Lenovo XClarity Orchestrator에는 로컬(내장) 인증 서버가 포함되어 있습니다. 자체 외부 Active Directory LDAP 서버를 사용하도록 선택할 수도 있습니다.
시작하기 전에
외부 인증 서버에 필요한 모든 포트가 네트워크와 방화벽에서 열려 있어야 합니다. 포트 요구사항에 대한 내용은 포트 사용 가능성에서 확인하십시오.
Microsoft Active Directory만 외부 LDAP 서버로 지원됩니다.
XClarity Orchestrator에서는 외부 LDAP 서버에 정의된 사용자 그룹을 자동으로 복제하지 않습니다. 그러나 LDAP 사용자 그룹을 수동으로 복제할 수 있습니다(사용자 그룹 만들기 참조).
외부 LDAP 사용자가 XClarity Orchestrator에 로그인하려면 먼저 해당 사용자가 XClarity Orchestrator에 복제된 LDAP 사용자 그룹의 직접 구성원이어야 합니다(사용자 그룹 만들기 참조). XClarity Orchestrator은(는) 외부 LDAP 서버에 정의된 복제 LDAP 사용자 그룹에 중첩된 사용자 그룹의 구성원인 사용자를 인식하지 않습니다.
이 작업 정보
외부 LDAP 서버가 구성되지 않은 경우 XClarity Orchestrator에서는 항상 로컬 인증 서버를 사용하여 사용자를 인증합니다.
외부 LDAP 서버가 구성된 경우 XClarity Orchestrator에서는 먼저 로컬 인증 서버를 사용하여 사용자 인증을 시도합니다. 인증에 실패하면 XClarity Orchestrator에서 첫 번째 LDAP 서버의 IP 주소를 사용하여 인증을 시도합니다. 인증에 실패하면 LDAP 클라이언트가 다음 LDAP 서버의 IP 주소를 사용하여 인증을 시도합니다.
외부 LDAP 사용자가 처음으로 XClarity Orchestrator에 로그인하면 이름이 <username>@<domain>인 사용자 계정이 XClarity Orchestrator에 자동으로 복제됩니다. 복제된 외부 LDAP 사용자를 사용자 그룹에 추가하거나 LDAP 그룹을 사용하여 액세스를 제어할 수 있습니다. 외부 LDAP 사용자에게 감독자 권한을 추가할 수도 있습니다.
절차
XClarity Orchestrator를 LDAP 인증 서버를 사용하도록 구성하려면 다음 단계를 완료하십시오.
- XClarity Orchestrator 메뉴 표시줄에서 을 클릭한 다음 왼쪽 탐색 분할창에서 LDAP 클라이언트를 클릭하면 LDAP 클라이언트 카드가 나옵니다.
- 다음 단계에 따라 각 외부 LDAP 서버를 구성하십시오.
- 추가 아이콘()을 클릭하여 LDAP 서버를 추가하십시오.
외부 LDAP 서버의 도메인 이름, IP 주소 및 포트를 지정하십시오.
포트 번호가 3268 또는 3269로 명확하게 설정되지 않으면 해당 엔트리는 도메인 컨트롤러를 식별하는 것으로 간주됩니다.
포트 번호가 3268 또는 3269로 설정되면 해당 엔트리는 글로벌 카탈로그를 식별하는 것으로 간주됩니다. LDAP 클라이언트는 처음으로 구성되는 서버 IP 주소에 대한 도메인 컨트롤러를 사용하여 인증을 시도합니다. 이것이 실패하는 경우 LDAP 클라이언트는 다음 서버 IP 주소에 대한 도메인 컨트롤러를 사용하여 인증을 시도합니다.
- 원하는 경우 고급 구성 설정 사용자 지정을 사용하도록 선택합니다.
사용자 지정 구성을 사용하도록 선택하면 사용자 검색 필터를 지정할 수 있습니다. 사용자 검색 필터를 지정하지 않으면 (&&(objectClass=user)(|(userPrincipalName={0})(sAMAccountName={0})))이(가) 기본적으로 사용됩니다.
고급 구성을 사용하지 않으면 기본 Active Directory 구성이 사용됩니다.
- 사용자 인증 검색을 시작하는 LDAP 클라이언트에서 정규화된 LDAP 기반 고유 이름을 지정합니다.
- 사용자 그룹 검색을 시작하는 LDAP 클라이언트에서 정규화된 LDAP 기반 고유 이름을 지정합니다(예: dc=company,dc=com).
- 필요한 경우 외부 인증 서버에 XClarity Orchestrator를 바인딩할 자격 증명을 지정합니다. 두 가지 바인딩 방법 중 하나를 사용할 수 있습니다.
- 구성된 자격 증명. 이 바인딩 방법을 사용하여 특정 클라이언트 이름 및 암호로 XClarity Orchestrator를 외부 인증 서버에 바인딩합니다. 바인딩에 실패하면 인증 프로세스도 실패합니다.
사용자 계정의 정규화된 LDAP 고유 이름(예: cn=somebody,dc=company,dc=com) 또는 이메일 주소(예: somebody@company.com)와 XClarity Orchestrator를 LDAP 서버에 바인딩하기 위해 LDAP 인증에 사용할 암호를 지정합니다. 바인딩에 실패하면 인증 프로세스도 실패합니다.
고유 이름은 최소 읽기 전용 권한이 있는 도메인 내의 사용자 계정이어야 합니다.
LDAP 서버에 하위 도메인이 없는 경우 도메인 없이 사용자 이름을 지정할 수 있습니다(예: user1). 그러나 LDAP 서버에 하위 도메인이 있는 경우(예: 도메인 company.com의 하위 도메인 new.company.com), 사용자 이름과 도메인을 지정해야 합니다(예: user1@company.com).
- 로그인 자격 증명. 이 바인딩 방법을 사용하여 LDAP XClarity Orchestrator 사용자 이름 및 암호로 XClarity Orchestrator을(를) 외부 인증 서버에 바인딩합니다.
테스트 사용자 계정의 정규화된 LDAP 고유 이름과 인증 서버에 대한 연결의 유효성 검사를 위해 LDAP 인증에 사용할 암호를 지정합니다.
이러한 사용자 자격 증명은 저장되지 않습니다. 성공하면 모든 향후 바인딩은 사용자가 XClarity Orchestrator에 로그인하는 데 사용한 사용자 이름 및 암호를 사용합니다. 바인딩에 실패하면 인증 프로세스도 실패합니다.
정규화된 사용자 ID(예: administrator@domain.com)를 사용하여 XClarity Orchestrator에 로그인해야 합니다.
- 필요한 경우 LDAP over SSL 토글을 선택한 다음 가져오기를 클릭해 보안 LDAP를 사용하도록 선택하고 신뢰할 수 있는 SSL 인증서를 검색 및 가져옵니다. 서버 인증서 가져오기 대화 상자가 표시된 경우 허용을 클릭하여 인증서를 사용합니다.
SSL을 통한 LDAP를 사용하도록 선택하는 경우 XClarity Orchestrator는 LDAPS 프로토콜을 사용하여 외부 인증 서버에 안전하게 연결합니다. 이 옵션을 선택하면 보안 LDAP를 지원하는 데 신뢰할 수 있는 인증서가 사용됩니다.
SSL을 통한 LDAP를 사용하지 않도록 선택하는 경우 XClarity Orchestrator는 보안되지 않은 프로토콜을 사용하여 외부 인증 서버에 연결합니다. 이 설정을 사용하면 하드웨어가 보안 공격에 취약할 수 있습니다.
- 위로 이동 아이콘() 및 아래로 이동 아이콘()을 사용하여 LDAP 서버를 다시 정렬할 수 있습니다.
LDAP 클라이언트는 첫 번째 서버 IP 주소를 사용하여 인증을 시도합니다. 인증에 실패하면 LDAP 클라이언트가 다음 서버 IP 주소를 사용하여 인증을 시도합니다.
보안 LDAP 인증의 경우 LDAP 서버의 루트 인증 기관(CA) 인증서 또는 서버의 중간 인증서 중 하나를 사용하십시오. 다음 명령을 실행하여 명령 프롬프트에서 루트 또는 중간 CA 인증서를 검색할 수 있습니다. 여기서
{FullyQualifiedHostNameOrIpAddress}은(는) 외부 LDAP 서버의 정규화된 이름입니다. 루트 CA 인증서 또는 중간 CA 인증서는 일반적으로 출력의 마지막 인증서인 마지막 BEGIN--END 섹션입니다.openssl s_client -showcerts -connect {FullyQualifiedHostNameOrIpAddress}:636
- 변경 사항 적용을 클릭하십시오.
XClarity Orchestrator에서는 IP 주소, 포트, SSL 인증서 및 바인딩 자격 증명 테스트를 시도하고 LDAP 서버 연결의 유효성을 검사하여 일반적인 오류를 찾습니다. 유효성 검증을 통과하면 사용자가 XClarity Orchestrator에 로그인할 때 외부 인증 서버에서 사용자 인증이 수행됩니다. 유효성 검증에 실패하면 오류의 소스를 표시하는 오류 메시지가 표시됩니다.
유효성 검증에 성공하고 LDAP 서버 연결이 성공적으로 완료되는 경우에도 루트 고유 이름이 틀릴 경우 사용자 인증에 실패할 수 있습니다.
완료한 후에
구성 옆의
삭제 아이콘(
)을 클릭하여 LDAP 서버 구성을 제거할 수 있습니다. LDAP 서버 구성을 삭제할 때 동일한 도메인에 다른 LDAP 서버 구성이 없으면 해당 도메인의 복제 사용자 및 복제 사용자 그룹도 제거됩니다.