 파일을 편집하십시오.
    1. 파일에서 <config:attributeConfiguration> 속성을 찾으십시오.
    2. 다음 행을 추가하십시오.
      <config:attributes name="userPrincipalName" propertyName="cn">
      <config:entityTypes>PersonAccount</config:entityTypes>
      </config:attributes>
    참고: wimconfig.xml 파일은 관리 콘솔의 처리에 의해 겹쳐쓰기됩니다. 이러한 "3" 행을 wimconfig.xml 파이에 추가하면 유실될 수도 있습니다.
  12. wimconfig.xml 파일을 저장하십시오.
  13. 구성에서 모든 노드에서 profile_root/bin/syncNode.bat 또는 profile_root/syncNode.bar/sh 스크립트를 실행하십시오.

결과

문제점 방지 문제점 방지: 이러한 시나리오를 선택할 때에는 이 시나리오에 구성 계획이 있을 수 있다는 암시를 완전히 이해하려면 Microsoft Active Directory 정보를 참조하십시오. gotcha

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_was_ad_filter
파일 이름:tsec_was_ad_filter.html