LDAP 구성
이 주제의 정보를 사용하여 XClarity Controller LDAP 설정을 보거나 변경하십시오.
- LDAP 프로토콜 버전 3(RFC-2251) 지원
- 표준 LDAP 클라이언트 API(RFC-1823) 지원
- 표준 LDAP 검색 필터 구문(RFC-2254) 지원
- 전송 계층 보안용 Lightweight Directory Access Protocol(v3) 확장(RFC-2830) 지원
- Microsoft Active Directory(Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Microsoft Active Directory 응용 프로그램 모드(Windows 2003 Server)
- Microsoft Lightweight Directory Service(Windows 2008, Windows 2012)
- Novell eDirectory Server, 버전 8.7, 8.8 및 9.4
- OpenLDAP Server 2.1, 2.2, 2.3 및 2.4
LDAP 탭을 클릭하여 XClarity Controller LDAP 설정을 보거나 수정하십시오.
XClarity Controller는 XClarity Controller 자체에 저장되는 로컬 사용자 계정 대신에 또는 로컬 사용자 계정 외에 중앙 LDAP 서버 통해 사용자의 액세스를 원격으로 인증할 수 있습니다. IBMRBSPermissions 문자열을 사용해 각 사용자 계정에 대해 권한을 지정할 수 있습니다. 또한 LDAP 서버를 사용하여 정상적인 사용자(암호 검사) 인증 외에 사용자를 그룹에 지정하고 그룹 인증을 수행할 수 있습니다. 예를 들어 XClarity Controller를 하나 이상의 그룹과 연결할 수 있으며, 사용자는 XClarity Controller와 연결된 하나 이상의 그룹에 속하는 경우에만 그룹 인증을 전달합니다.
- LDAP 서버 정보에서는 항목 목록에서 다음 옵션을 사용할 수 있습니다.
- 인증의 경우에만 (로컬 인증으로) LDAP 서버 사용: 이 옵션을 선택하면 XClarity Controller가 LDAP 서버에 대해 인증하고 그룹 구성원 정보를 검색하는 경우에만 자격 증명을 사용할 수 있습니다. 그룹 이름과 권한은 Active Directory 설정 섹션에서 구성할 수 있습니다.
- 인증과 권한 부여에 대해 LDAP 서버 사용: 이 옵션을 선택하면 XClarity Controller가 LDAP 서버에 대해 인증하고 사용자 권한을 식별하는 데 모두 자격 증명을 사용할 수 있습니다.
주인증에 사용할 LDAP 서버는 DNS SRV 기록을 통해 수동으로 구성하거나 동적으로 발견할 수 있습니다.- 미리 구성된 서버 사용: DNS가 사용되는 경우 각 서버의 IP 주소 또는 호스트 이름을 입력하여 최대 4개의 LDAP 서버를 구성할 수 있습니다. 각 서버의 포트 번호는 선택 사항입니다. 필드를 공백으로 두는 경우 비보안 LDAP 연결에 기본 값 389를 사용합니다. 보안 연결의 경우 기본 포트값은 636입니다. 하나 이상의 LDAP 서버를 구성해야 합니다.
- DNS를 사용하여 서버 확인: LDAP 서버를 동적으로 발견하도록 선택할 수 있습니다. RFC2782에서 설명된 메커니즘(서비스 위치 지정을 위한 DNS)을 사용하여 LDAP 서버를 찾습니다. 이를 DNS SRV라고 합니다. DNS SRV 요청에 도메인 이름으로 사용할 완전한 도메인 이름(FQDN)을 지정해야 합니다.
- AD 포레스트: 교차 도메인에 유니버설 그룹이 있는 환경에서는 필수 전역 카탈로그(GC)를 검색하도록 포레스트 이름(도메인 집합)을 구성해야 합니다. 교차 도메인 그룹 멤버십이 적용되지 않는 환경에서는 이 필드를 비워둘 수 있습니다.
- AD 도메인: DNS SRV 요청에 도메인 이름으로 사용할 완전한 도메인 이름(FQDN)을 지정해야 합니다.
- 추가 매개 변수에 정보를 입력하십시오. 다음은 매개 변수의 설명입니다.
- 바인딩 방법
- LDAP 서버를 검색 또는 쿼리하기 전에 바인딩 요청을 보내야 합니다. 이 필드는 이 LDAP 서버 초기 바인딩을 수행하는 방법을 제어합니다. 다음 바인딩 방법을 사용할 수 있습니다.
- 자격 증명 필요 없음
이 방법을 사용하여 DN(고유 이름) 또는 암호 없이 바인딩합니다. 대부분의 서버는 특정 사용자 기록에서 검색 요청을 허용하지 않도록 구성되기 때문에 이 방법은 사용하지 않는 것이 좋습니다.
- 구성된 자격 증명 사용
이 방법을 사용하여 구성된 클라이언트 DN 및 암호로 바인딩합니다.
- 로그인 자격 증명 사용
이 방법을 사용하여 로그인 프로세스 중에 제공된 자격 증명으로 바인딩합니다. 사용자 ID는 DN, 부분 DN, 정규화된 도메인 이름 또는 XClarity Controller에서 구성된 UID 검색 특성과 일치하는 사용자 ID를 통해 제공할 수 있습니다. 표시된 자격 증명이 부분 DN(예: cn=joe)과 비슷한 경우 이 부분 DN은 사용자 기록과 일치하는 DN을 만들려고 시도할 때 구성된 루트 DN에 접두어로 붙입니다. 바인딩 시도가 실패하면 로그인 자격 증명에 cn=을 접두어로 붙이고 결과 문자열을 구성된 루트 DN에 접두어로 붙여 마지막 시도를 합니다.
- 자격 증명 필요 없음
- DN(루트 고유 이름):
- LDAP 서버에 있는 디렉토리 트리의 루트 항목에 대한 DN(루트 고유 이름)입니다(예: dn=mycompany,dc=com). 이 DN은 모든 검색 요청의 기본 개체로 사용됩니다.
- UID 검색 속성
- 바인딩 방법이 자격 증명이 필요하지 않음 또는 구성된 자격 증명 사용으로 설정된 경우 LDAP 서버에 대한 초기 바인딩 후 사용자의 DN, 로그인 권한 및 그룹 멤버십 등 사용자에 대한 특정 정보를 검색하는 검색 요청을 합니다. 이 검색 요청은 해당 서버의 사용자 ID를 나타내는 속성 이름을 지정해야 합니다. 이 속성 이름은 이 필드에 구성됩니다. Active Directory 서버에서 속성 이름은 일반적으로 sAMAccountName입니다. Novell eDirectory 및 OpenLDAP 서버에서는 속성 이름이 일반적으로 uid입니다. 이 필드를 공백으로 둔 경우 기본값은 ui입니다.
- 그룹 필터
- 그룹 필터: 이 필드는 그룹 인증에 사용됩니다. 사용자의 자격 증명이 확인되면 그룹 인증이 시도됩니다. 그룹 인증에 실패하면 사용자의 로그인 시도가 거부됩니다. 그룹 필터가 구성되면 XClarity Controller가 속한 그룹을 지정하는 데 사용됩니다. 즉 사용자는 그룹 인증을 위해 구성된 그룹 중 하나 이상의 그룹에 속해야 성공할 수 있습니다. 그룹 필터 필드를 공백으로 두는 경우 그룹 인증이 자동으로 성공합니다. 그룹 피터가 구성되면 목록의 그룹 하나 이상을 사용자가 속한 그룹과 일치시키는 시도를 합니다. 일치하지 않으면 사용자는 인증에 실패하고 액세스가 거부됩니다. 하나 이상 일치되는 경우 그룹 인증에 성공합니다.
- 그룹 검색 속성
- Active Directory 또는 Novell eDirectory 환경에서는 그룹 검색 속성 필드가 사용자가 속한 그룹을 식별하는 데 사용되는 특성 이름을 지정합니다. Active Directory 환경에서 속성 이름은 memberOf입니다. eDirectory 환경에서 속성 이름은 groupMembership입니다. OpenLDAP 서버 환경에서 사용자는 일반적으로 objectClass가 PosixGroup과 동일한 그룹에 할당됩니다. 그러한 맥락에서 이 필드는 PosixGroup의 멤버를 식별하는 데 사용되는 특성 이름을 지정합니다. 이 특성 이름이 memberUid입니다. 이 필드를 비워 두면 필터의 속성 이름은 기본적으로 memberOf가 됩니다.
- 로그인 권한 속성
- 사용자가 LDAP 서버를 통해 성공적으로 인증된 경우 해당 사용자에 대해 로그인 권한을 검색해야 합니다. 로그인 권한을 검색하려면 서버에 보낸 검색 필터가 로그인 권한과 연결된 특성 이름을 지정해야 합니다. 로그인 권한 속성 필드는 속성 이름을 지정합니다. 이 필드를 공백으로 둔 경우, 사용자가 사용자 및 그룹 인증을 통과하는 것으로 생각되어 사용자에게는 읽기 전용 권한의 기본값이 지정됩니다.
비트 중 설정된 것이 없는 경우 기본값은 사용자에 대해 읽기 전용으로 설정됩니다.표 1. 권한 비트. 비트 위치 설명이 포함된 3열 표.
비트 위치 기능 설명 0 항상 거부 사용자는 항상 인증에 실패합니다. 이 기능을 사용하여 특정 사용자를 차단하거나 특정 그룹과 연관된 사용자를 차단할 수 있습니다. 1 감독자 액세스 사용자에게 관리자 권한을 부여합니다. 사용자는 모든 기능에 대한 읽기/쓰기 권한을 가집니다. 이 비트가 설정된 경우 아래의 다른 비트를 개별적으로 설정할 필요가 없습니다. 2 읽기 전용 액세스 설정된 경우 사용자는 읽기 전용 액세스 권한을 가지고 유지보수 절차(예: 다시 시작, 원격 작업, 펌웨어 업데이트)를 수행하거나 다른 사항을 수정(저장, 지우기 또는 복원 기능)을 할 수 없습니다. 비트 위치 2 및 다른 모든 비트는 상호 배타적이며 비트 위치 2의 우선 순위가 가장 낮습니다. 다른 비트가 설정되면 이 비트는 무시됩니다. 3 네트워킹 및 보안 사용자는 보안, 네트워크 프로토콜, 네트워크 인터페이스, 포트 할당 및 직렬 포트 구성의 구성을 수정할 수 있습니다. 4 사용자 계정 관리 사용자는 사용자를 추가/수정/삭제하고 로그인 프로파일 창에서 전역 로그인 설정을 변경할 수 있습니다. 5 원격 콘솔 액세스 사용자는 원격 서버 콘솔에 액세스할 수 있습니다. 6 원격 콘솔 및 원격 디스크 액세스 사용자는 원격 서버 콘솔과 원격 서버의 원격 디스크 기능에 액세스할 수 있습니다. 7 원격 서버 전원/다시 시작 액세스 사용자는 원격 서버에 대한 전원 켜기 및 다시 시작 기능에 액세스할 수 있습니다. 8 기본 어댑터 구성 사용자는 시스템 설정과 경고 패널에서 구성 매개 변수를 수정할 수 있습니다. 9 이벤트 로그를 지우는 기능 사용자는 이벤트 로그를 지울 수 있습니다. 주모든 사용자가 이벤트 로그를 볼 수 있지만, 이벤트 로그를 지우려면 사용자에게 이 수준의 권한이 있어야 합니다.10 고급 어댑터 구성 사용자에게는 XClarity Controller를 구성하는 데 제한 사항이 없습니다. 또한 사용자는 관리를 위해 XClarity Controller에 액세스할 수 있습니다. 사용자는 펌웨어 업그레이드, PXE 네트워크 부팅, XClarity Controller 복구, 어댑터 공장 출하 기본값 복원, 구성 파일에서 어댑터 구성 수정 및 복원, XClarity Controller 다시 시작/재설정과 같은 고급 기능을 수행할 수 있습니다. 11 예약됨 이 비트 위치는 미래에 사용하도록 예약된 것입니다. 비트 중 설정된 것이 없는 경우에는 사용자에게는 읽기 전용 권한이 있습니다. 사용자 레코드에서 직접 검색한 로그인 권한에는 우선 순위가 부여됩니다.
사용자의 기록에 로그인 권한 속성이 없는 경우 사용자가 속한 그룹에서 권한을 검색하기 위한 시도가 이루어집니다. 이러한 검색 시도는 그룹 인증 구간의 일부로 수행됩니다. 사용자에게 모든 그룹의 포함되는 비트 또는 비트 전체가 할당됩니다.
읽기 전용 비트(위치 2)는 다른 모든 비트가 0으로 설정되는 경우에만 설정됩니다. 어느 그룹에 항상 거부 비트(위치 0)가 설정된 경우 사용자는 액세스가 거부됩니다. 항상 거부 비트(위치 0)는 항상 다른 모든 비트에 우선합니다.
사용자 레코드에서 직접 검색한 로그인 권한에는 우선 순위가 부여됩니다. 사용자에게 해당 레코드에 대한 로그인 권한 속성이 없으면 사용자가 속한 그룹에서 사용 권한을 검색하고, 이 속성이 구성된 경우 그룹 필터와 일치하는 사용 권한을 검색합니다. 이 경우, 모든 그룹에 대한 모든 비트의 포함적 OR이 사용자에게 할당됩니다. 이와 마찬가지로 읽기 전용 액세스는 다른 모든 비트가 0인 경우에만 설정됩니다. 또한 어느 그룹에 항상 거부 비트가 설정된 경우 사용자는 액세스가 거부됩니다. 항상 거부 비트는 항상 다른 비트에 우선합니다.주사용자에게 기본, 네트워킹 및/또는 보안 관련 어댑터 구성 매개 변수를 수정하는 기능을 제공하는 경우 이 동일한 사용자에게 XClarity Controller를 다시 시작하는 기능(비트 위치 10)도 제공해야 합니다. 그렇게 하지 않으면 이 기능 없이 사용자는 매개 변수(예: 어댑터의 IP 주소)를 변경할 수 있지만 적용할 수 없습니다. - Active Directory 설정에서 Active Directory 사용자에 대해 향상된 역할 기반 보안을 활성화할 것인지의 여부를 선택(인증 및 권한 부여에 LDAP 사용 모드를 사용하는 경우)하거나 로컬 권한 부여를 위한 그룹(인증의 경우에만 LDAP 서버 사용(로컬 권한 부여 사용) 모드를 사용하는 경우)을 구성하십시오.
Active Directory 사용자에 대해 향상된 역할 기반 보안 사용
향상된 역할 기반 보안 설정을 활성화하는 경우 자유 형식 서버를 이 특정 XClarity Controller에 대한 대상 이름으로 작동하도록 구성해야 합니다. 대상 이름은 역할 기반 보안(RBS) 스냅인을 통해 Active Directory 서버에서 하나 이상의 역할과 연결할 수 있습니다. 이 작업은 관리 대상을 만들고 특정 이름을 부여한 다음 적절한 역할에 연결하여 진행합니다. 이 필드에 이름이 구성되면 동일한 역할의 멤버인 사용자 및 XClarity Controller(대상)에 대해 특정 역할을 정의하는 기능을 제공합니다. 사용자가 XClarity Controller에 로그인하고 Active Directory를 통해 인증되면 사용자가 멤버인 역할이 디렉토리에서 검색됩니다. 사용자에게 할당된 권한은 여기에서 구성된 서버 이름과 일치하는 대상 또는 XClarity Controller와 일치하는 대상을 멤버로 하는 역할에서 추출됩니다. 여러 개의 XClarity Controller가 동일한 대상 이름을 공유할 수 있습니다. 예를 들어 단일 관리 대상을 사용하여 여러 개의 XClarity Controller를 함께 그룹화하고 동일한 역할에 할당하는 데 사용할 수 있습니다. 반대로 각 XClarity Controller에 고유 이름을 부여할 수 있습니다.
로컬 권한 부여 그룹
그룹 이름을 구성하여 사용자 그룹에 대한 로컬 권한 부여 사양을 제공합니다. 각 그룹 이름에 위의 표에 명시된 것과 동일한 권한(역할)을 할당할 수 있습니다. LDAP 서버는 사용자를 그룹 이름과 연결합니다. 사용자가 로그인하면 사용자가 속한 그룹과 관련된 권한이 할당됩니다. "+" 아이콘을 클릭하여 추가 그룹을 구성하거나 "x" 아이콘을 클릭하여 삭제할 수 있습니다.