특정 Directory Server를 LDAP 서버로 사용
WebSphere® Application Server에서 LDAP(Lightweight Directory Access Protocol) 서버로 지원되는 Directory Server에 대한 중요한 정보가 제공됩니다.
시작하기 전에
이 태스크 정보
다른 LDAP 서버가 LDAP 명세를 따르는 것으로 예상됩니다. 지원은 이러한 특정 Directory Server만으로 제한됩니다. 목록에서 사용자 정의 디렉토리 유형을 사용하고 해당 디렉토리에 필요한 필터를 채워서 다른 Directory Server를 사용할 수 있습니다.
LDAP 검색의 성능을 개선하기 위해서 IBM® Tivoli® Directory Server, Sun ONE 및 Active Directory는 사용자를 검색할 때 결과에 사용자에 대한 모든 관련 정보(사용자 ID, 그룹 등등)가 포함될 수 있도록 정의됩니다. 결과적으로, 제품은 여러 번 LDAP 서버를 호출하지 않습니다. 이 정의는 완전한 사용자 정보를 구할 수 있는 검색을 지원하는 이러한 디렉토리 유형에서만 가능합니다.
IBM Directory Server를 사용하는 경우에는 권한 부여의 대소문자 구분 안함 옵션을 선택하십시오. 이 옵션은 사용자 오브젝트 속성으로부터 그룹 정보를 구할 때, 대소문자가 그룹 정보를 직접 구할 때와 같지 않기 때문에 필요합니다. 이 경우에 권한 부여가 작동하려면 대소문자 구분 안 함 확인을 수행하고 권한 부여의 대소문자 구분 안 함 옵션의 요구사항을 확인하십시오.
z/OS® 플랫폼의 LDAP 보안 서버는
DB2® Technical Database Management(TDBM) 백엔드가 사용될 때 지원됩니다. SecureWay Directory
Server 필터를 사용하여 z/OS 플랫폼의 LDAP 보안 서버에 연결하십시오.
Directory Service를 LDAP 서버로 사용
다른 그룹 또는 중첩된 그룹을 포함하는 그룹의 지원은 WebSphere Application Server과 LDAP의 버전에 따라 다릅니다. 자세한 정보는 LDAP에 대한 동적 그룹 및 중첩 그룹 지원의 내용을 참조하십시오.
- IBM Tivoli Directory Server를 LDAP 서버로 사용
IBM Tivoli Directory Server(구 IBM Directory Server)를 사용하려면 IBM Tivoli Directory Server를 디렉토리 유형으로 선택하십시오.
IBM Tivoli Directory Server 또는 IBM Directory Server의 SecureWay 디렉토리 유형을 선택할 수 있습니다.
이러한 두 유형 간의 차이는 그룹 멤버십 검색입니다. 런타임 동안 최적의 성능을 위해서는 IBM Tivoli Directory Server를 선택하는 것이 권장됩니다. IBM Tivoli Directory Server에서 그룹 멤버십은 작동 가능한 속성입니다. 이 속성을 사용하면 그룹 멤버십 검색은 항목의 ibm-allGroups 속성을 열거하여 수행됩니다. 정적 그룹, 동적 그룹 및 중첩된 그룹을 포함하여 모든 그룹 멤버십은 ibm-allGroups 속성을 사용하여 리턴될 수 있습니다.
WebSphere Application Server은 IBM Tivoli Directory Server에서 ibm-allGroups 속성을 사용하여 동적 그룹, 중첩 그룹 및 정적 그룹을 지원합니다. 보안 권한 부여 애플리케이션에서 이 속성을 사용하려면 ibm-allGroups 속성이 리턴하는 속성 값이 모두 대문자일 수 있도록 대소문자 구분 안 함 일치를 사용하십시오.
중요사항: IBM Tivoli Directory Server 버전 6.0을 버전 9.0을 설치하는 동일한 머신에 설치하지 않는 것이 좋습니다. 버전 9.0을 IBM Tivoli Directory Server의 관리 콘솔로 사용할 수 없습니다. IBM Tivoli Directory Server 버전 6.0 및 버전 9.0이 동일 머신에 설치된 경우에는 포트 충돌이 발생할 수도 있습니다.IBM Tivoli Directory Server 버전 6.0과 버전 9.0을 동일 머신에 설치해야 하는 경우에는 다음 정보를 고려하십시오.
- IBM Tivoli Directory Server 설치 프로세스 중 Web Administration tool 버전 5.1.1을 선택해야 합니다.
- 버전 9.0 설치를 수행하십시오.
- 버전 9.0을 설치할 때 Application Server의 포트 번호를 변경하십시오.
- 버전 9.0에서 WAS_HOME 및 WAS_INSTALL_ROOT(또는 IBM i의 경우 APP_SERVER_ROOT)에 대한 WebSphere Application Server 환경 변수를 조정해야 할 수도 있습니다. 관리 콘솔을 사용하여 변수를 변경하려면 환경 > WebSphere 변수를 클릭하십시오.
- Lotus® Domino® Enterprise Server 를 LDAP 서버로 사용
Lotus Domino Enterprise Server 버전 6.5.4 또는 버전 7.0를 선택하고 속성 약칭이 스키마에 정의되지 않은 경우에는 다음 조치를 수행할 수 있습니다.
- 스키마를 변경하여 약칭 속성을 추가하십시오.
- 사용자 ID 맵 필터를 변경하여 약칭을 다른 정의된 속성(UID가 선호됨)으로 대체하십시오. 예를 들어, person:shortname을 person:uid로 변경하십시오.
Lotus Domino의 현재 버전은 기본적으로 shortname 속성을 작성하지 않으므로 userID 맵 필터는 shortname 속성 대신에 uid 속성을 사용하도록 변경됩니다. shortname 속성을 사용하려면 스키마에 속성을 정의하고 userID 맵 필터를 변경하십시오.User ID Map : person:shortname
- Sun ONE Directory Server를 LDAP 서버로 사용Sun ONE Directory Server 시스템을 위해 Sun ONE Directory Server를 선택할 수 있습니다. Sun ONE Directory Server에서 오브젝트 클래스는 그룹을 작성할 때 기본 groupOfUniqueName입니다. 더 나은 성능을 위해서 WebSphere Application Server은 사용자 오브젝트를 사용하여 nsRole 속성으로부터 사용자 그룹 멤버십을 찾습니다. 역할로부터 그룹을 작성하십시오. groupOfUniqueName 속성을 사용하여 그룹을 검색하려면 사용자 고유의 필터 설정을 지정하십시오. 역할은 항목을 단일화합니다. 역할은 보다 효율적이고 애플리케이션에 사용하기 쉽도록 설계되었습니다. 예를 들어, 애플리케이션은 그룹을 선택하고 멤버 목록을 찾아보는 대신 지정된 항목이 소유하는 모든 역할을 열거하여 항목의 역할을 찾을 수 있습니다. 역할을 사용할 때 다음을 사용하여 그룹을 작성할 수 있습니다.
- 관리 역할
- 필터 역할
- 중첩 역할
- Microsoft Active Directory Server를 LDAP 서버로 사용
Microsoft Active Directory를 WebSphere Application Server으로 인증하기 위한 LDAP 서버로 사용하려면 특정 단계를 수행해야 합니다. 기본적으로, Microsoft Active Directory는 익명 LDAP 조회를 허용하지 않습니다. LDAP 조회를 작성하거나 디렉토리를 찾아보려면 LDAP 클라이언트는 LDAP 속성의 값(예: Application Server가 필요로 하는 사용자 및 그룹 정보)을 검색하고 읽을 권한이 있는 계정의 식별 이름(DN)을 사용하여 LDAP 서버에 바인드해야 합니다. Active Directory에서 그룹 멤버십 검색은 각 그룹에서 멤버 목록을 찾아보는 대신 지정된 사용자 항목에 대한 memberof 속성을 나열하여 수행됩니다. 기본 동적을 각 그룹을 찾아보는 것으로 변경하는 경우에는 그룹 멤버 ID 맵 필드를 memberof:member에서 group:member로 변경할 수 있습니다.
다음 단계는 Microsoft Active Directory를 LDAP 서버로서 설정하는 방법을 설명합니다.