부록 A Directory Proxy Server 결정 기능

이 부록에서는 Directory Proxy Server의 일부 특정 기능에 대한 제어 흐름을 설명합니다. 이 부록은 다음 내용으로 구성되어 있습니다.

연결에 대한 그룹 설정

클라이언트가 Directory Proxy Server에 연결할 때 일치 항목을 찾을 때까지 ids-proxy-sch-NetworkGroup 객체 항목에서 ids-proxy-con-Client 속성을 검사합니다. ids-proxy-sch-NetworkGroup 객체는 ids-proxy-con-priority 속성에 정의된 우선 순위가 가장 높은 객체부터 우선 순위가 가장 낮은 객체까지 순서대로 검색됩니다. Directory Proxy Server는 ids-proxy-con-client 속성이 클라이언트의 IP 주소와 일치하는 첫 번째 그룹에 클라이언트를 넣습니다. 일치하는 그룹이 없는 경우 연결이 닫힙니다.

바인드할 때 그룹 변경

클라이언트는 처음에 연결될 때 IP 주소를 기반으로 그룹에 배치됩니다. 디렉토리에 바인드될 때 다른 액세스 제어를 사용하여 클라이언트를 다른 그룹으로 이동할 수 있습니다. 그렇게 하려면 초기 그룹 객체에 성공적인 바인드 작업을 평가하는 규칙 객체가 포함되어 있어야 합니다. 규칙에서 TRUE로 평가되면 그룹 변경 작업을 수행하여 클라이언트를 다른 위치로 이동합니다. 그림 A-1에 이 기능이 설명되어 있습니다.

바인드할 때 그룹 변경 구성

다음 단계에서는 단순 바인드 인증 메커니즘을 사용하여 “cn=Directory Manager”를 성공적으로 바인드될 때 그룹을 변경하도록 Directory Proxy Server를 구성하는 방법에 대해 설명합니다.

바인드할 때 그룹 변경을 구성하려면

성공적으로 바인드될 경우 사용자 cn="Directory Manager"가 이동할 새 네트워크 그룹을 만듭니다. 보다 자세한 내용은 그룹 만들기를 참조하십시오. 그룹을 변경하여 사용자가 이 그룹에만 속할 수 있는 경우 네트워크 그룹 패널의 네트워크 탭에서 "IP 바인드 없음"을 설정합니다. 또한, 이 그룹이 일부 IP 바인딩이 허용되는 모든 다른 네트워크 그룹의 뒤에 오게 해야 합니다.

새 "그룹 변경" 작업 만들기. 보다 자세한 내용은 작업 객체 만들기를 참조하십시오. 설정이 단계 1에서 만든 그룹 이름으로 변경됩니다. "if DN matches"를 "cn=Directory Manager"로 설정합니다. 또한, 모든 다른 그룹(예: ".*")에 대해 "없음"
(그룹 변경 안 함)을 설정할 수 있습니다.

바인드 이벤트 만들기. 보다 자세한 내용은 이벤트 객체 만들기를 참조하십시오. 태스크 탭에서 작업을 단계 2에서 만든 그룹 변경 작업으로 설정합니다. 조건 탭에서 "비밀번호 기반 바인드"를 선택합니다.

단계 1에서 만든 네트워크 그룹에 있는 이벤트 탭의 단계 3에서 만든 바인드 이벤트를 선택합니다. 보다 자세한 내용은 그룹 수정을 참조하십시오.

TLS를 설정할 때 그룹 변경

TLS 설정 시 그룹을 변경하는 방법은 바인드 메커니즘에서 그룹을 변경하는 방법과 비슷하지만 TLS 세션이 성공적으로 구성될 경우 클라이언트가 그룹을 변경할 수 있습니다. 클라이언트가 TLS를 구성하면 그룹 변경 작업이 수행되기 이전에 SSL 확립 규칙이 평가됩니다. 이 기능은 그림 A-2에 설명되어 있습니다.

고가용성 설정

여러 백엔드 디렉토리 서버를 구성한 경우 각 서버로 로드 균형을 조정하여 백엔드 서버 중 하나가 종료될 경우 다른 서버로 페일오버하도록 Directory Proxy Server를 설정할 수 있습니다. 그렇게 하려면 로드 균형 등록 정보(로드 균형 조정 등록 정보 참조)를 만들어 로드 균형을 조정할 그룹 객체에 포함시켜야 합니다. 또한 각 백엔드 서버에 대한 LDAP 서버 등록 정보(LDAP 서버 등록 정보 참조)를 만들어 로드 균형 등록 정보에 포함시켜야 합니다. 각 백엔드 서버가 로드 균형 등록 정보 객체에서 처리해야 하는 로드량을 총 로드에 대한 비율로 지정해야 합니다. 이 설정을 사용하여 Directory Proxy Server는 백엔드 서버 중 하나가 종료될 경우 각 백엔드 서버로 로드를 다시 배포합니다. 첫 번째 백엔드 서버가 종료할 경우 클라이언트를 다른 서버에 페일오버합니다. Directory Proxy Server는 LDAP 서버와의 네트워크 연결이 끊어지거나 LDAP 서버가 응답하지 않는 경우에도 페일오버됩니다.


주	클라이언트가 SASL 메커니즘을 사용하여 바운드된 경우에는 Directory Proxy Server가 페일오버될 수 없습니다.

참조

LDAPv2 클라이언트에 대한 참조를 따르도록 Directory Proxy Server를 설정할 수 있습니다. 백엔드 LDAP 디렉토리 서버는 참조를 보낼 수 있어야 합니다. 즉, LDAP v3 표준을 지원해야 합니다. Directory Proxy Server가 디렉토리 서버로부터 참조를 받도록 하려면 Directory Proxy Server와 백엔드 LDAP 서버 사이에서 LDAP v3을 사용하도록 구성합니다. 그런 다음 그룹 참조와 연속 참조 정책을 설정합니다.

이전 목차 색인 다음
Sun Java System Directory Proxy Server 5 2004Q2 관리 설명서