고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리 설정

이 페이지에서 사용자 및 그룹이 외부 LDAP 디렉토리에 상주할 때의 고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리 설정을 구성할 수 있습니다.

이 관리 페이지를 보려면 다음 단계를 완료하십시오.
  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 사용자 계정 저장소 아래에서 사용 가능한 영역 정의 드롭 다운 목록을 클릭하고 선택 LDAP 레지스트리를 선택한 후 구성을 클릭하십시오.
  3. 추가 특성 아래에서 고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리 설정을 클릭하십시오.

모든 사용자 및 그룹 관련 필터에 대한 기본값이 이미 해당 필드에 입력되어 있습니다. 사용자 요구사항에 따라서 이들 값을 변경할 수 있습니다. 이 기본값은 LDAP 레지스트리 설정 패널에서 선택된 LDAP 서버의 유형을 기초로 합니다. 이 유형이 변경되면(예: Netscape에서 Secureway로) 기본 필터가 자동으로 변경됩니다. 기본 필터 값이 변경되면, LDAP 서버 유형이 사용자 정의로 변경되어 사용자 정의 필터가 사용됨을 표시합니다. 보안이 사용 가능하고 이 특성 중 일부가 변경되는 경우, 글로벌 보안 패널에서 적용 또는 확인을 클릭하여 변경사항의 유효성을 검증하십시오.

참고: 초기 프로파일 작성 시 파일 기반 레지스트리와 함께 연합 저장소 보안 레지스트리 옵션을 사용하도록 WebSphere® 애플리케이션 서버를 구성합니다. 이 보안 레지스트리 구성은 독립형 LDAP 레지스트리를 포함한 기타 옵션을 사용하도록 변경할 수 있습니다. 연합 저장소 옵션에서 사용자 계정 저장소 구성의 독립형 LDAP 레지스트리 옵션으로 변경하는 대신, LDAP 구성에 제공하는 연합 저장소 옵션 사용을 고려하십시오. 연합 저장소는 하나 이상의 사용자 레지스트리를 사용하는 기능을 포함하여 광범위한 기능을 제공합니다. 또한 파일 기반 레지스트리 및 사용자 정의 레지스트리 외에 하나 이상의 LDAP 연합을 지원합니다. 또한 이 연합 저장소는 장애 복구 기능 및 견고한 구성원(사용자 및 그룹) 관리 기능 세트를 개선했습니다. WebSphere Portal 6.1 이상 및 Process Server 6.1 이상에서 새 멤버 관리 기능을 사용할 때 연합 저장소가 필요합니다. 일부 LDAP 서버 환경(예: Microsoft Active Directory)에서 공통된 요구사항인 다음 LDAP을 참조하는 데 연합 저장소를 사용해야 합니다.

독립형 LDAP 레지스트리에서 연합 저장소로 마이그레이션하는 것이 좋습니다. WebSphere Portal 6.1 이상 및 WebSphere Process Server 6.1 이상으로 이동할 때 업그레이드하기 전에 연합 저장소로 마이그레이션해야 합니다. 연합 저장소 및 해당 기능에 대한 자세한 정보는 연합 저장소 주제를 읽으십시오. 연합 저장소로 마이그레이션하는 방법에 대한 자세한 정보는 독립형 LDAP 저장소를 연합 저장소 LDAP 저장소 구성으로 마이그레이션 주제를 읽어 보십시오.

사용자 필터

사용자의 사용자 레지스트리를 검색하는 LDAP 사용자 필터를 지정합니다.

일반적으로 이 옵션은 보안 역할-사용자 지정에 사용되고 디렉토리 서비스에서 사용자를 찾을 때 사용되는 특성을 지정합니다. 예를 들어, 사용자 ID를 기초로 사용자를 찾으려면 (&(uid=%v)(objectclass=inetOrgPerson))을 지정하십시오. 이 구문에 대한 자세한 내용은 LDAP 디렉토리 서비스 문서를 참조하십시오.

Information
데이터 유형: String

그룹 필터

그룹용 사용자 레지스트리를 검색하는 LDAP 그룹 필터를 지정합니다.

일반적으로 이 옵션은 보안 역할-그룹 지정에 사용되고 디렉토리 서비스에서 그룹을 찾을 때 사용되는 특성을 지정합니다. 이 구문에 대한 자세한 내용은 LDAP 디렉토리 서비스 문서를 참조하십시오.

Information
데이터 유형: String

사용자 ID 맵

사용자의 축약형 이름을 LDAP 항목에 맵핑하는 LDAP 필터를 지정합니다.

사용자가 표시될 때 사용자를 나타내는 정보를 지정합니다. 예를 들어, object class = inetOrgPerson 유형의 항목을 해당 ID에 따라 표시하려면 inetOrgPerson:uid를 지정하십시오. 이 필드에는 세미콜론(;)으로 구분된 다수의 objectclass:property 쌍이 지정됩니다.

Information
데이터 유형: String

그룹 ID 맵

그룹의 축약형 이름을 LDAP 항목에 맵핑하는 LDAP 필터를 지정합니다.

그룹이 표시될 때 그룹을 나타내는 정보를 지정합니다. 예를 들어, 해당 이름에 따라 그룹을 표시하려면, *:cn을 지정하십시오. 이 경우, 별표(*)는 임의의 오브젝트 클래스를 찾는 와일드카드 문자입니다. 이 필드에는 세미콜론(;)으로 구분된 다수의 objectclass:property 쌍이 지정됩니다.

Information
데이터 유형: String

그룹 구성원 ID 맵

사용자-그룹 관계를 식별하는 LDAP 필터를 지정합니다.

SecureWay 및 Domino® 디렉토리 유형의 경우, 이 필드에는 세미콜론(;)으로 구분되는 여러 개의 오브젝트 클래스:특성 쌍이 사용됩니다. 오브젝트 클래스:특성 쌍에서 오브젝트 클래스 값은 그룹 필터에서 정의된 동일한 오브젝트 클래스이고 특성은 멤버 속성입니다. 오브젝트 클래스 값이 그룹 필터의 오브젝트 클래스와 일치하지 않는 경우 권한 부여에 실패할 수 있습니다(그룹이 보안 역할에 맵핑된 경우). 이 구문에 대한 자세한 내용은 LDAP 디렉토리 서비스 문서를 참조하십시오.

IBM® Directory Server, Sun ONE 및 Active Directory의 경우, 이 필드에는 세미콜론(;)으로 구분된 다수의 group attribute:member attribute 쌍이 지정됩니다. 이러한 쌍은 해당 사용자가 소유하는 모든 그룹 속성을 열거하여 사용자의 그룹 멤버를 찾는 데 사용됩니다. 예를 들어, 속성 쌍 memberof:member는 Active Directory에 의해 사용되며 ibm-allGroup:member는 IBM Directory Server에 의해 사용됩니다. 또한 이 필드는 멤버의 목록을 저장하는 오브젝트 클래스의 어떤 특성이 오브젝트 클래스에서 표시되는 그룹에 속하는지 지정합니다. 지원되는 LDAP 디렉토리 서버에 대해서는 지원되는 디렉토리 서비스를 참조하십시오.

Information
데이터 유형: String

Kerberos 사용자 필터

Kerberos 사용자 필터 값을 지정합니다. 이 값은 Kerberos가 구성되어 있고 선호 인증 메커니즘 중 하나로 활성인 경우에 수정할 수 있습니다.

Information
데이터 유형: String

인증 맵 모드

EXACT_DN 또는 CERTIFICATE_FILTER에 의해 X.509 인증서를 LDAP 디렉토리에 맵핑할지 여부를 지정합니다. 맵핑을 위한 지정된 인증서 필터를 사용하기 위해 CERTIFICATE_FILTER를 지정하십시오.

Information
데이터 유형: String

인증 필터

LDAP 필터를 위한 필터 인증서 맵핑 특성을 지정합니다. 필터는 클라이언트 인증의 속성을 LDAP 레지스트리의 항목으로 맵핑하는 데 사용됩니다.

런타임 시 둘 이상의 LDAP 항목이 필터 스펙에 일치하면 결과가 모호한 일치로 나타나므로 인증에 실패합니다. 이 필터의 구문 또는 구조는 (&(uid=${SubjectCN})(objectclass=inetOrgPerson))입니다. 필터 스펙은 사용을 위해 사용자 LDAP 서버가 구성되는 스키마에 따른 LDAP 속성을 포함합니다. 필터 스펙은 사용자 클라이언트 인증의 공용 속성 중 하나도 포함합니다. 이는 달러 기호($)와 여는 대괄호 ({)로 시작하고 닫는 대괄호(})로 끝나야 합니다. 다음 인증 속성 값을 사용할 수 있습니다. 문자열의 대소문자가 중요합니다.
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    여기서 <xx>는 발행자 식별 이름의 올바른 컴포넌트를 표시하는 문자로 바뀝니다. 예를 들어, 발급자 공통 이름에 ${IssuerCN}을 사용할 수 있습니다.

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    여기서 <xx>는 주제 식별 이름의 올바른 컴포넌트를 나타내는 문자로 바뀝니다. 예를 들어, 주제 공통 이름으로 ${SubjectCN}을 사용할 수 있습니다.

  • ${Version}
문제점 방지 문제점 방지: 제목 대체 이름(SAN)은 인증 필터 항목으로 지원되지 않습니다. gotcha
Information
데이터 유형: String

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_advldap
파일 이름:usec_advldap.html