본문으로 건너뛰기

LDAP 구성

이 주제의 정보를 사용하여 XClarity Controller LDAP 설정을 보거나 변경하십시오.

LDAP 지원에는 다음이 포함됩니다.
  • LDAP 프로토콜 버전 3(RFC-2251) 지원
  • 표준 LDAP 클라이언트 API(RFC-1823) 지원
  • 표준 LDAP 검색 필터 구문(RFC-2254) 지원
  • 전송 계층 보안용 Lightweight Directory Access Protocol(v3) 확장(RFC-2830) 지원
LDAP 구현은 다음 LDAP 서버를 지원합니다.
  • Microsoft Active Directory(Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Microsoft Active Directory 응용 프로그램 모드(Windows 2003 Server)
  • Microsoft Lightweight Directory Service(Windows 2008, Windows 2012)
  • Novell eDirectory Server, 버전 8.7, 8.8 및 9.4
  • OpenLDAP Server 2.1, 2.2, 2.3 및 2.4

LDAP 탭을 클릭하여 XClarity Controller LDAP 설정을 보거나 수정하십시오.

XClarity Controller는 XClarity Controller 자체에 저장되는 로컬 사용자 계정 대신에 또는 로컬 사용자 계정 외에 중앙 LDAP 서버 통해 사용자의 액세스를 원격으로 인증할 수 있습니다. IBMRBSPermissions 문자열을 사용해 각 사용자 계정에 대해 권한을 지정할 수 있습니다. 또한 LDAP 서버를 사용하여 정상적인 사용자(암호 검사) 인증 외에 사용자를 그룹에 지정하고 그룹 인증을 수행할 수 있습니다. 예를 들어 XClarity Controller를 하나 이상의 그룹과 연결할 수 있으며, 사용자는 XClarity Controller와 연결된 하나 이상의 그룹에 속하는 경우에만 그룹 인증을 전달합니다.

LDAP 서버를 구성하려면 다음 단계를 완료하십시오.
  1. LDAP 서버 정보에서는 항목 목록에서 다음 옵션을 사용할 수 있습니다.
    • 인증의 경우에만 (로컬 인증으로) LDAP 서버 사용: 이 옵션을 선택하면 XClarity Controller가 LDAP 서버에 대해 인증하고 그룹 구성원 정보를 검색하는 경우에만 자격 증명을 사용할 수 있습니다. 그룹 이름과 권한은 Active Directory 설정 섹션에서 구성할 수 있습니다.
    • 인증과 권한 부여에 대해 LDAP 서버 사용: 이 옵션을 선택하면 XClarity Controller가 LDAP 서버에 대해 인증하고 사용자 권한을 식별하는 데 모두 자격 증명을 사용할 수 있습니다.
    인증에 사용할 LDAP 서버는 DNS SRV 기록을 통해 수동으로 구성하거나 동적으로 발견할 수 있습니다.
    • 미리 구성된 서버 사용: DNS가 사용되는 경우 각 서버의 IP 주소 또는 호스트 이름을 입력하여 최대 4개의 LDAP 서버를 구성할 수 있습니다. 각 서버의 포트 번호는 선택 사항입니다. 필드를 공백으로 두는 경우 비보안 LDAP 연결에 기본 값 389를 사용합니다. 보안 연결의 경우 기본 포트값은 636입니다. 하나 이상의 LDAP 서버를 구성해야 합니다.
    • DNS를 사용하여 서버 확인: LDAP 서버를 동적으로 발견하도록 선택할 수 있습니다. RFC2782에서 설명된 메커니즘(서비스 위치 지정을 위한 DNS)을 사용하여 LDAP 서버를 찾습니다. 이를 DNS SRV라고 합니다. DNS SRV 요청에 도메인 이름으로 사용할 완전한 도메인 이름(FQDN)을 지정해야 합니다.
      • AD 포레스트: 교차 도메인에 유니버설 그룹이 있는 환경에서는 필수 전역 카탈로그(GC)를 검색하도록 포레스트 이름(도메인 집합)을 구성해야 합니다. 교차 도메인 그룹 멤버십이 적용되지 않는 환경에서는 이 필드를 비워둘 수 있습니다.
      • AD 도메인: DNS SRV 요청에 도메인 이름으로 사용할 완전한 도메인 이름(FQDN)을 지정해야 합니다.
    보안 LDAP를 사용 가능하도록 설정하려고 하는 경우 보안 LDAP 사용 확인란을 클릭하십시오. 보안 LDAP를 지원하려면 유효한 LDAP 인증서를 먼저 설치하고 하나 이상의 SSL 클라이언트에서 신뢰할 수 있는 인증서를 XClarity Controller로 가져와야 합니다. XClarity Controller 보안 LDAP 클라이언트가 호환되도록 하려면 LDAP 서버가 TLS(Transport Layer Security) 버전 1.2를 지원해야 합니다. 인증서 취급에 대한 자세한 내용은 SSL 인증서 취급의 내용을 참조하십시오.
  2. 추가 매개 변수에 정보를 입력하십시오. 다음은 매개 변수의 설명입니다.
    바인딩 방법
    LDAP 서버를 검색 또는 쿼리하기 전에 바인딩 요청을 보내야 합니다. 이 필드는 이 LDAP 서버 초기 바인딩을 수행하는 방법을 제어합니다. 다음 바인딩 방법을 사용할 수 있습니다.
    • 자격 증명 필요 없음

      이 방법을 사용하여 DN(고유 이름) 또는 암호 없이 바인딩합니다. 대부분의 서버는 특정 사용자 기록에서 검색 요청을 허용하지 않도록 구성되기 때문에 이 방법은 사용하지 않는 것이 좋습니다.

    • 구성된 자격 증명 사용

      이 방법을 사용하여 구성된 클라이언트 DN 및 암호로 바인딩합니다.

    • 로그인 자격 증명 사용

      이 방법을 사용하여 로그인 프로세스 중에 제공된 자격 증명으로 바인딩합니다. 사용자 ID는 DN, 부분 DN, 정규화된 도메인 이름 또는 XClarity Controller에서 구성된 UID 검색 특성과 일치하는 사용자 ID를 통해 제공할 수 있습니다. 표시된 자격 증명이 부분 DN(예: cn=joe)과 비슷한 경우 이 부분 DN은 사용자 기록과 일치하는 DN을 만들려고 시도할 때 구성된 루트 DN에 접두어로 붙입니다. 바인딩 시도가 실패하면 로그인 자격 증명에 cn=을 접두어로 붙이고 결과 문자열을 구성된 루트 DN에 접두어로 붙여 마지막 시도를 합니다.

    초기 바인딩이 성공하면 로그인하는 사용자에 속한 LDAP 서버에서 항목을 찾기 위해 검색을 수행합니다. 필요한 경우 두 번째 바인딩 시도를 하는데, 이 때는 사용자의 LDAP 기록에서 검색한 DN과 로그인 프로세스 중에 입력한 암호를 사용합니다. 두 번째 바인딩 시도가 실패하면 사용자의 액세스가 거부됩니다. 두 번째 바인딩은 자격 증명이 필요하지 않음 또는 구성된 자격 증명 사용 바인딩 방법을 사용하는 경우에만 수행됩니다.
    DN(루트 고유 이름):
    LDAP 서버에 있는 디렉토리 트리의 루트 항목에 대한 DN(루트 고유 이름)입니다(예: dn=mycompany,dc=com). 이 DN은 모든 검색 요청의 기본 개체로 사용됩니다.
    UID 검색 속성
    바인딩 방법이 자격 증명이 필요하지 않음 또는 구성된 자격 증명 사용으로 설정된 경우 LDAP 서버에 대한 초기 바인딩 후 사용자의 DN, 로그인 권한 및 그룹 멤버십 등 사용자에 대한 특정 정보를 검색하는 검색 요청을 합니다. 이 검색 요청은 해당 서버의 사용자 ID를 나타내는 속성 이름을 지정해야 합니다. 이 속성 이름은 이 필드에 구성됩니다. Active Directory 서버에서 속성 이름은 일반적으로 sAMAccountName입니다. Novell eDirectory 및 OpenLDAP 서버에서는 속성 이름이 일반적으로 uid입니다. 이 필드를 공백으로 둔 경우 기본값은 ui입니다.
    그룹 필터
    그룹 필터: 이 필드는 그룹 인증에 사용됩니다. 사용자의 자격 증명이 확인되면 그룹 인증이 시도됩니다. 그룹 인증에 실패하면 사용자의 로그인 시도가 거부됩니다. 그룹 필터가 구성되면 XClarity Controller가 속한 그룹을 지정하는 데 사용됩니다. 즉 사용자는 그룹 인증을 위해 구성된 그룹 중 하나 이상의 그룹에 속해야 성공할 수 있습니다. 그룹 필터 필드를 공백으로 두는 경우 그룹 인증이 자동으로 성공합니다. 그룹 피터가 구성되면 목록의 그룹 하나 이상을 사용자가 속한 그룹과 일치시키는 시도를 합니다. 일치하지 않으면 사용자는 인증에 실패하고 액세스가 거부됩니다. 하나 이상 일치되는 경우 그룹 인증에 성공합니다.
    비교는 대소문자를 구분합니다. 필터는 511자로 제한되며 하나 이상의 그룹 이름으로 구성할 수 있습니다. 여러 그룹 이름을 구분하려면 콜론(:) 문자를 사용해야 합니다. 앞 공백과 뒤 공백이 무시되지만 다른 공백은 그룹 이름의 일부로 취급됩니다.
    기존의 와일드카드 문자(*)는 더 이상 와일드카드로 취급하지 않습니다. 와일드카드 개념은 보안 노출을 방지하기 위해 중단되었습니다. 그룹 이름은 전체 DN으로 또는 cn 부분만 사용하여 지정할 수 있습니다. 예를 들어 실제 DN 또는 adminGroup을 사용하여 DN이 cn=adminGroup, dc=mycompany, dc=com인 그룹을 지정할 수 있습니다.
    Active Directory 환경에서만 중첩 그룹 멤버십이 지원됩니다. 예를 들어 사용자가 GroupA와 GroupB의 구성원이고 GroupA가 또한 GroupC의 구성원인 경우, 사용자는 GroupC의 구성원이라고도 할 수 있습니다. 128개의 그룹을 검색한 경우 중첩된 검색은 중지됩니다. 한 수준의 그룹은 낮은 수준의 그룹 전에 검색됩니다. 루프가 감지되지 않습니다.
    그룹 검색 속성
    Active Directory 또는 Novell eDirectory 환경에서는 그룹 검색 속성 필드가 사용자가 속한 그룹을 식별하는 데 사용되는 특성 이름을 지정합니다. Active Directory 환경에서 속성 이름은 memberOf입니다. eDirectory 환경에서 속성 이름은 groupMembership입니다. OpenLDAP 서버 환경에서 사용자는 일반적으로 objectClass가 PosixGroup과 동일한 그룹에 할당됩니다. 그러한 맥락에서 이 필드는 PosixGroup의 멤버를 식별하는 데 사용되는 특성 이름을 지정합니다. 이 특성 이름이 memberUid입니다. 이 필드를 비워 두면 필터의 속성 이름은 기본적으로 memberOf가 됩니다.
    로그인 권한 속성
    사용자가 LDAP 서버를 통해 성공적으로 인증된 경우 해당 사용자에 대해 로그인 권한을 검색해야 합니다. 로그인 권한을 검색하려면 서버에 보낸 검색 필터가 로그인 권한과 연결된 특성 이름을 지정해야 합니다. 로그인 권한 속성 필드는 속성 이름을 지정합니다. 인증과 권한 부여에 대해 LDAP 서버를 사용하면서 이 필드를 공백으로 두면 해당 사용자는 액세스가 거부됩니다.
    LDAP 서버가 반환하는 속성값은 string IBMRBSPermissions=라는 키워드를 검색합니다. 이 키워드 문자열 바로 다음에는 12개의 0 또는 1이 연속적으로 입력된 비트 문자열이 옵니다. 각 비트는 기능 집합을 나타냅니다. 비트는 위치에 따라 번호를 부여합니다. 가장 왼쪽에 있는 비트는 비트 위치 0이고 가장 오른쪽에 있는 비트는 비트 위치 11입니다. 비트 위치에 1의 값이 오면 해당 비트 기능을 활성화합니다. 비트 위치에 0이라는 값이 오면 해당 비트 위치와 관련된 기능을 비활성화합니다.
    IBMRBSPermissions=010000000000 문자열은 적절한 예입니다. IBMRBSPermissions= keyword는 이 필드에 입력하기 위해 사용됩니다. 이를 통해 LDAP 관리자는 기존 특성을 재사용할 수 있어 LDAP 스키마로 확장되지 않도록 합니다. 또한 이를 통해 이 특성을 원래 용도로 사용할 수 있습니다. 키워드 문자열을 이 필드에 추가할 수 있습니다. 사용되는 특성은 자유 형식 문자열이 가능해야 합니다. 속성이 성공적으로 검색되면 LDAP 서버가 반환하는 값은 다음 표의 정보에 따라 해석됩니다.
    표 1. 권한 비트.

    비트 위치 설명이 포함된 3열 표.

    비트 위치기능설명
    0항상 거부사용자는 항상 인증에 실패합니다. 이 기능을 사용하여 특정 사용자를 차단하거나 특정 그룹과 연관된 사용자를 차단할 수 있습니다.
    1감독자 액세스사용자에게 관리자 권한을 부여합니다. 사용자는 모든 기능에 대한 읽기/쓰기 권한을 가집니다. 이 비트가 설정된 경우 아래의 다른 비트를 개별적으로 설정할 필요가 없습니다.
    2읽기 전용 액세스설정된 경우 사용자는 읽기 전용 액세스 권한을 가지고 유지보수 절차(예: 다시 시작, 원격 작업, 펌웨어 업데이트)를 수행하거나 다른 사항을 수정(저장, 지우기 또는 복원 기능)을 할 수 없습니다. 비트 위치 2 및 다른 모든 비트는 상호 배타적이며 비트 위치 2의 우선 순위가 가장 낮습니다. 다른 비트가 설정되면 이 비트는 무시됩니다.
    3네트워킹 및 보안사용자는 보안, 네트워크 프로토콜, 네트워크 인터페이스, 포트 할당 및 직렬 포트 구성의 구성을 수정할 수 있습니다.
    4사용자 계정 관리사용자는 사용자를 추가/수정/삭제하고 로그인 프로파일 창에서 전역 로그인 설정을 변경할 수 있습니다.
    5원격 콘솔 액세스사용자는 원격 서버 콘솔에 액세스할 수 있습니다.
    6원격 콘솔 및 원격 디스크 액세스사용자는 원격 서버 콘솔과 원격 서버의 원격 디스크 기능에 액세스할 수 있습니다.
    7원격 서버 전원/다시 시작 액세스사용자는 원격 서버에 대한 전원 켜기 및 다시 시작 기능에 액세스할 수 있습니다.
    8기본 어댑터 구성사용자는 시스템 설정과 경고 패널에서 구성 매개 변수를 수정할 수 있습니다.
    9이벤트 로그를 지우는 기능사용자는 이벤트 로그를 지울 수 있습니다.
    모든 사용자가 이벤트 로그를 볼 수 있지만, 이벤트 로그를 지우려면 사용자에게 이 수준의 권한이 있어야 합니다.
    10고급 어댑터 구성사용자에게는 XClarity Controller를 구성하는 데 제한 사항이 없습니다. 또한 사용자는 관리를 위해 XClarity Controller에 액세스할 수 있습니다. 사용자는 펌웨어 업그레이드, PXE 네트워크 부팅, XClarity Controller 복구, 어댑터 공장 출하 기본값 복원, 구성 파일에서 어댑터 구성 수정 및 복원, XClarity Controller 다시 시작/재설정과 같은 고급 기능을 수행할 수 있습니다.
    11예약됨

    이 비트 위치는 미래에 사용하도록 예약된 것입니다. 비트 중 설정된 것이 없는 경우에는 사용자에게는 읽기 전용 권한이 있습니다. 사용자 레코드에서 직접 검색한 로그인 권한에는 우선 순위가 부여됩니다.

    사용자의 기록에 로그인 권한 속성이 없는 경우 사용자가 속한 그룹에서 권한을 검색하기 위한 시도가 이루어집니다. 이러한 검색 시도는 그룹 인증 구간의 일부로 수행됩니다. 사용자에게 모든 그룹의 포함되는 비트 또는 비트 전체가 할당됩니다.

    읽기 전용 비트(위치 2)는 다른 모든 비트가 0으로 설정되는 경우에만 설정됩니다. 어느 그룹에 항상 거부 비트(위치 0)가 설정된 경우 사용자는 액세스가 거부됩니다. 항상 거부 비트(위치 0)는 항상 다른 모든 비트에 우선합니다.

    비트 중 설정된 것이 없는 경우 기본값은 사용자에 대해 읽기 전용으로 설정됩니다.
    사용자 레코드에서 직접 검색한 로그인 권한에는 우선 순위가 부여됩니다. 사용자에게 해당 레코드에 대한 로그인 권한 속성이 없으면 사용자가 속한 그룹에서 사용 권한을 검색하고, 이 속성이 구성된 경우 그룹 필터와 일치하는 사용 권한을 검색합니다. 이 경우, 모든 그룹에 대한 모든 비트의 포함적 OR이 사용자에게 할당됩니다. 이와 마찬가지로 읽기 전용 액세스는 다른 모든 비트가 0인 경우에만 설정됩니다. 또한 어느 그룹에 항상 거부 비트가 설정된 경우 사용자는 액세스가 거부됩니다. 항상 거부 비트는 항상 다른 비트에 우선합니다.
    사용자에게 기본, 네트워킹 및/또는 보안 관련 어댑터 구성 매개 변수를 수정하는 기능을 제공하는 경우 이 동일한 사용자에게 XClarity Controller를 다시 시작하는 기능(비트 위치 10)도 제공해야 합니다. 그렇게 하지 않으면 이 기능 없이 사용자는 매개 변수(예: 어댑터의 IP 주소)를 변경할 수 있지만 적용할 수 없습니다.
  3. Active Directory 설정에서 Active Directory 사용자에 대해 향상된 역할 기반 보안을 활성화할 것인지의 여부를 선택(인증 및 권한 부여에 LDAP 사용 모드를 사용하는 경우)하거나 로컬 권한 부여를 위한 그룹(인증의 경우에만 LDAP 서버 사용(로컬 권한 부여 사용) 모드를 사용하는 경우)을 구성하십시오.
    • Active Directory 사용자에 대해 향상된 역할 기반 보안 사용

      향상된 역할 기반 보안 설정을 활성화하는 경우 자유 형식 서버를 이 특정 XClarity Controller에 대한 대상 이름으로 작동하도록 구성해야 합니다. 대상 이름은 역할 기반 보안(RBS) 스냅인을 통해 Active Directory 서버에서 하나 이상의 역할과 연결할 수 있습니다. 이 작업은 관리 대상을 만들고 특정 이름을 부여한 다음 적절한 역할에 연결하여 진행합니다. 이 필드에 이름이 구성되면 동일한 역할의 멤버인 사용자 및 XClarity Controller(대상)에 대해 특정 역할을 정의하는 기능을 제공합니다. 사용자가 XClarity Controller에 로그인하고 Active Directory를 통해 인증되면 사용자가 멤버인 역할이 디렉토리에서 검색됩니다. 사용자에게 할당된 권한은 여기에서 구성된 서버 이름과 일치하는 대상 또는 XClarity Controller와 일치하는 대상을 멤버로 하는 역할에서 추출됩니다. 여러 XClarity Controller는 동일한 대상 이름을 공유할 수 있습니다. 단일 관리 대상을 사용하여 여러 개의 XClarity Controller를 함께 그룹화하고 동일한 역할에 할당하는 데 사용할 수 있습니다. 반대로 각 XClarity Controller에 고유 이름을 부여할 수 있습니다.

    • 로컬 권한 부여 그룹

      그룹 이름을 구성하여 사용자 그룹에 대한 로컬 권한 부여 사양을 제공합니다. 각 그룹 이름에 위의 표에 명시된 것과 동일한 권한(역할)을 할당할 수 있습니다. LDAP 서버가 그룹 이름의 사용자를 연결합니다. 사용자가 로그인하면 사용자가 속한 그룹과 관련된 권한이 할당됩니다. "+" 아이콘을 클릭하여 추가 그룹을 구성하거나 "x" 아이콘을 클릭하여 삭제할 수 있습니다.