부록D Synchronization User List 정의 및 구성

이 부록에서는 동기화 사용자 목록(SUL) 정의에 대한 보완 설명을 제공하고 복수 도메인을 구성하는 방법에 대하여 설명합니다. 다음과 같은 내용으로 구성됩니다.

Synchronization User Lists 정의 이해

모든 동기화 사용자 목록(SUL)에는 두 가지 정의가 있으며, 한 가지는 동기화할 Directory Server 사용자를 식별하며 다른 한 가지는 동기화할 Windows 사용자를 식별합니다.

각 정의는 디렉토리에서 동기화할 사용자를 확인하고 동기화에서 제외할 사용자를 구분하며 새 사용자를 만들 위치를 확인합니다.



참고	Identity Synchronization for Windows 콘솔을 사용하여 선택하는 objectclass 또한 동기화할 사용자를 결정합니다. 프로그램은 오직 선택한 objectclass가 있는 사용자만 동기화하며, 또한 선택한 objectclass의 하위 클래스가 있는 사용자가 포함됩니다. 예를 들어 organizationalPerson objectclass를 선택하는 경우 inetorgperson이 organizationalPerson의 하위 클래스이므로 Identity Synchronization for Windows는 이 objectclass가 있는 사용자를 동기화합니다.

표 D-1) SUL 정의 구성요소
구성요소	정의	적용 범위
		Sun	AD	NT
기본 DN	동기화될 모든 사용자의 상위 LDAP 노드를 정의합니다. 동기화 사용자 목록 기본 DN에는 동기화 사용자 목록 필터에 의하여 사용자가 제외되지 않고 사용자의 DN이 더욱 구체적인 동기화 사용자 목록과 일치하지 않는 한 모든 사용자가 포함됩니다. 예: ou=sales,dc=example,dc=com.	예	예	아니오
필터	동기화 사용자 목록에서 사용자를 포함 또는 제외하는 데 사용하는 LDAP 형식의 필터를 정의합니다. 필터에는 &, \|, !, = 및 * 연산자가 포함될 수 있습니다. >= 및 <= 연산자는 지원하지 않습니다. 모든 비교는 대소문자를 구분하는 문자열 비교로 수행됩니다. 예: (& (employeeType=manager)(st=CA))는 California에 있는 관리자만 포함합니다.	예	예	예
생성 표현식	새로 만든 사용자의 상위 DN과 이름 지정 속성을 정의합니다(생성을 사용 설정한 경우에만 적용). 생성 표현식에는 반드시 동기화 사용자 목록의 기본 DN이 포함되어야 합니다. 예: cn=%cn%,ou=sales,dc=example,dc=com. (여기에서 %cn% 토큰은 생성되는 사용자 항목의 값으로 대체됩니다.)	예	예	아니오


참고	Sun Java System Directory Server의 사용자를 복수 Active Directory 도메인과 동기화하려면 반드시 각 Active Directory 도메인마다 하나 이상의 SUL을 정의해야 합니다.

복수 SUL을 정의하는 경우 Identity Synchronization for Windows는 각 SUL 정의를 반복적으로 일치시켜 SUL에서의 구성원을 확인합니다. 프로그램은 SUL 정의를 우선 더욱 구체적인 기본 DN을 사용하여 검사합니다.
예를 들어 프로그램은 dc=example,dc=com을 검사하기 전에 ou=sales,dc=example,dc=com에 대하여 일치를 검사합니다.

SUL 정의 두 개의 기본 DN은 동일하며 필터는 서로 다른 경우 Identity Synchronization for Windows가 어느 필터를 먼저 검사할 것인지 자동으로 결정할 수 없으므로 반드시 도메인 중복 해결을 사용하여 두 SUL 정의의 순서를 정해야 합니다. 사용자가 SUL 정의 기본 DN과 일치하지만 해당 기본 DN의 필터와 일치하지 않는 경우 해당 사용자가 이보다 덜 구체적인 기본 DN의 필터와 일치하는 경우라도 프로그램이 이 사용자를 동기화에서 제외합니다.

복수 Windows 도메인 구성

복수 Windows 도메인을 동일한 Directory Server 컨테이너(ou=people,dc=example,dc=com 등)에 동기화할 수 있도록 Identity Synchronization for Windows는 도메인 정보가 포함된 "복합" Windows 속성을 사용합니다.

Active Directory 도메인의 경우 Identity Synchronization for Windows는 항목을 Directory Server로 동기화하기 전에 Active Directory 도메인 이름(예: east.example.com)에 activedirectorydomainname 속성을 설정합니다.

Windows NT 도메인의 경우 Identity Synchronization for Windows는 항목을 Directory Server에 동기화하기 전에 Windows NT 도메인 이름(NTEXAMPLE 등)에 user_nt_domain_name 속성을 설정합니다.

이들 속성이 Windows 사용자 항목에 실제로 표시되지는 않으나 Identity Synchronization for Windows 콘솔에서 동기화할 수 있으며 Directory Server 사용자 속성으로 매핑될 수 있습니다. 일단 Identity Synchronization for Windows가 도메인 속성을 매핑하면 동기화 동안 Directory Server 항목 안에 설정되며 SUL 필터에서 사용될 수 있습니다.

Identity Synchronization for Windows가 이들 속성을 사용하는 방법은 다음 예에 보이는 것과 같습니다. 이 예에서는 세 개의 Windows 도메인(Active Directory 도메인 두 개 및 Windows NT 도메인 한 개)가 단일 Directory Server 인스턴스와 동기화되는 것으로 가정합니다.

Active Directory 도메인 east.example.com에 있는 사용자는 ou=people,dc=example,dc=com의 Directory Server로 동기화됩니다.

Active Directory 도메인 west.example.com에 있는 사용자는 ou=people,dc=example,dc=com의 Directory Server로 동기화됩니다.

Windows NT NTEXAMPLE 도메인에 있는 사용자는 ou=people,dc=example,dc=com의 Directory Server로 동기화됩니다.

Directory Server 사용자를 만들거나 수정하면 프로그램은 SUL 필터를 사용하여 동기화될 사용자의 Windows 도메인을 결정합니다.(각 Directory Server SUL에 동일한 기본 DN ou=people,dc=example,dc=com이 있기 때문) activedirectorydomainname과 user_nt_domain_name 속성을 사용하여 이 필터를 쉽게 구성할 수 있습니다.

콘솔의 Attributes 탭에서 필터를 구성하려면 다음과 같이 합니다.

Directory Server destinationindicator 속성을 Active Directory activedirectorydomainname 속성과 Windows NT user_nt_domain_name 속성으로 매핑합니다.

다음과 같이 각 Windows 도메인에 대하여 하나의 SUL을 구성합니다.

EAST_SUL

Sun Java System Directory Server definition

Base DN: ou=people,dc=example,dc=com

Filter: destinationindicator=east.example.com

Creation Expression: cn=%cn%,ou=people,dc=example,dc=com

Active Directory definition (east.example.com)

Base DN: cn=users,dc=east,dc=example,dc=com

Filter: <none>

Creation Expression: cn=%cn%,cn=users,dc=east,dc=example,dc=com

WEST_SUL

Sun Java System Directory Server definition

Base DN: ou=people,dc=example,dc=com

Filter: destinationindicator=west.example.com

Creation Expression: cn=%cn%,ou=people,dc=example,dc=com

Active Directory definition (west.example.com)

Base DN: cn=users,dc=west,dc=example,dc=com

Filter: <none>

Creation Expression: cn=%cn%,cn=users,dc=west,dc=example,dc=com

NT_SUL

Sun Java System Directory Server definition

Base DN: ou=people,dc=example,dc=com

Filter: destinationindicator=NTEXAMPLE

Creation Expression: cn=%cn%,ou=people,dc=example,dc=com

Windows NT definition (NTEXAMPLE)

Base DN: NA

Filter: <none>

Creation Expression: NA

참고로 각 Directory Server SUL 정의에는 동일한 기본 DN과 생성 표현식이 있으나 필터는 해당 Windows 사용자 항목의 도메인을 표시합니다.

이들 설정으로 Directory Server 사용자 항목이 별도의 Windows 도메인과 동기화하도록 하는 방식에 대한 추가 내용은 다음의 시험 예를 참조하십시오.

Active Directory east.example.com domain에 cn=Jane Test,cn=users,dc=east,dc=example,dc=com을 만듭니다.

Identity Synchronization for Windows는 destinationindicator=east.example.com이 있는 Directory Server에 사용자 항목
cn=Jane Test,ou=people,dc=example,dc=com을 만듭니다.

Directory Server의 cn=Jane Test,ou=people,dc=example,dc=com 항목을 수정합니다.

Jane Test의 destinationindicator 속성이 east.example.com이므로 그의 항목은 EAST_SUL 동기화 사용자 목록 필터와 일치하며, 수정 내용은 east.example.com Active Directory 도메인으로 동기화됩니다.

이 예에서는 Identity Synchronization for Windows가 Windows에서 Directory Server로 사용자 생성을 동기화하는 것으로 가정합니다. 이렇게 동기화되지 않는 경우 idsync resync 명령을 사용하여 destinationindicator 속성을 설정할 수 있습니다.


참고	복수 SUL이 있는 구현에서 idsync resync -f를 사용하는 경우 링크 구성 파일의 allowLinkingOutOfScope 옵션을 true로 설정해야 합니다. 더 자세한 내용은 부록 B, "LinkUsers XML 문서 예제"을 참조하십시오.

이 예에서는 inetorgperson, destinationIndicator에 있는 기존 속성을 사용하며, 이들 속성은 다른 용도로 사용할 수 있습니다. 이 속성이 이미 사용 중이거나 다른 objectclass를 선택한 경우 반드시 사용자의 Directory Server 항목에 있는 일부 속성을 user_nt_domain_name 및 activedirectorydomainname 속성으로 매핑해야 합니다. 이 값을 유지하기 위하여 선택하는 Directory Server 속성은 반드시 나머지 속성 매핑 구성에 사용하는 objectclass에 있어야 합니다.

이 도메인 정보를 유지할 사용하지 않은 속성이 없는 경우 반드시 새 objectclass를 만들어 Identity Synchronization for Windows와 사용할 새 도메인 속성과 모든 기타 속성을 포함하도록 해야 합니다.

이전 목차 색인 다음
Sun Java System Identity Synchronization for Windows 1 2004Q3 설치 및 구성 설명서