디렉토리 관리로 OpenLDAP Directory 연결을 구성할 수 있습니다.

시작하기 전에

  • [사용자 특성] 페이지에서 구성을 검토하고 동기화할 다른 특성을 추가합니다. 디렉토리를 만들 때 Directories Management 특성을 LDAP 디렉토리 특성에 매핑합니다. 이러한 특성은 디렉토리의 사용자에 대해 동기화됩니다.

    참고:

    사용자 특성을 변경할 경우 서비스의 다른 디렉토리에 대한 영향을 고려하십시오. Active Directory와 LDAP 디렉토리를 둘 다 추가하려면 userName 외에는 어떤 특성도 필수로 표시해서는 안 됩니다. [사용자 특성] 페이지의 설정은 서비스의 모든 디렉토리에 적용됩니다. 특성이 필수로 표시된 경우 해당 특성이 없는 사용자는 Directories Management 서비스에 동기화되지 않습니다.

  • 바인딩 DN 사용자 계정. 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.

  • LDAP 디렉토리에서 사용자 및 그룹의 UUID는 일반 텍스트 형식이어야 합니다.

  • LDAP 디렉토리에서 도메인 특성은 모든 사용자 및 그룹에 대해 존재해야 합니다.

    Directories Management 디렉토리를 만들 때 이 특성을 Directories Management 도메인 특성에 매핑합니다.

  • 사용자 이름에 공백이 포함되어서는 안 됩니다. 사용자 이름에 공백이 포함된 경우 사용자는 동기화되지만 해당 사용자에게 사용 권한이 제공되지 않습니다.

  • 인증서 인증을 사용하는 경우 사용자에게 userPrincipalName 및 이메일 주소 특성 값이 있어야 합니다.

이 태스크 정보

여러 가지 다른 LDAP 프로토콜이 있지만, OpenLDAP가 vRealize Automation 디렉토리 관리와 함께 사용하도록 테스트와 승인 과정을 거친 유일한 프로토콜입니다.

LDAP 디렉토리를 통합하려면 해당 Directories Management 디렉토리를 만들고 LDAP 디렉토리에서 Directories Management 디렉토리로 사용자 및 그룹을 동기화합니다. 후속 업데이트에 대한 정기 동기화 스케줄을 설정할 수 있습니다.

또한 사용자에 대해 동기화할 LDAP 특성을 선택하여 Directories Management 특성에 매핑합니다.

LDAP 디렉토리 구성은 기본 스키마 또는 사용자 지정 스키마를 기반으로 할 수 있습니다. 또한 사용자 지정 특성을 정의할 수도 있습니다. Directories Management에서 사용자 또는 그룹 개체를 가져오기 위해 LDAP 디렉토리를 쿼리할 수 있도록 하려면 LDAP 디렉토리에 적용되는 LDAP 검색 필터 및 특성 이름을 제공해야 합니다.

특히 다음 정보를 제공해야 합니다.

  • 그룹, 사용자 및 바인딩 사용자를 가져오기 위한 LDAP 검색 필터

  • 그룹 멤버 자격, UUID 및 고유 이름에 대한 LDAP 특성 이름

프로시저

  1. 관리 > 디렉토리 관리 > 디렉토리을 선택합니다.
  2. 디렉토리 추가를 클릭하고 LDAP 디렉토리 추가를 선택합니다.
  3. [LDAP 디렉토리 추가] 페이지에서 필요한 정보를 입력합니다.

    옵션

    설명

    디렉토리 이름

    Directories Management 디렉토리의 이름을 입력합니다.

    디렉토리 동기화 및 인증

    1. 동기화 커넥터 필드에서 LDAP 디렉토리의 사용자 및 그룹을 Directories Management 디렉토리에 동기화하는 데 사용할 커넥터를 선택합니다.

      커넥터 구성 요소는 기본적으로 Directories Management 서비스에서 항상 사용 가능합니다. 이 커넥터는 드롭다운 목록에 표시됩니다. 고가용성을 위해 여러 개의 Directories Management 장치를 설치하는 경우 각 장치의 커넥터 구성 요소가 목록에 나타납니다.

      LDAP 디렉토리용 커넥터가 별도로 필요하지 않습니다. Active Directory든 LDAP 디렉토리든 상관없이 하나의 커넥터가 여러 디렉토리를 지원할 수 있습니다.

    2. 인증 필드에서 이 LDAP 디렉토리를 사용하여 사용자를 인증하려는 경우 를 선택합니다.

      사용자를 인증하는 데 타사 ID 제공자를 사용하려면 아니요를 선택합니다. 사용자 및 그룹을 동기화하도록 디렉토리 연결을 추가한 후에는 관리 > 디렉토리 관리 > ID 제공자 페이지로 이동하여 인증을 위한 타사 ID 제공자를 추가합니다.

    3. 대부분의 구성에서는 디렉토리 검색 특성 텍스트 상자에 선택되어 있는 사용자 지정 기본값을 그대로 둡니다. 사용자 지정 디렉토리 검색 특성 필드에서 사용자 및 그룹 이름에 사용할 LDAP 디렉토리 특성을 지정합니다. 이 특성은 LDAP 서버에서 사용자와 그룹 같은 엔티티를 고유하게 식별합니다. 예를 들어 cn을 입력합니다.

    서버 위치

    LDAP 디렉토리 서버 호스트 및 포트 번호를 입력합니다. 서버 호스트의 경우 정규화된 도메인 이름 또는 IP 주소를 지정할 수 있습니다. 예를 들어 myLDAPserver.example.com 또는 100.00.00.0을 지정할 수 있습니다.

    로드 밸런서 뒤에 서버 클러스터가 있는 경우 대신 로드 밸런서 정보를 입력합니다.

    LDAP 구성

    Directories Management에서 LDAP 디렉토리를 쿼리하는 데 사용할 수 있는 LDAP 검색 필터 및 특성을 지정합니다. 기본값은 코어 LDAP 스키마에 따라 제공됩니다.

    쿼리 필터

    • 그룹: 그룹 개체를 가져오기 위한 검색 필터입니다.

      예: (objectClass=group)

    • 바인딩 사용자: 바인딩 사용자 개체, 즉 디렉토리에 바인딩할 수 있는 사용자를 가져오기 위한 검색 필터입니다.

      예: (objectClass=person)

    • 사용자: 동기화할 사용자를 가져오기 위한 검색 필터입니다.

      예: (&(objectClass=user)(objectCategory=person))

    특성

    • 멤버 자격: LDAP 디렉토리에서 그룹 멤버를 정의하는 데 사용되는 특성입니다.

      예: member

    • 개체 UUID: LDAP 디렉토리에서 사용자 또는 그룹의 UUID를 정의하는 데 사용되는 특성입니다.

      예: entryUUID

    • 고유 이름: LDAP 디렉토리에서 사용자 또는 그룹의 고유 이름에 사용되는 특성입니다.

      예: entryDN

    인증서

    LDAP 디렉토리에 SSL을 통한 액세스가 필요한 경우 이 디렉토리에 대한 모든 연결은 SSL을 사용해야 합니다. 확인란을 선택합니다. 그런 다음, LDAP 디렉토리 서버의 루트 CA SSL 인증서를 복사하여 SSL 인증서 텍스트 상자에 붙여 넣습니다. 인증서가 PEM 형식인지 확인하고 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 줄을 포함합니다.

    마지막으로, 이 페이지의 [서버 위치] 섹션에 있는 서버 포트 필드에 정확한 포트 번호가 지정되어 있는지 확인합니다.

    Bind 사용자 세부 정보

    기본 DN: 검색을 시작할 DN을 입력합니다. 예: cn=users,dc=example,dc=com

    해당되는 모든 사용자는 [기본 DN] 아래 상주해야 합니다. [기본 DN] 아래에 특정 사용자가 없을 경우 그 사용자가 [기본 DN] 아래에 있는 그룹의 구성원일지라도 로그인할 수 없습니다.

    Bind DN: LDAP 디렉토리에 바인딩하는 데 사용할 DN을 입력합니다. 사용자 이름을 입력할 수도 있지만, 대부분의 배포에는 DN을 입력하는 것이 더 적절합니다.

    참고:

    만료되지 않는 암호를 가진 Bind DN 사용자 계정을 사용하는 것이 좋습니다.

    바인딩 DN 암호: 바인딩 DN 사용자의 암호를 입력합니다.

  4. LDAP 디렉토리 서버에 대한 연결을 테스트하려면 연결 테스트를 클릭합니다.

    연결에 실패한 경우 입력한 정보를 확인하고 적절히 변경합니다.

  5. 저장 및 다음을 클릭합니다.
  6. [도메인 선택] 페이지에 올바른 도메인이 선택되어 있는지 확인한 후 다음을 클릭합니다.
  7. [특성 매핑] 페이지에서 Directories Management 특성이 올바른 LDAP 특성에 매핑되어 있는지 확인합니다.

    이러한 특성은 사용자에 대해 동기화됩니다.

    중요:

    도메인 특성에 대한 매핑을 지정해야 합니다.

    [사용자 특성] 페이지에서 목록에 특성을 추가할 수 있습니다.

  8. 다음을 클릭합니다.
  9. [동기화할 그룹(사용자) 선택] 페이지에서 +를 클릭하여 LDAP 디렉토리에서 Directories Management 디렉토리로 동기화하려는 그룹을 선택합니다.

    LDAP 디렉토리에 이름이 같은 그룹이 여러 개 있는 경우 그룹 페이지에서 해당 그룹에 대한 고유 이름을 지정해야 합니다.

    Active Directory에서 그룹을 추가할 때 해당 그룹의 구성원이 [사용자] 목록에 없는 경우 목록에 추가됩니다. 그룹을 동기화할 때 Active Directory에서 [도메인 사용자]가 기본 그룹으로 포함되어 있지 않은 사용자는 동기화되지 않습니다.

    중첩된 그룹 구성원 동기화 옵션이 기본적으로 사용되도록 설정되어 있습니다. 이 옵션이 사용되도록 설정되면 선택한 그룹에 직접 속하는 모든 사용자와 그 아래 중첩된 그룹에 속하는 모든 사용자가 동기화됩니다. 중첩된 그룹은 동기화되지 않고 중첩된 그룹에 속하는 사용자만 동기화됩니다. Directories Management 디렉토리에서 이러한 사용자는 동기화를 위해 선택한 최상위 그룹의 구성원으로 나타납니다. 실제로 선택한 그룹 아래의 계층은 평면화되며 모든 수준의 사용자가 선택한 그룹의 멤버로 Directories Management에 표시됩니다.

    이 옵션을 사용하지 않도록 설정하면 동기화할 그룹을 지정할 때 해당 그룹에 직접 속하는 모든 사용자가 동기화됩니다. 그 아래 중첩된 그룹에 속하는 사용자는 동기화되지 않습니다. 그룹 트리를 탐색하는 데 리소스와 시간이 많이 소요되는 대규모 디렉토리 구성의 경우 이 옵션을 사용하지 않도록 설정하는 것이 좋습니다. 이 옵션을 사용하지 않도록 설정하는 경우 동기화할 사용자가 속하는 모든 그룹을 선택해야 합니다.

    참고:

    Directories Management 사용자 인증 시스템은 그룹과 사용자를 추가할 때 Active Directory의 데이터를 가져오고 시스템의 속도는 Active Directory 기능에 의해 제한됩니다. 따라서 추가할 그룹과 사용자의 수에 따라 가져오기 작업에 상당한 시간이 걸릴 수 있습니다. 지연 또는 문제가 발생할 가능성을 최소화하려면 vRealize Automation 작업에 필요한 정도로만 그룹과 사용자의 수를 제한하십시오.

    시스템 성능이 저하되거나 오류가 발생하면 불필요한 애플리케이션을 모두 닫고 디렉토리 관리에 충분한 메모리가 할당되어 있는지 확인하십시오. 문제가 계속되면 필요한 만큼 디렉토리 관리 메모리 할당을 늘리십시오. 많은 수의 사용자 및 그룹이 포함된 시스템의 경우 디렉토리 관리 메모리 할당을 24GB까지 늘려야 할 수 있습니다.

  10. 다음을 클릭합니다.
  11. 사용자를 더 추가하려면 + 를 클릭합니다. 예를 들어 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com을 입력합니다.

    여기에 개별 사용자는 물론이고, 조직 구성 단위도 추가할 수 있습니다.

    일부 사용자 유형을 제외하도록 필터를 생성할 수 있습니다. 필터 기준으로 사용할 사용자 특성, 쿼리 규칙 및 값을 선택합니다.

  12. 다음을 클릭합니다.
  13. 페이지를 검토하여 디렉토리에 동기화되는 사용자 및 그룹의 수를 확인하고 기본 동기화 스케줄을 확인합니다.

    사용자 및 그룹을 변경하거나 동기화 빈도를 변경하려면 편집 링크를 클릭합니다.

  14. 디렉토리 동기화를 클릭하여 디렉토리 동기화를 시작합니다.

결과

LDAP 디렉토리 연결이 설정되고 사용자 및 그룹이 LDAP 디렉토리에서 Directories Management 디렉토리로 동기화됩니다.

이제는 관리 > 사용자 및 그룹 > 디렉토리 사용자 및 그룹을 선택하여 사용자와 그룹을 알맞은 vRealize Automation 역할에 할당할 수 있습니다. 자세한 내용은 디렉토리 사용자 또는 그룹에 역할 할당를 참조하십시오.