Microsoft Active Directory 포레스트 내에서 그룹 멤버십 찾기 옵션

Microsoft Active Directory 포레스트로 그룹 멤버십을 찾으려면 사용자 인증이 필요합니다. 몇 가지 방식으로 Microsoft Active Directory 포레스트 그룹 멤버십 내에서 그룹 멤버십을 찾는 방법이 있습니다.

다음 그림은 Microsoft Active Directory 포레스트의 그룹 멤버십 예를 보여줍니다. 이 그림은 그룹 멤버십 찾기 방법을 설명하는 데 사용됩니다.

그림 1. 그룹 멤버십 찾기. 그룹 멤버십 찾기 방법 설명그룹 멤버십 찾기
  • 옵션 1은 중첩 그룹을 사용하지 않으며 다음 단계는 가상의 조직 구조를 사용하여 그룹 멤버십을 찾는 프로세스를 설명합니다.
    • NA 직원의 글로벌 그룹을 작성하십시오.
    • EU 직원의 글로벌 그룹을 작성하십시오.
    • Java™ EE(Java Platform Enterprise Edition) 역할을 NA 직원 + EU 직원에 맵핑하십시오. 이 맵핑은 너무 많은 하위 도메인이 있는 경우 관리할 수 없게 됩니다.
    • 참조를 사용하십시오.
      WebSphere® Application Server 버전 6.1에서는 연합 저장소를 사용하십시오. 특히,
      • 연합 영역을 사용하십시오.
      • Microsoft Active Directory 최상위 레벨 도메인 제어기를 저장소에 추가하십시오. 하위 도메인 제어기는 추가하지 마십시오. 그러면 사용자 ID 검색 시에 다중 일치가 발생합니다. 다중 일치로 인해 사용자 로그인이 실패합니다.
      • "Support referrals to other LDAP servers" = "follow"를 선택하십시오.
  • 옵션 2는 유니버셜 그룹을 사용합니다.
    • 개별 사용자는 개별 그룹 직원에 추가하십시오.
      요구사항:
      • Windows 2003 기본 도메인 작동 레벨은 필수입니다.
      • 사용자 ID는 유니버셜 그룹 내에 직접 포함되어야 합니다.
    • Java EE 역할을 직원에 맵핑하십시오.
    • 포레스트의 모든 글로벌 카탈로그에 연결하십시오.
      팁: 이 옵션은 디렉토리 검색 트래픽 양을 줄여줍니다. WebSphere Application Server는 디렉토리 트리에서 모든 참조를 따라가지 않습니다. 즉, 각 도메인 제어기는 그룹 정보를 로컬로 완벽하게 해결할 수 있습니다.
  • 옵션 3은 중첩 그룹을 사용합니다.
    • 유니버셜 그룹 직원을 작성하십시오.
    • NA 직원EU 직원을 글로벌 그룹으로 작성하고 이를 직원 유니버셜 그룹의 팀 멤버로 작성하십시오.
      요구사항: Windows 기본 도메인 작동 레벨
    • Java JEE 역할을 "직원"에 맵핑하십시오.
    • 참조를 사용하십시오.
      WebSphere Application Server 버전 6.1에 대해 연합 저장소를 사용하십시오. 특히,
      • 연합 영역을 사용하십시오.
      • Active Directory 최상위 레벨 도메인 제어기를 저장소에 추가하십시오. 하위 도메인 제어기는 사용자 ID 검색 시에 다중 일치가 발생하여 로그인이 실패하기 때문에 이를 추가하지 마십시오.
      • "Support referrals to other LDAP servers" = "follow"를 선택하십시오.
    • 중첩 그룹을 사용하십시오.
    팁: 이 옵션은 WebSphere Application Server 버전 6.1 이상을 사용하는 경우 선택적 접근 방법이 제공됩니다. WebSphere Application Server 버전 6.1 이전에서 참조는 공식적으로 지원되지 않았습니다.

요약

다음 테이블은 Microsoft Active Directory 포레스트 내에서 그룹 멤버십을 찾은 방법에 대해 요약합니다.
표 1. 그룹 멤버십 찾기. 다음 테이블은 Microsoft Active Directory 포레스트에서 지원되는 그룹 멤버십 레벨을 식별합니다.
그룹 멤버십 Java EE 역할 맵핑 대상 바인드 대상 LDAP 사용 가능 WebSphere Application Server 버전에서 지원 주석
글로벌 그룹 글로벌 그룹 콜렉션 포트 389/636을 사용하는 맨 위 도메인 제어기 참조
  • WebSphere Application Server의 연합 저장소
 
유니버셜 그룹 유니버셜 그룹 포트 3268을 사용하는 모든 글로벌 카탈로그   All  
유니버셜 그룹의 글로벌 그룹 유니버셜 그룹 포트 389/636을 사용하는 맨 위 도메인 제어기 참조, 중첩
  • WebSphere Application Server의 연합 저장소
Windows 혼합 도메인 작동 레벨을 사용할 수 없음

objectCategory 속성 사용 구성

연합 저장소는 기본적으로 objectCategory 속성을 Active Directory 사용자 검색 필터에 사용합니다. 연합 저장소가 objectCategory 속성을 사용하도록 구성할 수 있습니다. 예를 들어, 연합 저장소 구성 파일 wimconfig.xml은 다음 예에 표시되어야 합니다.
<supportedLDAPEntryType name="user" searchFilter="(objectCategory=user)"...>
<supportedLDAPEntryType name="Group" searchFilter="(objectCategory=Group)"...>
사용자 필터 및 그룹 필터(고급 특성)가 다음 예와 유사하도록 구성하십시오.
User Filter: (&(sAMAccountName=%v)(objectCategory=user))
Group Filter: (&cn=%v)(objectCategory=group)
관리 콘솔에서 다음 지시사항에 따라 objectCategory 속성을 사용하는 검색 필터를 완료하십시오.
  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 사용 가능한 영역 정의에서 연합 저장소, 구성을 차례로 선택합니다. 다중 보안 도메인 환경에서 보안 도메인 > domain_name을 클릭합니다. 보안 속성에서 사용자 영역을 확장하고 이 도메인 사용자 정의를 클릭합니다. 영역 유형을 연합 저장소로 선택한 다음 구성을 클릭합니다.
  3. 관련 항목에서 저장소 관리를 클릭하십시오.
  4. 포레스트 > LDAP 엔티티 유형 > PersonAccount를 선택하십시오. 일반 특성에서 검색 필터 상자를 찾으십시오.
  5. 검색 필터를 채우십시오.
    (objectCategory=user)
문제점 방지 문제점 방지: 이 시나리오 중 사용하려는 하나를 선택하는 경우 적절한 Microsoft Active Directory 정보를 참조하여 사용자의 구성 계획에 시나리오가 적용될 수 있는 모든 내포된 내용을 완벽하게 이해하십시오. gotcha

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_ad_group_mem
파일 이름:csec_was_ad_group_mem.html