단일 Active Directory 도메인 환경에 연결하려는 경우 이 디렉토리 유형을 생성할 수 있습니다. LDAP를 통한 Active Directory 디렉토리 유형의 경우 커넥터는 단순 바인딩 인증을 사용하여 Active Directory에 바인딩합니다.
사전 요구 사항
- Active Directory에서 동기화할 Active Directory 그룹 및 사용자를 나열합니다.
- 필수 기본 특성을 지정했는지 확인하고 사용자 특성 정의에 특성을 더 추가합니다.
- 디렉토리를 추가하는 데 필요한 사용자 자격 증명이 있는지 확인합니다.
프로시저
- [내 서비스] 대시보드에서 ID 및 테넌트 관리를 클릭합니다.
- [디렉토리 관리] 탭으로 이동하고 디렉토리를 클릭합니다.
- 디렉토리 추가를 클릭하고 LDAP를 통한 Active Directory 추가를 선택합니다.
- 디렉토리 세부 정보 탭에서:
필드 설명 디렉토리 정보 유효한 디렉토리 이름을 입력합니다. 디렉토리 동기화 및 인증 Active Directory와 동기화할 커넥터를 선택합니다. 커넥터는 Active Directory와 VMware Identity Manager 서비스간에 사용자 및 그룹 데이터를 동기화하는 VMware Identity Manager 서비스 구성 요소입니다. ID 제공자로 사용될 경우 사용자를 인증하기도 합니다. 각 VMware Identity Manager 장치 노드에는 기본 커넥터 구성 요소가 포함되어 있습니다. 필요한 경우 글로벌 환경 스케일 아웃을 통해 전용 커넥터를 배포할 수도 있습니다.
인증 사용 커넥터에서 인증을 수행하려면 예를 선택합니다. 선택한 커넥터가 인증도 수행하는지 여부를 나타낼 수 있습니다. 사용자를 인증하는 데 타사 ID 제공자를 사용하는 경우 아니요를 클릭합니다.
디렉토리 검색 특성 사용자 이름이 포함된 드롭다운 메뉴에서 계정 특성을 선택합니다. 서버 위치 디렉토리는 DNS 서비스 위치를 지원합니다. 확인란을 선택합니다. - Active Directory에 SSL/TLS을 통한 액세스가 필요한 경우 인증서 섹션에서 디렉토리에 대한 모든 연결은 STARTTLS 또는 SSL을 사용해야 합니다. 확인란을 선택하고, 도메인 컨트롤러 중간(사용되는 경우) 및 루트 CA 인증서를 복사하여 SSL 인증서 텍스트 상자에 붙여넣습니다. 중간 CA 인증서를 먼저 입력한 다음 루트 CA 인증서를 입력합니다. 각 인증서가 PEM 형식이고 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 줄을 포함하는지 확인합니다. 도메인 컨트롤러에 여러 중간 및 루트 인증 기관의 인증서가 있으면 모든 중간-루트 CA 인증서 체인을 차례로 입력합니다. Active Directory에 SSL/TLS를 통한 액세스가 필요한데 인증서를 제공하지 않으면 디렉토리를 생성할 수 없습니다.
- DNS 서비스 위치를 사용하지 않으려면 디렉토리는 DNS 서비스 위치를 지원합니다. 확인란이 선택되지 않았는지 확인하고 Active Directory 서버 호스트 이름 및 포트 번호를 입력합니다.
인증서 Active Directory에 SSL/TLS을 통한 액세스가 필요한 경우 인증서 섹션에서 디렉토리에 대한 모든 연결은 SSL을 사용해야 합니다. 확인란을 선택하고, 도메인 컨트롤러의 중간(사용되는 경우) 및 루트 CA 인증서를 복사하여 SSL 인증서 텍스트 상자에 붙여넣습니다. 중간 CA 인증서를 먼저 입력한 다음 루트 CA 인증서를 입력합니다. 인증서가 PEM 형식이고 BEGIN CERTIFICATE 및 END CERTIFICATE 줄을 포함하는지 확인합니다. Active Directory에 SSL/TLS를 통한 액세스가 필요한데 인증서를 제공하지 않으면 디렉토리를 생성할 수 없습니다.
Bind 사용자 세부 정보 - 기본 DN - 계정 검색을 시작할 DN을 입력합니다. 예: OU=myUnit,DC=myCorp, DC=com. 기본 DN은 인증에 사용됩니다. 기본 DN 아래에 있는 사용자만 인증할 수 있습니다. 나중에 동기화를 위해 지정하는 그룹 DN 및 사용자 DN은 이 기본 DN 아래에 있어야 합니다.
- 바인딩 사용자 DN - 계정 세부 정보를 입력합니다. 예: CN=binduser,OU=myUnit,DC=myCorp, DC=com. 만료되지 않는 암호가 있는 바인딩 사용자 계정을 사용하십시오.
- 바인딩 암호: 연결 테스트를 클릭하여 디렉토리가 Active Directory에 연결할 수 있는지 확인합니다.
- 생성 및 다음을 클릭합니다.
LDAP를 통한 Active Directory의 경우 확인 표시와 함께 도메인이 나열됩니다.
- 도메인 선택 세부 정보 탭에서 도메인을 선택하고 다음을 클릭합니다.
- 디렉토리 특성을 Active Directory에 매핑하려면 특성 매핑 탭에서 필요한 특성을 선택하고 저장 및 다음을 클릭합니다.
- 그룹 선택 탭에서 Active Directory에서 VMware Identity Manager 디렉토리로 동기화하려면 그룹 DN 세부 정보를 지정하고 다음을 클릭합니다.
목록에서 이미 사용 가능한 모든 Active Directory 그룹을 선택하여 디렉토리에 동기화할 수도 있습니다.
- 그룹을 선택하려면 그룹 고유 이름 추가를 클릭하고 하나 이상의 그룹 DN을 지정합니다. 아래에 있는 그룹을 선택합니다. [디렉토리 추가] 페이지의 [기본 DN] 텍스트 상자에 입력한 기본 DN 아래에 있는 그룹 DN을 지정합니다. 그룹 DN이 기본 DN 외부에 있으면 해당 DN의 사용자가 동기화되지만 로그인할 수는 없습니다.
- 그룹 찾기를 클릭합니다. 작업 열에는 DN에 있는 그룹 수가 나열됩니다. DN의 모든 그룹을 선택하려면 모두 선택을 클릭하거나 번호를 클릭하고 동기화할 특정 그룹을 선택합니다. 그룹을 동기화할 때 Active Directory에서 [도메인 사용자]가 기본 그룹으로 포함되어 있지 않은 사용자는 동기화되지 않습니다.
- 중첩된 그룹 멤버 동기화 옵션을 선택합니다.
- 사용자 선택 탭에서 사용자 DN 세부 정보를 입력하고 다음을 클릭합니다.
제품군 관리자는 배포된 제품군 제품, 로그 및 AD 테이블에 대한 관리자 역할을 하는 Active Directory의 사용자 이름입니다.
- 중첩된 그룹 멤버 동기화 옵션을 선택하고 제품군 관리자를 입력합니다.
이 옵션이 사용되도록 설정되면 선택한 그룹에 직접 속하는 모든 사용자와 그 아래 중첩된 그룹에 속하는 모든 사용자는 그룹에 권한이 부여될 때 동기화됩니다. 중첩된 그룹은 동기화되지 않고 중첩된 그룹에 속하는 사용자만 동기화됩니다. VMware Identity Manager 디렉토리에서 이러한 사용자는 동기화를 위해 선택한 상위 그룹의 멤버가 됩니다. [중첩된 그룹 멤버 동기화] 옵션을 사용하지 않도록 설정하면 동기화할 그룹을 지정할 때 해당 그룹에 직접 속하는 모든 사용자가 동기화됩니다. 그 아래 중첩된 그룹에 속하는 사용자는 동기화되지 않습니다. 그룹 트리를 순회하는 데 리소스와 시간이 많이 소요되는 대규모 Active Directory 구성의 경우 이 옵션을 사용하지 않도록 설정하는 것이 좋습니다. 이 옵션을 사용하지 않도록 설정하는 경우 동기화할 사용자가 속하는 모든 그룹을 선택해야 합니다.
- 저장 및 다음을 클릭합니다. 사용자 선택 페이지에서 사용자 추가를 클릭하고 동기화할 사용자 DN을 지정합니다. [디렉토리 추가] 페이지의 [기본 DN] 텍스트 상자에 입력한 기본 DN 아래에 있는 사용자 DN을 지정합니다. 사용자 DN이 기본 DN 외부에 있으면 해당 DN의 사용자가 동기화되지만 로그인할 수는 없습니다. 저장 및 다음을 클릭합니다.
- 모의 실행 확인 탭을 검토하고 요약을 읽은 다음 동기화 및 완료를 클릭하여 디렉토리에 대한 동기화를 시작합니다. Active Directory에 대한 연결이 설정되고 사용자 및 그룹 이름이 Active Directory에서 VMware Identity Manager 디렉토리로 동기화됩니다.
- 제출을 클릭합니다.
- 편집하려면 Active Directory 목록에서 특정 Active Directory의 편집 아이콘을 클릭합니다. 추가된 정보가 있으면 VMware Identity Manager의 구성에 추가됩니다. 하지만, 편집을 통해 제거하면 구성이 vRealize Suite Lifecycle Manager 인벤토리에서만 제거되고 VMware Identity Manager에서는 제거되지 않습니다.
- 삭제하려면 Active Directory 목록에서 특정 Active Directory의 삭제 아이콘을 클릭합니다. 삭제 작업은 Active Directory를 vRealize Suite Lifecycle Manager 인벤토리에서만 삭제하고 VMware Identity Manager에서는 삭제하지 않습니다.