본문으로 건너뛰기

외부 LDAP 인증 서버 설정

관리 노드의 로컬 Lenovo XClarity Administrator 인증 서버 대신 외부 LDAP 인증 서버를 사용하도록 선택할 수 있습니다.

시작하기 전에

외부 인증 서버를 설정하기 전에 XClarity Administrator 초기 설치가 완료되어야 합니다.

다음 외부 인증 서버가 지원됩니다.

  • OpenLDAP

  • Microsoft Active Directory. 이 서버는 관리 네트워크, 데이터 네트워크 또는 두 가지 모두에 연결된 아웃보드 Microsoft Windows 서버에 상주해야 합니다.

외부 인증 서버에 필요한 모든 포트가 네트워크와 방화벽에서 열려 있어야 합니다. 포트 요구 사항에 대한 정보는 포트 사용 가능성의 내용을 참조하십시오.

외부 인증 서버에 정의된 그룹과 일치하도록 로컬 인증 서버에서 역할 그룹을 작성하거나 이름을 바꾸어야 합니다.

로컬 인증 서버에는 lxc-recovery 권한이 있는 하나 이상의 사용자가 있어야 합니다. 외부 LDAP 서버에 통신 오류가 발생하는 경우 이 로컬 사용자 계정을 사용하여 XClarity Administrator에 직접 인증할 수 있습니다.

XClarity Administrator가 외부 인증 서버를 사용하도록 구성된 경우 XClarity Administrator 웹 인터페이스에서 사용자 관리 페이지를 사용할 수 없습니다.
주의
Active Directory는 바인딩 방법을 로그인 자격 증명을 사용하도록 구성하려면 각 관리되는 서버에 대한 베이스보드 관리 컨트롤러는 2016년 9월 이후부터 펌웨어를 실행해야 합니다.

XClarity Administrator는 구성된 외부 LDAP 서버에 대한 연결을 유지하기 위해 5초마다 연결을 검사합니다. LDAP 서버가 여러 개인 환경에서는 이 연결 검사를 수행하는 동안 CPU 사용량이 높아질 수 있습니다. 우수한 성능을 위해서는 도메인에 있는 대부분의 또는 모든 LDAP 서버가 도달 가능해야 하거나, 인증 서버 선택 방법이 미리 구성된 서버 사용으로 설정되고 알려진 도달 가능한 LDAP 서버만 지정해야 합니다.

절차

XClarity Administrator를 외부 인증 서버를 사용하도록 구성하려면 다음 단계를 완료하십시오.

  1. Microsoft Active Directory 또는 OpenLDAP에 대한 사용자 인증 방법을 설정하십시오.

    비보안 인증을 사용하려는 경우 추가 구성이 필요하지 않습니다. Windows Active Directory 또는 OpenLDAP 도메인 컨트롤러는 기본적으로 비보안 LDAP 인증을 사용합니다.

    보안 LDAP 인증을 사용하려는 경우, 도메인 컨트롤러를 보안 LDAP 인증을 허용하도록 설정해야 합니다. Active Directory에서 보안 LDAP 인증 구성 설정에 대한 자세한 정보는 Microsoft TechNet의 LDAPS(LDAP over SSL) 인증서 문서 웹 사이트의 내용을 참조하십시오.

    Active Directory 도메인 컨트롤러가 보안 LDAP 인증을 사용하도록 구성되었는지 확인하려면 다음과 같이 하십시오.
    • 도메인 컨트롤러 이벤트 뷰어 창에서 지금 SSL(Secure Sockets Layer)을 통해 LDAP 사용 가능 이벤트를 찾으십시오.
    • ldp.exe Windows 도구를 사용하여 보안 도메인 컨트롤러와의 보안 LDAP 연결을 테스트하십시오.
  2. Active Directory 또는 OpenLDAP 서버 인증서 또는 Active Directory 서버 인증서에 서명한 인증 기관의 루트 인증서를 가져오십시오.
    1. XClarity Administrator 메뉴 표시줄에서 관리 > 보안을 클릭하십시오.
    2. 인증서 관리 섹션의 신뢰할 수 있는 인증서를 클릭하십시오.
    3. 만들기 아이콘(만들기 아이콘)을 클릭하여 인증서를 추가하십시오.
    4. 파일을 찾아보거나 PEM 형식 인증서 텍스트를 붙여넣으십시오.
    5. 만들기를 클릭하십시오.
  3. 다음과 같이 XClarity Administrator LDAP 클라이언트를 구성하십시오.
    1. XClarity Administrator 메뉴 바에서 관리 > 보안을 클릭하십시오.
    2. 사용자 및 그룹 섹션에서 LDAP 클라이언트를 클릭하여 LDAP 클라이언트 설정 대화 상자를 표시하십시오.

      LDAP 클라이언트 설정 페이지를 보여줍니다.
    3. 다음 기준에 따라 대화 상자를 작성하십시오.
      1. 이러한 사용자 인증 방법 중 하나를 선택하십시오.
        • 로컬 사용자의 로그온 허용. 로컬 인증을 사용하여 인증이 수행됩니다. 이 옵션을 선택하면 모든 사용자 계정이 관리 노드의 로컬 인증 서버에 존재합니다.
        • LDAP 사용자의 로그온 허용. 외부 LDAP 서버가 인증을 수행합니다. 이 방법을 통해 사용자 계정 원격 관리를 사용할 수 있습니다. 이 옵션을 선택하면 모든 사용자 계정이 외부 LDAP 서버에 원격으로 존재합니다.
        • 로컬 사용자 먼저 허용 후 LDAP 사용자 허용. 로컬 인증 서버가 인증을 먼저 수행합니다. 실패하면 외부 LDAP 서버가 인증을 수행합니다.
        • LDAP 사용자 먼저 허용 후 로컬 사용자 허용. 외부 LDAP 서버가 인증을 먼저 수행합니다. 실패하면 로컬 인증 서버가 인증을 수행합니다.
      2. 다음과 같이 보안 LDAP를 사용 또는 사용 안 함으로 설정할지 선택하십시오.
        • 보안 LDAP 사용. XClarity Administrator는 LDAPS 프로토콜을 사용하여 외부 인증 서버에 안전하게 연결합니다. 이 옵션을 선택한 경우 보안 LDAP 지원을 사용하기 위해 신뢰할 수 있는 인증서도 구성해야 합니다.
        • 보안 LDAP 사용 안 함. XClarity Administrator는 비보안 프로토콜을 사용하여 외부 인증 서버에 연결합니다. 이 설정을 사용하면 보안 공격에 대한 하드웨어의 취약성이 높아질 수 있습니다.
      3. 이러한 서버 선택 방법 중 하나를 선택하십시오.

        • 미리 구성된 서버 사용. XClarity Administrator는 지정된 IP 주소 및 포트를 사용하여 외부 인증 서버를 검색합니다.

          이 옵션을 선택한 경우 최대 4개의 미리 구성된 서버 IP 주소 및 포트를 지정하십시오. LDAP 클라이언트는 첫 번째 서버 주소를 사용하여 인증을 시도합니다. 인증에 실패하면 LDAP 클라이언트가 다음 서버 IP 주소를 사용하여 인증을 시도합니다.

          엔트리에 대한 포트 번호가 3268 또는 3269로 명확하게 설정되지 않으면 해당 엔트리는 도메인 컨트롤러를 식별하는 것으로 간주됩니다.

          포트 번호가 3268 또는 3269로 설정되면 해당 엔트리는 글로벌 카탈로그를 식별하는 것으로 간주됩니다. LDAP 클라이언트는 처음으로 구성되는 서버 IP 주소에 대한 도메인 컨트롤러를 사용하여 인증을 시도합니다. 이것이 실패하는 경우 LDAP 클라이언트는 다음 서버 IP 주소에 대한 도메인 컨트롤러를 사용하여 인증을 시도합니다.

          중요사항
          글로벌 카탈로그를 지정하는 경우에도 하나 이상의 도메인 컨트롤러를 지정해야 합니다. 글로벌 카탈로그만 지정하는 것이 성공한 것으로 보이지만 유효한 구성이 아닙니다.

          암호 모드가 NIST-800-131A로 설정되면, LDAP 서버가 XClarity Administrator의 LDAP 클라이언트로 TLS(Transport Layer Security) 버전 1.2 연결을 설정할 수 없는 경우에는 보안 포트(예, 기본 포트 636에서 LDAPS 사용)를 사용하여 XClarity Administrator를 외부 LDAP 서버에 연결할 수 없습니다.

        • DNS를 사용하여 LDAP 서버 찾기. XClarity Administrator는 지정된 도메인 이름 또는 포리스트 이름을 사용하여 외부 인증 서버를 동적으로 검색합니다. 도메인 이름 및 포리스트 이름은 도메인 컨트롤러를 확보하는 데 사용되고 포리스트 이름은 글로벌 카탈로그 서버의 목록을 확보하는 데 사용됩니다.

          주의
          DNS를 사용하여 LDAP 서버를 찾는 경우 외부 인증 서버에 인증하는 데 사용할 사용자 계정이 지정된 도메인 컨트롤러에서 호스팅되어야 합니다. 사용자 계정이 하위 도메인 컨트롤러에서 호스팅된 경우 서비스 요청 목록에 하위 도메인 컨트롤러를 포함시키십시오.

      4. 이러한 바인딩 방법 중 하나를 선택하십시오.

        • 구성된 자격 증명. 이 바인딩 방법을 사용하여 클라이언트 이름 및 암호로 XClarity Administrator를 외부 인증 서버에 바인딩하십시오. 바인딩에도 실패하면 인증 프로세스가 실패합니다.

          클라이언트 이름은 고유 이름, AMAccountName, NetBIOS 이름 또는 UserPrincipalName 등 LDAP 서버가 지원하는 모든 이름이 될 수 있습니다. 클라이언트 이름은 최소 읽기 전용 권한이 있는 도메인 내의 사용자 계정이어야 합니다. 예를 들어, 다음과 같습니다.
          cn=username,cn=users,dc=example,dc=com
          domain\username
          username@domain.com
          username

          주의
          외부 인증 서버에서 클라이언트 암호를 변경하는 경우 XClarity Administrator에서 새 암호도 업데이트해야 합니다. 자세한 정보는 Lenovo XClarity Administrator에 로그인할 수 없음의 내용을 참조하십시오.

        • 로그인 자격 증명. 이 바인딩 방법을 사용하여 Active Directory 또는 OpenLDAP 사용자 이름과 암호로 XClarity Administrator를 외부 인증 서버에 바인딩하십시오.

          사용자가 지정하는 사용자 ID 및 암호는 인증 서버 연결을 테스트하는 데에만 사용됩니다. 성공하는 경우 LDAP 클라이언트 설정은 저장되지만, 사용자가 지정한 테스트 로그인 자격 증명은 저장되지 않습니다. 모든 향후 바인딩은 사용자가 XClarity Administrator에 로그인하는 데 사용한 사용자 이름 및 암호를 사용합니다.

          • 완전한 사용자 ID(예, administrator@domain.com 또는 DOMAIN\admin)를 사용하여 XClarity Administrator에 로그인해야 합니다.

          • 바인딩 방법에 대해 완전한 테스트 클라이언트 이름을 사용해야 합니다.

          주의
          바인딩 방법을 로그인 자격 증명을 사용하도록 구성하려면 각 관리되는 서버에 대한 관리 컨트롤러는 2016년 9월 이후의 펌웨어를 실행해야 합니다.
      5. 루트 DN 필드에서 여러 개의 도메인이 있는 환경의 경우 특히 루트 고유 이름을 지정하지 않는 것이 좋습니다. 이 필드가 공백인 경우 XClarity Administrator는 이름 지정 컨텍스트에 대해 외부 인증 서버를 쿼리합니다.

        DNS를 사용하여 외부 인증 서버를 검색하는 경우 또는 여러 서버를 지정하는 경우(예, dc=example,dc=com) 선택적으로 LDAP 디렉토리 트리에서 가장 높은 엔트리를 지정할 수 있습니다. 이 경우 지정된 루트 고유 이름을 검색 기반으로 사용하여 검색을 시작합니다.

      6. 사용자 이름을 검색하는 데 사용할 특성을 지정하십시오.

        바인딩 방법이 구성된 자격 증명으로 설정된 경우 LDAP 서버에 대한 초기 바인딩 후 사용자의 DN, 로그인 권한 및 그룹 멤버십 등 사용자에 대한 특정 정보를 검색하는 검색 요청을 합니다. 이 검색 요청에서는 해당 서버에서 사용자 ID를 나타내는 특성 이름을 지정해야 합니다. 이 특성 이름이 이 필드에서 구성됩니다. 이 필드를 공백으로 둔 경우 기본값은 cn입니다.

      7. 사용자가 속한 그룹을 식별하는 데 사용되는 특성 이름을 지정하십시오. 이 필드를 공백으로 둔 경우 필터의 특성 이름 기본값이 memberOf가 됩니다.

      8. LDAP 서버가 구성하는 그룹 이름을 식별하는 데 사용되는 속성 이름을 지정하십시오. 이 필드를 공백으로 둔 경우 기본값은 uid입니다.

    4. 적용을 클릭하십시오.

      XClarity Administrator는 일반 오류를 감지하기 위해 구성 테스트를 시도합니다. 테스트에 실패하면 오류의 소스를 표시하는 오류 메시지가 표시됩니다. 테스트에 성공하고 지정된 서버 연결이 성공적으로 완료되는 경우에도 다음과 같은 경우 사용자 인증에 실패할 수 있습니다.

      • lxc-recovery 권한이 있는 로컬 사용자는 존재하지 않습니다.

      • 루트 고유 이름이 올바르지 않습니다.

      • 사용자가 XClarity Administrator 인증 서버의 역할 그룹 이름과 일치하는 외부 인증 서버에서 하나 이상의 그룹 멤버가 아닙니다. XClarity Administrator는 루트 DN이 올바른지 감지할 수 없습니다. 하지만 사용자가 하나 이상의 그룹 멤버인지 감지할 수 있습니다. 사용자가 하나 이상의 그룹 멤버가 아닌 경우 사용자가 XClarity Administrator에 로그인을 시도하면 오류 메시지가 표시됩니다. 외부 인증 서버 문제 해결에 대한 자세한 정보는 연결 문제의 내용을 참조하십시오.

  4. XClarity Administrator에 액세스할 수 있는 외부 사용자 계정을 만드십시오.
    1. 외부 인증 서버에서 사용자 계정을 만드십시오. 지시사항은 Active Directory 또는 OpenLDAP 설명서를 참조하십시오.
    2. 미리 정의되고 권한 부여된 그룹의 이름으로 Active Directory 또는 OpenLDAP 글로벌 그룹을 만드십시오. 그룹은 LDAP 클라이언트에 정의된 루트 고유 이름의 컨텍스트 내에 존재해야 합니다.
    3. Active Directory 또는 OpenLDAP 사용자를 이전에 만든 보안 그룹의 멤버로 추가하십시오.
    4. Active Directory 또는 OpenLDAP 사용자 이름을 사용하여 XClarity Administrator에 로그인하십시오.
    5. 옵션: 추가 그룹을 정의하고 만드십시오. 이러한 그룹을 권한 부여하고 사용자 및 그룹 페이지에서 역할을 할당할 수 있습니다.
    6. 보안 LDAP를 사용하는 경우, 외부 LDAP 서버에 신뢰할 수 있는 인증서를 가져오십시오(사용자 지정되고 외부 서명된 서버 인증서 설치 참조).

결과

XClarity Administrator는 LDAP 서버 연결을 유효성 검증합니다. 유효성 검증을 통과하면 XClarity Administrator, CMM 및 관리 컨트롤러에 로그인할 때 외부 인증 서버에서 사용자 인증이 발생합니다.

유효성 검증에 실패하면 인증 모드가 로컬 사용자의 로그온 허용 설정으로 다시 자동 변경되고 실패의 원인을 설명하는 메시지가 표시됩니다.

올바른 역할 그룹은 XClarity Administrator에서 구성되어야 하며 사용자 계정을 Active Directory 서버의 역할 그룹 중 하나의 멤버로 정의해야 합니다. 그렇지 않으면 사용자 인증에 실패합니다.