고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리 설정

이 페이지에서 사용자 및 그룹이 외부 LDAP 디렉토리에 상주할 때의 고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리 설정을 구성할 수 있습니다.

이 관리 페이지를 보려면 다음 단계를 완료하십시오.
  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 사용자 계정 저장소 아래에서 사용 가능한 범주 정의 드롭 다운 목록을 클릭하고 독립형 LDAP 레지스트리를 선택한 후 구성을 클릭하십시오.
  3. 추가 특성 아래에서 고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리 설정을 클릭하십시오.

모든 사용자 및 그룹 관련 필터에 대한 기본값이 이미 해당 필드에 입력되어 있습니다. 사용자 요구사항에 따라서 이들 값을 변경할 수 있습니다. 이 기본값은 LDAP 레지스트리 설정 패널에서 선택된 LDAP 서버의 유형을 기초로 합니다. 이 유형이 변경되면(예: Netscape에서 Secureway로) 기본 필터가 자동으로 변경됩니다. 기본 필터 값이 변경되면, LDAP 서버 유형이 사용자 정의로 변경되어 사용자 정의 필터가 사용됨을 표시합니다. 보안이 사용 가능하고 이 특성 중 일부가 변경되는 경우, 글로벌 보안 패널에서 적용 또는 확인을 클릭하여 변경사항의 유효성을 검증하십시오.

사용자 필터

사용자의 사용자 레지스트리를 검색하는 LDAP 사용자 필터를 지정합니다.

일반적으로 이 옵션은 보안 역할-사용자 지정에 사용되고 디렉토리 서비스에서 사용자를 찾을 때 사용되는 특성을 지정합니다. 예를 들어, 사용자 ID를 기초로 사용자를 찾으려면 (&(uid=%v)(objectclass=inetOrgPerson))을 지정하십시오. 이 구문에 대한 자세한 내용은 LDAP 디렉토리 서비스 문서를 참조하십시오.

데이터 유형: 문자열
그룹 필터

그룹용 사용자 레지스트리를 검색하는 LDAP 그룹 필터를 지정합니다.

일반적으로 이 옵션은 보안 역할-그룹 지정에 사용되고 디렉토리 서비스에서 그룹을 찾을 때 사용되는 특성을 지정합니다. 이 구문에 대한 자세한 내용은 LDAP 디렉토리 서비스 문서를 참조하십시오.

데이터 유형: 문자열
사용자 ID 맵

사용자의 축약형 이름을 LDAP 항목에 맵핑하는 LDAP 필터를 지정합니다.

사용자가 표시될 때 사용자를 나타내는 정보를 지정합니다. 예를 들어, object class = inetOrgPerson 유형의 항목을 해당 ID에 따라 표시하려면 inetOrgPerson:uid를 지정하십시오. 이 필드에는 여러 개의 오브젝트 클래스가 사용됩니다. 특성 쌍은 세미콜론(;)으로 구분됩니다.

데이터 유형: 문자열
그룹 ID 맵

그룹의 축약형 이름을 LDAP 항목에 맵핑하는 LDAP 필터를 지정합니다.

그룹이 표시될 때 그룹을 나타내는 정보를 지정합니다. 예를 들어, 해당 이름에 따라 그룹을 표시하려면, *:cn을 지정하십시오. 이 경우, 별표(*)는 임의의 오브젝트 클래스를 찾는 와일드카드 문자입니다. 이 필드에는 세미콜론(;)으로 구분되는 여러 오브젝트 클래스:특성 쌍이 사용됩니다.

데이터 유형: 문자열
그룹 구성원 ID 맵

사용자-그룹 관계를 식별하는 LDAP 필터를 지정합니다.

SecureWay® 및 Domino® 디렉토리 유형의 경우, 이 필드에는 세미콜론(;)으로 구분되는 여러 개의 오브젝트 클래스:특성 쌍이 사용됩니다. 오브젝트 클래스:특성 쌍에서 오브젝트 클래스 값은 그룹 필터에서 정의된 동일한 오브젝트 클래스이고 특성은 구성원 속성입니다. 오브젝트 클래스 값이 그룹 필터의 오브젝트 클래스와 일치하지 않는 경우 권한 부여에 실패할 수 있습니다(그룹이 보안 역할에 맵핑된 경우). 이 구문에 대한 자세한 내용은 LDAP 디렉토리 서비스 문서를 참조하십시오.

IBM® Directory Server, Sun ONE 및 Active Directory의 경우, 이 필드에는 세미콜론(;)으로 구분되는 여러 개의 그룹 속성:구성원 속성 쌍이 사용됩니다. 이러한 쌍은 해당 사용자가 소유하는 모든 그룹 속성을 열거하여 사용자의 그룹 구성원을 찾는 데 사용됩니다. 예를 들어, 속성 쌍 memberof:member는 Active Directory에서 사용되고 ibm-allGroup:member는 IBM Directory Server에서 사용됩니다. 또한 이 필드는 구성원의 목록을 저장하는 오브젝트 클래스의 어떤 특성이 오브젝트 클래스에서 표시되는 그룹에 속하는지 지정합니다. 지원되는 LDAP 디렉토리 서버에 대해서는 "지원되는 디렉토리 서비스"를 참조하십시오.

데이터 유형: 문자열
Kerberos 사용자 필터

Kerberos 사용자 필터 값을 지정합니다. 이 값은 Kerberos가 구성되는 경우 수정할 수 있고, 선호되는 인증 메커니즘 중 하나로 활성화됩니다.

데이터 유형: 문자열
인증 맵 모드

EXACT_DN 또는 CERTIFICATE_FILTER를 사용하여 X.509 인증서를 LDAP 디렉토리에 맵핑하는지 여부를 지정합니다. 맵핑에 지정된 인증 필터를 사용하려면 CERTIFICATE_FILTER를 지정하십시오.

데이터 유형: 문자열
인증 필터

LDAP 필터의 필터 인증 맵핑 특성을 지정합니다. 필터는 클라이언트 인증의 속성을 LDAP 레지스트리의 항목으로 맵핑하는 데 사용됩니다.

런타임 시 하나 이상의 LDAP 항목이 필터 스펙에 일치하면 결과가 모호한 일치로 나타나므로 인증에 실패합니다. 이 필터의 구문 또는 구조는 (&(uid=${SubjectCN})(objectclass=inetOrgPerson))입니다. 필터 스펙의 좌측은 사용을 위해 사용자 LDAP 서버가 구성되는 스키마에 따른 LDAP 속성입니다. 필터 스펙의 우측은 사용자 클라이언트 인증의 공용 속성 중 하나입니다. 오른쪽은 달러 부호($)와 여는 대괄호({)로 시작하고 닫는 대괄호(})로 끝나야 합니다. 필터 스펙의 오른쪽에는 다음 인증 속성 값을 사용할 수 있습니다. 문자열의 대소문자 구별은 매우 중요합니다.
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    여기서, <xx>는 발행자 식별 이름의 유효한 컴포넌트를 나타내는 문자로 바뀝니다. 예를 들어, 발행자 공통 이름에 ${IssuerCN}을 사용할 수도 있습니다.

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    여기서, <xx>는 주제 식별 이름의 유효한 컴포넌트를 나타내는 문자로 바뀝니다. 예를 들어, 주제 공통 이름에 ${SubjectCN}을 사용할 수도 있습니다.

  • ${Version}
데이터 유형: 문자열



표시된(온라인) 링크는 인터넷에 액세스해야 합니다.

관련 태스크
관련 참조
독립형 LDAP 레지스트리 설정


파일 이름: usec_advldap.html