고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리 설정

이 페이지에서 사용자 및 그룹이 외부 LDAP 디렉토리에 상주할 때의 고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리 설정을 구성할 수 있습니다.

이 관리 페이지를 보려면 다음 단계를 완료하십시오.
  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 사용자 계정 저장소 아래에서 사용 가능한 영역 정의 드롭 다운 목록을 클릭하고 독립형 LDAP 레지스트리를 선택한 후 구성을 클릭하십시오.
  3. 추가 특성 아래에서 고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리 설정을 클릭하십시오.

모든 사용자 및 그룹 관련 필터에 대한 기본값이 이미 해당 필드에 입력되어 있습니다. 사용자 요구사항에 따라서 이들 값을 변경할 수 있습니다. 이 기본값은 LDAP 레지스트리 설정 패널에서 선택된 LDAP 서버의 유형을 기초로 합니다. 이 유형이 변경되면(예: Netscape에서 Secureway로) 기본 필터가 자동으로 변경됩니다. 기본 필터 값이 변경되면, LDAP 서버 유형이 사용자 정의로 변경되어 사용자 정의 필터가 사용됨을 표시합니다. 보안이 사용 가능하고 이 특성 중 일부가 변경되는 경우, 글로벌 보안 패널에서 적용 또는 확인을 클릭하여 변경사항의 유효성을 검증하십시오.

참고: 초기 프로파일 작성 시 파일 기반 레지스트리와 함께 연합 저장소 보안 레지스트리 옵션을 사용하도록 WebSphere® Application Server가 구성됩니다. 독립형 LDAP 레지스트리를 포함하여 다른 옵션을 사용하도록 이 보안 레지스트리 구성을 변경할 수 있습니다. 사용자 계정 저장소 구성 아래에서 연합 레지스트리 옵션으로부터 독립형 LDAP 레지스트리 옵션으로 변경하는 대신에 LDAP 구성을 제공하는 연합 저장소 옵션을 이용하십시오. 연합 저장소는 하나 이상의 사용자 레지스트리를 가지는 기능을 포함하여 광범위한 기능을 제공합니다. 파일 기반 및 사용자 정의 레지스트리 이외에 하나 이상의 LDAP 연합을 지원합니다. 또한 장애 복구 기능 및 견고한 멤버(사용자 및 그룹) 관리 기능 세트가 개선되었습니다. WebSphere Portal 6.1 이상 및 Process Server 6.1 이상에서 새 멤버 관리 기능을 사용 중인 경우 연합 저장소가 필요합니다. 동일한 LDAP 서버 환경(예: Microsoft Active Directory)의 공통 요구사항인 다음 LDAP 참조를 위해 연합 저장소 사용이 필요합니다.

독립형 LDAP 레지스트리에서 연합 저장소로 마이그레이션하는 것이 좋습니다. WebSphere Portal 6.1 이상 또는 WebSphere Process Server 6.1 이상으로 이동하는 경우 업그레이드 이전에 연합 저장소로 마이그레이션해야 합니다. 연합 저장소 및 그 기능에 대한 자세한 정보는 연합 저장소 주제를 참조하십시오. 연합 저장소로 마이그레이션하는 방법에 대한 자세한 정보는 독립형 LDAP 저장소를 연합 저장소 LDAP 저장소 구성으로 마이그레이션 주제를 읽어 보십시오.

사용자 필터

사용자의 사용자 레지스트리를 검색하는 LDAP 사용자 필터를 지정합니다.

일반적으로 이 옵션은 보안 역할-사용자 지정에 사용되고 디렉토리 서비스에서 사용자를 찾을 때 사용되는 특성을 지정합니다. 예를 들어, 사용자 ID를 기초로 사용자를 찾으려면 (&(uid=%v)(objectclass=inetOrgPerson))을 지정하십시오. 이 구문에 대한 자세한 내용은 LDAP 디렉토리 서비스 문서를 참조하십시오.

정보
데이터 유형: String

그룹 필터

그룹용 사용자 레지스트리를 검색하는 LDAP 그룹 필터를 지정합니다.

일반적으로 이 옵션은 보안 역할-그룹 지정에 사용되고 디렉토리 서비스에서 그룹을 찾을 때 사용되는 특성을 지정합니다. 이 구문에 대한 자세한 내용은 LDAP 디렉토리 서비스 문서를 참조하십시오.

정보
데이터 유형: String

사용자 ID 맵

사용자의 축약형 이름을 LDAP 항목에 맵핑하는 LDAP 필터를 지정합니다.

사용자가 표시될 때 사용자를 나타내는 정보를 지정합니다. 예를 들어, object class = inetOrgPerson 유형의 항목을 해당 ID에 따라 표시하려면 inetOrgPerson:uid를 지정하십시오. 이 필드에는 여러 개의 오브젝트 클래스가 사용됩니다. 특성 쌍은 세미콜론(;)으로 구분됩니다.

정보
데이터 유형: String

그룹 ID 맵

그룹의 축약형 이름을 LDAP 항목에 맵핑하는 LDAP 필터를 지정합니다.

그룹이 표시될 때 그룹을 나타내는 정보를 지정합니다. 예를 들어, 해당 이름에 따라 그룹을 표시하려면, *:cn을 지정하십시오. 이 경우, 별표(*)는 임의의 오브젝트 클래스를 찾는 와일드카드 문자입니다. 이 필드에는 세미콜론(;)으로 구분되는 여러 오브젝트 클래스:특성 쌍이 사용됩니다.

정보
데이터 유형: String

그룹 구성원 ID 맵

사용자-그룹 관계를 식별하는 LDAP 필터를 지정합니다.

SecureWay 및 Domino® 디렉토리 유형의 경우, 이 필드에는 세미콜론(;)으로 구분되는 여러 개의 오브젝트 클래스:특성 쌍이 사용됩니다. 오브젝트 클래스:특성 쌍에서 오브젝트 클래스 값은 그룹 필터에서 정의된 동일한 오브젝트 클래스이고 특성은 멤버 속성입니다. 오브젝트 클래스 값이 그룹 필터의 오브젝트 클래스와 일치하지 않는 경우 권한 부여에 실패할 수 있습니다(그룹이 보안 역할에 맵핑된 경우). 이 구문에 대한 자세한 내용은 LDAP 디렉토리 서비스 문서를 참조하십시오.

IBM® Directory Server, Sun ONE 및 Active Directory의 경우, 이 필드에는 세미콜론(;)으로 구분되는 여러 그룹 속성:멤버 속성 쌍이 사용됩니다. 이러한 쌍은 해당 사용자가 소유하는 모든 그룹 속성을 열거하여 사용자의 그룹 멤버를 찾는 데 사용됩니다. 예를 들어, 속성 쌍 memberof:member는 Active Directory에서 사용되고 ibm-allGroup:member는 IBM Directory Server에서 사용됩니다. 또한 이 필드는 멤버의 목록을 저장하는 오브젝트 클래스의 어떤 특성이 오브젝트 클래스에서 표시되는 그룹에 속하는지 지정합니다. 지원되는 LDAP 디렉토리 서버에 대해서는 "지원되는 디렉토리 서비스"를 참조하십시오.

정보
데이터 유형: String

Kerberos 사용자 필터

Kerberos 사용자 필터 값을 지정합니다. 이 값은 Kerberos가 구성되어 있고 선호 인증 메커니즘 중 하나로 활성인 경우에 수정할 수 있습니다.

정보
데이터 유형: String

인증 맵 모드

EXACT_DN 또는 CERTIFICATE_FILTER를 사용하여 X.509 인증서를 LDAP 디렉토리에 맵핑하는지 여부를 지정합니다. 맵핑에 지정된 인증 필터를 사용하려면 CERTIFICATE_FILTER를 지정하십시오.

정보
데이터 유형: String

인증 필터

LDAP 필터의 필터 인증 맵핑 특성을 지정합니다. 필터는 클라이언트 인증의 속성을 LDAP 레지스트리의 항목으로 맵핑하는 데 사용됩니다.

런타임 시 하나 이상의 LDAP 항목이 필터 스펙에 일치하면 결과가 모호한 일치로 나타나므로 인증에 실패합니다. 이 필터의 구문 또는 구조는 (&(uid=${SubjectCN})(objectclass=inetOrgPerson))입니다. 필터 스펙의 좌측은 사용을 위해 사용자 LDAP 서버가 구성되는 스키마에 따른 LDAP 속성입니다. 필터 스펙의 우측은 사용자 클라이언트 인증의 공용 속성 중 하나입니다. 오른쪽은 달러 부호($)와 여는 대괄호({)로 시작하고 닫는 대괄호(})로 끝나야 합니다. 필터 스펙의 오른쪽에는 다음 인증 속성 값을 사용할 수 있습니다. 문자열의 대소문자 구별은 매우 중요합니다.
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    여기서 <xx>는 발행자 식별 이름의 유효한 컴포넌트를 나타내는 문자로 대체됩니다. 예를 들어, 발행자 공통 이름에 ${IssuerCN}를 사용할 수 있습니다.

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    여기서 <xx>는 주제 식별 이름의 유효한 컴포넌트를 나타내는 문자로 대체됩니다. 예를 들어, 주제 공통 이름에 ${SubjectCN}를 사용할 수 있습니다.

  • ${Version}
문제점 방지 문제점 방지: [업데이트 됨- 2013년 2월]제목 대체 이름(SAN)은 인증 필터 항목으로 지원되지 않습니다. [업데이트 됨- 2013년 2월]gotcha
정보
데이터 유형: String


파일 이름: usec_advldap.html