독립형 LDAP 레지스트리 설정

이 페이지에서 사용자 및 그룹이 외부 LDAP(Lightweight Directory Access Protocol) 디렉토리에 상주할 때의 LDAP 설정을 구성할 수 있습니다.

이 관리 콘솔 페이지를 보려면 다음 단계를 완료하십시오.
  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 사용자 계정 저장소 아래에서 사용 가능한 범주 정의 드롭 다운 목록을 클릭하고 독립형 LDAP 레지스트리를 선택한 후 구성을 클릭하십시오.

보안이 사용 가능하고 이들 특성 중 하나가 변경되는 경우 글로벌 보안 패널로 이동하여 적용을 클릭하여 변경사항의 유효성을 검증하십시오.

WebSphere® Application Server 버전 7.0은 환경을 관리하는 관리자에 대한 사용자 ID와 서버 간 통신을 인증하기 위한 서버 ID를 구분합니다. 대부분의 경우 서버 ID는 자동으로 생성되며 저장소에 저장되지 않습니다.

[AIX Solaris HP-UX Linux Windows] 그러나 이전 버전 노드를 최신 버전 셀에 추가할 경우 이전 버전 노드가 서버 ID 및 암호를 사용하면 이전 버전의 서버 ID 및 암호가 이 셀의 저장소에 정의되어 있는지 확인해야 합니다. 이 패널에서 서버 사용자 ID 및 암호를 입력하십시오.

[z/OS] 문제점 방지: SAF(System Authorization Facility)와 관련된 설정은 이 패널에 표시할 수 없습니다. 이러한 설정을 수정하려면 다음을 수행하십시오.
  1. 보안 > 글로벌 보안 > 외부 권한 프로바이더를 클릭하여 SAF의 패널로 이동하십시오.
  2. 권한 프로바이더 옵션 아래의 드롭 다운 목록에서 SAF(System Authorization Facility)를 선택하십시오.
  3. 구성을 클릭하십시오.
gotcha
1차 관리 사용자 이름

사용자 레지스트리에 정의된 관리 특권이 있는 사용자의 이름을 지정합니다.

사용자 이름은 관리 보안이 사용 가능으로 설정된 경우 관리 콘솔에 로그온하는 데 사용됩니다. 버전 6.1 이상은 관리 조치를 감사할 수 있도록 서버 사용자 ID와 구분되는 관리 사용자를 요구합니다.
주의: WebSphere Application Server, 버전 5.1 및 6.0.x에서는 관리 액세스 및 내부 프로세스 통신 둘 다에 단일 사용자 ID가 필요합니다. 버전 7.0으로 이주할 때, 이 ID를 서버 사용자 ID로 사용합니다. 관리 사용자 ID에는 또다른 사용자를 지정해야 합니다.
[z/OS] 주: LDAP를 사용자 레지스트리로 구성하고 SAF가 사용 가능할 때 com.ibm.security.SAF.authorization 특성이 true로 설정되면, 1차 관리 사용자 이름 필드가 관리 콘솔에 표시되지 않습니다.
자동 생성된 서버 ID

Application Server가 버전 6.1 이상 노드만을 포함하는 환경에 권장되는 서버 ID를 생성할 수 있게 해줍니다. 자동으로 생성된 서버 ID는 사용자 저장소에 저장되지 않습니다.

기본값: 사용 가능
저장소에 저장되는 서버 ID [AIX Solaris HP-UX Linux Windows] [iSeries]

내부 프로세스 통신에 사용되는 저장소의 사용자 ID를 지정합니다. 버전 5.1 또는 6.0.x 노드를 포함하는 셀에는 활성 사용자 저장소에 정의된 서버 사용자 ID가 필요합니다.

기본값: 사용 가능
버전 6.0.x 노드의 서버 사용자 ID 또는 관리 사용자 [AIX Solaris HP-UX Linux Windows]

보안 목적으로 Application Server를 실행하는 데 사용되는 사용자 ID를 지정합니다.

암호 [AIX Solaris HP-UX Linux Windows]

서버 ID에 해당하는 암호를 지정합니다.

LDAP 서버의 유형

연결할 LDAP 서버 유형을 지정합니다.

[AIX Solaris HP-UX Linux Windows] [iSeries] IBM® SecureWay® Directory Server는 지원되지 않습니다.

[z/OS] IBM SecureWay Directory Server는 Application Server for z/OS® 및 여러 다른 LDAP 서버에서 지원합니다.

호스트

LDAP 서버의 호스트 ID(IP 주소 또는 DNS(Domain Name Service))를 지정합니다.

포트

LDAP 서버의 호스트 포트를 지정합니다.

다중 Application Server가 동일한 단일 사인온(SSO) 도메인에서 실행하도록 설치 및 구성하거나 Application Server를 이전 버전과 함께 사용하는 경우, 모든 구성에서 포트 번호가 일치해야 합니다. 예를 들어, LDAP 포트가 버전 6.1 구성에서 명시적으로 389로 지정되고 버전 7.0의 WebSphere Application Server와 버전 6.1 서버를 상호운영하는 경우 포트 389가 버전 7.0 서버에 명시적으로 지정되었는지 확인하십시오.
기본값: 389
유형: 정수
기본 식별 이름(DN)

디렉토리 서비스의 기본 식별 이름(DN)을 지정합니다. 이는 디렉토리 서비스의 LDAP 검색에 대한 시작점을 표시합니다. 대부분의 경우 바인드 DN 및 바인드 암호가 필요합니다. 그러나 익명의 바인드가 모든 필요한 기능을 만족시킬 수 있으면 바인드 DN 및 바인드 암호가 필요하지 않습니다.

예를 들어, DN이 cn=John Doe , ou=Rochester, o=IBM, c=US인 사용자의 경우, 기본 DN을 ou=Rochester, o=IBM, c=US 또는 o=IBM c=USc=US 옵션 중 하나로 지정하십시오. 권한 목적의 경우, 이 필드는 대소문자를 구분합니다. 이 스펙은 토큰을 수신하는 경우(예: 다른 셀 또는 Lotus® Domino®에서) 서버의 기본 DN이 다른 셀 또는 Lotus Domino Server의 기본 DN과 정확히 일치해야 합니다. 권한 부여 시 대소문자를 구분하지 않아도 될 경우, 권한 부여 시 대소문자 구분 안 함 옵션을 사용 가능하게 하십시오. 이 옵션은 Lotus Domino 디렉토리, IBM Tivoli® Directory Server V6.0 및 Novell eDirectory를 제외한 모든 LDAP(Lightweight Directory Access Protocol) 디렉토리에 필요합니다. 이 필드는 선택적입니다.

바인드 식별 이름(DN)

디렉토리 서비스에 바인드할 때 사용할 Application Server의 DN을 지정합니다.

이름을 지정하지 않으면, Application Server는 익명으로 바인드합니다. 식별 이름 예에 대해서는 기본 식별 이름(DN) 필드 설명을 참조하십시오.

바인드 암호

디렉토리 서비스로의 바인드 시 사용할 Application Server의 암호를 지정합니다.

검색 제한시간

요청을 중지하기 전에 응답할 LDAP(Lightweight Directory Access Protocol) 서버의 제한시간 값(초)을 지정합니다.

기본값: 120
연결 다시 사용

서버가 LDAP 연결을 다시 사용하는지 여부를 지정합니다. 라우터를 사용하여 요청을 다중 LDAP 서버로 분배하고 라우터가 유사성을 지원하지 않는 드문 상황에서만 이 옵션을 제거하십시오.

기본값: 사용 가능
범위: 사용 가능 또는 사용 불가능
중요사항: 연결 다시 사용 옵션을 사용 불가능으로 설정하면 Application Server는 LDAP 검색 요청이 있을 때마다새 LDAP 연결을 작성합니다. 이 상황은 해당 환경에서 광범위한 LDAP 호출을 요구할 경우 시스템 성능에 영향을 줍니다. 이 옵션은 라우터가 요청을 동일 LDAP 서버에 전송하지 않기 때문에 제공됩니다. Application Server와 LDAP 간의 방화벽 제한시간 값이나 대기 연결 제한시간 값이 너무 작을 경우에도 이 옵션이 사용됩니다.

LDAP 장애 복구에 대해 WebSphere Edge Server를 사용할 경우 Edge Server로 TCP 재설정을 사용해야 합니다. TCP를 재설정하면 연결이 즉시 닫히고 백업 서버로 실패복구됩니다. 자세한 정보는 http://www.ibm.com/software/webservers/appserv/doc/v50/ec/infocenter/edge/LBguide.htm#HDRRESETSERVER에 있는 "서버 중단 시 TCP 재설정 전송" 및 ftp://ftp.software.ibm.com/software/websphere/edgeserver/info/doc/v20/en/updates.pdf에 설명된 PTF #2의 Edge Server V2 - TCP 재설정 기능을 참조하십시오.

권한에 대해 대소문자 구분 안함

기본 권한을 사용할 경우에 수행된 권한 확인 시 대소문자 구분 여부를 지정합니다.

이 옵션은 LDAP 디렉토리 서버로 IBM Tivoli Directory Server를 선택하는 경우에 필요합니다.

이 옵션은 LDAP 디렉토리 서버로 Sun ONE Directory Server를 선택하는 경우에 필요합니다. 자세한 정보는 문서의 "특정 디렉토리 서버를 LDAP 서버로 사용"을 참조하십시오.

이 옵션은 선택적이므로 대소문자 구분 권한 검사가 필요한 경우에 사용 가능합니다. 예를 들어, 인증서 및 인증서 내용이 LDAP 서버의 항목에 사용된 대소문자와 일치하지 않을 경우에 이 옵션을 사용하십시오. Application Server와 Lotus Domino 간에 단일 사인온(SSO)을 사용하는 경우 권한 부여 시 대소문자 구분 안 함 옵션을 사용할 수 있습니다.

기본값: 사용 가능
범위: 사용 가능 또는 사용 불가능
SSL 사용 가능

보안 소켓 통신이 LDAP 서버에 사용 가능한지 여부를 지정합니다.

사용 가능하게 되면, LDAP SSL(Secure Socket Layer) 설정이 사용됩니다(지정한 경우).

중앙 관리

SSL 구성의 선택이 JNDI(Java™ Naming and Directory Interface) 플랫폼의 아웃바운드 토폴로지 보기를 기반으로 하도록 지정합니다.

중앙에서 관리되는 구성은 SSL 구성을 여러 구성 문서에 분산시키는 것이 아니라 하나의 위치에서 관리할 수 있도록 지원합니다.

기본값: 사용 가능
특정 SSL 별명 사용

LDAP 아웃바운드 SSL 통신에 사용할 SSL 구성 별명을 지정합니다.

이 옵션은 JNDI 프로토콜에 대한 중앙 관리되는 구성을 대체합니다.




표시된(온라인) 링크는 인터넷에 액세스해야 합니다.

관련 태스크
관련 참조
독립형 LDAP 레지스트리 마법사 설정


파일 이름: usec_singleldaprepos.html