LDAP 인증 속성

LDAP 인증 속성은 조직 속성입니다. 서비스 구성에서 이러한 속성에 적용되는 값이 LDAP 인증 템플리트의 기본값이 됩니다. 조직의 서비스를 등록한 후 서비스 템플리트를 만들어야 합니다. 기본값은 조직의 관리자가 등록 후 변경할 수 있습니다. 조직의 항목은 조직 속성을 상속하지 않습니다. LDAP 인증 속성은 다음과 같습니다.

주 LDAP 서버 및 포트

이 필드는 Identity Server 설치 도중 지정된 주 LDAP 서버의 호스트 이름과 포트 번호를 지정합니다. 이 LDAP 서버는 LDAP 인증을 위해 연결되는 첫 번째 서버입니다. 형식은 hostname:port입니다. (포트 번호가 없을 경우 포트 번호를 389라고 가정합니다.)

Identity Server를 여러 도메인으로 배포한 경우 Identity Server의 특정 인스턴스와 Directory Server의 특정 인스턴스 간의 통신 링크를 다음 형식으로 지정할 수 있습니다(여러 항목에서 로컬 서버 이름을 접두어로 사용해야 함).

예를 들어, Identity Server의 서로 다른 인스턴스(L1-machine1-DS 및 L2-machine2-DS)와 통신하는 두 Identity Server를 서로 다른 위치(L1-machine1-IS 및 L2- machine2-IS)에 배포한 경우 형식은 다음과 같습니다.

L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389

보조 LDAP 서버 및 포트

이 필드는 Identity Server 플랫폼에 사용할 수 있는 보조 LDAP 서버의 호스트 이름과 포트 번호를 지정합니다. 주 LDAP 서버가 인증 요청에 응답하지 않을 경우 이 서버에 연결됩니다. 주 서버가 실행 중인 경우 Identity Server는 주 서버로 다시 전환합니다. 형식은 hostname:port입니다. 여러 항목이 있을 경우 로컬 서버 이름을 접두어로 지정해야 합니다.



주의	Identity Server 엔터프라이즈와 떨어져 있는 원격 Directory Server에서 사용자를 인증하는 경우 주 LDAP 서버 포트와 보조 LDAP 서버 포트 모두에 값이 있어야 합니다. 하나의 Directory Server 위치에 대한 값을 두 필드 모두에 사용할 수 있습니다.

사용자 검색을 시작할 DN

이 필드는 사용자 검색이 시작되는 노드의 DN을 지정합니다. (성능상의 이유 때문에 이 DN은 가능한 구체적이어야 합니다.) 기본값은 디렉토리 트리의 루트입니다. 유효한 모든 DN이 인식됩니다. 여러 항목이 있을 경우 로컬 서버 이름을 접두어로 지정해야 합니다. 형식은 다음과 같습니다.

동일한 검색에서 여러 사용자가 발견될 경우 인증은 실패합니다.

루트 사용자 바인드용 DN

이 필드는 관리자로서 주 LDAP 서버 및 포트 필드에 지정된 Directory Server에 바인딩하는 데 사용되는 사용자의 DN을 지정합니다. 사용자 로그인 아이디에 기초하여 일치하는 사용자 DN을 검색하려면 인증 서비스가 이 DN으로 바인드되어야 합니다. 기본값은 amldapuser입니다. 유효한 모든 DN이 인식됩니다.

비밀번호가 잘못된 경우 사용자가 잠기기 때문에 로그아웃하기 전에 비밀번호가 올바른지 확인합니다. 사용자가 잠길 경우에는 AMConfig.Properties 파일의 com.iplanet.authentication.super.user 등록 정보에 있는 수퍼유저 DN을 사용하여 로그인할 수 있습니다. 기본적으로 전체 DN을 사용하더라도 이 amAdmin 계정을 사용하여 로그인하게 됩니다. 예를 들면 다음과 같습니다.

루트 사용자 바인드용 비밀번호

이 필드는 루트 사용자 바인드용 DN 필드에 지정된 관리자 프로필의 비밀번호를 포함합니다. 기본값은 없습니다. 관리자의 유효한 LDAP 비밀번호만 인식됩니다.

루트 사용자 바인드용 비밀번호(확인)

아이디 지정 속성

사용자별로 인증이 성공한 후 사용자의 프로필이 검색됩니다. 이 속성의 값은 검색을 수행하는 데 사용됩니다. 이 필드는 사용할 LDAP 속성을 지정합니다. 기본적으로 Identity Server는 사용자 항목이 uid 속성에 의해 식별된다고 가정합니다. Directory Server가 다른 속성(예: givenname)을 사용할 경우 이 필드에 속성 이름을 지정합니다.



주	시용자 검색 필터는 검색 필터 속성과 사용자 항목 이름 지정 속성을 결합한 것이 됩니다.

사용자 항목 검색 속성

이 필드는 인증될 사용자에 대한 검색 필터를 구성하는 데 사용되는 속성을 나열하며 사용자가 사용자 항목의 여러 속성으로 인증될 수 있게 합니다. 예를 들어, 이 필드를 uid, employeenumber 및 mail로 설정한 경우 이러한 이름 중 하나로 사용자가 인증될 수 있습니다.

사용자 검색 필터

이 필드는 사용자 검색을 시작할 DN 필드에서 사용자를 찾는 데 사용될 속성을 지정하며 사용자 항목 이름 지정 속성과 함께 작동합니다. 기본값은 없습니다. 유효한 모든 사용자 항목 속성이 인식됩니다.

검색 범위

이 메뉴는 일치하는 사용자 프로필을 검색할 Directory Server의 수준 수를 나타냅니다. 검색은 "사용자 검색을 시작할 DN" 속성에 지정된 노드에서 시작됩니다. 기본값은 하위 트리입니다. 다음 항목 중 하나를 목록에서 선택할 수 있습니다.

객체 - 지정된 노드만 검색합니다.

한 수준 - 지정된 노드 수준과 한 수준 아래에서 검색합니다.

하위 트리 - 지정된 노드와 그 아래 수준에 있는 모든 항목을 검색합니다.



주의	하위 조직의 사용자는 하위 조직이 비활성 상태인 경우에도 로그인할 수 있습니다. 이렇게 하지 못하도록 하려면 검색 범위와 기본 DN이 해당 사용자가 속하는 특정 조직으로 설정해야 합니다.

LDAP 서버에 SSL 사용

이 옵션은 주 및 보조 LDAP 서버 및 포트 필드에 지정된 Directory Server에 대한 SSL 액세스를 사용 가능하게 합니다. 기본적으로 이 옵션은 사용 불가하므로 Directory Server에 액세스하는 데 SSL 프로토콜이 사용되지 않습니다. 그러나 이 속성이 사용 가능한 경우 비 SSL 서버에 바인드할 수 있습니다.

인증에 사용자 DN 반환

Identity Server 디렉토리가 LDAP용으로 구성된 디렉토리와 동일한 경우 이 옵션을 사용 가능하게 할 수 있습니다. 이 옵션을 사용 가능하게 한 경우 LDAP 인증 모듈은 userId 대신 DN을 반환할 수 있으며 검색이 필요하지 않습니다. 일반적으로 인증 모듈은 userId만 반환하며 인증 서비스는 로컬 Identity Server LDAP에서 사용자를 검색합니다. 외부 LDAP 디렉토리가 사용될 경우 일반적으로 이 옵션은 사용 가능하지 않습니다.

LDAP 서버 확인 간격

이 속성은 LDAP 서버 페일백에 사용됩니다. 이 속성은 LDAP 주 서버가 실행 중인지 확인하기 전에 스레드가 "일시 정지"되는 시간(초)을 정의합니다.

사용자 작성 속성 목록

이 속성은 LDAP 서버가 외부 LDAP 서버로 구성된 경우에 LDAP 인증 모듈에서 사용됩니다. 이 속성은 로컬 Directory Server와 외부 Directory Server 간의 속성 매핑을 포함합니다. 이 속성의 형식은 다음과 같습니다.

이 속성을 채우면 외부 Directory Server에서 외부 속성 값을 읽은 다음 내부 Directory Server 속성 값을 설정합니다. 외부 속성 값은 사용자 프로필 속성(핵심 인증 모듈에 있음)이 "동적으로 작성"으로 설정되고 사용자가 로컬 Directory Server 인스턴스에 없는 경우에만 내부 속성에 설정됩니다. 새로 작성된 사용자는 사용자 작성 속성 목록에 지정된 대로 매핑되는 외부 속성 값이 있는 내부 속성 값을 포함합니다.

인증 수준

인증 수준은 각 인증 방법에 대해 별도로 설정됩니다. 이 값은 인증을 어느 정도 신뢰할 수 있는지 나타냅니다. 사용자가 인증되고 나면 해당 세션의 SSO 토큰에 이 값이 저장됩니다. 사용자가 액세스하려는 응용 프로그램에 이 SSO 토큰이 제공되면 응용 프로그램은 저장된 값을 사용하여 해당 수준이 사용자에게 액세스를 허가할 만큼 충분한지 여부를 확인합니다. SSO 토큰에 저장된 인증 수준이 필요한 최소값을 충족하지 않을 경우 응용 프로그램은 더 높은 인증 수준을 가진 서비스를 통해 다시 인증을 받으라는 메시지를 사용자에게 표시할 수 있습니다. 기본값은 0입니다.



주	지정된 인증 수준이 없을 경우 SSO 토큰은 핵심 인증 속성인 기본 인증 수준에 지정된 값을 저장합니다. 자세한 내용은 "기본 인증 수준"을 참조하십시오.

21장 LDAP 인증 속성