Microsoft Active Directory를 사용하는 인증

많은 설치는 Microsoft Active Directory를 사용자 인증 및 사용자 데이터를 관리하기 위한 1차 컴포넌트로서 사용합니다. Microsoft Active Directory의 한 부분은 LDAP(Lightweight Directory Access Protocol) 서비스를 제공합니다. WebSphere® Application Server에서는 LDAP을 지원하며 따라서 WebSphere Application Server는 Microsoft Active Directory를 지원합니다.

Microsoft Active Directory가 완벽하게 LDAP을 준수하며 LDAP 정보를 WebSphere Application Server에 대한 디렉토리 정보를 확보하기 어렵게 만드는 방식으로 표시합니다.

WebSphere Application Server는 단일 LDAP 디렉토리가 조작에 필요한 모든 정보를 포함하는 것으로 가정하여 다양한 방식으로 작동합니다. 복잡한 Microsoft Active Directory 구성을 사용하는 경우 이는 적용되지 않습니다. WebSphere Application Server - Microsoft Active Directory 설치는 데이터가 포레스트의 도메인 제어기에서 분산되기 때문에 고유한 인증 확인을 처리해야 합니다.

Microsoft Active Directory 설치는 자주 포레스트 사용을 통합합니다. 따라서 사용자 ID 고유성에 연관된 보안 질문, 신뢰 가능한 사용자 그룹 정보 확보, 포레스트에 분산된 그룹 멤버십이 중요합니다.

다음 그림은 일반적인 Microsoft Active Directory 설치 환경을 강조표시합니다.

그림 1. Microsoft Active Directory 포레스트. Microsoft Active Directory 포레스트 설명입니다. Microsoft Active Directory 포레스트 설명입니다.

이 그림은 하나 이상의 트리가 포함된 두 개의 포레스트를 설명합니다. 트리는 도메인이 구성된 환경에 대한 기반을 양식화하는 단일 아토믹 단위인 하나 이상의 도메인을 포함합니다. 각 도메인은 식별 이름(DN)의 기본 도메인 컴포넌트로 구성됩니다(예: dc=acme, dc=com). 포레스트는 신뢰를 다른 포레스트로 확장할 수 있습니다(이 신뢰는 Kerberos를 기반으로 함). .

WebSphere Application Server가 포함된 Microsoft Active Directory 구성

WebSphere Application Server에 대한 다양한 Microsoft Active Directory 구성이 있을 수 있으며 다음을 포함합니다.
  • 단순 구성
  • 일반 구성
  • 덜 일반적인 구성
  • 거의 없는 구성

가장 단순한 구성은 단일 도메인을 나타내는 독립형 LDAP 레지스트리로 구성됩니다. 이 구성은 WebSphere Application Server 및 Microsoft Active Directory 사이에서 가장 잘 맞는 구성을 나타냅니다. 이 구성에서 Microsoft Active Directory는 WebSphere Application Server 독립형 LDAP 사용자 레지스트리 구현을 통해 지원됩니다. 또는 이 단일 Microsoft Active Directory 도메인에 단일 LDAP 저장소를 포함하는 연합된 저장소 레지스트리를 통해 액세스할 수 있습니다.

단순 단일 도메인 Microsoft Active Directory 구성 외에 일반 Microsoft Active Directory 구성은 각 트리 분기가 도메인인 포레스트의 단일 트리로 구성됩니다. 4개의 도메인(A, B, C, D)의 단일 트리로 구성되는 이 구성의 예는 다음 예에서 보여줍니다.

그림 2. 일반 포레스트 구성. 일반 포레스트 구성입니다. 일반 포레스트 구성의 설명
이 구성과 같은 구성은 지역 또는 조직 단위로 구성되는 도메인을 포함하는 경우가 많습니다. 이 "단일 트리"Microsoft Active Directory 구현을 사용해야 하는 WebSphere Application Server 레지스트리 구성은 연합 저장소를 사용해야 합니다. 이 구성은 다중 개별 사용자 저장소의 항목을 단일 가상 저장소로 맵핑하는 LDAP 저장소를 포함합니다. 이 구성은 단일 이름 지정 영역과 단일 저장소 내의 LDAP 서브트리가 포함된 연합 사용자 저장소를 작성합니다. 저장소 루트는 연합 저장소 내에 기본 항목으로 맵핑되며 이는 가상 영역의 계층 구조 네임스페이스 내에서 시작점입니다. 이 구성에서의 LDAP 검색은 LDAP 참조를 따라 맨 위 도메인 오브젝트에 대한 바인딩으로 계속됩니다.
문제점 방지 문제점 방지: WebSphere Application Server의 독립형 LDAP 레지스트리는 LDAP 참조를 지원하지 않으며 WebSphere Application Server - Microsoft Active Directory 구성에서 사용할 수 없습니다. gotcha

덜 일반적인 WebSphere Application Server - Microsoft Active Directory 구성은 더 큰 엔터프라이즈의 조직 단위의 병합자로부터 진화됩니다. 도메인의 단일 포레스트가 엔터프라이즈를 서비스하면 몇 개의 새 조직 단위의 병합자는 트리를 포레스트에 추가하거나 단일 포레스트 이상을 환경에 추가할 수 있습니다. 이 환경에서 WebSphere Application Server LDAP 구성에는 더 조심스러운 디자인이 필요합니다. 별도의 LDAP 저장소가 포레스트의 각 트리 최상위로 맵핑되는 이런 환경에서는 연합된 저장소 레지스트리를 사용해야 합니다. 다시, Microsoft Active Directory 트리가 최상위 레벨 도메인 밑에 있는 경우 LDAP 참조는 LDAP 레지스트리에 대해 사용되어야 합니다. 병합자로 인해 작성된 포레스트는 다음 그림과 유사합니다.

그림 3. 덜 일반적인 구성. 트리 병합자를 나타내는 덜 일반적인 구성트리 병합자를 나타내는 덜 일반적인 구성

거의 없는 구성은 사용자 포레스트 및 그룹 포레스트의 조합이 있는 구성된 Microsoft Active Directory 도메인으로 구성됩니다. 사용자는 그룹 포레스트에 ForeignSecurityPrincipals 오브젝트로 가져오기 됩니다. 그룹은 ForeignSecurityPrincipals 오브젝트의 식별 이름(DN)을 멤버로 포함합니다.

이 구성 양식에서 직접 그룹 검색은 발생하지 않습니다. 검색은 다중 레지스트리에서 정적 그룹 조회로 하향됩니다. 이 구성에는 사용자 정의 사용자 레지스트리가 필요합니다. 그렇지만 WebSphere Application Server 레지스트리는 이 유형의 구성을 지원하지 않습니다. 다음 그림을 참조하십시오.

그림 4. 자원 모델 포레스트. 자원 모델 포레스트 설명. 자원 모델 포레스트 설명.

Microsoft Active Directory 포레스트를 LDAP - 사용자 필터로 사용

다중 저장소 또는 분산 LDAP(예: Microsoft Active Directory 포레스트)에서 사용자 인증은 모험일 수 있습니다. 모호한 일치 결과로 인해 런타임에서 둘 이상의 일치가 발생하는 경우 전체 레지스트리의 모든 검색에서 인증이 실패합니다. 다중 Microsoft Active Directory 도메인 환경에서 WebSphere Application Server 관리자는 Microsoft Active Directory에서의 기본 고유 ID가 사용자의 sAMAccountName 속성이 되도록 고려해야 합니다. 사용자 ID는 단일 도메인에서 고유하도록 보장되지만 지정된 사용자 ID가 트리 또는 포레스트에서 고유하도록 보장하는 것은 가능하지 않습니다. Microsoft Active Directory 내에서 사용자의 sAMAccountName 속성을 사용하여 사용자 ID를 검색하는 방법에 대해서는 "Microsoft Active Directory 포레스트에서 LDAP 레지스트리를 사용하여 사용자 인증" 주제를 참조하십시오.

문제점 방지 문제점 방지: 이 시나리오 중에서 선택하는 경우에는 적절한 Microsoft Active Directory 정보를 참조하여 구성 계획에 대해 시나리오가 내포하는 것을 완벽하게 이해해야 합니다. gotcha

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_ad
파일 이름:csec_was_ad.html