Active Directory 비밀번호 동기화

경고: 이 기능은 Active Directory 도메인 컨트롤러 구성에 영향을 줍니다. 도메인 컨트롤러의 작동하는 백업으로만 진행하십시오. 자세한 내용을 이 항목을 참조하십시오.

이 기능에서는 Active Directory 도메인에 등록된 사용자의 Windows 비밀번호를 Domino HTTP 및/또는 Notes ID 비밀번호에 적용합니다. 업계 우수 사례에 따르면 단일 비밀번호 권한을 사용하는 연합 로그인을 사용하는 것이 좋고 여러 시스템 간에 비밀번호를 동기화하지 않는 것이 좋습니다.

Active Directory 정보가 Domino에 동기화된 사용자가 Windows 도메인 비밀번호를 변경하면 Active Directory 도메인 컨트롤러에서 설치되고 실행되는 Domino 비밀번호 필터를 통해 비밀번호 변경 요청이 작성됩니다. Domino 비밀번호 필터에서는 요청 프로세서로 지정된 도메인의 Domino 서버로 요청을 푸시합니다. 요청 프로세서는 사용자의 HTTP 비밀번호, ID 저장소의 Notes ID 비밀번호 또는 두 가지 비밀번호 모두에 새 비밀번호를 적용하여 비밀번호 변경 요청을 처리합니다.

기본적으로 이 기능은 연합 SAML 인증을 사용하지 않는 환경에서 Notes ID를 잠금 해제하고 여기에 Active Directory 비밀번호를 적용하려는 경우에 유용합니다. 예를 들어, HCL Nomad 모바일 사용자와 Active Directory 도메인 컨트롤러에 연결할 수 없는 연결 해제된 오프라인 사용자는 이 기능이 유용할 수 있습니다.

이 기능을 사용하려면 TActive Directory에서 비밀번호를 추출하여 볼트에 있는 Notes ID에 비밀번호를 다시 적용할 수 있어야 합니다. Microsoft는 정확히 이 용도를 위한 API 호출을 제공합니다. 이 API는 Active Directory 도메인 컨트롤러에 설치된 소프트웨어에서만 사용할 수 있습니다. 이것이 바로 이 기능을 위해 Domino가 Active Directory 도메인 컨트롤러에 설치되어 있는 이유입니다.

주: Domino가 Active Directory 비밀번호를 얻기 위해 사용하는 구현은 시중에 있는 유일한 안전한 방법입니다. LDAP 프로토콜은 사용할 수 없습니다.
비밀번호 동기화는 다음에 대해 지원됩니다.
  • HTTP 비밀번호 또는 Notes ID로 Domino 서버에 액세스하는 등록된 HCL Notes, HCL Nomad, HCL Verse 및 HCL iNotes 사용자.
  • Domino에 등록되지 않았지만 HTTP 비밀번호로 Domino 웹 애플리케이션에 액세스하는 데 사용하는 Domino 디렉토리에 사용자 문서가 있는 웹 사용자.

요구사항

  • Active Directory 비밀번호 동기화는 Window Server 2016 및 Windows Server 2019에서 지원됩니다. Domino 12.0.1부터는 Windows Server 2022에서도 지원됩니다.
  • 디렉토리 동기화는 기본 Domino 디렉토리와 동기화된 사용자의 Active Directory 정보를 사용하도록 설정해야 합니다.
  • Domino 서버는 Domino에 비밀번호 변경사항을 보내고 해당 서버를 도메인 컨트롤러에 Domino Utility Server로 설치하는 Active Directory 도메인 컨트롤러마다 등록해야 합니다. 이러한 서버의 서버 ID는 Active Directory 도메인 컨트롤러에서 비밀번호 변경 요청을 작성하고 전송하는 데 사용됩니다. Domino 서버는 초기 설정 후 Active Directory 도메인 컨트롤러에서 실행되지 않습니다.
  • 여러 Active Directory 도메인에서 하나의 Domino 도메인에 변경사항을 보낼 수 있습니다. 그러나 하나의 Active Directory 도메인에서는 여러 Domino 도메인에 변경사항을 보낼 수 없습니다.
  • Notes ID의 비밀번호를 동기화하려면 ID가 ID 저장소에 있어야 합니다.
  • 열린 괄호로 시작하는 비밀번호를 제외한 모든 비밀번호를 동기화할 수 있습니다. 예를 들어 (mypassword 비밀번호는 동기화할 수 없습니다. 비밀번호가 동기화된 사용자가 열린 괄호로 시작하는 비밀번호로 변경하려고 시도하는 경우 요구사항을 충족하지 않으며 변경이 허용되지 않는다는 오류가 Windows에 표시됩니다.
주:
  • Notes 클라이언트 단일 로그온 기능은 Domino 12에서 사용되지 않지만 Notes 12 이전 클라이언트에서 사용하는 경우 비밀번호 동기화와 호환되지 않습니다.
  • 사용자가 Notes를 통해 Notes ID 비밀번호를 변경하거나 관리자가 Notes ID 비밀번호를 재설정하는 경우 다음에 Windows 비밀번호가 변경될 때까지 새 비밀번호가 비밀번호 동기화를 통해 변경된 Windows 비밀번호를 대체합니다.

예방 조치

Active Directory 비밀번호 동기화는 Windows 커널의 Local Security Authority Subsystem(lsass.exe)에서 실행됩니다. HCL에서는 타사 소프트웨어가 설치되지 않은 클린 운영 체제 설치에서 Active Directory 비밀번호 동기화를 테스트합니다. LSASS와 상호작용할 수 있는 바이러스 백신 및 악성코드 차단 프로그램과 같은 기타 써드파티 소프트웨어가 있으면 테스트할 수 없습니다. 따라서 사용자 환경에서 Active Directory 비밀번호 동기화를 테스트하고 배포할 때 다음과 같은 예방 조치를 취하는 것이 좋습니다.
  • Microsoft 우수 사례에 따라 여러 도메인 컨트롤러가 배포되어 있는지 확인하십시오.
  • Domino Active Directory 비밀번호 동기화를 설치하기 전에 도메인 컨트롤러를 백업하십시오.
  • 백업을 확인하고 도메인 컨트롤러 복구 방법을 알고 있는지 확인하십시오.
  • 프로덕션에서 배포하기 전에 모든 써드파티 소프트웨어를 포함하여 프로덕션 환경과 정확히 일치하는 테스트 또는 스테이징 환경에서 Active Directory 비밀번호 동기화를 테스트하십시오.
  • 한 번에 모든 도메인 컨트롤러에 설치하지 마십시오. 단계적으로 배포하십시오.
주: Active Directory 비밀번호 동기화 비밀번호 필터는 Microsoft에서 디지털 서명되지 않았으며 LSA 보호를 사용으로 설정한 상태로 실행 중인 도메인 컨트롤러에서는 실행되지 않습니다.