본문으로 건너뛰기

LDAP 구성

이 주제의 정보를 사용하여 XClarity Controller LDAP 설정을 보거나 변경하십시오.

LDAP 지원에는 다음이 포함됩니다.
  • LDAP 프로토콜 버전 3(RFC-2251) 지원
  • 표준 LDAP 클라이언트 API(RFC-1823) 지원
  • 표준 LDAP 검색 필터 구문(RFC-2254) 지원
  • 전송 계층 보안용 Lightweight Directory Access Protocol(v3) 확장(RFC-2830) 지원
LDAP 구현은 다음 LDAP 서버를 지원합니다.
  • Microsoft Active Directory(Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Microsoft Active Directory Application Mode(Windows 2003, Windows 2008)
  • Microsoft Lightweight Directory Service(Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Novell eDirectory Server, 버전 8.7 및 8.8
  • OpenLDAP 서버 2.1, 2.2, 2.3, 2.4, 2.5 및 2.6

LDAP 탭을 클릭하여 XClarity Controller LDAP 설정을 보거나 수정하십시오.

XClarity Controller는 XClarity Controller 자체에 저장되는 로컬 사용자 계정 대신에 또는 로컬 사용자 계정 외에 중앙 LDAP 서버 통해 사용자의 액세스를 원격으로 인증할 수 있습니다. '로그인 권한 속성'의 값을 사용하여 각 사용자 계정에 대해 권한을 지정할 수 있습니다. 또한 LDAP 서버를 사용하여 정상적인 사용자(암호 검사) 인증 외에 사용자를 그룹에 지정하고 그룹 인증을 수행할 수 있습니다. 예를 들어 XClarity Controller를 하나 이상의 그룹과 연결할 수 있으며, 사용자는 XClarity Controller와 연결된 하나 이상의 그룹에 속하는 경우에만 그룹 인증을 전달합니다.

LDAP 서버를 구성하려면 다음 단계를 완료하십시오.
  1. LDAP 서버 정보에서는 항목 목록에서 다음 옵션을 사용할 수 있습니다.
    • 인증의 경우에만 (로컬 인증으로) LDAP 서버 사용: 이 옵션을 선택하면 XClarity Controller가 LDAP 서버에 대해 인증하고 그룹 구성원 정보를 검색하는 경우에만 자격 증명을 사용할 수 있습니다. 그룹 이름 및 역할은 로컬 권한 부여 그룹 섹션에서 구성할 수 있습니다.
    • 인증과 권한 부여에 대해 LDAP 서버 사용: 이 옵션을 선택하면 XClarity Controller가 LDAP 서버에 대해 인증하고 사용자 권한을 식별하는 데 모두 자격 증명을 사용할 수 있습니다.
    인증에 사용할 LDAP 서버는 DNS SRV 기록을 통해 수동으로 구성하거나 동적으로 발견할 수 있습니다.
    • 미리 구성된 서버 사용: DNS가 활성화된 경우 각 서버의 IP 주소 또는 호스트 이름을 입력하여 최대 3개의 LDAP 서버를 구성할 수 있습니다. 각 서버의 포트 번호는 선택 사항입니다. 필드를 공백으로 두는 경우 비보안 LDAP 연결에 기본 값 389를 사용합니다. 보안 연결의 경우 기본 포트값은 636입니다. 하나 이상의 LDAP 서버를 구성해야 합니다.
    • DNS를 사용하여 서버 확인: LDAP 서버를 동적으로 발견하도록 선택할 수 있습니다. RFC2782에서 설명된 메커니즘(서비스 위치 지정을 위한 DNS)을 사용하여 LDAP 서버를 찾습니다. 이를 DNS SRV라고 합니다. DNS SRV 요청에 도메인 이름으로 사용할 완전한 도메인 이름(FQDN)을 지정해야 합니다.
      • AD 포레스트: 교차 도메인에 유니버설 그룹이 있는 환경에서는 필수 전역 카탈로그(GC)를 검색하도록 포레스트 이름(도메인 집합)을 구성해야 합니다. 교차 도메인 그룹 멤버십이 적용되지 않는 환경에서는 이 필드를 비워둘 수 있습니다.
      • AD 도메인: DNS SRV 요청에 도메인 이름으로 사용할 완전한 도메인 이름(FQDN)을 지정해야 합니다.
    보안 LDAP를 사용으로 설정하려는 경우 보안 LDAP 사용 확인란을 클릭하십시오. 보안 LDAP를 지원하려면 유효한 LDAP 인증서를 먼저 설치하고 하나 이상의 SSL 클라이언트에서 신뢰할 수 있는 인증서를 XClarity Controller로 가져와야 합니다. XClarity Controller 보안 LDAP 클라이언트가 호환되도록 하려면 LDAP 서버가 TLS(Transport Layer Security) 버전 1.2를 지원해야 합니다. 인증서 취급에 대한 자세한 내용은 SSL 인증서 취급의 내용을 참조하십시오.
  2. 추가 매개 변수에 정보를 입력하십시오. 다음은 매개 변수의 설명입니다.
    LDAP 유형
    LDAP 기반 인증을 위한 LDAP 서버 유형을 선택합니다. 다음 서버 유형을 사용할 수 있습니다.

    • OpenLDAP

      OpenLDAP

    • Active Directory

      디렉토리: Windows Active Directory

    • 기타

      디렉토리: Apache Directory, eDirectory 등

    바인딩 방법
    LDAP 서버를 검색 또는 쿼리하기 전에 바인딩 요청을 보내야 합니다. 이 필드는 이 LDAP 서버 초기 바인딩을 수행하는 방법을 제어합니다. 다음 바인딩 방법을 사용할 수 있습니다.

    • 구성된 자격 증명 사용

      이 방법을 사용하여 구성된 클라이언트 DN 및 암호로 바인딩합니다.

    • 로그인 자격 증명 사용

      이 방법을 사용하여 로그인 프로세스 중에 제공된 자격 증명으로 바인딩합니다. 사용자 ID는 DN, 부분 DN, 정규화된 도메인 이름 또는 XClarity Controller에서 구성된 UID 검색 특성과 일치하는 사용자 ID를 통해 제공할 수 있습니다. 표시된 자격 증명이 부분 DN(예: cn=joe)과 비슷한 경우 이 부분 DN은 사용자 기록과 일치하는 DN을 만들려고 시도할 때 구성된 루트 DN에 접두어로 붙입니다. 바인딩 시도가 실패하면 로그인 자격 증명에 cn=을 접두어로 붙이고 결과 문자열을 구성된 루트 DN에 접두어로 붙여 마지막 시도를 합니다.

    초기 바인딩이 성공하면 로그인하는 사용자에 속한 LDAP 서버에서 항목을 찾기 위해 검색을 수행합니다. 필요한 경우 두 번째 바인딩 시도를 하는데, 이 때는 사용자의 LDAP 기록에서 검색한 DN과 로그인 프로세스 중에 입력한 암호를 사용합니다. 두 번째 바인딩 시도가 실패하면 사용자의 액세스가 거부됩니다. 두 번째 바인딩은 구성된 자격 증명 사용 바인딩 방법이 사용되는 경우에만 수행됩니다.
    클라이언트 고유 이름
    초기 바인딩에 사용할 클라이언트 고유 이름(DN)입니다. 최대 300자로 제한됩니다.
    클라이언트 암호
    이 고유 클라이언트의 암호입니다.
    루트 DN
    LDAP 서버에 있는 디렉토리 트리의 루트 항목에 대한 DN(루트 고유 이름)입니다(예: dn=mycompany,dc=com). 이 DN은 모든 검색 요청의 기본 개체로 사용됩니다.
    사용자의 로그인 이름 검색 속성
    바인딩 방법이 구성된 자격 증명 사용으로 설정된 경우 LDAP 서버에 대한 초기 바인딩 후 사용자의 DN, 로그인 권한 및 그룹 멤버십 등 사용자에 대한 특정 정보를 검색하는 검색 요청을 합니다. 이 검색 요청은 해당 서버의 사용자 ID를 나타내는 속성 이름을 지정해야 합니다. 이 속성 이름은 이 필드에 구성됩니다. Active Directory 서버에서 속성 이름은 일반적으로 CN 또는 sAMAccountName입니다. Novell eDirectory 및 OpenLDAP 서버에서는 속성 이름이 일반적으로 uid입니다. 이 필드를 공백으로 둔 경우 기본값은 sAMAccountName입니다.
    그룹 필터
    그룹 필터: 이 필드는 그룹 인증에 사용됩니다. 사용자의 자격 증명이 확인되면 그룹 인증이 시도됩니다. 그룹 인증에 실패하면 사용자의 로그인 시도가 거부됩니다. 그룹 필터가 구성되면 XClarity Controller가 속한 그룹을 지정하는 데 사용됩니다. 즉 사용자는 그룹 인증을 위해 구성된 그룹 중 하나 이상의 그룹에 속해야 성공할 수 있습니다. 그룹 필터 필드를 공백으로 두는 경우 그룹 인증이 자동으로 성공합니다. 그룹 피터가 구성되면 목록의 그룹 하나 이상을 사용자가 속한 그룹과 일치시키는 시도를 합니다. 일치하지 않으면 사용자는 인증에 실패하고 액세스가 거부됩니다. 하나 이상 일치되는 경우 그룹 인증에 성공합니다.
    비교는 대소문자를 구분합니다. 필터는 511자로 제한되며 하나 이상의 그룹 이름으로 구성할 수 있습니다. 여러 그룹 이름을 구분하려면 콜론(:) 문자를 사용해야 합니다. 앞 공백과 뒤 공백이 무시되지만 다른 공백은 그룹 이름의 일부로 취급됩니다.
    기존의 와일드카드 문자(*)는 더 이상 와일드카드로 취급하지 않습니다. 와일드카드 개념은 보안 노출을 방지하기 위해 중단되었습니다. 그룹 이름은 전체 DN으로 또는 cn 부분만 사용하여 지정할 수 있습니다. 예를 들어 실제 DN 또는 adminGroup을 사용하여 DN이 cn=adminGroup, dc=mycompany, dc=com인 그룹을 지정할 수 있습니다.
    그룹 멤버십 검색 속성
    그룹 검색 속성 필드는 사용자가 속한 그룹을 식별하는 데 사용되는 속성 이름을 지정합니다. Active Directory 서버에서 속성 이름은 일반적으로 memberOf입니다. Novell eDirectory 서버에서 속성 이름은 groupMembership입니다. OpenLDAP 서버에서 사용자는 일반적으로 objectClass가 PosixGroup과 같은 그룹에 할당됩니다. 그러한 맥락에서 이 필드는 PosixGroup의 멤버를 식별하는 데 사용되는 특성 이름을 지정합니다. 이 특성 이름이 memberUid입니다. 이 필드를 비워 두면 필터의 속성 이름은 기본적으로 memberOf가 됩니다.
    로그인 권한 속성
    사용자가 LDAP 서버를 통해 성공적으로 인증된 경우 해당 사용자에 대해 로그인 권한을 검색해야 합니다. 로그인 권한을 검색하려면 서버에 보낸 검색 필터가 로그인 권한과 연결된 특성 이름을 지정해야 합니다. 로그인 권한 속성 필드는 속성 이름을 지정합니다. 인증과 권한 부여에 대해 LDAP 서버를 사용하면서 이 필드를 공백으로 두면 해당 사용자는 액세스가 거부됩니다.
    LDAP 서버 검색에서 반환되는 속성 값은 13개의 연속된 0 또는 1로 입력된 비트 문자열이거나 총 13개의 연속된 0 또는 1로 입력된 비트 문자열이어야 합니다. 각 비트는 기능 집합을 나타냅니다. 비트는 위치에 따라 번호를 부여합니다. 가장 왼쪽 비트는 비트 위치 0이고 가장 오른쪽 비트는 비트 위치 12입니다. 비트 위치에 1이라는 값이 오면 해당 비트 위치와 관련된 기능을 활성화합니다. 비트 위치에 0이라는 값이 오면 해당 비트 위치와 관련된 기능을 비활성화합니다.
    0100000000000 문자열이 유효한 예이며, 어떤 필드에든 배치되도록 하는 데 사용됩니다. 사용되는 특성은 자유 형식 문자열이 가능해야 합니다. 속성이 성공적으로 검색되면 LDAP 서버가 반환하는 값은 다음 표의 정보에 따라 해석됩니다.
    표 1. 권한 비트.

    비트 위치 설명이 포함된 3열 표.

    비트 위치기능설명
    0항상 거부사용자는 항상 인증에 실패합니다. 이 기능을 사용하여 특정 사용자를 차단하거나 특정 그룹과 연관된 사용자를 차단할 수 있습니다.
    1감독자 액세스사용자에게 관리자 권한을 부여합니다. 사용자는 모든 기능에 대한 읽기/쓰기 권한을 가집니다. 이 비트가 설정된 경우 아래의 다른 비트를 개별적으로 설정할 필요가 없습니다.
    2읽기 전용 액세스사용자는 읽기 전용 액세스 권한을 가지며, 유지보수 절차(예: 다시 시작, 원격 작업 또는 펌웨어 업데이트) 또는 수정 작업(저장, 지우기 또는 복원 기능)을 수행할 수 없습니다. 비트 위치 2 및 다른 모든 비트는 상호 배타적이며 비트 위치 2의 우선 순위가 가장 낮습니다. 다른 비트가 설정되면 이 비트는 무시됩니다.
    3구성 - 네트워킹 및 BMC 보안사용자는 보안, 네트워크 프로토콜, 네트워크 인터페이스, 포트 할당 및 직렬 포트 구성의 구성을 수정할 수 있습니다.
    4사용자 계정 관리사용자는 사용자를 추가/수정/삭제하고 로그인 프로파일 창에서 전역 로그인 설정을 변경할 수 있습니다.
    5원격 콘솔 액세스사용자는 원격 서버 콘솔에 액세스할 수 있습니다.
    6원격 콘솔 및 원격 디스크 액세스사용자는 원격 서버 콘솔과 원격 서버의 원격 디스크 기능에 액세스할 수 있습니다.
    7원격 서버 전원/다시 시작 액세스사용자는 원격 서버에 대한 전원 켜기 및 다시 시작 기능에 액세스할 수 있습니다.
    8구성 - 기본사용자는 시스템 설정과 경고 패널에서 구성 매개 변수를 수정할 수 있습니다.
    9이벤트 로그를 지우는 기능사용자는 이벤트 로그를 지울 수 있습니다.
    모든 사용자가 이벤트 로그를 볼 수 있지만, 이벤트 로그를 지우려면 사용자에게 이 수준의 권한이 있어야 합니다.
    10구성 - 고급(펌웨어 업데이트, BMC 다시 시작, 구성 복원)사용자에게는 XClarity Controller를 구성하는 데 제한 사항이 없습니다. 또한 사용자는 관리를 위해 XClarity Controller에 액세스할 수 있습니다. 사용자는 펌웨어 업그레이드, PXE 네트워크 부팅, 어댑터 공장 출하 기본값 복원, 구성 파일에서 어댑터 구성 수정 및 복원, 어댑터 다시 시작/재설정과 같은 고급 기능을 수행할 수 있습니다.
    11구성 - UEFI 보안사용자는 UEFI 보안 관련 설정을 구성할 수 있습니다(UEFI F1 보안 설정 페이지에서도 구성 가능).
    12예약됨나중에 사용하도록 예약되어 있으며 현재 무시됩니다.
    비트가 설정되지 않은 경우 사용자 액세스가 거부됩니다
    사용자 레코드에서 직접 검색한 로그인 권한에는 우선 순위가 부여됩니다. 사용자에게 해당 레코드에 대한 로그인 권한 속성이 없으면 사용자가 속한 그룹에서 사용 권한을 검색하고, 이 속성이 구성된 경우 그룹 필터와 일치하는 사용 권한을 검색합니다. 이 경우, 모든 그룹에 대한 모든 비트의 포함적 OR이 사용자에게 할당됩니다. 이와 마찬가지로 읽기 전용 액세스는 다른 모든 비트가 0인 경우에만 설정됩니다. 또한 어느 그룹에 항상 거부 비트가 설정된 경우 사용자는 액세스가 거부됩니다. 항상 거부 비트는 항상 다른 비트에 우선합니다.
    중요사항
    사용자에게 기본, 네트워킹 및/또는 보안 관련 어댑터 구성 매개 변수를 수정하는 기능을 제공하는 경우 이 동일한 사용자에게 XClarity Controller를 다시 시작하는 기능(비트 위치 10)도 제공해야 합니다. 그렇게 하지 않으면 이 기능 없이 사용자는 매개 변수(예: 어댑터의 IP 주소)를 변경할 수 있지만 적용할 수 없습니다.

  3. 인증의 경우에만 (로컬 인증으로) LDAP 서버 사용 모드가 사용되는 경우 로컬 권한 부여 그룹을 구성합니다. 그룹 이름, 그룹 도메인 및 역할은 사용자 그룹에 대해 로컬 권한 부여를 제공하도록 구성됩니다. 각 그룹은 로컬 사용자의 역할에 구성된 것과 동일한 역할(권한)이 할당될 수 있습니다. 사용자 계정은 LDAP 서버의 다양한 그룹에 할당됩니다. BMC에 로그인하면 이 사용자 계정이 속한 그룹의 역할(권한)이 사용자 계정에 할당됩니다. 그룹 도메인은 고유 이름과 동일한 형식이어야 하며(예: dc=mycompany,dc=com) 그룹 검색의 기본 개체로 사용됩니다. 필드를 비워 두면 '루트 DN' 필드와 동일한 값이 사용됩니다. 추가 그룹은 '+' 아이콘을 클릭하여 추가하거나 'x' 아이콘을 클릭하여 삭제할 수 있습니다.

  4. 사용자 이름 표시에 사용되는 속성 지정 드롭 다운 메뉴에서 사용자 이름 표시에 사용되는 속성을 선택합니다.