사용자는 관리 노드의 로컬 VMware vCenter용 LXCI 인증 서버 대신 외부 LDAP 인증 서버를 사용할 수 있습니다.
시작하기 전에
외부 인증 서버를 설정하기 전에 VMware vCenter용 LXCI 초기 설치가 완료되어야 합니다.
다음 외부 인증 서버가 지원됩니다.
VMware vCenter용 LXCI는 구성된 외부 LDAP 서버에 대한 연결을 유지하기 위해 10초마다 연결을 검사합니다. LDAP 서버가 많은 환경에서는 이 연결 검사를 수행하는 동안 CPU 사용량이 높아질 수 있습니다. 최상의 성능을 얻으려면 LDAP 클라이언트를 구성할 때 알려진 연결 가능한 LDAP 서버만 지정하십시오.
이 XClarity Integrator 웹 인터페이스에 로그인할 수 있는 LDAP 사용자는 LDAP 서버의 LDAP 그룹 구성원이어야 합니다.
이 LDAP 클라이언트를 구성하기 전에 LDAP 서버에서 그룹을 만들고 그룹에 사용자를 추가하십시오.
외부 인증 서버에서 사용자 계정을 만드십시오. 지침은 LDAP 서버 설명서를 참조하십시오.
LDAP 서버에 그룹을 만듭니다. LDAP 그룹 이름은 기본 이름(LXCI-SUPERVISOR) 또는 기타 사용자 정의 이름이 될 수 있습니다. 이 그룹은 LDAP 클라이언트에 정의된 루트 고유 이름의 컨텍스트 내에 존재해야 합니다.
사용자를 이전에 생성된 그룹의 구성원으로 추가하십시오.
절차
외부 인증 서버를 사용하도록 VMware vCenter용 LXCI를 구성하려면 다음 단계를 완료하십시오.
- Microsoft Active Directory에 대한 사용자 인증 방법을 설정하고 다음 작업 중 하나를 수행합니다.
- VMware vCenter용 LXCI LDAP 클라이언트를 구성하십시오.
- VMware vCenter용 LXCI의 왼쪽 탐색 분할창에서 를 클릭하십시오.
- 이러한 사용자 인증 방법 중 하나를 선택하십시오.
- Allow logons from local users(로컬 사용자의 로그온 허용). 로컬 인증을 사용하여 인증이 수행됩니다. 이 옵션을 선택하면 사용자는 로컬 계정으로만 LXCI에 로그인할 수 있습니다.
- Allow LDAP users first, then local users(LDAP 사용자 먼저 허용 후 로컬 사용자 허용). 먼저 외부 LDAP 서버가 인증을 수행합니다. 실패하면 로컬 인증 서버가 인증을 수행합니다.
이 방법을 선택한 경우 다음을 수행하십시오.
하나 이상의 서버 주소와 포트를 입력합니다.
LDAP 그룹 이름을 입력합니다.
기본적으로 LDAP 그룹 이름은 LXCI-SUPERVISOR입니다. 사용자는 다른 이름을 입력할 수도 있습니다.
이러한 바인딩 방법 중 하나를 선택하십시오.
Configured Credentials(구성된 자격 증명). 이 바인딩 방법을 사용하여 클라이언트 이름 및 암호로 VMware vCenter용 LXCI를 외부 인증 서버에 바인딩하십시오. 바인딩에 실패하면 인증 프로세스도 실패합니다.
클라이언트 이름은 고유 이름, sAMAccountName, NetBIO 이름 또는 UserPrincipalName 등 LDAP 서버가 지원하는 모든 이름이 될 수 있습니다. 클라이언트 사용자 이름은 최소 읽기 전용 권한이 있는 도메인 내의 사용자 계정이어야 합니다. 예:
cn=administrator,cn=users,dc=example,dc=com
example\administrator
administrator@example.com
외부 인증 서버에서 클라이언트 암호를 변경하려면 VMware vCenter용 LXCI에서 새 암호가 업데이트되어야 합니다. 외부 LDAP 서버에서 클라이언트 암호가 변경된 경우 사용자는 로컬 계정을 사용하여 Integrator에 로그인하여 새 암호를 업데이트할 수 있습니다.
Login Credentials(로그인 자격 증명). 이 바인딩 방법을 사용하여 LDAP 사용자 이름 및 암호로 VMware vCenter용 LXCI를 외부 인증 서버에 바인딩합니다.
지정된 사용자 ID 및 암호는 인증 서버 연결을 테스트하는 데에만 사용됩니다. 성공하는 경우 LDAP 클라이언트 설정은 저장되지만, 지정된 테스트 로그인 자격 증명은 저장되지 않습니다. 모든 향후 바인딩은 VMware vCenter용 LXCI에 로그인하는 데 사용하는 사용자 이름 및 암호를 사용합니다.
- Root DN(루트 DN) 필드에서 LDAP 디렉토리 트리의 최상위 항목을 지정하십시오. 이 경우 지정된 루트 고유 이름을 검색 기반으로 사용하여 검색이 시작됩니다.
User Search Attribute(사용자 검색 속성) 필드에서 사용자 이름을 검색하는 데 사용할 속성을 지정합니다.
바인딩 방법이 Configured Credentials(구성된 자격 증명)로 설정된 경우 LDAP 서버에 대한 초기 바인딩 후 사용자 DN 및 그룹 멤버십 등 사용자에 대한 특정 정보를 검색하는 검색 요청을 합니다. 이 검색 요청에서는 해당 서버에서 사용자 ID를 나타내는 속성 이름을 지정해야 합니다. 이 속성 이름은 이 필드에서 구성됩니다.
Group Search Attribute(그룹 검색 속성) 필드에서 사용자가 속한 그룹을 식별하는 데 사용할 속성 이름을 지정합니다.
Group Name Attribute(그룹 이름 속성) 필드에서 LDAP 서버가 구성한 그룹 이름을 식별하는 데 사용할 속성 이름을 지정합니다.
- Save(저장)을 클릭하십시오.
VMware vCenter용 LXCI는 일반 오류를 감지하기 위해 구성 테스트를 시도합니다. 테스트에 실패하면 오류의 소스를 나타내는 오류 메시지가 표시됩니다. Configured Credentials(구성된 자격 증명) 바인딩 방법의 경우, 테스트가 성공하고 지정된 서버에 대한 연결이 성공적으로 완료되면 다음과 같은 경우 사용자 인증이 계속 실패할 수 있습니다.
- OK(확인)를 누르십시오.
결과
VMware vCenter용 LXCI는 LDAP 서버 연결의 유효성을 검증합니다. 유효성 검증을 통과하면 VMware vCenter용 LXCI에 로그인할 때 외부 인증 서버에서 사용자 인증이 수행됩니다.
유효성 검증에 실패하면 인증 모드가 Allow logons from local users(로컬 사용자의 로그온 허용) 설정으로 다시 자동 변경되고 실패 원인을 설명하는 메시지가 표시됩니다.
VMware vCenter용 LXCI에서 올바른 역할 그룹이 구성되어야 하며, 사용자 계정이 LDAP 서버의 LDAP 그룹 구성원으로 정의되어야 합니다. 그렇지 않으면 사용자 인증에 실패합니다.