6장 데이터 저장소

데이터 저장소는 사용자 속성 및 사용자 구성 데이터를 저장할 수 있는 데이터베이스입니다.

Access Manager는 아이디 저장소 프레임워크에 연결하는 아이디 저장소 플러그인을 제공합니다. 이 새 모델을 사용하면 기존 사용자 데이터베이스를 변경하지 않고도 Access Manager 사용자 정보를 확인하고 불러올 수 있습니다. Access Manager 프레임워크는 아이디 저장소 플러그인에서 얻은 데이터를 다른 Access Manager 플러그인에서 얻은 데이터와 통합하여 각 사용자의 가상 아이디를 구성합니다. Access Manager는 이제 두 개 이상의 아이디 저장소 간의 인증 및 권한 부여 과정에 이러한 범용 아이디를 사용할 수 있습니다. 가상 사용자 아이디는 사용자 세션이 종료되면 소멸됩니다.

LDAPv3 데이터 저장소

Access Manage가 영역 및 레거시 모드 모두로 설치된 경우 일반 LDAPv3 저장소에 대해 새 데이터 저장소 인스턴스를 만들 수 있습니다. 다음 조건에서 LDAPv3 저장소 유형을 선택해야 합니다.

• 역할, 서비스 클래스(CoS) 및 이전 버전의 Access Manager와의 호환성이 필요하지 않은 경우

• 기존 디렉토리를 사용하려는 경우

• 아이디 저장소에 대해 Sun Java System Directory Server가 아닌 디렉토리 서버를 사용하려는 경우

• Access Manager가 아이디 저장소에 쓰지 않게 하려는 경우

• 플랫 디렉토리 정보 트리(DIT)를 사용하려는 경우

새 LDAPv3 데이터 저장소를 만들려면

다음 절에서는 일반 LDAPv3 데이터 저장소를 연결하는 단계에 대해 설명합니다.

단계

1. 새 데이터 저장소를 만들 영역을 선택합니다.

2. 데이터 저장소 탭을 누릅니다.

3. 데이터 저장소 목록에서 새로 만들기를 누릅니다.

4. 데이터 저장소의 이름을 입력합니다.

5. LDAPv3 저장소 플러그인을 위한 속성를 정의합니다.

6. 마침을 누릅니다.

LDAPv3 저장소 플러그인 속성

다음과 같은 변수를 사용하여 LDAPv3 저장소 플러그인을 구성할 수 있습니다.

• 기본 LDAP 서버

• LDAP 바인드 DN

• LDAP 바인드 비밀번호

• LDAP 바인드 비밀번호(확인)

• LDAP 조직 DN

• LDAP SSL 사용 가능

• LDAP 연결 풀 최소 크기

• LDAP 연결 풀 최대 크기

• 최대 검색 반환 결과

• 검색 시간 초과

• LDAP에서 참조를 따름

• LDAPv3 저장소 플러그인 클래스 이름

• 속성 이름 매핑

• LDAPv3 플러그인 지원 유형 및 작업

• LDAP 사용자 검색 속성

• LDAP 사용자 검색 필터

• LDAP 사용자 객체 클래스

• LDAP 사용자 속성

• LDAP 그룹 검색 속성

• LDAP 그룹 검색 필터

• LDAP 그룹 컨테이너 이름 지정 속성

• LDAP 그룹 컨테이너 값

• LDAP 그룹 객체 클래스

• LDAP 그룹 속성

• 그룹 구성원에 대한 속성 이름

• 그룹 구성원의 속성 이름

• 그룹 구성원 URL의 속성 이름

• LDAP 사용자 컨테이너 이름 지정 속성

• LDAP 사용자 컨테이너 값

• LDAP 에이전트 검색 속성

• LDAP 에이전트 컨테이너 이름 지정 변수

• LDAP 에이전트 컨테이너 값

• LDAP 에이전트 검색 필터

• LDAP 에이전트 객체 클래스

• LDAP 에이전트 속성

• 지속적 검색 기본 DN

• 재시작 전 지속적 검색 최대 유휴 시간

• 오류 코드 후 최대 재시도 횟수

• 재시도 간 지연 시간

• 재시도 대상의 LDAPException 오류 코드

기본 LDAP 서버

연결할 LDAP 서버의 이름을 입력하며hostname.domainname:portnumber 형식이어야 합니다.

두 개 이상의 host:portnumber 항목을 입력한 경우 목록의 첫 번째 호스트로 연결이 시도됩니다. 현재 호스트에 대한 연결 시도가 실패한 경우에만 목록의 다음 항목에 대한 연결을 시도합니다.

LDAP 바인드 DN

현재 사용자가 연결된 LDAP 서버에 대한 인증에 Access Manager가 사용할 DN 이름을 지정합니다. DN 이름이 바인드된 사용자는 LDAPv3 지원 유형 및 작업 속성에서 구성한 올바른 추가, 수정 및 삭제 권한을 가져야 합니다.

LDAP 바인드 비밀번호

현재 사용자가 연결된 LDAP 서버에 대한 인증에 Access Manager가 사용할 DN 비밀번호를 지정합니다.

LDAP 바인드 비밀번호(확인)

비밀번호를 확인합니다.

LDAP 조직 DN

해당 데이터 저장소의 저장소가 매핑될 DN으로 데이터 저장소에서 수행되는 모든 작업의 기본 DN이 됩니다.

LDAP SSL 사용 가능

활성화된 경우 Access Manager는 HTTPS 프로토콜을 사용하여 기본 서버에 연결합니다.

LDAP 연결 풀 최소 크기

연결 풀의 초기 연결 수를 지정합니다. 연결 풀을 사용하면 매번 새로 연결할 필요가 없습니다.

LDAP 연결 풀 최대 크기

허용된 최대 연결 수를 지정합니다.

최대 검색 반환 결과

검색 작업에서 반환된 최대 항목 수를 지정합니다. 해당 제한값에 도달하면 Directory Server는 검색 요청과 일치하는 모든 항목을 반환합니다.

검색 시간 초과

검색 요청에 할당할 최대 시간(초)을 지정합니다. 해당 제한값에 도달하면 Directory Server는 검색 요청과 일치하는 모든 항목을 반환합니다.

LDAP에서 참조를 따름

이 옵션이 활성화되면 다른 LDAP 서버로의 참조를 자동으로 따라갑니다.

LDAPv3 저장소 플러그인 클래스 이름

LDAPv3 저장소를 구현할 클래스 파일의 위치를 지정합니다.

속성 이름 매핑

프레임워크에 알려진 공통 속성을 기본 데이터 저장소에 매핑할 수 있도록 합니다. 예를 들어 프레임워크에서 사용자 상태를 결정하는 데 inetUserStatus를 사용한다면 기본 데이터 저장소에서는 userStatus를 사용할 수 있습니다. 속성 정의는 대소문자를 구분합니다.

LDAPv3 플러그인 지원 유형 및 작업

해당 LDAP 서버상에서 허용되거나 수행할 수 있는 작업을 지정합니다. 해당 LDAPv3 저장소 플러그인이 지원하는 작업만 기본 작업입니다. LDAPv3 저장소 플러그인이 지원하는 작업은 다음과 같습니다.

• 그룹 — 읽기, 만들기, 편집, 삭제

• 영역 — 읽기, 만들기, 편집, 삭제, 서비스

• 사용자 — 읽기, 만들기, 편집, 삭제, 서비스

• 에이전트 — 읽기, 만들기, 편집, 삭제

LDAP 서버 설정 및 작업에 따라 권한을 제거하는 것은 가능하지만

권한을 추가할 수는 없습니다.

LDAP 사용자 검색 속성

이 필드는 사용자에 대해 검색을 수행하는 속성 유형을 정의합니다. 예를 들어 사용자 DN이 uid=k user5,ou=people,dc=iplanet,dc=com인 경우 이름 지정 속성은 uid입니다. (uid=*)는 사용자에 대한 검색 필터에 추가됩니다.

LDAP 사용자 검색 필터

사용자 항목을 찾는 데 사용되는 검색 필터를 지정합니다. 예를 들어 LDAP 사용자 검색 속성은 uid이고 LDAP 사용자 검색 필터는 (objectClass=inetorgperson)인 경우 실제 사용자 검색 필터는 다음과 같습니다. (&(uid=*)(objectClass=inetorgperson)).

LDAP 사용자 객체 클래스

사용자를 위한 객체 클래스를 지정합니다. 사용자가 생성되면 사용자 객체 클래스의 해당 목록이 사용자의 속성 목록에 추가됩니다.

LDAP 사용자 속성

사용자와 연결된 속성의 목록을 정의합니다. 해당 목록에 없는 사용자 속성에 대한 읽기/쓰기 시도는 허용되지 않습니다. 속성은 대소문자를 구분합니다. 객체 클래스 및 속성 스키마는 사용자가 객체 클래스 및 속성 스키마를 지정하기 전에 Directory Server에서 정의되어야 합니다.

LDAP 그룹 검색 속성

이 필드는 그룹에서 검색을 수행하는 속성 유형을 정의합니다. 예를 들어 그룹 DN이 cn=group1,ou=groups,dc=iplanet,dc=com인 경우 그룹에 대한 이름 지정 속성은 cn이고 (cn=*)이 그룹 검색 필터에 추가됩니다.

LDAP 그룹 검색 필터

그룹 항목을 찾는 데 사용되는 검색 필터를 지정합니다. 예를 들어 "LDAP 그룹 검색 속성"은 cn이고 "LDAP 그룹 검색 필터"는 (objectclass=groupOfUniqueNames)인 경우 실제 그룹 검색 필터는 (&(cn=*)(objectclass=groupOfUniqueNames))입니다.

LDAP 그룹 컨테이너 이름 지정 속성

그룹이 컨테이너에 있는 경우 그룹 컨테이너를 위한 이름 지정 속성을 지정합니다. 그렇지 않으면 이 속성은 비어 있습니다. 예를 들어 cn=group1,ou=groups,dc=iplanet,dc=com의 그룹 DN이 ou=groups에 상주하는 경우 그룹 컨테이너 이름 지정 속성은 ou입니다.

LDAP 그룹 컨테이너 값

그룹 컨테이너 값을 지정합니다. 예를 들어 cn=group1,ou=groups,dc=iplanet,dc=com의 그룹 DN이 ou=groups에 상주하는 경우 그룹 컨테이너 값은 groups입니다.

LDAP 그룹 객체 클래스

그룹에 대한 객체 클래스를 지정합니다. 그룹이 생성되면 그룹 객체 클래스의 해당 목록이 그룹의 속성 목록에 추가됩니다.

LDAP 그룹 속성

그룹과 연결된 속성의 목록을 정의합니다. 목록에 없는 그룹 속성에 대한 읽기/쓰기 시도는 허용되지 않습니다. 속성은 대소문자를 구분합니다. 객체 클래스 및 속성 스키마는 사용자가 객체 클래스 및 속성 스키마를 지정하기 전에 Directory Server에서 정의되어야 합니다.

그룹 구성원에 대한 속성 이름

DN이 속한 모든 그룹 이름을 값으로 가지는 속성의 이름을 지정합니다. 기본값은 memberOf입니다.

그룹 구성원의 속성 이름

해당 그룹에 속한 DN을 값으로 가지는 속성의 이름을 지정합니다. 기본값은 uniqueMember입니다.

그룹 구성원 URL의 속성 이름

해당 그룹에 속한 구성원을 확인하는 LDAP URL을 값으로 가지는 속성의 이름을 지정합니다. 기본값은 memberUrl입니다.

LDAP 사용자 컨테이너 이름 지정 속성

사용자가 사용자 컨테이너에 있는 경우 사용자 컨테이너의 이름 지정 속성을 지정합니다. 사용자가 사용자 컨테이너에 없으면 이 필드는 비어 있습니다. 예를 들어 사용자 DN에 uid=kuser5,ou=people,dc=iplanet,dc=com이 지정되어 있고 ou=people이 사용자 컨테이너의 이름인 경우 이름 지정 속성은 ou입니다.

LDAP 사용자 컨테이너 값

사용자 컨테이너의 값을 지정합니다. 기본값은 people입니다. 예를 들어 사용자 DN에 uid=kuser5,ou=people,dc=iplanet,dc=com이 지정되어 있고 ou=people이 사용자 컨테이너의 이름인 경우 이름 지정 속성은 ou이고 people은 "LDAP 사용자 컨데이터 값"입니다.

LDAP 에이전트 검색 속성

이 필드는 에이전트에서 검색을 수행하는 속성 유형을 정의합니다. 기본값은 uid입니다. 예를 들어 에이전트 DN이 uid=kagent1,ou=agents,dc=iplanet,dc=com인 경우 에이전트의 이름 지정 속성은 uid입니다. (uid=*)는 에이전트에 대한 검색 필터에 추가됩니다.

LDAP 에이전트 컨테이너 이름 지정 변수

에이전트가 에이전트 컨테이너에 있는 경우 에이전트 컨테이너의 이름 지정 변수입니다. 에이전트가 에이전트 컨테이너에 없으면 이 필드는 비어 있습니다. 예를 들어 사용자 DN에 uid=kagent1,ou=agents,dc=iplanet,dc=com이 지정된 경우 에이전트 이름 지정 속성은 ou입니다.

LDAP 에이전트 컨테이너 값

에이전트 컨테이너 값을 지정합니다. 에이전트가 에이전트 컨테이너에 없으면 이 필드는 비어 있습니다. 앞에서 설명한 예에서 에이전트 컨테이너 값은 agents입니다.

LDAP 에이전트 검색 필터

에이전트 검색에 사용되는 필터를 정의합니다. 이 필드에 LDAP 에이전트 검색 변수를 추가하여 실제 에이전트 검색 필터를 만듭니다.

예를 들어 LDAP 에이전트 검색 속성은 uid이고 LDAP 사용자 검색 필터는 (objectClass=sunIdentityServerDevice)인 경우 실제 사용자 검색 필터는 (&(uid=*)(objectClass=sunIdentityServerDevice))입니다.

LDAP 에이전트 객체 클래스

에이전트에 대한 객체 클래스를 지정합니다. 에이전트가 생성되면 사용자 객체 클래스가 에이전트의 속성 목록에 추가됩니다.

LDAP 에이전트 속성

에이전트와 연결된 속성의 목록을 정의합니다. 목록에 없는 에이전트 속성에 대한 읽기/쓰기 시도는 허용되지 않습니다. 속성은 대소문자를 구분합니다. 객체 클래스 및 속성 스키마는 사용자가 객체 클래스 및 속성 스키마를 지정하기 전에 Directory Server에서 정의되어야 합니다.

지속적 검색 기본 DN

지속적 검색에 사용할 기본 DN을 지정합니다. 일부 LDAPv3 서버는 루트 접미사 수준의 지속적 검색만 지원합니다.

재시작 전 지속적 검색 최대 유휴 시간

지속성 검색을 다시 시작하기 전 최대 유휴 시간을 지정합니다. 1보다 큰 값을 사용해야 합니다. 값이 1 이하인 경우 연결 유휴 시간에 관계 없이 검색을 다시 시작합니다.

Access Manager가 로드 밸런서와 함께 배포된 경우 지정된 시간 동안 유휴 상태이면 일부 로드 밸런서에서 시간 초과가 일어납니다. 이 경우 재시작 전 지속성 검색 최대 유휴 시간을 로드 밸런서에 지정한 값보다 작은 값으로 설정해야 합니다.

오류 코드 후 최대 재시도 횟수

재시도 대상 LDAPException 오류 코드에서 지정된 오류 코드가 발생하는 경우 지속적 검색 작업에 대한 최대 재시도 횟수를 지정합니다.

재시도 간 지연 시간

각 재시도 전 대기 시간을 지정합니다. 지속적 검색 연결에만 적용됩니다.

재시도 대상의 LDAPException 오류 코드

지속적 검색 작업을 재시도할 오류 코드를 지정합니다. 이 속성은 지속적 검색에만 적용되며 모든 LDAP 작업에는 적용되지 않습니다.

AMSDK 저장소 플러그인

AMSDK 아이디 저장소는 Access Manager가 레거시 모드로 설치된 경우 Access Manager 정보 트리와 자동으로 통합됩니다. 영역 모드에서는 AMSDK 저장소를 설치하도록 선택할 수 있지만 아이디 저장소는 Access Manager 정보 트리와 통합되지 않습니다. 다음 조건에서 AMSDK 저장소 유형을 선택해야 합니다.

• 역할 및 CoS와 같은 Sun Java System Directory Server 고유 기능을 활용하려는 경우

• 이전 버전의 Access Manager와의 호환성을 확보하려는 경우

새 AMSDK 저장소 플러그인을 만들려면

단계

1. Access Manager 저장소 플러그인을 구성할 영역을 선택합니다.

2. 데이터 저장소 탭을 누릅니다.

3. 데이터 저장소 목록에서 새로 만들기를 누릅니다.

4. 저장소 플러그인 이름을 입력합니다.

5. Access Manager 저장소 플러그인을 선택합니다.

6. 다음을 누르십시오.

7. 다음 필드를 정의합니다.

   Access Manager 플러그인 클래스 이름

   Access Manager 저장소 플러그인을 구현할 클래스 파일의 위치를 지정합니다.

   Access Manager 조직

   Access Manager가 관리할 Directory Server 내의 조직을 가리키는 DN으로 데이터 저장소에서 수행되는 모든 작업의 기본 DN이 됩니다.

8. 마침을 누릅니다.