단일 Active Directory 도메인, 단일 Active Directory 포리스트의 다중 도메인 또는 여러 Active Directory 포리스트에서 다중 도메인으로 구성된 Active Directory 환경과 서비스를 통합할 수 있습니다.
단일 Active Directory 도메인 환경
단일 Active Directory 배포를 통해 단일 Active Directory 도메인의 사용자와 그룹을 동기화할 수 있습니다.
이 환경의 경우 디렉토리를 서비스에 추가할 때 [LDAP를 통한 Active Directory] 옵션을 선택합니다.
자세한 정보는 다음을 참조하십시오.
다중 도메인, 단일 포리스트 Active Directory 환경
다중 도메인, 단일 포리스트 Active Directory 배포에서는 단일 포리스트 내에 있는 다중 Active Directory 도메인의 사용자와 그룹을 동기화할 수 있습니다.
- 권장되는 옵션은 단일 Active Directory, Windows 통합 인증 디렉토리 유형을 생성하는 것입니다.
이 환경에 대해 디렉토리를 추가하는 경우 [Active Directory(통합 Windows 인증)] 옵션을 선택합니다.
자세한 정보는 다음을 참조하십시오.
- 통합 Windows 인증이 Active Directory 환경에서 작동하지 않는 경우에는 LDAP를 통한 Active Directory 디렉토리 유형을 생성하고 글로벌 카탈로그 옵션을 선택합니다.
글로벌 카탈로그 옵션 선택과 관련된 제한 사항에는 다음과 같은 것이 포함됩니다.
- 글로벌 카탈로그에 복제된 Active Directory 개체 특성은 Active Directory 스키마에서 PAS(부분 특성 집합)로 식별됩니다. 서비스에서는 이러한 특성만 특성 매핑에 사용할 수 있습니다. 필요한 경우에는 스키마를 편집하여 글로벌 카탈로그에 저장된 특성을 추가 또는 제거합니다.
- 글로벌 카탈로그에는 유니버설 그룹의 그룹 멤버 자격(멤버 특성)만 저장됩니다. 유니버설 그룹만 서비스에 동기화됩니다. 필요한 경우에는 그룹의 범위를 로컬 도메인이나 글로벌에서 유니버설로 변경합니다.
- 서비스에서 디렉토리를 구성할 때 정의한 바인딩 DN 계정에는 TGGAU(Token-Groups-Global-And-Universal) 특성을 읽을 수 있는 사용 권한이 있어야 합니다.
- AirWatch가 VMware Identity Manager와 통합되고 여러 AirWatch 조직 그룹이 구성되면 Active Directory 글로벌 카탈로그 옵션을 사용할 수 없습니다.
Active Directory에서는 표준 LDAP 쿼리에 포트 389 및 636을 사용합니다. 글로벌 카탈로그 쿼리에는 포트 3268 및 3269를 사용합니다.
글로벌 카탈로그 환경에 대한 디렉토리를 추가할 때, 구성하는 동안 다음을 지정합니다.
- [LDAP를 통한 Active Directory] 옵션을 선택합니다.
- 이 디렉토리는 DNS 서비스 위치를 지원합니다. 옵션의 확인란을 선택 취소합니다.
- 이 디렉토리에 글로벌 카탈로그가 있습니다. 옵션을 선택합니다. 이 옵션을 선택할 때 서버 포트 번호가 자동으로 3268로 변경됩니다. 또한 글로벌 카탈로그 옵션을 구성할 때 기본 DN가 필요하기 때문에 기본 DN 텍스트 상자는 표시되지 않습니다.
- Active Directory 서버 호스트 이름을 추가합니다.
- Active Directory에 SSL을 통한 액세스가 필요한 경우에는 이 디렉토리에 대한 모든 연결은 SSL을 사용해야 합니다. 옵션을 선택하고 제공된 텍스트 상자에 인증서를 붙여 넣습니다. 이 옵션을 선택할 때 서버 포트 번호가 자동으로 3269로 변경됩니다.
신뢰 관계가 있는 다중 포리스트 Active Directory 환경
신뢰 관계가 있는 다중 포리스트 Active Directory 배포에서는 여러 포리스트에서 도메인 간에 양방향 신뢰가 있는 다중 Active Directory 도메인의 사용자와 그룹을 동기화할 수 있습니다.
이 환경에 대해 디렉토리를 추가하는 경우 [Active Directory(통합 Windows 인증)] 옵션을 선택합니다.
자세한 정보는 다음을 참조하십시오.
신뢰 관계가 없는 다중 포리스트 Active Directory 환경
신뢰 관계가 없는 다중 포리스트 Active Directory 배포에서는 여러 포리스트에서 도메인 간에 신뢰 관계가 없는 다중 Active Directory 도메인의 사용자와 그룹을 동기화할 수 있습니다. 이 환경에서는 서비스에서 여러 디렉토리를 생성합니다(각 포리스트에 디렉토리 하나).
이 서비스에서 생성하는 디렉토리의 유형은 포리스트에 따라 다릅니다. 다중 도메인이 있는 포리스트에서는 [Active Directory(Windows 통합 인증)] 옵션을 선택합니다. 단일 도메인이 있는 포리스트에서는 [LDAP를 통한 Active Directory] 옵션을 선택합니다.
자세한 정보는 다음을 참조하십시오.