원격 LDAP 디렉토리에 대한 디렉토리 보조자 문서 작성
원격 LDAP 디렉토리에 대한 디렉토리 보조자를 설정하려면 디렉토리 보조자 데이터베이스에 있는 디렉토리에 대한 디렉토리 보조자 문서를 작성하십시오.
시작하기 전에
디렉토리 보조자 서비스 및 개념에 대해 알고 있어야 합니다.
디렉토리 보조자 데이터베이스를 작성 및 복제했고 이 데이터베이스를 사용할 서버를 설정했는지 확인합니다.
프로시저
- LDAP 서비스 referral이 아닌 다른 목적을 위해 원격 LDAP 디렉토리를 사용하는 경우, TCP/IP ping 유틸리티를 사용하여 LDAP 디렉토리를 사용하는 HCLDomino® 서버가 원격 LDAP 디렉토리 서버에 연결할 수 있는지 테스트합니다.
- Domino® Administrator에서 를 선택하고 디렉토리 보조자 데이터베이스를 사용하도록 설정한 서버를 선택한 후 확인을 클릭합니다.
- 구성 탭을 클릭합니다.
-
탐색 분할창에서
Server Error: File does not exist
가 나타나면 선택한 서버는 디렉토리 보조자 데이터베이스를 사용하도록 설정되어 있지 않은 것입니다. 를 펼치십시오. - 디렉토리 보조자 추가를 클릭합니다.
-
기본사항 탭에서 다음 필드를 완료합니다.
표 1. 기본사항 탭 필드
Enter
기본사항 섹션 도메인 종류
LDAP을 선택합니다.
도메인 이름
디렉토리 보조자 데이터베이스에서 다른 디렉토리 보조자 문서(HCLNotes® 또는 LDAP)에 지정된 도메인 이름과 다른 선택의 도메인 이름. 디렉토리 보조자 및 도메인 이름 구성에 대한 자세한 정보는 관련 항목을 참조하십시오.
회사 이름
이 디렉토리와 연관된 회사의 이름. 여러 디렉토리 보조자 문서는 동일한 회사 이름을 사용할 수 있습니다.
검색 순서
서버가 검색하는 순서 또는 LDAP 클라이언트를 디렉토리 보조자 데이터베이스에서 구성된 다른 디렉토리와 관련된 디렉토리에 참조하는 순서에 영향을 미치는 숫자. 이름 지정 규칙이 디렉토리 검색 순서와 연결되는 방식에 대한 자세한 정보는 관련 항목을 참조하십시오.
이 도메인 사용 허용
다음 항목 중 하나를 선택하거나 모두 선택합니다.
- Notes clients and Internet Authentication/Authorization - HCLNotes® 메일 주소 지정, 인터넷 클라이언트 인증(LDAP 클라이언트 인증 포함) 또는 데이터베이스 권한의 그룹 구성원 검색에 LDAP 디렉토리를 사용합니다. 그룹 권한을 위해서는 그룹 권한 부여도 사용 가능하도록 설정해야 합니다.
- LDAP 클라이언트 - LDAP 검색이 Domino® 디렉토리에서 실패하는 경우 LDAP 서비스를 실행하는 서버가 LDAP 클라이언트를 이 LDAP 디렉토리로 참조합니다.
그룹 권한 부여
다음 항목 중 하나를 선택합니다.
- 데이터베이스 액세스 권한을 부여할 때 LDAP 디렉토리에서 그룹의 구성원을 검색하려면 Yes를 선택합니다. 디렉토리 보조자 데이터베이스에서 구성된 한 디렉토리, Notes® 또는 LDAP에 대해서만 Yes를 선택합니다.
- 데이터베이스 액세스 권한을 부여할 때 디렉토리에서 그룹의 구성원을 검색하지 못하도록 하려면 No(기본값)를 선택합니다.
Trusted for Credentials 규칙을 사용할 필요가 없습니다.
Yes를 선택하는 경우, 나타나는 Nested group expansion 필드에서 다음 중 하나를 선택합니다.
- 중첩된 그룹(데이터베이스 ACL에 나열된 그룹의 구성원인 그룹)을 검색하려면 Yes(기본값)를 선택합니다.
- 그룹 내에 중첩된 그룹의 구성원이 아닌 데이터베이스 ACL에 나열된 그룹의 구성원만 검색하려면 No를 선택합니다.
그룹 권한에 대한 자세한 정보는 관련 항목을 참조하십시오.
그룹 권한 부여 또는 자격 증명 인증 전용 사용
주: 이 항목은 해당 디렉토리에 대해 그룹 권한 부여가 사용 가능으로만 설정되었거나 하나 이상의 규칙을 신뢰됨로 설정한 경우에만 나타납니다.디렉토리 보조자가 그룹 권한 또는 신임 정보 인증에만 이 디렉토리를 사용하도록 하려면 예를 선택합니다. 이 설정을 선택하면 해당 디렉토리에 대한 비인증 및 비권한 정보 검색 수를 최소화합니다.
디렉토리를 인증 전용 검색으로 제한하는 것에 대한 자세한 정보는 관련 항목을 참조하십시오.
사용
LDAP 디렉토리에 대한 디렉토리 보조자를 사용 가능으로 설정하려면 Yes를 선택합니다.
주: 또한 디렉토리 보조자 데이터베이스의 기본 보기에서 이 디렉토리에 대해 디렉토리 보조자를 사용 가능 또는 사용 불가능으로 설정할 수 있습니다. 디렉토리에 대한 디렉토리 보조자 문서를 선택하고 도구 모음에서 [사용 가능/사용 불가능]을 클릭합니다.SSO 토큰에서 이름으로 사용되는 속성(Notes® LTPA_UserNm으로 맵핑)
LTPA_UserNm 필드가 요청될 때 반환해야 하는 디렉토리 속성의 이름을 입력합니다. 이 값은 Domino®가 생성한 SSO 토큰에서 사용자 이름으로 사용됩니다.
싱글 사인온에 사용되는 LTPA 토큰의 이름 맵핑에 대한 자세한 정보는 관련 항목을 참조하십시오.
SSO 구성 섹션 Windows™ 웹 클라이언트에 대한 싱글 사인온 서버가 SSO에 대해 사용 가능하고 LDAP 탭의 새 필드 LDAP 공급업체가 Active Directory로 설정된 경우 기본적으로 이 선택란이 설정되어 있습니다.
이 설정을 통해 Domino®가 사용자의 Active Directory(Kerberos) 로그온 이름을 검색할 수 있습니다.
Kerberos 영역 대문자만을 사용하여 Active Directory 도메인 이름을 입력합니다. 이름은 LDAP 탭의 도메인 이름과 일치해야 합니다.
예:AD.RENOVATIONS.COM
-
Naming Contexts (Rules) 탭에서 디렉토리에 대해 정의할 각 규칙에 대해 다음 필드를 입력합니다. 기본적으로 모든 별표 규칙은 Trusted for Credentials가 No로 설정된 상태에서 사용 가능합니다.
표 2. 이름 지정 컨텍스트(규칙) 탭 필드
Enter
N.C. #
LDAP 디렉토리에서 사용자 이름을 설명하는 이름 지정 상태(규칙)를 입력합니다. 디렉토리 보조자 및 이름 규칙에 대한 자세한 정보는 관련 항목을 참조하십시오.
사용
다음 항목 중 하나를 선택합니다.
- 규칙을 사용하려면 Yes를 선택합니다
- 규칙을 사용하지 않으려면 No(기본값)를 선택합니다.
Trusted for Credentials
다음 항목 중 하나를 선택합니다.
- 디렉토리의 식별 이름이 규칙에 해당되는 인터넷 클라이언트를 인증하기 위해 서버가 LDAP 디렉토리에서 신임 정보를 사용하려면 Yes를 선택합니다.
- 디렉토리의 식별 이름이 규칙에 해당되는 인터넷 클라이언트를 인증하기 위해 서버가 디렉토리를 사용하지 못하도록 하려면 No(기본값)를 선택합니다.
신뢰된 이름 규칙에 대한 자세한 정보는 관련 항목을 참조하십시오.
-
LDAP 탭에서 LDAP 구성 마법사를 사용하려면 필드 입력을 완료합니다.
이 마법사를 사용할 경우에는 관리자가 LDAP과 외부 LDAP 서버의 스키마 및 디자인에 익숙해야 하므로, 외부 LDAP 서버와 성공적이고 효율적으로 통신하도록 디렉토리 보조자를 구성해야 합니다. 이 탭에는 관리자가 디렉토리 보조자 LDAP 환경 설정 문서를 작성하는 데 사용할 수 있는 마법사 기능이 있습니다. 이 탭의 여러 필드는 관리자가 필드에 필요한 정보를 찾고 확인하는 데 도움을 주도록 설정되었습니다.
- 제안 또는 확인을 클릭하면 하나 이상의 에이전트가 Domino® 서버에서 실행되고 대부분 LDAP 서버와 통신합니다. 구성 중인 디렉토리 보조자 데이터베이스가 서버에서 실행되고 있으며 로컬 복제본이 아닌 것으로 가정합니다.
- 제안을 클릭하면 관리자가 시작을 클릭하여 제안된 값을 요청할 수 있는 대화 상자가 열립니다. 그런 다음 제안된 값이 목록 상자를 채웁니다. 관리자는 값을 선택할 수 있으며 확인을 클릭하거나 취소할 수 있습니다. 선택한 값은 자동으로 디렉토리 보조자 문서에 복사됩니다. 이것은 디렉토리 보조자 레코드를 처음 구성할 때 유용합니다.
- 확인을 클릭하면 관리자가 현재 설정이 올바르게 작동하는지 확인할 수 있는 대화 상자가 열립니다. 이것은 디렉토리 보조자 구성을 처음 확인할 때, 그리고 기존 구성이 계속해서 올바르게 작동하는지 확인할 경우 유용합니다.
표 3. LDAP 구성 마법사 필드
Enter
LDAP 구성 섹션 호스트 이름
원격 LDAP 디렉토리 서버의 호스트 이름(예: ldap.renovations.com). Domino® 서버는 이 호스트 이름을 사용하여 원격 LDAP 디렉토리 서버에 연결하거나 LDAP 클라이언트를 LDAP 디렉토리에 참조합니다.
DNS에 나열된 LDAP 서버의 호스트 이름을 검색할 수 있는 대화 상자를 열려면 제안을 클릭합니다.
각 호스트 이름이 활성 LDAP 서버임을 확인하는 대화 상자를 열려면 확인을 클릭합니다.
또는
지정된 첫 번째 호스트 이름에 의해 나타나는 디렉토리 서버를 사용할 수 없는 경우, Domino® 서버가 대체 LDAP 디렉토리 서버를 사용할 수 있도록 추가 호스트 이름을 입력합니다. 호스트 이름을 쉼표, 세미콜론으로 구분하거나 각 호스트 이름을 새 줄로 입력하여 구분합니다.
둘 이상의 디렉토리 서버를 지정하고 각각 다른 포트를 수신하는 경우 호스트 이름 다음에 포트를 지정합니다. 예를 들어, 다음과 같습니다.ldap1.acme.com:390, ldap2.renovations.com:391
이 필드에 입력한 포트 값은 포트 필드에 지정된 값을 다시 정의합니다. 이 필드에 지정한 포트가 없는 경우, 포트 필드에 지정된 값이 사용됩니다.
주: IPv6 주소도 이 필드에서 사용할 수 있습니다. 그러나 IPv6 주소를 이 필드에 지정하는지 여부를 주의해야 합니다. 7.0 이전 서버는 IPv6을 지원하지 않으므로 디렉토리 보조자 데이터베이스를 7.0 이전 서버에서 사용하면 안됩니다.LDAP 공급업체 LDAP 디렉토리의 서비스 제공업체를 입력합니다. 필요한 경우 LDAP 관리자와 확인합니다. 기본값은 Domino LDAP입니다.
주: LDAP 공급업체 값을 선택한 후 고급 옵션 섹션의 사용할 검색 필터 유형에 대한 제안 값이 일치하도록 조정되지만, 해당 값을 수정할 수 있습니다.디렉토리 보조자 문서에서 검색 필터를 구성하는 것에 대한 자세한 정보는 관련 항목을 참조하십시오.
검색에 대한 선택적 인증 신임 정보
선택적 인증 신임 정보에서 원격 LDAP 디렉토리 서버에 연결할 때 나타나는 Domino® 서버의 사용자 이름 및 비밀번호를 입력합니다. LDAP 디렉토리 서버가 이름과 비밀번호를 사용하여 Domino® 서버를 인증합니다. 이름과 비밀번호를 지정하지 않는 경우, Domino® 서버는 익명으로 연결을 시도합니다.
입력한 사용자 이름과 비밀번호가 각 호스트 이름에 유효한지 확인하는 대화 상자를 열려면 확인을 클릭합니다.
이 설정은 LDAP 서버에 대한 변경사항 감지에 영향을 미칠 수 있습니다.
LDAP 디렉토리에 대한 디렉토리 보조자 문서에서 Domino® 서버의 이름과 비밀번호를 지정하는 것에 대한 자세한 정보는 관련 항목을 참조하십시오.
Base DN for search
LDAP 디렉토리 서버가 요청하는 경우의 검색 기준. 예를 들어, 다음과 같습니다.
o=Ace Industry
o=Ace Industry,c=US
각 호스트 이름에서 적절한 검색 기준을 검색할 수 있는 대화 상자를 열려면 제안을 클릭합니다.
구성된 신임 정보를 사용하여 각 호스트 이름에서 검색 기준에 액세스할 수 있는지 확인할 수 있는 대화 상자를 열려면 확인을 클릭합니다.
이 설정은 LDAP 서버에 대한 변경사항 감지에 영향을 미칠 수 있습니다. 변경사항 감지를 위한 특수 고려사항에 대한 자세한 정보는 관련 항목을 참조하십시오.
연결 구성 섹션 Channel encryption
다음 항목 중 하나를 선택합니다.
- Domino® 서버가 원격 LDAP 디렉토리 서버에 연결할 때 SSL을 사용하려면 SSL(기본값)을 선택합니다.
- SSL을 사용하지 않으려면 None을 선택합니다.
클라이언트 인증을 위해 또는 데이터베이스 권한을 위해 그룹의 구성원을 찾는 데 원격 LDAP 디렉토리를 사용할 경우 Channel encryption 필드에서 SSL을 선택합니다.
SSL을 선택하는 경우, 다음 관련 필드에서 항목을 선택합니다.
- 만료된 SSL 인증서 허용
- SSL 프로토콜 버전
- 원격 서버의 인증서로 서버 이름 확인
원격 LDAP 디렉토리에 대한 디렉토리 보조자 문서의 SSL 구성에 대한 자세한 정보는 관련 항목을 참조하십시오.
포트
Domino® 서버가 원격 LDAP 디렉토리 서버에 연결하기 위해 사용하는 포트 번호
- Channel encryption 필드에서 SSL을 선택하는 경우, 기본 포트는 636입니다.
- Channel encryption 필드에서 None을 선택하는 경우, 기본 포트는 389입니다.
LDAP 디렉토리 서버가 기본 포트 중 하나도 사용하지 않는 경우, 다른 포트 번호를 수동으로 입력하십시오.
고급 옵션 섹션 제한시간
원격 LDAP 디렉토리 검색에 허용되는 최대 시간(초)으로, 기본값은 60초입니다.
또한 제한시간 값으로 원격 LDAP 디렉토리 서버가 구성된 경우 낮은 값을 먼저 사용합니다.
반환되는 최대 항목 수
LDAP 디렉토리 서버가 Domino® 서버가 검색하는 이름에 대해 반환할 수 있는 최대 항목 수. LDAP 디렉토리 서버에 최대 설정도 있는 경우 낮은 값을 먼저 사용합니다. LDAP 디렉토리 서버가 종료되는 경우, 그때까지 발견된 이름 수를 반환합니다.
기본값은 100입니다.
Dereference alias on search
원격 LDAP 디렉토리의 검색 중에 별명 비참조가 발생하는 범위를 제어하려면 다음 항목 중 하나를 선택합니다.
- 수행 안함
- Only for subordinate entries
- Only for search base entries
- Always(항상) (default)
별명이 LDAP 디렉토리에서 사용되지 않는 경우, Never를 선택하면 검색 성능을 향상시킬 수 있습니다.
디렉토리 보조자 문서에서 별명 비참조를 구성하는 것에 대한 자세한 정보는 관련 항목을 참조하십시오.
기본 메일 형식
Notes® 사용자가 LDAP 디렉토리에 있는 사용자에게 메일을 전달할 수 있도록 디렉토리 보조자를 설정한 경우, 디렉토리에서 Notes® 메일에 사용할 주소 형식을 지정하려면 이 옵션을 사용하십시오. 다음 항목 중 하나를 선택합니다.
- Notes 메일 주소 - 예:
John Doe/Renovations@Renovations
. 일반적으로 이 옵션은 LDAP 디렉토리가 Domino® 디렉토리인 경우에만 사용됩니다. - 인터넷 메일 주소(기본값) - 예:
jdoe@renovations.com
.
디렉토리 보조자 및 Notes 메일 주소 지정에 대한 자세한 정보는 관련 항목을 참조하십시오.
이름 맵핑 사용 가능 이 선택란을 사용하면 디렉토리 보조자가 Domino® DN 속성을 LDAP 디렉토리의 DN 속성에 맵핑할 수 있습니다. 이 옵션은 기본적으로 사용 불가능합니다.
이 선택란을 사용하여 이름 맵핑을 활성화한 경우 모든 검색에 속성이 사용됨 새 필드 및 Notes 식별 이름으로 사용할 속성 기존 필드가 표시됩니다.
주: 이 선택란을 사용하려면 Notes 식별 이름으로 사용할 속성 기존 필드에 값을 입력하거나 양식을 저장하기 전에 기본값(Notes DN)을 수락해야 합니다.Active Directory를 통해 Domino® 사용자를 관리할 때 사용자 이름 맵핑에 대한 자세한 정보는 관련 항목을 참조하십시오.
Notes® 식별 이름으로 사용되는 속성
Domino® 서버가 클라이언트 인증 또는 데이터베이스 권한을 위해 원격 LDAP 디렉토리를 사용하는 경우, 선택적으로 사용자의 LDAP 디렉토리 식별 이름을 해당 Notes® 식별 이름에 맵핑합니다.
확인을 클릭하여 지정된 기본에서 구성된 신임 정보를 사용하여 각 호스트 이름에 Notes® DN 속성을 포함하는 오브젝트가 하나 이상 있는지 확인할 수 있는 대화 상자를 엽니다.
원격 LDAP 디렉토리에서 Notes® 식별 이름 사용에 대한 자세한 정보는 관련 항목을 참조하십시오.
속성이 모든 검색에 사용됨 Yes 또는 No를 선택합니다.
기본적으로 이름 맵핑 사용 가능 선택란을 선택한 경우 이 값이 아니요로 설정되어 있고, 인터넷/웹 인증에 대해서만 이름 맵핑이 사용 가능합니다.
Notes 식별 이름으로 사용할 속성과 결합하여 이 필드에 대해 아니요를 선택하면 인터넷/웹 인증이 아니라 모든 디렉토리 검색에 Domino® 이름 맵핑을 사용할 수 있습니다.
사용할 검색 필터 유형
디렉토리를 검색하는데 사용되는 LDAP 검색 필터를 제어하려면 다음 항목 중 하나를 선택합니다.
대부분의 경우 Standard LDAP이 적용됩니다.
제안을 클릭하여 각 호스트 이름에서 사용하기에 가장 적절한 검색 필터 유형을 검색하는 대화 상자를 엽니다.
확인을 클릭하여 선택한 검색 필터 유형이 각 호스트 이름에 적합한지 확인하는 대화 상자를 엽니다.
주: Domino LDAP 및 IBM Directory Server 옵션을 사용하여 LDAP 게이트웨이는 지정된 LDAP 서버에 속하는 특수 기능을 이용할 수 있습니다. 이러한 기능이 확인되면 LDAP 클라이언트는 해당 기능의 활용 여부를 결정할 수 있습니다. 예를 들어, LDAP 서버는 루트 디렉토리 서버 항목(DSE)에 새로운 속성을 제공하여 dominoAccessGroups 성능의 LDAP 클라이언트 탐지를 직접 지원할 수 있습니다.디렉토리 보조자 문서에서 검색 필터를 구성하는 것에 대한 자세한 정보는 관련 항목을 참조하십시오.
- 저장 후 닫기를 클릭합니다.
다음에 수행할 작업
- 변경사항을 디렉토리 보조자 데이터베이스를 사용하는 모든 서버에 복제할 때까지 기다리거나 복제를 수행합니다.
- Restart Server 콘솔 명령을 사용하여 그룹 권한 부여를 위해 디렉토리 보조자를 사용하는 각 서버를 중지한 후 다시 시작하여, 각 서버가 변경사항을 검색합니다.