VMware Identity Manager OVA가 배포된 후에 설정 마법사를 사용하여 암호를 설정하고 데이터베이스를 선택합니다. 그런 다음 Active Directory 또는 LDAP 디렉토리에 대한 연결을 설정합니다.
필수 조건
VMware Identity Manager 가상 장치의 전원이 켜져 있습니다.
외부 데이터베이스를 사용하는 경우 외부 데이터베이스가 구성되어 있고 외부 데이터베이스 연결 정보를 사용할 수 있습니다. 자세한 정보는 데이터베이스에 연결의 내용을 참조하십시오.
요구 사항 및 제한 사항은 엔터프라이즈 디렉토리와 통합, Active Directory와 통합 및 LDAP 디렉토리와 서비스 통합을 검토하십시오.
Active Directory 또는 LDAP 디렉토리 정보가 있습니다.
다중 포리스트 Active Directory가 구성되어 있고 도메인 로컬 그룹에 다른 포리스트의 도메인에서 가져온 멤버가 포함되어 있으면 VMware Identity Manager [디렉토리] 페이지에 사용된 바인딩 DN 사용자를 도메인 로컬 그룹이 있는 도메인의 관리자 그룹에 추가해야 합니다. 이렇게 하지 않으면 이러한 멤버는 도메인 로컬 그룹에서 누락됩니다.
필터로 사용하려는 사용자 특성의 목록과 VMware Identity Manager에 추가하려는 그룹 목록이 있습니다.
프로시저
- 콘솔 탭의 파란색 화면에 표시되는 VMware Identity Manager URL로 이동합니다. 예를 들어
https://hostname.example.com
과 같습니다. - 메시지가 표시되면 인증서를 수락합니다.
- [시작하기] 페이지에서 계속을 클릭합니다.
- [암호 설정] 페이지에서 장치 관리에 사용되는 다음 관리자 계정에 대한 암호를 설정하고 계속을 클릭합니다.
계정
장치 관리자
관리자에 대한 암호를 설정합니다. 이 사용자 이름은 변경할 수 없습니다. 관리자 계정은 장치 설정을 관리하는 데 사용됩니다.
중요:관리자 암호는 6자 이상이어야 합니다.
장치 루트
루트 사용자 암호를 설정합니다. 루트 사용자에게는 장치에 대한 모든 권한이 있습니다.
원격 사용자
SSH 연결을 사용하여 장치에 원격으로 로그인하는 데 사용되는 sshuser 암호를 설정합니다.
- [데이터베이스 선택] 페이지에서 사용할 데이터베이스를 선택합니다.
자세한 정보는 데이터베이스에 연결의 내용을 참조하십시오.
외부 데이터베이스를 사용하는 경우 외부 데이터베이스를 선택하고 외부 데이터베이스 연결 정보, 사용자 이름 및 암호를 입력합니다. VMware Identity Manager에서 데이터베이스에 연결할 수 있는지 확인하려면 연결 테스트를 클릭합니다.
연결을 확인한 후에 계속을 클릭합니다.
내부 데이터베이스를 사용하는 경우 계속을 클릭합니다.
참고:내부 데이터베이스는 프로덕션 배포에 권장되지 않습니다.
데이터베이스에 대한 연결이 구성되고 데이터베이스가 초기화됩니다. 프로세스가 완료되면 설치 완료 페이지가 나타납니다.
- 설치 완료 페이지의 관리 콘솔에 로그인 링크를 클릭하여 관리 콘솔에 로그인하고 Active Directory 또는 LDAP 디렉토리 연결을 설정합니다.
- 설정한 암호를 사용하여 관리자 권한으로 관리 콘솔에 로그인합니다.
로컬 관리자로 로그인됩니다. [디렉토리] 페이지가 나타납니다. 디렉토리를 추가하기 전에 엔터프라이즈 디렉토리와 통합, Active Directory와 통합 및 LDAP 디렉토리와 서비스 통합에서 요구 사항 및 제한 사항을 검토해야 합니다.
- ID 및 액세스 관리 탭을 클릭합니다.
- 설정 > 사용자 특성을 클릭하여 디렉토리에 동기화할 사용자 특성을 선택합니다.
기본 특성이 나열되고 필요한 특성을 선택할 수 있습니다. 특성이 필수로 표시된 경우 해당 특성이 있는 사용자만 서비스에 동기화됩니다. 다른 특성을 추가할 수도 있습니다.
중요:디렉토리가 만들어진 후에는 특성을 필수 특성으로 변경할 수 없습니다. 지금 선택해야 합니다.
또한 [사용자 특성] 페이지의 설정은 서비스의 모든 디렉토리에 적용됩니다. 특성을 필수로 표시한 경우 다른 디렉토리에 미치는 영향을 고려하십시오. 특성이 필수로 표시된 경우 해당 특성이 없는 사용자는 서비스에 동기화되지 않습니다.
중요:XenApp 리소스를 VMware Identity Manager에 동기화하려는 경우 distinguishedName을 필수 특성으로 지정해야 합니다.
- 저장을 클릭합니다.
- ID 및 액세스 관리 탭을 클릭합니다.
- [디렉토리] 페이지에서 디렉토리 추가를 클릭하고 통합하려는 디렉토리 유형에 따라 LDAP/IWA를 통한 Active Directory 추가 또는 LDAP Directory 추가를 선택합니다.
서비스에서 로컬 디렉토리를 생성할 수도 있습니다. 로컬 디렉토리 사용에 대한 자세한 내용은 로컬 디렉토리 사용을 참조하십시오.
- Active Directory의 경우 다음 단계를 따릅니다.
- VMware Identity Manager에서 만드는 디렉토리의 이름을 입력하고 LDAP를 통한 Active Directory 또는 Active Directory(Windows 통합 인증) 중에서 디렉토리 유형을 선택합니다.
- 연결 정보를 제공합니다.
옵션
설명
LDAP를 통한 Active Directory
커넥터 동기화 필드에서 Active Directory에서 VMware Identity Manager 디렉토리로 사용자 및 그룹을 동기화하는 데 사용할 connector를 선택합니다.
커넥터 구성 요소는 기본적으로 VMware Identity Manager 서비스에서 항상 사용 가능합니다. 이 커넥터는 드롭다운 목록에 표시됩니다. 고가용성을 위해 여러 개의 VMware Identity Manager 장치를 설치하는 경우 각 장치의 커넥터 구성 요소가 목록에 나타납니다.
인증 필드에서 이 Active Directory를 사용하여 사용자를 인증하는 경우 예를 선택합니다.
타사 ID 제공자가 사용자를 인증하는 데 사용되면 아니요를 클릭합니다. 사용자 및 그룹을 동기화하도록 Active Directory 연결을 구성한 후에 ID 및 액세스 관리 > 관리 > ID 제공자 페이지로 가서 인증을 위한 타사 ID 제공자를 추가합니다.
디렉토리 검색 특성 필드에서 사용자 이름이 포함된 계정 특성을 선택합니다.
Active Directory가 DNS 서비스 위치 조회를 사용하는 경우 다음과 같이 선택합니다.
서버 위치 섹션에서 이 디렉토리는 DNS 서비스 위치를 지원합니다. 확인란을 선택합니다.
디렉토리가 만들어질 때 도메인 컨트롤러 목록으로 자동으로 채워지는 domain_krb.properties 파일이 만들어집니다. 도메인 컨트롤러 선택 정보(domain_krb.properties 파일)의 내용을 참조하십시오.
Active Directory가 STARTTLS 암호화를 요구하는 경우 인증서 섹션에서 이 디렉토리에 대한 모든 연결은 SSL을 사용해야 합니다. 확인란을 선택하고 Active Directory 루트 CA 인증서를 복사한 후 SSL 인증서 필드에 붙여넣습니다.
인증서가 PEM 형식인지 확인하고 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 줄을 포함합니다.
참고:Active Directory가 STARTTLS를 요구하지만 사용자가 인증서를 제공하지 않으면 디렉토리를 만들 수 없습니다.
Active Directory가 DNS 서비스 위치 조회를 사용하지 않는 경우 다음과 같이 선택합니다.
서버 위치 섹션에서 이 디렉토리는 DNS 서비스 위치를 지원합니다. 확인란이 선택되지 않았는지 확인하고 Active Directory 서버 호스트 이름 및 포트 번호를 입력합니다.
디렉토리를 전역 카탈로그로 구성하려면 Active Directory 환경에서 다중 도메인, 단일 포리스트 Active Directory 환경 섹션을 참조하십시오.
Active Directory가 SSL을 통한 액세스를 요구하는 경우 인증서 섹션에서 이 디렉토리에 대한 모든 연결은 SSL을 사용해야 합니다. 확인란을 선택하고 Active Directory 루트 CA 인증서를 복사한 후 SSL 인증서 필드에 붙여넣습니다.
인증서가 PEM 형식인지 확인하고 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 줄을 포함합니다.
참고:Active Directory가 SSL을 요구하지만 사용자가 인증서를 제공하지 않으면 디렉토리를 만들 수 없습니다.
암호 변경 허용 섹션에서 암호가 만료되거나 Active Directory 관리자가 사용자의 암호를 재설정한 경우 사용자가 VMware Identity Manager 로그인 페이지에서 자신의 암호를 재설정할 수 있도록 허용하려면 암호 변경 사용을 선택합니다.
기본 DN 필드에 계정 검색을 시작할 DN을 입력합니다. 예를 들어 OU=myUnit,DC=myCorp,DC=com을 입력합니다.
바인딩 DN 필드에 사용자를 검색할 수 있는 계정을 입력합니다. 예를 들어 CN=binduser,OU=myUnit,DC=myCorp,DC=com을 입력합니다.
참고:만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.
바인딩 암호를 입력한 후에 연결 테스트를 클릭하여 해당 디렉토리를 Active Directory에 연결할 수 있는지 확인합니다.
Active Directory(Windows 통합 인증)
커넥터 동기화 필드에서 Active Directory에서 VMware Identity Manager 디렉토리로 사용자 및 그룹을 동기화하는 데 사용할 connector를 선택합니다.
커넥터 구성 요소는 기본적으로 VMware Identity Manager 서비스에서 항상 사용 가능합니다. 이 커넥터는 드롭다운 목록에 표시됩니다. 고가용성을 위해 여러 개의 VMware Identity Manager 장치를 설치하는 경우 각 장치의 커넥터 구성 요소가 목록에 나타납니다.
인증 필드에서 이 Active Directory가 사용자를 인증하는 데 사용되는 경우 예를 클릭합니다.
타사 ID 제공자가 사용자를 인증하는 데 사용되면 아니요를 클릭합니다. 사용자 및 그룹을 동기화하도록 Active Directory 연결을 구성한 후에 ID 및 액세스 관리 > 관리 > ID 제공자 페이지로 가서 인증을 위한 타사 ID 제공자를 추가합니다.
디렉토리 검색 특성 필드에서 사용자 이름이 포함된 계정 특성을 선택합니다.
Active Directory가 STARTTLS 암호화를 요구하는 경우 인증서 섹션에서 이 디렉토리에 대한 모든 연결은 STARTTLS를 사용해야 합니다. 확인란을 선택하고 Active Directory 루트 CA 인증서를 복사한 후 SSL 인증서 필드에 붙여넣습니다.
인증서가 PEM 형식인지 확인하고 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 줄을 포함합니다.
디렉토리에 여러 도메인이 있는 경우 모든 도메인에 대한 루트 CA 인증서를 한 번에 하나씩 추가합니다.
참고:Active Directory가 STARTTLS를 요구하지만 사용자가 인증서를 제공하지 않으면 디렉토리를 만들 수 없습니다.
가입할 Active Directory 도메인의 이름을 입력합니다. 도메인에 가입할 수 있는 권한이 있는 사용자 이름과 암호를 입력합니다. 자세한 정보는 도메인 가입에 필요한 사용 권한의 내용을 참조하십시오.
암호 변경 허용 섹션에서 암호가 만료되거나 Active Directory 관리자가 사용자의 암호를 재설정한 경우 사용자가 VMware Identity Manager 로그인 페이지에서 자신의 암호를 재설정할 수 있도록 허용하려면 암호 변경 사용을 선택합니다.
바인딩 사용자 UPN 필드에 도메인을 인증할 수 있는 사용자의 UPN(사용자 계정 이름)을 입력합니다. 예를 들어 [email protected]을 입력합니다.
참고:만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.
바인딩 DN 사용자 암호를 입력합니다.
- 저장 및 다음을 클릭합니다.
도메인 목록이 있는 페이지가 표시됩니다.
- LDAP 디렉토리의 경우 다음 단계를 따릅니다.
- 연결 정보를 제공합니다.
옵션
설명
디렉토리 이름
VMware Identity Manager에서 만든 디렉토리의 이름입니다.
디렉토리 동기화 및 인증
동기화 커넥터 필드에서 LDAP 디렉토리의 사용자 및 그룹을 VMware Identity Manager 디렉토리에 동기화하는 데 사용할 커넥터를 선택합니다.
커넥터 구성 요소는 기본적으로 VMware Identity Manager 서비스에서 항상 사용 가능합니다. 이 커넥터는 드롭다운 목록에 표시됩니다. 고가용성을 위해 여러 개의 VMware Identity Manager 장치를 설치하는 경우 각 장치의 커넥터 구성 요소가 목록에 나타납니다.
LDAP 디렉토리용 커넥터가 별도로 필요하지 않습니다. Active Directory든 LDAP 디렉토리든 상관없이 하나의 커넥터가 여러 디렉토리를 지원할 수 있습니다.
인증 필드에서 이 LDAP 디렉토리를 사용하여 사용자를 인증하는 경우 예를 선택합니다.
타사 ID 제공자가 사용자를 인증하는 데 사용되면 아니요를 선택합니다. 사용자 및 그룹을 동기화하도록 디렉토리 연결을 구성한 후에는 ID 및 액세스 관리 > 관리 > ID 제공자 페이지로 이동하여 인증을 위한 타사 ID 제공자를 추가합니다.
디렉토리 검색 특성 필드에서 사용자 이름에 사용할 LDAP 디렉토리 특성을 지정합니다. 특성이 나열되어 있지 않으면 사용자 지정을 선택하고 특성 이름을 입력합니다. 예를 들어 cn을 입력합니다.
서버 위치
LDAP 디렉토리 서버 호스트 및 포트 번호를 입력합니다. 서버 호스트의 경우 정규화된 도메인 이름 또는 IP 주소를 지정할 수 있습니다. 예를 들어 myLDAPserver.example.com 또는 100.00.00.0을 지정할 수 있습니다.
로드 밸런서 뒤에 서버 클러스터가 있는 경우 대신 로드 밸런서 정보를 입력합니다.
LDAP 구성
VMware Identity Manager에서 LDAP 디렉토리를 쿼리하는 데 사용할 수 있는 LDAP 검색 필터 및 특성을 지정합니다. 기본값은 코어 LDAP 스키마에 따라 제공됩니다.
LDAP 쿼리
그룹 가져오기: 그룹 개체를 가져오기 위한 검색 필터입니다.
예: (objectClass=group)
바인딩 사용자 가져오기: 바인딩 사용자 개체, 즉 디렉토리에 바인딩할 수 있는 사용자를 가져오기 위한 검색 필터입니다.
예: (objectClass=person)
사용자 가져오기: 동기화할 사용자를 가져오기 위한 검색 필터입니다.
예:(&(objectClass=user)(objectCategory=person))
특성
멤버 자격: LDAP 디렉토리에서 그룹 멤버를 정의하는 데 사용되는 특성입니다.
예: member
개체 UUID: LDAP 디렉토리에서 사용자 또는 그룹의 UUID를 정의하는 데 사용되는 특성입니다.
예: entryUUID
고유 이름: LDAP 디렉토리에서 사용자 또는 그룹의 고유 이름을 정의하는 데 사용되는 특성입니다.
예: entryDN
인증서
LDAP 디렉토리에 SSL을 통한 액세스가 필요한 경우 이 디렉토리에 대한 모든 연결은 SSL을 사용해야 합니다.를 선택하고 LDAP 디렉토리 서버의 루트 CA SSL 인증서를 복사하여 붙여 넣습니다. 인증서가 PEM 형식인지 확인하고 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 줄을 포함합니다.
바인딩 사용자 세부 정보
기본 DN: 검색을 시작할 DN을 입력합니다. 예: cn=users,dc=example,dc=com
바인딩 DN: LDAP 디렉토리에 바인딩하는 데 사용할 사용자 이름을 입력합니다.
참고:만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.
바인딩 DN 암호: 바인딩 DN 사용자의 암호를 입력합니다.
- LDAP 디렉토리 서버에 대한 연결을 테스트하려면 연결 테스트를 클릭합니다.
연결에 실패한 경우 입력한 정보를 확인하고 적절히 변경합니다.
- 저장 및 다음을 클릭합니다.
도메인이 나열된 페이지가 나타납니다.
- 연결 정보를 제공합니다.
- [LDAP 디렉토리]의 경우 나열되는 도메인을 수정할 수 없습니다.
[LDAP를 통한 Active Directory]의 경우 나열되는 도메인을 수정할 수 없습니다.
[Active Directory(통합 Windows 인증)]의 경우 이 Active Directory 연결과 연결되어야 하는 도메인을 선택합니다.
참고:디렉토리가 생성된 후에 신뢰하는 도메인을 추가하면 서비스에서 신뢰하는 새 도메인을 자동으로 감지하지 못합니다. 서비스에서 도메인을 감지하도록 설정하려면 connector가 도메인을 탈퇴한 다음 다시 가입해야 합니다. connector가 도메인에 다시 가입하면 신뢰하는 도메인이 목록에 나타납니다.
다음을 클릭합니다.
- VMware Identity Manager 특성 이름이 올바른 Active Directory 또는 LDAP 특성에 매핑되어 있는지 확인하고 필요한 경우 변경합니다.
중요:
LDAP 디렉토리를 통합하려면 도메인 특성에 대한 매핑을 지정해야 합니다.
- 다음을 클릭합니다.
- Active Directory 또는 LDAP 디렉토리에서 VMware Identity Manager 디렉토리로 동기화하려는 그룹을 선택합니다.
옵션
설명
그룹 DN 지정
그룹을 선택하려면 하나 이상의 그룹 DN을 지정하고 아래에 있는 그룹을 선택합니다.
+를 클릭하고 그룹 DN을 지정합니다. 예: CN=users,DC=example,DC=company,DC=com.
중요:입력한 기본 DN 아래에 있는 그룹 DN을 지정합니다. 그룹 DN이 기본 DN 외부에 있으면 해당 DN의 사용자가 동기화되지만 로그인할 수는 없습니다.
그룹 찾기를 클릭합니다.
동기화할 그룹 열에 DN에 있는 그룹 수가 표시됩니다.
DN의 모든 그룹을 선택하려면 모두 선택을 클릭하고, 그렇지 않으면 선택을 클릭하고 동기화할 특정 그룹을 선택합니다.
참고:LDAP 디렉토리에 이름이 같은 여러 그룹이 있는 경우 VMware Identity Manager에서 해당 그룹에 대한 고유 이름을 지정해야 합니다. 그룹을 선택하는 동안 이름을 변경할 수 있습니다.
참고:그룹을 동기화할 때 Active Directory에서 [도메인 사용자]가 기본 그룹으로 포함되어 있지 않은 사용자는 동기화되지 않습니다.
중첩된 그룹 멤버 동기화
중첩된 그룹 멤버 동기화 옵션이 기본적으로 사용되도록 설정되어 있습니다. 이 옵션이 사용되도록 설정되면 선택한 그룹에 직접 속하는 모든 사용자와 그 아래 중첩된 그룹에 속하는 모든 사용자가 동기화됩니다. 중첩된 그룹은 동기화되지 않고 중첩된 그룹에 속하는 사용자만 동기화됩니다. VMware Identity Manager 디렉토리에서 이러한 사용자는 동기화를 위해 선택한 상위 그룹의 멤버가 됩니다.
중첩된 그룹 멤버 동기화 옵션을 사용하지 않도록 설정하면 동기화할 그룹을 지정할 때 해당 그룹에 직접 속하는 모든 사용자가 동기화됩니다. 그 아래 중첩된 그룹에 속하는 사용자는 동기화되지 않습니다. 대규모 Active Directory 구성에서 그룹 트리를 탐색하는 데 리소스와 시간이 많이 소요되는 경우 이 옵션을 사용하지 않도록 설정하는 것이 좋습니다. 이 옵션을 사용하지 않도록 설정하는 경우 동기화할 사용자가 속하는 모든 그룹을 선택해야 합니다.
- 다음을 클릭합니다.
- 동기화할 추가 사용자를 지정합니다(필요한 경우).
- +를 클릭하고 사용자 DN을 입력합니다. 예: CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
중요:
입력한 기본 DN 아래에 있는 사용자 DN을 지정합니다. 사용자 DN이 기본 DN 외부에 있으면 해당 DN의 사용자가 동기화되지만 로그인할 수는 없습니다.
- (선택 사항) 사용자를 제외하려면 필터를 만들어 일부 사용자 유형을 제외합니다.
필터 기준으로 사용할 사용자 특성, 쿼리 규칙 및 값을 선택합니다.
- +를 클릭하고 사용자 DN을 입력합니다. 예: CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
- 다음을 클릭합니다.
- 페이지를 검토하여 디렉토리에 동기화되는 사용자 및 그룹의 수를 확인하고 동기화 스케줄을 확인합니다.
사용자 및 그룹을 변경하거나 동기화 빈도를 변경하려면 편집 링크를 클릭합니다.
- 디렉토리 동기화를 클릭하여 디렉토리 동기화를 시작합니다.
결과
네트워킹 오류가 발생하고 역방향 DNS를 사용하여 호스트 이름을 고유하게 확인할 수 없는 경우 구성 프로세스가 중지됩니다. 네트워킹 문제를 해결하고 가상 장치를 다시 시작해야 합니다. 그런 다음 배포 프로세스를 계속할 수 있습니다. 가상 장치를 다시 시작해야만 새 네트워크 설정을 사용할 수 있습니다.
다음에 수행할 작업
로드 밸런서 또는 고가용성 구성 설정에 대한 자세한 정보는 VMware Identity Manager 장치에 대한 고급 구성의 내용을 참조하십시오.
조직의 애플리케이션에 대한 리소스 카탈로그를 사용자 지정하고 이러한 리소스에 대한 사용자 액세스를 가능하게 설정할 수 있습니다. View, ThinApp 및 Citrix 기반 애플리케이션을 비롯한 다른 리소스도 설정할 수 있습니다. VMware Identity Manager에서 리소스 설정의 내용을 참조하십시오.