2장 설치 준비

이전 목차 색인 다음
Sun Java System Identity Synchronization for Windows 1 2004Q3 설치 및 구성 설명서

2장
설치 준비

Identity Synchronization for Windows 1 2004Q3을 설치하거나 버전 1.0에서 버전 1 2004Q3으로 이전하기 전에 설치 및 구성 프로세스를 숙지해야 합니다.

이 장에서는 이 과정을 설명하고 제품의 설치를 준비하는 데 도움이 될 기타 정보를 제공합니다. 이 정보는 다음과 같이 구성되었습니다.

설치 요구 사항

설치 개요

구성 개요

버전 1 2004Q3으로 이전

Active Directory와 비밀번호 동기화

SSL 작업용으로 Windows 구성

설치 및 구성 결정

설치 점검 목록

설치 요구 사항

여기에서는 Identity Synchronization for Windows의 설치 요구 사항에 대하여 설명하며, 운영 체제 버전, 패치 및 각 플랫폼용 유틸리티가 포함됩니다.

운영 체제 요구 사항

하드웨어 요구 사항

Sun Java System소프트웨어 요구 사항

설치 자격 증명

운영 체제 요구 사항

아래 표에서는 금번 Identity Synchronization for Windows릴리스에 필요한 운영 체제 요구 사항을 설명합니다.

표 2-1) Solaris 요구 사항

구성요소

Solaris 요구 사항

코어 구성요소

Solaris 8^TM for UltraSPARC^{?/sup> (32비트 및 64비트)
Solaris 9^TM SPARC^{?/sup> Platform Edition (32비트 및 64비트)
Solaris 9^TM 운영 체제 (Pentium II 이상용 x86 Platform
Edition) IA-32}}

Sun Java^TM System Directory Server 및 Windows Active Directory용 커넥터

Solaris 8 for UltraSPARC (32비트 및 64비트)
Solaris 9 for SPARC Platforms (32비트 및 64비트)
Solaris 9 운영 체제 (Pentium II 이상용 x86 Platform
Edition) IA-32

Sun Java ^TM System Directory Server용 플러그인

Solaris 8 for UltraSPARC (32비트 및 64비트)
Solaris 9 for SPARC Platforms (32비트 및 64비트)
Solaris 9 운영 체제 (Pentium II 이상용 x86 Platform
Edition) IA-32

표 2-2) Windows 요구 사항

구성요소

Windows 요구 사항

코어

Windows 2000 Server SP4
Windows 2000 Advanced Server SP4

Windows 2003 Server Standard Edition
(최신 보안업데이트 포함)

Windows 2003 Server Enterprise Edition
(최신 보안 업데이트 포함)

Sun Java^TM System Directory Server 및 Windows Active Directory용 커넥터

Windows 2000 Server SP4
Windows 2000 Advanced Server SP 4

Windows 2003 Server Standard Edition
(최신 보안업데이트 포함)

Windows 2003 Server Enterprise Edition
(최신 보안 업데이트 포함)

Sun Java ^TM System Directory Server용 플러그인

Windows 2000 Server SP4
Windows 2000 Advanced Server SP 4

Windows 2003 Server Standard Edition
(최신 보안업데이트 포함)

Windows 2003 Server Enterprise Edition
(최신 보안 업데이트 포함)

NT 커넥터 및 하위 구성요소

Windows Primary Domain Controller NT 4.0 Server SP 6A
(x86 전용)

하드웨어 요구 사항

Identity Synchronization for Windows를 실행하려면 반드시 하드웨어(모든 플랫폼)에 다음의 최소 요구 사항이 갖추어져야 합니다.

Directory Server에 설치하기 위한 최소 약 400MB의 디스크 공간

서버가 임의의 Identity Synchronization for Windows 구성요소를 실행하는 경우 최소 512MB의 RAM. (메모리는 클 수록 좋습니다.)

Sun Java System소프트웨어 요구 사항

Identity Synchronization for Windows를 설치하려면 반드시 먼저 다음 Sun Java System 소프트웨어 구성요소를 설치해야 합니다.

Sun Java System Directory Server version 5 2004Q2 패치 117907-02(이상)

패치 교정을 적용하면 Directory Server 5 2004Q2가 있는 Identity Synchronization for Windows 1 2004Q2용 삭제 기능을 사용할 수 있습니다.

Solaris SPARC 패키지 형식: 부품 번호 117907-02 이상

Solaris SPARC 압축 아카이브 설치: 패치 5077789

Solaris x86 패키지 형식: 부품 번호 117908-02 이상

Solaris x86 압축 아카이브 설치: 패치 5077789

Windows 압축 아카이브 설치: 패치 5077789

이들 패치와 패치를 Directory Server 환경에 적용하는 방법은 다음에 있는 Identity Synchronization for Windows 다운로드 디렉토리의 README.patch 파일을 참조하십시오.

<download_root>/patches/directory/README.patch

Solaris에 Directory Server 5 2004Q2를 설치하는 데 필요한 최신 정보와 패치는 다음 웹사이트에 있는 Sun Java SystemDirectory Server 5 2004Q2 Installation and Tuning Guide 및 Sun Java System Directory Server 5 2004Q2 릴리스 노트를 참조하십시오.

http://docs.sun.com/db/coll/DirectoryServer_04q2

Sun Java System Message Queue (이전 이름은 Sun ONE Message Queue)
버전 3.5 SP1 Enterprise Edition.

참고

Identity Synchronization for Windows 버전 1.0에서는 자동으로 Message Queue가 설치되지만 버전 1 2004Q3에서는 설치되지 않습니다.

이미 설치된 Sun Java System Message Queue에 Identity Synchronization for Windows 코어를 설치하려면 반드시 Message Queue 버전 3.5 SP1 Enterprise Edition을 사용해야 합니다. Message Queue의 버전이 부적절한 경우 코어를 설치하면 오류가 발생합니다.

Identity Synchronization for Windows 다운로드 번들에는 Message Queue가 포함됩니다. 소프트웨어는 다음과 같이 각 플랫폼의 /messagequeue 디렉토리에서 사용할 수 있습니다.

Solaris SPARC: /messagequeue/imq3_5-ent-solsparc.zip

Solaris x86: /messagequeue/imq3_5-ent-soli386.zip

Windows: /messagequeue/imq3_5-ent-win.exe

Java Runtime Environment

이 제품에는 Java Runtime Environment(JRE)가 제공되지 않습니다.

Solaris 또는 Windows에서 Identity Synchronization for Windows 설치 프로그램을 실행하려면 반드시 J2SE (또는 JRE) 1.4.2_04이상을 설치해야 합니다.

반드시 Windows NT에 JRE 1.4.1_03(이상)을 설치해야 합니다.

설치 자격 증명

Identity Synchronization for Windows를 설치하려면 반드시 다음에 대한 자격 증명을 제공해야 합니다.

구성 디렉토리

동기화되는 Directory Server

Active Directory(자세한 내용은 "코어 설치"를 참조하십시오.)

또한 Identity Synchronization for Windows를 설치하려면 다음 권한이 있어야 합니다.

Solaris 시스템: 반드시 루트로 설치해야 합니다.

Windows 시스템: 반드시 Administrator로 설치해야 합니다.

참고

텍스트 기반 설치 프로그램을 사용하여 비밀번호를 입력할 때 프로그램은 자동으로 비밀번호를 숨겨 비밀번호가 반향되어 표시되지 않도록 합니다. 텍스트 기반 설치 프로그램은 Solaris 시스템에서만 지원됩니다.

설치 개요

단일 호스트 구현용 제품 설치 과정은 에 보이는 것과 같습니다.

그림 2-1) 단일 호스트 구현에서 설치

일부 구성요소는 반드시 순서에 따라 설치되어야 하므로 설치 방법을 모두 신중히 읽으십시오.

Identity Synchronization for Windows에는 "To Do" 목록이 제공되며, 이는 설치 및 구성의 모든 과정 동안 표시됩니다. 이 정보 패널에는 제품을 성공적으로 설치하고 구성하기 위하여 반드시 따라야 하는 모든 단계 목록이 있습니다.

그림 2-2) Identity Synchronization for Windows To Do 목록

설치 및 구성 프로세스를 진행하는 동안 목록에서 완료된 단계는 흐리게 표시됩니다(그림 2-2 참조).

이 단원의 나머지에서는 다음과 같은 구성으로 설치 및 구성 과정에 대한 개요를 설명합니다.

코어 설치

제품 구성

Directory Server 준비

커넥터 및 Directory Server 플러그인 설치

기존 사용자 동기화

참고

자세한 설치 및 구성 설명은 이 설명서의 뒤에서 제공합니다.

코어 설치

코어를 설치하면 다음 구성요소가 설치됩니다.

콘솔: 제품의 모든 구성요소 구성과 관리 작업을 수행할 수 있는 중앙화된 도구입니다.

중앙 기록기: 모든 감사 및 오류 기록 정보를 중앙의 위치로 중앙화합니다.

시스템 관리자: 구성 업데이트를 동적으로 커넥터에 전달하며 각 커넥터의 상태를 유지합니다.

참고

코어 설치 방법은 제 3장, "코어 설치"에 있습니다.

제품 구성

코어를 설치한 후 콘솔을 사용하여 중앙의 위치에서 동기화될 디렉토리 소스(또한 구현의 기타 특성)를 모두 초기 구성합니다.

참고

디렉토리 리소스를 구성하는 방법은 제 4장, "코어 자원 구성"에 있습니다.

Directory Server 준비

Directory Server 커넥터는 Sun Java System Directory Server 5 2004Q2를 지원합니다.

Directory Server 커넥터를 설치하기 전에 반드시 동기화되는 모든 구성된 Directory Server 마스터(기본 및 보조 마스터 모두)용 Sun Java System Directory Server 소스를 준비해야 합니다.

이 작업은 콘솔에서 수행하거나 idsync prepds 하위 명령을 사용하여 명령줄에서 수행할 수 있습니다.

참고

Directory Server를 준비하는 방법은 "Directory Server 준비" 페이지 109에 있습니다.

커넥터 및 Directory Server 플러그인 설치

시스템에 구성된 디렉토리의 수에 따라 설치하는 커넥터와 Directory Server 플러그인의 수가 달라집니다.

참고

콘솔과 설치 프로그램은 모두 디렉토리의 레이블을 사용하여 커넥터를 동기화되는 디렉토리와 연결합니다. 에서는 Identity Synchronization for Windows의 레이블 이름 지정 형식에 대하여 설명합니다.

표 2-3) 레이블 이름 지정 형식

커넥터 유형

디렉토리 소스 레이블

하위 구성요소

Directory Server 커넥터

루트 접미어 또는 접미어/데이터베이스

Directory Server 플러그인
동기화되는 루트 접미어에 대하여 각 Directory Server(마스터 또는 소비자)에 하나의 플러그인을 설치합니다.

AD 커넥터

도메인 이름

없음

NT 커넥터

도메인 이름

(Windows NT 커넥터와 자동으로 설치) 변경 검출기와 비밀번호 필터 DLL 하위 구성요소는 함께 동일한 설치로 설치됩니다.

반드시 그래픽 사용자 인터페이스(GUI) 설치 프로그램을 사용하여 Windows NT 커넥터를 설치해야 합니다.

참고

커넥터 및 Directory Server 플러그인의 설치 및 구성 방법은 제 5장, "커넥터 및 Directory Server 플러그인 설치"에 있습니다.

기존 사용자 동기화

커넥터, 플러그인 및 하위 구성요소를 설치한 후 반드시 idsync resync 명령줄 유틸리티를 구현을 기존 사용자와 부트스트랩해야 합니다. 이 명령은 다음에 대한 관리자가 지정한 일치 규칙을 사용합니다.

기존 항목 링크(링크에 대한 정의는 "사용자 연결" 페이지 178를 참조하십시오.)

원격 디렉토리의 내용으로 빈 디렉토리 입력

Windows 및 Directory Server 디렉토리 모두의 항목이 고유하게 식별되며 서로 링크된 경우 두 기존 사용자 입력 사이에 속성 값(비밀번호 포함)을 일괄 동기화합니다.

참고

구현에서 기존 사용자를 동기화하는 방법은 제 6장, "기존 사용자 동기화"에 있습니다.

구성 개요

제품을 설치한 후 반드시 다음을 포함하여 제품 구현을 구성해야 합니다.

동기화될 디렉토리 및 전역 카탈로그 구성

속성 수정 및 객체 활성화/비활성화에 동기화 설정 지정

구성된 디렉토리 사이의 사용자 항목 작성 및 삭제 내용(선택)에 대한 동기화 설정 지정

여기에서는 다음 구성요소 개념에 대한 개요를 설명합니다.

디렉토리

구성 디렉토리 및 전역 카탈로그

동기화 설정

Objectclass

속성 및 속성 매핑

Synchronization User Lists

참고

자세한 구성 설명은 이 설명서의 뒤에서 제공합니다.

디렉토리

디렉토리가 표시하는 내용은 다음과 같습니다.

하나 이상의 Sun Java System Directory Server에 있는 단일 루트 접미어(접미어/데이터베이스)

Windows 2000 또는 Windows 2003 Server Active Directory 포리스트에 있는 단일 Active Directory 도메인

단일 Windows NT 도메인

각 디렉토리 유형을 원하는 만큼 구성할 수 있습니다.

구성 디렉토리 및 전역 카탈로그

Identity Synchronization for Windows는 Sun Java System Directory Server 구성 디렉토리 및 Active Directory 전역 카탈로그를 저장소로 사용하여 여기에서 Directory Server 또는 Active Directory 디렉토리 토폴로지뿐 아니라 이들 디렉토리의 스키마 정보를 불러옵니다.

동기화 설정

동기화 설정을 사용하여 객체 작성, 객체 삭제, 비밀번호 및 기타 속성 수정이 Sun과 Windows 디렉토리 사이에서 전달되는 방향을 제어할 수 있습니다. 동기화의 흐름 옵션은 다음과 같습니다.

Sun에서 Windows로

Windows에서 Sun으로

양방향으로

참고

Active Directory 및 Windows NT가 포함되는 구성의 경우 Windows NT 및 Sun 사이와 Active Directory 및 Sun 사이의 생성 또는 수정에 대하여 서로 다른 동기화 설정을 지정하는 구성은 저장할 수 없습니다.

Objectclass

리소스를 구성할 때 해당 objectclass에 따라 동기화할 항목을 지정합니다. 객체 클래스에 따라 Directory Server 및 Active Directory 모두에 대한 동기화에 사용 가능한 속성이 결정됩니다.

참고

Objectclass는 Windows NT에 적용할 수 없습니다.

Identity Synchronization for Windows가 지원하는 objectclass는 두 가지입니다.

구조적 objectclass: 선택한 Directory Server에서 만들어지거나 동기화된 모든 항목에는 반드시 구조적 objectclass가 하나 이상 있어야 합니다. 드롭다운 목록에서 구조적 objectclass를 선택합니다. (기본값은 Directory Server의 경우 inetorgperson이며 Active Directory의 경우 User입니다.)

보조 Objectclass:

Directory Server에서는 Available Auxiliary Object Classes 목록창에서 하나 이상의 objectclass를 선택하여 선택한 구조적 클래스를 사용할 수 있습니다. 이 경우 동기화용으로 추가 속성을 제공하게 됩니다.

Active Directory는 보조 objectclass에 대하여 더욱 제한적입니다. 선택한 구조적 objectclass의 모든 유효한 보조 objectclass에 대한 속성은 동기화용으로 사용할 수 있습니다.

참고

objectclass 및 속성을 구성하는 자세한 내용은 제 4장, "코어 자원 구성"을 참조하십시오.

속성 및 속성 매핑

속성에는 사용자 항목에 대한 설명적 정보가 유지됩니다. 각 속성에는 레이블과 하나 이상의 값이 있으며, 속성 값으로 저장되는 정보의 유형용 표준 구문을 따릅니다.

참고

콘솔에서 속성을 정의할 수 있습니다. 속성을 정의하는 방법은 4장을 참조하십시오.

속성 유형

Identity Synchronization for Windows는 다음과 같이 중요 및 작성 사용자 속성을 동기화합니다.

중요 속성: 지정된 수정 동기화 설정에 따라 속성이 수정되면 항상 Sun과 Windows 디렉토리 사이에서 동기화됩니다.

생성 속성: 지정된 객체 작성 동기화 설정에 따라 새 사용자가 만들어지면 항상 Sun과 Windows 디렉토리 사이에서 동기화됩니다.

필수 생성 속성은 대상 디렉토리에서 작성 작업을 완료하기 위하여 "필수적인" 것으로 간주되는 속성입니다. 예를 들어 Active Directory의 경우 생성시 cn과 samaccountname의 값이 유효해야 합니다. Sun의 경우 user objectclass의 inetorgperson을 구성하면 Identity Synchronization for Windows는 cn과 sn을 생성에 필수적인 속성으로 기대합니다.

생성 속성은 기본적으로 원래 디렉토리에서 전달되는 속성의 값이 없는 경우 오직 기본 값으로만 대상 디렉토리 생성 속성을 업데이트합니다. (생성 속성 기본값은 다른 속성 값을 기반으로 할 수 있습니다. 매개변수화 속성 기본값를 참조하십시오.)

참고

중요 속성은 생성 속성으로 자동으로 동기화되지만 그 반대로는 동기화되지 않습니다. 생성 속성은 오직 사용자 작성시에만 동기화됩니다.

매개변수화 속성 기본값

Identity Synchronization for Windows에서 다른 생성 또는 중요 속성을 사용하여 생성 속성에 대한 매개변수화된 기본값을 만들 수 있습니다.

매개변수화 기본 속성 값을 만들려면 퍼센트 기호 안에 표시되는 기존 생성 또는 중요 매개변수 이름(%<attribute_name>%)을 표현식 문자열에 포함해야 합니다. 예: homedir=/home/%uid% or cn=%givenName%. %sn%.

이들 속성 기본 값을 만드는 경우:

생성 표현식에 복수 속성을 사용할 수 있으나(cn=%givenName% %sn%) %<attribute_name>%의 속성에는 반드시 값이 한 개이어야 합니다.

A=%B%인 경우 B에는 하나의 기본값만 있어야 합니다.

역슬래시 기호(\)를 인용에 사용할 수 있습니다(예:diskUsage=0\%).

순환적 대체 조건이 있는 표현식을 사용하면 안 됩니다.(예:
sn=%uid% 및 uid= %sn%).

속성 매핑

동기화할 속성을 정의한 후, 반드시 Sun과 Windows 시스템 사이에서 속성 이름을 매핑해야 합니다. 예를 들어 반드시 Sun inetorgperson 속성을 Active Directory user 속성으로 매핑해야 합니다.

참고

중요 및 생성 속성 모두의 속성 맵을 사용하며, 반드시 각 디렉토리 유형에서 "필수 생성 속성"용 속성 맵을 구성해야 합니다.

Synchronization User Lists

동기화 사용자 목록(SUL)을 만들어 Sun과 Windows 디렉토리 모두에 있는 특정 사용자가 동기화되도록 정의합니다. 이들 정의에 의하여 평평한 디렉토리 정보 트리(DIT)를 계층적 디렉토리 트리로 동기화할 수 있습니다.

다음은 Synchronization User List를 정의하는데 사용되는 개념입니다.

기본 DN(Windows NT에는 적용 안 됨): 다른 SUL이 더욱 구체적이거나 필터에 의하여 제외되지 않는 한 해당 DN의 모든 사용자를 포함합니다.

필터: 사용자의 항목에 있는 속성을 사용하여 사용자를 동기화에서 제외하거나 기본 DN이 동일한 사용자를 복수 SUL로 나눕니다. 이 필터는 LDAP 필터 구문을 사용합니다.

생성 표현식(Windows NT에는 적용 안 됨): 새 사용자가 만들어지는 위치의 DN을 만듭니다. 예: cn=%cn%,ou=sales,dc=example,
dc=com 여기에서 %cn%은 기존 사용자 항목의 cn 값으로 대체됩니다. 작성 표현식은 반드시 기본 DN으로 끝나야 합니다.

SUL에는 두 가지 정의가 포함되며, 여기에서 각 정의는 디렉토리 유형의 토폴로지의 면에서 동기화될 사용자 그룹을 식별합니다.

하나의 정의는 동기화할 Directory Server 사용자를 식별합니다.(예: ou=people, dc=example, dc=com)

다른 정의는 동기화할 Windows 사용자 식별(예: cn=users, dc=example, dc=com)

SUL을 만들 시기에 대하여는 아래의 질문을 고려하십시오.

어느 사용자를 동기화할 것인가?

어느 사용자를 동기화에서 제외할 것인가?

어디에 새 사용자를 만들 것인가?

참고

이들 유틸리티에 대한 자세한 내용은 부록 D를 참조하십시오.

버전 1 2004Q3으로 이전

Identity Synchronization for Windows 버전 1.0(또는 1.0 SP1)에서 이전할 때 사용하는 절차는 처음 1 2004Q3을 설치할 때 사용하는 절차와 비슷하지만 몇 가지 다른 점이 있습니다.

참고

이전 절차는 7장에서 설명합니다.

Identity Synchronization for Windows 1 2004Q3으로 마이그레이션하기 전에 다음의 사항에 유의해야 합니다.

커넥터를 설치한 후 반드시 Directory Server 커넥터 상태 파일과 Active Directory 및 NT 커넥터 객체 캐시 파일을 직접 복구해야 합니다. 각 Active Directory 및 NT 커넥터 객체 캐시를 저장할 충분한 디스크 공간(/isw-home/persist 디렉토리 및 하위 디렉토리의 크기를 기준)이 충분한지 확인하십시오.

반드시 모든 버전 1.0 및 1.0 SP1 구성요소를 제거해야 합니다.

1 2004Q3 설치 프로그램이 1.0 시스템의 남아 있는 부분을 발견하면 Directory Server에 설치된 Identity Synchronization for Windows 스키마와 컴퓨터에 설치된 실제 Identity Synchronization for Windows 이진에서 문제가 발생할 수 있습니다.

참고

더 자세한 내용은 "1.0 제거에 실패한 경우의 작업 방법" 페이지 206를 참조하십시오.

반드시 1.0용으로 설치되었던 동일한 플랫폼 및 하드웨어 구조에 Identity Synchronization for Windows 1 2004Q3 구성요소를 설치해야 합니다.

Active Directory와 비밀번호 동기화

Windows 2000의 기본 비밀번호 정책은 Windows 2003에서 변경되었으며 기본적으로 비밀번호를 더 엄격히 적용합니다.

Identity Synchronization for Windows 서비스는 반드시 때때로 암호가 없는 항목을 만들어야 합니다(예: Directory Server에서 Active Directory로의 resync -c 실행 동안). 따라서 Active Directory(Windows 2000 또는 2003에서 실행)나 Directory Server에서 비밀번호 정책을 사용하는 경우 사용자 작성 오류가 발생할 수 있습니다.

Active Directory나 Directory Server에서 비밀번호 정책을 사용 안 하도록 설정할 필요는 없으나 서로 다른 시스템에서 비밀번호 정책을 실행하는 데 관련된 문제를 이해해야 합니다.

Windows 2003 Server Standard 또는 Enterprise Edition에서 Active Directory와 암호를 동기화하려는 경우 다음의 중요한 설치 정보를 숙지하십시오.

Windows에서 설치하는 경우 Solaris에 Active Directory 커넥터를 설치할 수 있습니다.

참고

Active Directory 커넥터는 Windows 2000 및 Windows 2003 Server 모두에서 Active Directory와 작동합니다.

Windows 2000의 Active Directory에서와 동일한 프로시저를 사용하여 Windows 2003 Server용 디렉토리 소스, 전역 카탈로그 및 동기화 사용자 목록을 만들 수 있습니다.

Windows 2003 Server에서 기본 암호 정책은 엄격한 암호를 사용하며, 이는 Windows 2000의 기본 암호 정책과 다릅니다.

이 단원의 나머지 내용은 다음과 같습니다.

비밀번호 정책 실행: Windows 또는 Directory Server에서 비밀번호 정책을 반드시 실행해야 하는 경우 이 부분을 읽고 Active Directory와 Directory Server 사이에서 비밀번호 정책이 동기화 결과에 어떤 영향을 미치는지 숙지하십시오.

비밀번호 정책 예: 여기에서는 다양한 시나리오에 대한 비밀번호 정책 예를 제공합니다.

비밀번호 정책 실행

여기에서는 Windows 2003 Server, Windows 2000 및 Sun Java System Directory Server 5 2004Q2의 Active Directory용 비밀번호 정책이 동기화 결과에 영향을 미치는 방법에 대하여 설명합니다.

다음과 같은 내용으로 구성됩니다.

개요

중요 참고 내용

비밀번호 정책 예

오류 메시지

개요

Active Directory(또는 Directory Server)에서 해당 시스템의 비밀번호 정책 요구 사항에 맞는 사용자를 만드는 경우 사용자가 만들어지고 두 시스템에서 적절히 동기화됩니다. 두 시스템 모두에서 비밀번호 정책을 사용하는 경우 비밀번호는 반드시 두 시스템 모두의 정책을 만족해야 하며, 그렇기 않은 경우 동기화된 사용자 생성이 실패하게 됩니다.

Active Directory에서 비밀번호 정책 기능을 사용하는 경우 Directory Server에서 또한 이와 일치하거나 유사하게 구성된 비밀번호 정책을 사용해야 합니다.

Active Directory와 Directory Server 모두에서 일관적인 비밀번호 정책을 만들 수 없는 경우에는 비밀번호 및 사용자 작성용 권한 소스로 취급되는 측에 비밀번호 정책을 사용해야 합니다. 그러나 일부 비밀번호 정책 구성으로 인하여 원하는 대로 사용자 작성 작업이 수행될 수 없는 경우도 있습니다.

중요 참고 내용

다음에서는 비밀번호 정책에 대한 중요한 정보를 제공합니다.

Directory Server 비밀번호 정책

Active Directory 비밀번호 정책

비밀번호 없이 계정 생성

Directory Server 비밀번호 정책

Active Directory에 Directory Server 비밀번호 정책을 위반하는 사용자를 만들 경우, 해당 사용자가 생성되어 Directory Server에 동기화되지만 비밀번호는 부여받지 못하게 됩니다. 새 사용자가 Directory Server로 로그인할 때까지 비밀번호가 설정되지 않으며, 이 때 요청시 비밀번호 동기화가 설정됩니다. 이 때 비밀번호가 Directory Server 비밀번호 정책을 위반하므로 로그인이 실패하게 됩니다.

이러한 상황은 여러 가지 방법으로 복구할 수 있습니다.

사용자가 이후 Active Directory에 로그인할 때 암호를 변경하도록 합니다.

Active Directory에서 사용자 비밀번호를 변경하고 새 비밀번호가 Directory Server 비밀번호 정책 요구사항에 맞는지 확인합니다.

Active Directory와 Directory Server에 설정된 비밀번호 정책이 동등한지(또는 가능한 한 유사한지) 확인해야 할 수 있습니다.

Active Directory 비밀번호 정책

Active Directory 비밀번호 정책을 만족하지 않는 사용자를 Active Directory에 만드는 경우 해당 사용자가 반드시 Directory Server에 만들어집니다.

Active Directory는 실제로 사용자를 "임시적으로" 만들며, 이 후 비밀번호가 비밀번호 정책 요구 사항을 만족하지 않으면 해당 항목을 삭제합니다. 결과적으로 Active Directory 커넥터는 이 임시 추가 내용을 확인하고 Directory Server 측에 사용자를 만듭니다. 사용자는 Directory Server에 비밀번호가 없게 되므로 누구도 사용자로 로그인할 수 없게 됩니다. 또한 이들 항목은 Active Directory의 유효한 항목으로 연결되지 않습니다. Active Directory에서 Directory Server로 삭제가 동기화되는 경우 임시로 생성된 사용자는 자동으로 삭제됩니다.

Directory Server의 사용자가 비밀번호 없이 만들어집니다. 항목에 비밀번호가 없는 경우 Directory Server는 사용자 작성에 대하여 비밀번호 정책을 실행하지 않습니다.

이러한 상황은 여러 가지 방법으로 해결할 수 있습니다. 많이 사용되는 방법은 Active Directory에서 Directory Server로 삭제를 동기화하는 방법입니다. 다른 방법으로 Directory Server에서 해당 사용자를 제거하고 Active Directory에서 Active Directory 비밀번호 정책에 맞는 비밀번호를 포함하여 사용자를 추가하는 방법입니다. 이 방법을 사용하면 Directory Server에서 사용자를 만들고 적절히 연결할 수 있습니다. Directory Server의 사용자가 처음으로 Active Directory에 로그인하고 비밀번호를 변경하면 비밀번호가 무효화됩니다.

Directory Server에서 해당 사용자를 삭제하지 않고 새 비밀번호로 Active Directory에서 해당 사용자를 다시 추가하려 하면 Directory Server에 사용자가 이미 존재하므로 Directory Server로의 ADD가 실패합니다. 이들 항목은 서로 링크되지 않으며 idsync resync 명령을 실행하여 두 개의 별도 계정을 링크해야 합니다.

idsync resync 명령을 사용하는 경우 반드시 Active Directory에서 Directory Server의 항목으로 연결된 계정의 비밀번호를 재설정해야 합니다. 비밀번호를 재설정하면 Directory Server에서 해당 비밀번호가 무효화되며, 따라서 이 후 사용자가 새 Active Directory 비밀번호로 Directory Server에 인증하면 요청시 동기화가 실행되어 Directory Server 비밀번호를 업데이트합니다.

비밀번호 없이 계정 생성

재동기화 등의 상황에 따라 이러한 Identity Synchronization for Windows는 반드시 비밀번호 없이 계정을 만들어야 합니다.

Directory Server
Identity Synchronization for Windows가 비밀번호 없이 항목을 Directory Server에 만드는 경우 userpassword 속성을 {PSWSYNC}*INVALID*PASSWORD*으로 설정합니다. 사용자는 비밀번호를 재설정할 때까지 Directory Server로 로그인할 수 없습니다. 이에 대한 예외는 resync를 -i NEW_USERS 또는 NEW_LINKED_USERS 옵션과 함께 사용하는 경우입니다. 이 경우 resync는 새 사용자의 비밀번호를 무효화하여 다음 사용자가 로그인 할 때 요청시 비밀번호 동기화가 시작되도록 합니다.

Active Directory
Identity Synchronization for Windows가 비밀번호 없이 Active Directory에서 항목을 만드는 경우 사용자의 비밀번호를 Active Directory 비밀번호 정책 요구 사항에 맞는 강력한 무작위 비밀번호로 설정합니다. 이 경우 경고 메시지가 기록되며 사용자는 비밀번호를 재설정할 때까지 Active Directory에 로그인할 수 없습니다.

다음 표는 Identity Synchronization for Windows의 작업 동안 발생할 수 있는 몇 가지 서로 다른 시나리오에 대한 설명입니다.

암호 정책이 동기화에 영향을 미치는 방식은 의 설명과 같습니다.

비밀번호 정책이 재동기화에 영향을 미치는 방식은 의 설명과 같습니다.

비밀번호가 동기화된 상태를 유지하는데 도움이 되도록 이 지침의 정보를 사용합니다. (시스템마다 구성이 다를 수 있으므로 이 표에서 모든 가능한 구성 시나리오를 설명하지는 않습니다.)

표 2-4) 비밀번호 정책이 동기화 작동에 영향을 미치는 방식

시나리오

  결과

사용자의 원래 생성 위치

사용자가
충족하는 비밀번호 정책 대상

  사용자 생성 위치

Directory Server

Active Directory

  Directory   Server

Active Directory

설명

Active Directory

예

예

  예

예

예

아니오

  예 (  설명 참조)

아니오

사용자가 Directory Server에 생성됩니다. 그러나 Active Directory에서 Directory Server로 삭제가 동기화되면 이 사용자는 즉시 삭제됩니다.

더 자세한 내용은 Active Directory 비밀번호 정책을 참조하십시오.

아니오

예

  예

예

더 자세한 내용은 중요 참고 내용을 참조하십시오.

아니오

아니오

  예 (  설명 참조)

아니오

사용자가 Directory Server에 생성되었습니다.
그러나 Active Directory에서 Directory Server로 삭제가 동기화되면 이 사용자는 즉시 삭제됩니다.

더 자세한 내용은 Active Directory 비밀번호 정책을 참조하십시오.

Directory Server

예

예

  예

예

예

아니오

  예

아니오

아니오

예

  아니오

아니오

아니오

아니오

  아니오

아니오

표 2-5) 비밀번호 정책이 재동기화 작동에 영향을 미치는 방식

시나리오

Resync 명령

사용자가 충족하는 비밀번호 정책 대상

결과

Directory Server

Active Directory

resync -c -o Sun

해당 없음

예

사용자가 Active Directory에 생성되지만 로그인할 수 없습니다.

더 자세한 내용은 비밀번호 없이 계정 생성을 참조하십시오.

해당 없음

아니오

사용자가 Active Directory에 생성되지만 로그인할 수 없습니다.

더 자세한 내용은 비밀번호 없이 계정 생성을 참조하십시오.

resync -c -i NEW_USERS | NEW_LINKED_USERS

예

해당 없음

사용자가 Directory Server에 만들어지면 해당 사용자가 처음 로그인할 때 비밀번호가 설정됩니다.

더 자세한 내용은 비밀번호 없이 계정 생성을 참조하십시오.

아니오

해당 없음

사용자가 Directory Server에 생성되지만 비밀번호가 Directory Server 비밀번호 정책에 위반되므로 로그인할 수 없습니다.

자세한 내용은 중요 참고 내용 및 비밀번호 없이 계정 생성를 참조하십시오.

resync -c

예

해당 없음

사용자가 Directory Server에 생성되지만 Active Directory 또는 Directory Server에 새 비밀번호 값을 설정할 때까지 로그인할 수 없습니다.

더 자세한 내용은 비밀번호 없이 계정 생성을 참조하십시오.

아니오

해당 없음

사용자가 Directory Server에 생성되지만 Active Directory 또는 Directory Server에 새 비밀번호 값을 설정할 때까지 로그인할 수 없습니다.

더 자세한 내용은 비밀번호 없이 계정 생성을 참조하십시오.

비밀번호 정책 예

여기에서는 다음 내용의 Active Directory와 Directory Server 비밀번호 정책을 사용하는 여러 가지 시나리오에 대하여 설명합니다.

Active Directory:

비밀번호 이력 실행: 20일

최대 비밀번호 지속 시간: 30일

최소 비밀번호 지속 시간: 0일

최소 비밀번호 길이: 7문자

비밀번호가 복잡성 요구 사항을 만족해야 함: 사용

Directory Server:

재설정 후 사용자가 반드시 비밀번호를 변경해야 함

사용자가 비밀번호를 변경할 수 있음

이력에 보관할 비밀번호 20개

비밀번호 만료 기간 30일

비밀번호 만료 5일 전에 경고 보냄

비밀번호 구문 검사: 비밀번호 최소 길이 7문자

오류 메시지

코어 시스템에 있는 중앙 기록기 audit.log 파일에서 다음의 오류 메시지를 확인하십시오.

요청시 동기화 동안 비밀번호 정책으로 인하여 DS의 비밀번호를 업데이트할 수 없음:

WARNING 125 CNN100 hostname "DS Plugin (SUBC100): unable to update password of entry ?n=John Doe,ou=people,o=sun? reason: possible conflict with local password policy"

참고

Windows 2003용 비밀번호 정책에 대한 자세한 내용은 http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc_aut_xbby.asp를 참조하십시오.

Directory Server 5 2004Q2용 비밀번호 정책에 대한 자세한 내용은 다음을 참조하십시오.

http://docs.sun.com/db/coll/DirectoryServer_04q2

SSL 작업용으로 Windows 구성

Directory Server에서 Windows Active Directory 서버로 비밀번호 변경 내용을 전달하려는 경우 반드시 각 Active Directory 서버가 SSL을 사용하도록 구성해야 하며 고급 암호화 팩을 설치해야 합니다.

다음에서 설명하는 Microsoft Certificate Services Enterprise Root 인증 기관에서 자동으로 자격 증명을 받아 Active Directory의 SSL 상의 LDAP가 자동으로 사용 설정된 경우, Identity Synchronization for Windows Active Directory 커넥터 설치 프로그램은 자동으로 Active Directory 커넥터에 SSL을 설정합니다.

http://support.microsoft.com/default.aspx?scid=kb;en-us;q247078

그러나 SSL상의 LDAP는 다음 MSDN 기술 노트에 설명한 대로 더 쉽게 구성할 수 있습니다.

http://support.microsoft.com/default.aspx?scid=kb;en-us;321051

이 경우 SSL 통신용으로 신뢰된 인증서가 필요하도록 하면 반드시 "Active Directory 커넥터에서 SSL 사용" 페이지 293의 설명과 같이 커넥터의 인증서 데이터베이스에 해당 인증서를 직접 설치해야 합니다.

설치 및 구성 결정

여기에서는 Identity Synchronization for Windows를 구현할 때의 설치 및 구성에 대하여 요약하고 선택할 수 있는 내용에 대하여 설명합니다. 설치를 시작하기 전에 이러한 내용을 숙지하도록 하십시오. 이 절에서 다루는 내용은 다음과 같습니다.

코어 설치

코어 구성

커넥터 및 Directory Server 플러그인 설치

명령줄 유틸리티 사용

코어 설치

코어를 설치할 때 반드시 다음 정보를 입력해야 합니다.

구성 디렉토리 호스트 및 포트: Identity Synchronization for Windows 구성 정보가 저장될 Directory Server 인스턴스용 구성 디렉토리 호스트 및 포트를 지정합니다.

SSL 포트를 구성 디렉토리 포트로 구성할 수 있으며, 이렇게 하는 경우 반드시 설치 과정 동안 포트를 SSL 포트로 지정해야 합니다.

참고

Identity Synchronization for Windows는 localhost로 설치되는 구성 디렉토리는 지원하지 않습니다.

루트 접미어: 구성 디렉토리의 루트 접미어를 지정합니다. 모든 구성 정보는 이 접미어 아래에 저장됩니다.

관리자의 이름 및 비밀번호: 구성 Directory Server용 자격 증명을 지정합니다.

구성 비밀번호: 중요한 구성 정보를 보호할 보안 비밀번호를 지정합니다.

파일 시스템 디렉토리: Identity Synchronization for Windows를 설치할 위치를 지정합니다. 코어는 반드시 Directory Server Administration Server와 동일한 디렉토리에 저장해야 합니다.

사용하지 않는 포트 번호: 사용 가능한 Message Queue 인스턴스용 포트 번호를 지정합니다.

코어 구성

코어를 구성할 때 반드시 다음 정보를 입력해야 합니다.

Sun Java System디렉토리 스키마 서버: 구성 디렉토리에서 로드할 Directory Server 데이터를 지정합니다.

사용자 객체 클래스(Directory Server 전용): 사용자 유형을 결정할 때 사용할 사용자 객체 클래스를 지정합니다. Identity Synchronization for Windows는 이 객체 클래스에 기반하여 속성 목록(비밀번호 속성 포함)을 유도합니다. 이 목록은 스키마에서 채워집니다.

동기화된 속성: Directory Server와 Windows 환경 사이에서 동기화될 사용자 항목 속성을 지정합니다.

수정, 작성 및 삭제 흐름: Sun과 Windows 시스템 사이에서 수정, 작성 및 삭제가 전달되는 방법을 지정합니다. 옵션:

Sun에서 Windows로

Windows에서 Sun으로

양방향으로

Sun 및 Windows 시스템 사이에서 객체 활성화 및 비활성화 동기화를 전달할 것인지 지정하고 이들 객체의 동기화 방법을 지정합니다.

전역 카탈로그: 전역 카탈로그(Active Directory 토폴로지 및 스키마 정보용 저장소)를 지정합니다.

Active Directory 스키마 제어기: Windows 전역 카탈로그에서 불러 올 Active Directory 스키마 소스의 FQDN(Fully Qualified Domain Name)을 지정합니다.

구성 디렉토리: Identity Synchronization for Windows 구성을 저장할 Directory Server를 지정합니다.

Active Directory 소스: Active Directory 도메인을 동기화할 때 사용할 소스를 지정합니다.

Windows NT 기본 도메인 제어기: 동기화될 Windows NT 도메인과 각 도메인의 기본 도메인 제어기 이름을 지정합니다.

SUL(Synchronization User Lists): LDAP DIT 및 필터 정보를 사용하여 Directory Server, Active Directory 및 NT에서 동기화될 사용자를 지정합니다.

Sun Java System Directory Servers: 동기화될 사용자를 저장하는 Directory Server 인스턴스를 지정합니다.

커넥터 및 Directory Server 플러그인 설치

커넥터와 Directory Server 플러그인을 설치할 때 반드시 다음 정보를 입력해야 합니다.

구성 디렉토리 호스트 및 포트: Identity Synchronization for Windows 구성 정보가 저장될 Directory Server 인스턴스용 구성 디렉토리 호스트 및 포트를 지정합니다.

루트 접미어: 구성 디렉토리의 루트 접미어를 지정합니다. 코어 설치 동안 지정된 루트 접미어를 사용하십시오.

관리자의 이름 및 비밀번호: 구성 Directory Server용 자격 증명을 지정합니다.

구성 비밀번호: 중요한 구성 정보를 보호할 보안 비밀번호를 지정합니다.

파일 시스템 디렉토리: Identity Synchronization for Windows를 설치할 위치를 지정합니다. 동일한 컴퓨터에 설치된 모든 구성요소에는 반드시 동일한 설치 경로가 있어야 합니다.

디렉토리 소스: 커넥터 또는 플러그인을 설치할 디렉토리 소스를 지정합니다.

Directory Server 및 Windows NT 커넥터를 설치하는 경우 반드시 사용하지 않는 포트를 지정해야 합니다.

Directory Server 커넥터 및 플러그인을 설치하는 경우 반드시 커넥터 및 플러그인에 해당하는 Directory Server용 호스트, 포트 및 자격 증명을 지정해야 합니다.

명령줄 유틸리티 사용

Identity Synchronization for Windows에서는 다음 유틸리티를 사용하여 명령줄에서 다양한 작업을 수행할 수 있습니다.

idsync 스크립트를 다음 하위 명령과 함께 사용하여 Identity Synchronization for Windows 명령줄 유틸리티를 실행합니다.

certinfo: 구성 및 SSL 설정에 기반하여 자격 증명 정보를 표시합니다.

changepw: Identity Synchronization for Windows 구성 비밀번호를 변경합니다.

prepds: Identity Synchronization for Windows가 사용하도록 Sun Java System Directory Server 소스를 준비합니다.

printstat: 설치된 커넥터, 시스템 관리자 및 Message Queue의 상태를 인쇄합니다.

또한 printstat 명령을 사용하여 설치 프로세스를 완료하기 위하여 수행해야 하는 나머지 설치 및 구성 단계 목록을 표시할 수 있습니다.

resetconn: 구성 디렉토리의 커넥터 상태를 uninstalled로 재설정(하드웨어 또는 제거 프로그램 오류의 경우만 해당)

resync: 설치 과정의 일부분으로 기존 사용자를 재동기화 및 링크하고 디렉토리를 미리 채움

startsync: 동기화를 시작합니다.

stopsync: 동기화를 중지합니다.

참고

이들 유틸리티에 대한 자세한 내용은 부록 A을 참조하십시오.

다음 유틸리티를 사용하여 Identity Synchronization for Windows 1.0 또는 1.0 SP1에서 Identity Synchronization for Windows 1 2004Q3으로 이전합니다.

forcepwchg: Identity Synchronization for Windows 버전 1.0에서 1 2004Q3으로의 마이그레이션 과정에서 비밀번호를 변경한 사용자에게 비밀번호를 변경하도록 요구합니다.

importcnf: 내보내진 버전 1.0 구성 XML 문서 가져옴

참고

이들 유틸리티에 대한 자세한 내용은 7장을 참조하십시오.

설치 점검 목록

이 점검 목록은 설치 과정을 보조하기 위한 것입니다. 이 목록을 인쇄하고 Identity Synchronization for Windows를 설치하기 전에 다음 정보를 기록하십시오.

표 2-6) 코어 설치 점검 목록

필요한 정보

항목

구성 디렉토리 호스트 및 포트

구성 디렉토리용 루트 접미어
(예: dc=example,dc=com)

Identity Synchronization for Windows를 설치할 파일 시스템 디렉토리

구성 Directory Server 관리자의 이름 및 비밀번호

중요한 구성 정보를 보호하는 보안 구성 비밀번호

Message Queue 인스턴스용 포트 번호

표 2-7) 코어 구성 점검 목록

필요한 정보

항목

Active Directory 전역 카탈로그(적용되는 경우)

Directory Server 스키마 서버

Directory Server 사용자 구조 및 보조 객체 클래스

동기화된 속성

사용자 항목 작성 흐름

사용자 항목 수정 흐름

사용자 항목 활성화 및 비활성화 흐름

사용자 항목 삭제 흐름

Sun Java System Directory Server 디렉토리 소스

Active Directory 디렉토리 소스

SUL(Synchronization User List)

Windows 소스 필터 작성 표현식

Sun Java System 소스 필터 작성 표현식

표 2-8) 커넥터 및 Directory Server 플러그인 설치 점검 목록

필요한 정보

항목

구성 디렉토리 호스트 및 포트

구성 디렉토리용 루트 접미어

커넥터를 설치할 파일 시스템 디렉토리

구성 Directory Server 관리자의 이름 및 비밀번호

중요한 구성 정보를 보호하는 보안 구성 비밀번호

디렉토리 소스

Directory Server 및 Windows NT용 사용하지 않은 포트

커넥터 및 플러그인에 해당하는 Directory Server용 호스트, 포트 및 자격 증명

표 2-9) 사용자 연결 점검 목록

필요한 정보

항목

연결될 SUL

동등한 사용자를 일치할 때 사용하는 속성

XML 구성 파일

표 2-10) 재동기화 점검 목록

필요한 정보

항목

SUL 선택

동기화 소스.

대상 디렉토리 소스에 해당 사용자가 없는 경우 자동으로 사용자 항목을 만들겠습니까?

Directory Server 비밀번호를 무효화하겠습니까?

지정한 LDAP 필터와 일치하고 선택한 SUL에 존재하는 사용자만 동기화하겠습니까?

이전      목차      색인      다음

부품 번호: 817-6199-05. Copyright 2004 Sun Microsystems, Inc. All rights reserved.

구성요소	Solaris 요구 사항
코어 구성요소	Solaris 8^TM for UltraSPARC^{?/sup> (32비트 및 64비트) Solaris 9^TM SPARC^{?/sup> Platform Edition (32비트 및 64비트) Solaris 9^TM 운영 체제 (Pentium II 이상용 x86 Platform Edition) IA-32}}
Sun Java^TM System Directory Server 및 Windows Active Directory용 커넥터	Solaris 8 for UltraSPARC (32비트 및 64비트) Solaris 9 for SPARC Platforms (32비트 및 64비트) Solaris 9 운영 체제 (Pentium II 이상용 x86 Platform Edition) IA-32
Sun Java ^TM System Directory Server용 플러그인	Solaris 8 for UltraSPARC (32비트 및 64비트) Solaris 9 for SPARC Platforms (32비트 및 64비트) Solaris 9 운영 체제 (Pentium II 이상용 x86 Platform Edition) IA-32

구성요소	Windows 요구 사항
코어	Windows 2000 Server SP4 Windows 2000 Advanced Server SP4 Windows 2003 Server Standard Edition (최신 보안업데이트 포함) Windows 2003 Server Enterprise Edition (최신 보안 업데이트 포함)
Sun Java^TM System Directory Server 및 Windows Active Directory용 커넥터	Windows 2000 Server SP4 Windows 2000 Advanced Server SP 4 Windows 2003 Server Standard Edition (최신 보안업데이트 포함) Windows 2003 Server Enterprise Edition (최신 보안 업데이트 포함)
Sun Java ^TM System Directory Server용 플러그인	Windows 2000 Server SP4 Windows 2000 Advanced Server SP 4 Windows 2003 Server Standard Edition (최신 보안업데이트 포함) Windows 2003 Server Enterprise Edition (최신 보안 업데이트 포함)
NT 커넥터 및 하위 구성요소	Windows Primary Domain Controller NT 4.0 Server SP 6A (x86 전용)


참고	Identity Synchronization for Windows 버전 1.0에서는 자동으로 Message Queue가 설치되지만 버전 1 2004Q3에서는 설치되지 않습니다. 이미 설치된 Sun Java System Message Queue에 Identity Synchronization for Windows 코어를 설치하려면 반드시 Message Queue 버전 3.5 SP1 Enterprise Edition을 사용해야 합니다. Message Queue의 버전이 부적절한 경우 코어를 설치하면 오류가 발생합니다.


참고	텍스트 기반 설치 프로그램을 사용하여 비밀번호를 입력할 때 프로그램은 자동으로 비밀번호를 숨겨 비밀번호가 반향되어 표시되지 않도록 합니다. 텍스트 기반 설치 프로그램은 Solaris 시스템에서만 지원됩니다.


참고	자세한 설치 및 구성 설명은 이 설명서의 뒤에서 제공합니다.


참고	코어 설치 방법은 제 3장, "코어 설치"에 있습니다.


참고	디렉토리 리소스를 구성하는 방법은 제 4장, "코어 자원 구성"에 있습니다.


참고	Directory Server를 준비하는 방법은 "Directory Server 준비" 페이지 109에 있습니다.


참고	콘솔과 설치 프로그램은 모두 디렉토리의 레이블을 사용하여 커넥터를 동기화되는 디렉토리와 연결합니다. 에서는 Identity Synchronization for Windows의 레이블 이름 지정 형식에 대하여 설명합니다.

커넥터 유형	디렉토리 소스 레이블	하위 구성요소
Directory Server 커넥터	루트 접미어 또는 접미어/데이터베이스	Directory Server 플러그인 동기화되는 루트 접미어에 대하여 각 Directory Server(마스터 또는 소비자)에 하나의 플러그인을 설치합니다.
AD 커넥터	도메인 이름	없음
NT 커넥터	도메인 이름	(Windows NT 커넥터와 자동으로 설치) 변경 검출기와 비밀번호 필터 DLL 하위 구성요소는 함께 동일한 설치로 설치됩니다. 반드시 그래픽 사용자 인터페이스(GUI) 설치 프로그램을 사용하여 Windows NT 커넥터를 설치해야 합니다.


참고	커넥터 및 Directory Server 플러그인의 설치 및 구성 방법은 제 5장, "커넥터 및 Directory Server 플러그인 설치"에 있습니다.


참고	구현에서 기존 사용자를 동기화하는 방법은 제 6장, "기존 사용자 동기화"에 있습니다.


참고	자세한 구성 설명은 이 설명서의 뒤에서 제공합니다.


참고	Active Directory 및 Windows NT가 포함되는 구성의 경우 Windows NT 및 Sun 사이와 Active Directory 및 Sun 사이의 생성 또는 수정에 대하여 서로 다른 동기화 설정을 지정하는 구성은 저장할 수 없습니다.


참고	Objectclass는 Windows NT에 적용할 수 없습니다.


참고	objectclass 및 속성을 구성하는 자세한 내용은 제 4장, "코어 자원 구성"을 참조하십시오.


참고	콘솔에서 속성을 정의할 수 있습니다. 속성을 정의하는 방법은 4장을 참조하십시오.


참고	중요 속성은 생성 속성으로 자동으로 동기화되지만 그 반대로는 동기화되지 않습니다. 생성 속성은 오직 사용자 작성시에만 동기화됩니다.


참고	중요 및 생성 속성 모두의 속성 맵을 사용하며, 반드시 각 디렉토리 유형에서 "필수 생성 속성"용 속성 맵을 구성해야 합니다.


참고	이들 유틸리티에 대한 자세한 내용은 부록 D를 참조하십시오.


참고	더 자세한 내용은 "1.0 제거에 실패한 경우의 작업 방법" 페이지 206를 참조하십시오.


참고	Active Directory 커넥터는 Windows 2000 및 Windows 2003 Server 모두에서 Active Directory와 작동합니다.

시나리오			결과
사용자의 원래 생성 위치	사용자가 충족하는 비밀번호 정책 대상		사용자 생성 위치
	Directory Server	Active Directory	Directory Server	Active Directory	설명
Active Directory	예	예	예	예
	예	아니오	예 ( 설명 참조)	아니오	사용자가 Directory Server에 생성됩니다. 그러나 Active Directory에서 Directory Server로 삭제가 동기화되면 이 사용자는 즉시 삭제됩니다. 더 자세한 내용은 Active Directory 비밀번호 정책을 참조하십시오.
	아니오	예	예	예	더 자세한 내용은 중요 참고 내용을 참조하십시오.
	아니오	아니오	예 ( 설명 참조)	아니오	사용자가 Directory Server에 생성되었습니다. 그러나 Active Directory에서 Directory Server로 삭제가 동기화되면 이 사용자는 즉시 삭제됩니다. 더 자세한 내용은 Active Directory 비밀번호 정책을 참조하십시오.
Directory Server	예	예	예	예
	예	아니오	예	아니오
	아니오	예	아니오	아니오
	아니오	아니오	아니오	아니오

시나리오
Resync 명령	사용자가 충족하는 비밀번호 정책 대상		결과
	Directory Server	Active Directory
resync -c -o Sun	해당 없음	예	사용자가 Active Directory에 생성되지만 로그인할 수 없습니다. 더 자세한 내용은 비밀번호 없이 계정 생성을 참조하십시오.
	해당 없음	아니오	사용자가 Active Directory에 생성되지만 로그인할 수 없습니다. 더 자세한 내용은 비밀번호 없이 계정 생성을 참조하십시오.
resync -c -i NEW_USERS \| NEW_LINKED_USERS	예	해당 없음	사용자가 Directory Server에 만들어지면 해당 사용자가 처음 로그인할 때 비밀번호가 설정됩니다. 더 자세한 내용은 비밀번호 없이 계정 생성을 참조하십시오.
resync -c -i NEW_USERS \| NEW_LINKED_USERS	아니오	해당 없음	사용자가 Directory Server에 생성되지만 비밀번호가 Directory Server 비밀번호 정책에 위반되므로 로그인할 수 없습니다. 자세한 내용은 중요 참고 내용 및 비밀번호 없이 계정 생성를 참조하십시오.
resync -c	예	해당 없음	사용자가 Directory Server에 생성되지만 Active Directory 또는 Directory Server에 새 비밀번호 값을 설정할 때까지 로그인할 수 없습니다. 더 자세한 내용은 비밀번호 없이 계정 생성을 참조하십시오.
resync -c	아니오	해당 없음	사용자가 Directory Server에 생성되지만 Active Directory 또는 Directory Server에 새 비밀번호 값을 설정할 때까지 로그인할 수 없습니다. 더 자세한 내용은 비밀번호 없이 계정 생성을 참조하십시오.


참고	Windows 2003용 비밀번호 정책에 대한 자세한 내용은 http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc_aut_xbby.asp를 참조하십시오. Directory Server 5 2004Q2용 비밀번호 정책에 대한 자세한 내용은 다음을 참조하십시오. http://docs.sun.com/db/coll/DirectoryServer_04q2


참고	Identity Synchronization for Windows는 localhost로 설치되는 구성 디렉토리는 지원하지 않습니다.


참고	이들 유틸리티에 대한 자세한 내용은 부록 A을 참조하십시오.


참고	이들 유틸리티에 대한 자세한 내용은 7장을 참조하십시오.

필요한 정보	항목
구성 디렉토리 호스트 및 포트
구성 디렉토리용 루트 접미어 (예: dc=example,dc=com)
Identity Synchronization for Windows를 설치할 파일 시스템 디렉토리
구성 Directory Server 관리자의 이름 및 비밀번호
중요한 구성 정보를 보호하는 보안 구성 비밀번호
Message Queue 인스턴스용 포트 번호

필요한 정보	항목
Active Directory 전역 카탈로그(적용되는 경우)
Directory Server 스키마 서버
Directory Server 사용자 구조 및 보조 객체 클래스
동기화된 속성
사용자 항목 작성 흐름
사용자 항목 수정 흐름
사용자 항목 활성화 및 비활성화 흐름
사용자 항목 삭제 흐름
Sun Java System Directory Server 디렉토리 소스
Active Directory 디렉토리 소스
SUL(Synchronization User List)
Windows 소스 필터 작성 표현식
Sun Java System 소스 필터 작성 표현식