PasswordSync

이 장에서는 Sun Java™ System Identity Manager PasswordSync 기능에 대해 설명합니다. 이 기능을 통해 Windows 클라이언트가 Windows Active Directory 및 Windows NT 도메인에서 변경한 비밀번호를 Identity Manager와 동기화할 수 있습니다.

PasswordSync란?

PasswordSync 기능은 Windows Active Directory 및 Windows NT 도메인에서 변경한 사용자 비밀번호를 Identity Manager에 정의된 다른 자원과 동기화된 상태로 유지합니다. PasswordSync를 Identity Manager와 동기화할 도메인의 각 도메인 제어기에 설치해야 합니다. PasswordSync는 Identity Manager와 별도로 설치해야 합니다.

PasswordSync가 도메인 제어기에 설치되면 제어기는 JMS(Java 메시징 서비스) 클라이언트의 프록시로 작동하는 서블릿과 통신합니다. 이 서블릿은 또한 JMS 사용 메시지 대기열과 통신합니다. JMS Listener 자원 어댑터는 대기열에서 메시지를 제거하고 작업 흐름 작업을 사용하여 비밀번호 변경 사항을 처리합니다. 사용자의 모든 할당된 자원에서 비밀번호가 업데이트되면 SMTP 서버에서는 비밀번호 변경 상태를 알리는 전자 메일을 사용자에게 보냅니다.

PasswordSync를 설치하기 전에

PasswordSync 기능은 Windows 2000, Windows 2003 및 Windows NT 도메인 제어기에만 설정할 수 있습니다. Identity Manager와 동기화할 도메인의 각 도메인 제어기에 PasswordSync를 설치해야 합니다.

PasswordSync는 JMS 서버와 연결해야 합니다. JMS 시스템 요구 사항에 대한 자세한 내용은 Identity Manager Resources Reference의 JMS Listener 자원 어댑터에 대한 설명서를 참조하십시오.

Microsoft .NET 1.1 이상을 각 도메인 제어기에 설치해야 합니다.

이전 버전의 PasswordSync를 제거해야 합니다.

Microsoft .NET 1.1 설치

PasswordSync를 사용하려면 Microsoft .NET Framework 1.1 이상을 설치해야 합니다.
Windows 2003 도메인 제어기를 사용하면 이 Framework가 기본적으로 설치됩니다. Windows 2000 또는 Windows NT 도메인 제어기를 사용할 경우에는 다음의 Microsoft 다운로드 센터에서 이 툴킷을 다운로드할 수 있습니다.

Microsoft .NET 1.1 Framework에는 Internet Exporer 5.01 이상 버전이 필요합니다.
Windows 2000 SP4에 번들로 제공되는 Internet Explorer 5.0은 충분하지 않습니다.

프레임워크 툴킷을 빠르게 찾으려면 키워드 검색 필드에 NET Framework 1.1 Redistributable을 입력합니다.

해당 툴킷이 .NET 1.1 프레임워크를 설치합니다.

이전 버전의 PasswordSync 제거

최근 버전을 설치하기 전에 이전에 설치한 PasswordSync의 모든 인스턴스를 반드시 제거해야 합니다.

이전에 설치한 PasswordSync 버전이 IdmPwSync.msi 설치 프로그램을 지원할 경우 표준 Windows 프로그램 추가/제거 유틸리티를 사용하여 해당 프로그램을 제거할 수 있습니다.

이전에 설치한 PasswordSync 버전이 IdmPwSync.msi 설치 프로그램을 지원하지 않는 경우에는 InstallAnywhere 제거 프로그램을 사용하여 해당 프로그램을 제거합니다.

PasswordSync 설치

이 절차에서는 PasswordSync 구성 응용 프로그램을 설치, 구성 및 제거하는 방법에 대한 지침을 제공합니다.

Identity Manager 설치 미디어에서 pwsync\IdmPwSync.msi 아이콘을 누릅니다. 시작 창이 표시됩니다.

설치 마법사는 다음과 같은 이동 버튼을 제공합니다.

Cancel: 언제든지 변경 사항을 저장하지 않고 마법사를 종료하려는 경우 누릅니다.

Back: 이전 대화 상자로 돌아가려는 경우 누릅니다.

Next: 다음 대화 상자로 계속 진행하려는 경우 누릅니다.

시작 화면에서 제공하는 내용을 읽고 Next를 눌러 Choose Setup Type PasswordSync Configuration 창을 표시합니다.
PasswordSync 설치

Typical 또는 Complete를 눌러 전체 PasswordSync 패키지를 설치하거나 Custom을 눌러 설치할 패키지 부분을 직접 선택합니다.

Install을 눌러 제품을 설치합니다. PasswordSync가 정상적으로 설치되면 다음 창이 표시됩니다.

Finish를 눌러 설치 프로세스를 완료합니다. Password Sync 구성을 시작하려면 Launch Configuration Application을 선택해야 합니다. 이 프로세스에 대한 자세한 내용은 PasswordSync 구성을 참조하십시오.

다음 표에는 각 도메인 제어기에 설치된 파일이 나와 있습니다.

설치된 구성 요소	설명
%$INSTALL_DIR$%\configure.exe	PasswordSync 구성 프로그램
%$INSTALL_DIR$%\configure.exe.manifest	구성 프로그램용 데이터 파일
%$INSTALL_DIR$%\DotNetWrapper.dll	.NET SOAP 통신 처리 DLL
%$INSTALL_DIR$%\passwordsyncmsgs.dll	PasswordSync 메시지 처리 DLL
%SYSTEMROOT%\SYSTEM32\lhpwic.dll	비밀번호 알림 DLL. 이 DLL은 Windows PasswordChangeNotify() 기능을 구현합니다.

PasswordSync 구성

설치 프로그램에서 구성 응용 프로그램을 실행할 경우 응용 프로그램에 구성 화면이 마법사로 표시됩니다. 마법사를 완료한 후 다음부터는 PasswordSync 구성 응용 프로그램을 실행하면 탭을 선택하여 화면 사이를 이동할 수 있습니다.

PasswordSync 구성 응용 프로그램을 아직 실행하지 않은 경우 해당 응용 프로그램을 시작합니다. 기본적으로 구성 응용 프로그램은 프로그램 파일 -> Sun Java System Identity Manager PasswordSync -> Configuration에 설치됩니다.

다음 대화 상자가 나타납니다.

서버 구성 대화 상자

그림 1. 서버 구성 대화 상자

필요한 경우 필드를 편집합니다.

Server는 Identity Manager가 설치된 응용 프로그램 서버의 정규화된 호스트 이름 또는 IP 주소로 대체해야 합니다.

Protocol은 Identity Manager에 안전하게 연결되는지 여부를 나타냅니다. HTTP를 선택하면 기본 포트가 80이고 HTTPS를 선택하면 기본 포트가 443입니다.

Path는 응용 프로그램 서버에서 Identity Manager의 경로를 지정합니다.

URL은 다른 필드와 연관되어 자동으로 생성됩니다. 이 값은 URL 필드에서 편집할 수 없습니다.

Next를 눌러 프록시 서버 구성 페이지를 표시합니다.

Proxy Server 대화 상자

그림 2. Proxy Server 대화 상자

필요한 경우 필드를 편집합니다.

프록시 서버가 필요한 경우 Enable을 선택합니다.

Server는 프록시 서버의 정규화된 호스트 이름 또는 IP 주소로 대체해야 합니다.

Port: 서버에 대해 사용 가능한 포트 번호를 지정합니다.
(기본 프록시 포트는 8080이며 기본 HTTPS 포트는 443입니다.)

Next를 눌러 JMS 설정 대화 상자를 표시합니다.

JMS 설정 대화 상자

그림 3. JMS 설정 대화 상자

필요한 경우 필드를 편집합니다.

User는 대기열에 새 메시지를 배치하는 JMS 사용자 이름을 지정합니다.

Password 및 Confirm은 JMS 사용자의 비밀번호를 지정합니다.

Connection Factory는 사용할 JMS 연결 팩토리 이름을 지정합니다. 이 팩토리는 이미 JMS 시스템에 있습니다.

대부분의 경우 Session Type은 로컬 세션 트랜잭션이 사용됨을 나타내는 LOCAL로 설정해야 합니다. 이 세션은 각 메시지가 수신된 후에 완결됩니다. 이 값 외에 AUTO, CLIENT 및 DUPS_OK를 사용할 수 있습니다.

Queue Name은 비밀번호 동기화 이벤트의 대상을 지정합니다.

Next를 눌러 JMS 등록 정보 대화 상자를 표시합니다.

JMS 등록 정보 대화 상자

그림 4. JMS 등록 정보 대화 상자

JMS 등록 정보 대화 상자에서 초기 JNDI 컨텍스트를 빌드하는 데 사용할 등록 정보 집합을 정의할 수 있습니다. 다음 이름/값 쌍을 정의해야 합니다.

java.naming.provider.url - 이 값은 JNDI 서비스를 실행하는 시스템의 URI로 설정해야 합니다.

java.naming.factory.initial - 이 값은 JNDI 서비스 공급자용 초기 컨텍스트 팩토리의 클래스 이름(패키지 포함)으로 설정해야 합니다.

Name 풀다운 메뉴에는 java.naming 패키지의 클래스 목록이 포함됩니다. 클래스 이름에서 클래스 또는 유형을 선택한 다음 해당 값을 Value 필드에 입력합니다.

Next를 눌러 전자 메일 대화 상자를 표시합니다.

전자 메일 대화 상자에서는 통신 오류 또는 Identity Manager 외부의 기타 오류로 인해 사용자의 비밀번호 변경이 정상적으로 동기화되지 않은 경우 전자 메일 알림을 보낼지 여부를 구성할 수 있습니다.

전자 메일 대화 상자

그림 5. 전자 메일 대화 상자

필요한 경우 필드를 편집합니다.

이 기능을 사용하려면 Enable Email을 선택합니다. 사용자에게 알림을 보내려면 Email End User를 선택합니다. 이 옵션을 선택하지 않으면 관리자만 알림을 받습니다.

SMTP Server는 실패 알림을 보낼 때 사용할 SMTP 서버의 정규화된 이름 또는 IP 주소입니다.

Administrator Email Address는 알림을 보내는 데 사용되는 전자 메일 주소입니다.

Sender's Name은 보낸 사람의 "친숙한 이름"입니다.

Sender's Address는 보낸 사람의 전자 메일 주소입니다.

Message Subject에는 모든 알림의 제목줄을 지정합니다.

Message Body에는 알림의 텍스트를 지정합니다.

메시지 본문에는 다음 변수가 포함됩니다.

$(accountId) — 암호 변경을 시도하는 사용자의 계정 아이디입니다.

$(sourceEndpoint) — 비밀번호 알림 표시자가 설치된 도메인 제어기의 호스트 이름으로, 이를 통해 문제가 발생한 시스템을 쉽게 찾을 수 있습니다.

$(errorMessage) — 발생한 오류에 대해 설명하는 오류 메시지입니다.

Finish를 눌러 변경 사항을 저장합니다.

구성 응용 프로그램을 다시 실행하면 마법사 대신 일련의 탭이 표시됩니다. 응용 프로그램을 마법사로 표시하려면 명령줄에 다음 명령을 입력합니다.

PasswordSync 디버깅

이 절에서는 PasswordSync에 발생한 문제를 진단하는 데 필요한 정보를 찾는 방법 및 구성 도구를 사용하여 추적을 활성화하는 방법에 대해 자세히 설명합니다. PasswordSync를 디버깅하거나 구성 도구에서 구현할 수 없는 기능을 활성화하는 데 필요한 레지스트리 키 목록도 나와 있습니다.

오류 로그

PasswordSync는 모든 오류를 Windows Event Viewer에 기록합니다. 오류 로그 항목의 소스 이름은 PasswordSync입니다.

추적 로그

구성 도구를 처음 실행한 경우에는 마법사에 추적 구성 패널이 표시되지 않습니다. 그러나 다음 번부터 도구를 실행하면 Trace 탭이 표시됩니다.

Trace Level 필드는 PasswordSync가 추적 로그에 기록할 때 제공할 세부 정보의 수준을 지정합니다. 값이 0이면 추적 기능이 꺼지고 값이 4이면 최대 세부 정보를 제공합니다.

추적 파일 크기가 Max File Size(MB) 필드에 지정된 값을 초과하면 PasswordSync는 해당 파일을 기본 이름에 .bk 확장자를 추가하여 처리합니다. 예를 들어 추적 파일을 C:\logs\pwicsvc.log로 설정하고 추적 수준을 100MB로 설정한 경우에 추적 파일이 100MB를 초과하면 PasswordSync는 파일 이름을 C:\logs\pwicsvc.log.bk로 변경하고 새 데이터를 새 C:\logs\pwicsvc.log 파일에 기록합니다.

레지스트리 키

다음 표에 나와 있는 레지스트리 키 목록은 Windows 레지스트리 편집기를 사용하여 편집할 수 있습니다. 키는 HKEY_LOCAL_MACHINE\SOFTWARE\Waveset\Lighthouse\PasswordSync 키에 있습니다. 다른 키는 이 위치에 있지만 구성 도구를 사용하여 편집할 수 있습니다.


키 이름	유형	설명
allowInvalidCerts	REG_DWORD	값을 1로 설정하면 .NET 클라이언트에 다음 플래그가 설정됩니다. SECURITY_FLAG_IGNORE_UNKNOWN_CA INTERNET_FLAG_IGNORE_CERT_CN_INVALID INTERNET_FLAG_IGNORE_CERT_DATE_INVALID 결과적으로 클라이언트는 만료되었거나 CN 또는 호스트 이름이 잘못된 인증서를 허용하게 됩니다. 이 키는 SSL을 사용하고 있는 경우에만 적용됩니다. 인증서 대부분이 잘못된 인증 기관(CA)에서 발급되는 테스트 환경에서 디버깅할 경우에 이 설정이 유용합니다. 기본값은 0입니다.
clientConnectionFlags	REG_DWORD	.NET SOAP 클라이언트에 전달할 선택적 연결 플래그입니다. 기본값은 0입니다.
clientSecurityFlags	REG_DWORD	.NET SOAP 클라이언트에 전달할 수 있는 선택적 보안 플래그입니다. 기본값은 0입니다.
installdir	REG_SZ	PasswordSync 응용 프로그램이 설치된 디렉토리입니다.
soapClientTimeout	REG_DWORD	SOAP 클라이언트에서 Identity Manager 서버와 통신할 때 실패하기 전의 제한 시간(밀리초)입니다.

PasswordSync 제거

PasswordSync 응용 프로그램을 제거하려면 Windows 제어판으로 이동하여 프로그램 추가/제거를 선택합니다. 그런 다음 Sun Java System Identity Manager PasswordSync를 선택하고 제거를 누릅니다.

PasswordSync 배포

PasswordSync를 배포하려면 Identity Manager에서 다음 작업을 수행해야 합니다.

JMS Listener 어댑터 구성

사용자 비밀번호 동기화 작업 흐름 구현

알림 설정

JMS Listener 어댑터 구성

도메인 제어기에서 메시지를 대기열에 간접적으로 배치하면 해당 메시지를 허용하도록 자원 어댑터를 구성해야 합니다. JMS Listener 자원 어댑터를 만들어서 대기열과 통신하도록 구성해야 합니다. 이 어댑터 설정에 대한 자세한 내용은 Identity Manager Resources Reference를 참조하십시오.

대상 유형 — 이 값은 일반적으로 대기열로 설정됩니다. 하나의 가입자에 잠재적으로 여러 게시자가 있으므로 항목은 일반적으로 상대적이지 않습니다.

초기 컨텍스트 JNDI 등록 정보 — 이 입력란은 초기 JNDI 컨텍스트를 빌드하는 데 사용되는 등록 정보 집합을 정의합니다. 다음 이름/값 쌍을 정의해야 합니다.

java.naming.provider.url — 이 값은 JNDI 서비스를 실행하는 시스템의 URI로 설정해야 합니다.

java.naming.factory.initial — 이 값은 JNDI 서비스 공급자용 초기 컨텍스트 팩토리의 클래스 이름(패키지 포함)으로 설정해야 합니다.

추가 등록 정보를 정의해야 할 수 있습니다. 등록 정보 및 값 목록은 구성 응용 프로그램의 JMS 설정 페이지에 지정된 등록 정보 및 값과 일치해야 합니다.

연결 팩토리의 JNDI 이름 — JMS 서버에 정의된 연결 팩토리 이름입니다.

사용자 및 비밀번호 — 대기열에서 새 이벤트를 요청하는 관리자의 계정 이름 및 비밀번호입니다.

신뢰할 수 있는 메시징 지원 — LOCAL(로컬 트랜잭션)을 선택합니다. 다른 옵션은 비밀번호 동기화에 적용할 수 없습니다.

메시징 매핑 — java:com.waveset.adapter.jms.
PasswordSyncMessageMapper를 입력합니다. 이 클래스는 JMS 서버의 메시지를 사용자 비밀번호 동기화 작업 흐름에서 사용할 수 있는 형식으로 변환합니다.

사용자 비밀번호 동기화 작업 흐름 구현

기본 사용자 비밀번호 동기화 작업 흐름은 JMS Listener 어댑터에서 들어오는 각 요청을 수신하고 체크아웃한 다음 다시 ChangeUserPassword 뷰어로 체크인합니다. 체크인이 완료되면 작업 흐름은 모든 자원 계정을 반복하고 소스 자원을 제외한 모든 자원을 선택합니다. Identity Manager는 모든 자원에 대해 비밀번호 변경이 정상적으로 처리되었는지 여부를 전자 메일을 통해 사용자에게 알립니다.

사용자 비밀번호 동기화 작업 흐름의 기본 구현을 사용하려면 해당 구현을 JMS Listener 어댑터 인스턴스에 대한 프로세스 규칙으로 지정합니다. 프로세스 규칙은 어댑터용 Active Sync 마법사에서 지정할 수 있습니다.

기본 사용자 비밀 변경 동기화 작업 흐름을 수정하려면 $WSHOME/sample/wfpwsync.xml 파일을 복사하고 수정합니다. 그런 다음 수정된 작업 흐름을 Identity Manager로 가져옵니다.

비밀번호 변경 시 엔티티에 알릴지 여부

Identity Manager 계정을 찾을 수 없는 경우 발생할 이벤트

작업 흐름에서 자원을 선택하는 방법

Identity Manager 에서 비밀번호 변경을 허용할지 여부

작업 흐름 사용에 대한 자세한 내용은 Identity Manager 작업 흐름, 양식 및 보기를 참조하십시오.

알림 설정

Identity Manager는 비밀번호 동기화 알림 및 비밀번호 동기화 실패 알림 전자 메일 서식 파일을 제공합니다. 이러한 서식 파일은 여러 자원에 대한 비밀번호 변경 시도가 정상적으로 처리되었는지 여부를 사용자에게 알립니다.

사용자가 추가 지원이 필요할 경우 수행해야 할 작업에 대한 회사별 정보를 제공하려면 두 서식 파일을 모두 업데이트해야 합니다. 자세한 내용은 구성 장의 전자 메일 서식 파일의 이해를 참조하십시오.

PasswordSync에 대해 자주 묻는 질문(FAQ)

PasswordSync를 사용자 정의 비밀번호 정책을 실행하는 데 사용되는 다른 Windows 비밀번호 필터와 함께 사용할 수 있습니까?

그렇습니다. PasswordSync를 다른 _WINDOWS_ password 필터와 함께 사용할 수 있습니다. 그러나 이 필터는 알림 패키지 레지스트리 값에 나열된 마지막 비밀번호 필터여야 합니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages(REG_MULTI_SZ 유형의 값)

기본적으로 설치 프로그램은 목록의 끝에 Identity Manager 비밀번호 가로채기를 배치하지만 설치 후에 사용자 정의 비밀번호 필터를 설치하면 lhpwic를 알림 패키지 목록의 끝으로 이동해야 합니다.

PasswordSync를 다른 Identity Manager 비밀번호 정책과 함께 사용할 수 있습니다. Identity Manager 서버측에서 정책이 확인되면 비밀번호 동기화를 다른 자원으로 보내기 위해 모든 자원 비밀번호 정책이 전달되어야 합니다. 따라서 Windows 기본 비밀번호 정책을 Identity Manager에 정의된 가장 제한적인 비밀번호 정책만큼 제한적으로 만들어야 합니다.

Identity Manager와 다른 응용 프로그램 서버에 PasswordSync 서블릿을 설치할 수 있습니까?

그렇습니다. PasswordSync 서블릿에는 spml.jar 및 idmcommon.jar JAR 파일은 물론 JMS 응용 프로그램에 필요한 모든 JAR 파일이 있어야 합니다.

PasswordSync 서비스는 비밀번호를 lh 서버에 일반 텍스트로 보냅니까?

SSL을 통해 PasswordSync를 실행하는 것이 좋지만 모든 중요한 데이터는 Identity Manager 서버에 보내기 전에 암호화됩니다.

경우에 따라 비밀번호 변경으로 인해 com.waveset.exception.ItemNotLocked가 발생합니까?

PasswordSync를 사용하면 비밀번호 변경으로 인해 자원의 비밀번호가 변경되어 해당 자원이 Identity Manager에 연결하게 됩니다.

passwordSyncThreshold 작업 흐름 변수를 제대로 구성하면 Identity Manager는 사용자 객체를 검사하여 이미 비밀번호 변경을 처리했는지 결정합니다. 그러나 사용자나 관리자가 동일한 사용자에 대해 동시에 다른 비밀번호 변경을 수행하면 사용자 객체가 잠길 수 있습니다.

이전 목차 다음
Sun Java System Identity Manager 2005Q4M3 관리