본문으로 건너뛰기

외부 LDAP 인증 서버 설정

사용자는 관리 노드의 로컬 VMware vCenter용 LXCI 인증 서버 대신 외부 LDAP 인증 서버를 사용할 수 있습니다.

시작하기 전에

  • 외부 인증 서버를 설정하기 전에 VMware vCenter용 LXCI 초기 설치가 완료되어야 합니다.

  • 다음 외부 인증 서버가 지원됩니다.

    • Microsoft Active Directory. 이는 VMware vCenter용 LXCI 어플라이언스와 통신할 수 있는 아웃보드 Microsoft Windows 서버에 상주해야 합니다.

  • VMware vCenter용 LXCI는 구성된 외부 LDAP 서버에 대한 연결을 유지하기 위해 10초마다 연결을 검사합니다. LDAP 서버가 많은 환경에서는 이 연결 검사를 수행하는 동안 CPU 사용량이 높아질 수 있습니다. 최상의 성능을 얻으려면 LDAP 클라이언트를 구성할 때 알려진 연결 가능한 LDAP 서버만 지정하십시오.

  • 이 XClarity Integrator 웹 인터페이스에 로그인할 수 있는 LDAP 사용자는 LDAP 서버의 LDAP 그룹 구성원이어야 합니다.

    이 LDAP 클라이언트를 구성하기 전에 LDAP 서버에서 그룹을 만들고 그룹에 사용자를 추가하십시오.
    1. 외부 인증 서버에서 사용자 계정을 만드십시오. 지침은 LDAP 서버 설명서를 참조하십시오.

    2. LDAP 서버에 그룹을 만듭니다. LDAP 그룹 이름은 기본 이름(LXCI-SUPERVISOR) 또는 기타 사용자 정의 이름이 될 수 있습니다. 이 그룹은 LDAP 클라이언트에 정의된 루트 고유 이름의 컨텍스트 내에 존재해야 합니다.

    3. 사용자를 이전에 생성된 그룹의 구성원으로 추가하십시오.

절차

외부 인증 서버를 사용하도록 VMware vCenter용 LXCI를 구성하려면 다음 단계를 완료하십시오.

  1. Microsoft Active Directory에 대한 사용자 인증 방법을 설정하고 다음 작업 중 하나를 수행합니다.
    • 비보안 인증을 사용하려면 추가 구성이 필요하지 않습니다. Windows Active Directory 도메인 컨트롤러는 기본적으로 비보안 LDAP 인증을 사용합니다.

    • 보안 LDAP 인증을 사용하려면
      1. 보안 LDAP 인증을 허용하도록 도메인 컨트롤러를 설정합니다. Active Directory에서의 보안 LDAP 인증 구성 설정에 대한 자세한 내용은 https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx를 참조하십시오.

      2. Active Directory 도메인 컨트롤러가 보안 LDAP 인증을 사용하도록 구성되었는지 확인하십시오.
        • 도메인 컨트롤러 이벤트 뷰어 창에서 지금 SSL(Secure Sockets Layer)을 통해 LDAP 사용 가능 이벤트를 찾으십시오.

        • ldp.exe Windows 도구를 사용하여 도메인 컨트롤러와의 보안 LDAP 연결을 테스트하십시오.

      3. LDAP 서버 인증서 및 중간 인증서(있는 경우)와 서버 인증서에 서명한 인증 기관의 루트 인증서를 가져옵니다.

        1. VMware vCenter용 LXCI 메뉴의 왼쪽 탐색 분할창에서 Security Settings(보안 설정)를 클릭하십시오.

        2. 인증서 관리 섹션의 Trusted Certificates(신뢰할 수 있는 인증서)를 클릭하십시오.

        3. Add(추가)를 클릭하십시오.

        4. '추가' 창에서 Choose File(파일 선택)을 클릭하고 대상 인증서를 업로드합니다.

        5. Upload Certificate(인증서 업로드)를 클릭하십시오.

  2. VMware vCenter용 LXCI LDAP 클라이언트를 구성하십시오.
    1. VMware vCenter용 LXCI의 왼쪽 탐색 분할창에서 Security Settings(보안 설정) > LDAP Client(LDAP 클라이언트)를 클릭하십시오.
    2. 이러한 사용자 인증 방법 중 하나를 선택하십시오.
      • Allow logons from local users(로컬 사용자의 로그온 허용). 로컬 인증을 사용하여 인증이 수행됩니다. 이 옵션을 선택하면 사용자는 로컬 계정으로만 LXCI에 로그인할 수 있습니다.
      • Allow LDAP users first, then local users(LDAP 사용자 먼저 허용 후 로컬 사용자 허용). 먼저 외부 LDAP 서버가 인증을 수행합니다. 실패하면 로컬 인증 서버가 인증을 수행합니다.

        이 방법을 선택한 경우 다음을 수행하십시오.

        1. 하나 이상의 서버 주소와 포트를 입력합니다.

        2. LDAP 그룹 이름을 입력합니다.

          기본적으로 LDAP 그룹 이름은 LXCI-SUPERVISOR입니다. 사용자는 다른 이름을 입력할 수도 있습니다.
        3. 이러한 바인딩 방법 중 하나를 선택하십시오.

          • Configured Credentials(구성된 자격 증명). 이 바인딩 방법을 사용하여 클라이언트 이름 및 암호로 VMware vCenter용 LXCI를 외부 인증 서버에 바인딩하십시오. 바인딩에 실패하면 인증 프로세스도 실패합니다.

            클라이언트 이름은 고유 이름, sAMAccountName, NetBIO 이름 또는 UserPrincipalName 등 LDAP 서버가 지원하는 모든 이름이 될 수 있습니다. 클라이언트 사용자 이름은 최소 읽기 전용 권한이 있는 도메인 내의 사용자 계정이어야 합니다. 예:
            cn=administrator,cn=users,dc=example,dc=com
            example\administrator
            administrator@example.com
            주의
            외부 인증 서버에서 클라이언트 암호를 변경하려면 VMware vCenter용 LXCI에서 새 암호가 업데이트되어야 합니다. 외부 LDAP 서버에서 클라이언트 암호가 변경된 경우 사용자는 로컬 계정을 사용하여 Integrator에 로그인하여 새 암호를 업데이트할 수 있습니다.
          • Login Credentials(로그인 자격 증명). 이 바인딩 방법을 사용하여 LDAP 사용자 이름 및 암호로 VMware vCenter용 LXCI를 외부 인증 서버에 바인딩합니다.

            지정된 사용자 ID 및 암호는 인증 서버 연결을 테스트하는 데에만 사용됩니다. 성공하는 경우 LDAP 클라이언트 설정은 저장되지만, 지정된 테스트 로그인 자격 증명은 저장되지 않습니다. 모든 향후 바인딩은 VMware vCenter용 LXCI에 로그인하는 데 사용하는 사용자 이름 및 암호를 사용합니다.

            • 사용자는 완전한 사용자 ID(예: administrator@domain.com 또는 DOMAIN\admin)를 사용하여 VMware vCenter용 LXCI에 로그인해야 합니다.

            • 사용자는 바인딩 방법에 대해 완전한 테스트 클라이언트 이름을 사용해야 합니다.

        4. Root DN(루트 DN) 필드에서 LDAP 디렉토리 트리의 최상위 항목을 지정하십시오. 이 경우 지정된 루트 고유 이름을 검색 기반으로 사용하여 검색이 시작됩니다.
        5. User Search Attribute(사용자 검색 속성) 필드에서 사용자 이름을 검색하는 데 사용할 속성을 지정합니다.

          바인딩 방법이 Configured Credentials(구성된 자격 증명)로 설정된 경우 LDAP 서버에 대한 초기 바인딩 후 사용자 DN 및 그룹 멤버십 등 사용자에 대한 특정 정보를 검색하는 검색 요청을 합니다. 이 검색 요청에서는 해당 서버에서 사용자 ID를 나타내는 속성 이름을 지정해야 합니다. 이 속성 이름은 이 필드에서 구성됩니다.

        6. Group Search Attribute(그룹 검색 속성) 필드에서 사용자가 속한 그룹을 식별하는 데 사용할 속성 이름을 지정합니다.

        7. Group Name Attribute(그룹 이름 속성) 필드에서 LDAP 서버가 구성한 그룹 이름을 식별하는 데 사용할 속성 이름을 지정합니다.

    3. Save(저장)을 클릭하십시오.

      VMware vCenter용 LXCI는 일반 오류를 감지하기 위해 구성 테스트를 시도합니다. 테스트에 실패하면 오류의 소스를 나타내는 오류 메시지가 표시됩니다. Configured Credentials(구성된 자격 증명) 바인딩 방법의 경우, 테스트가 성공하고 지정된 서버에 대한 연결이 성공적으로 완료되면 다음과 같은 경우 사용자 인증이 계속 실패할 수 있습니다.

      • LDAP 서버에 잘못된 구성이나 변경 사항이 있는 경우 사용자는 로컬 계정을 사용하여 로그인할 수 있습니다. 로컬 계정과 암호를 기록해 두는 것이 좋습니다.

      • 루트 고유 이름이 올바르지 않습니다.

      • 사용자가 LDAP 서버의 LDAP 그룹 구성원이 아닙니다.

    4. OK(확인)를 누르십시오.

결과

VMware vCenter용 LXCI는 LDAP 서버 연결의 유효성을 검증합니다. 유효성 검증을 통과하면 VMware vCenter용 LXCI에 로그인할 때 외부 인증 서버에서 사용자 인증이 수행됩니다.

유효성 검증에 실패하면 인증 모드가 Allow logons from local users(로컬 사용자의 로그온 허용) 설정으로 다시 자동 변경되고 실패 원인을 설명하는 메시지가 표시됩니다.

VMware vCenter용 LXCI에서 올바른 역할 그룹이 구성되어야 하며, 사용자 계정이 LDAP 서버의 LDAP 그룹 구성원으로 정의되어야 합니다. 그렇지 않으면 사용자 인증에 실패합니다.