부록 C OpenLDAP 및 Active Directory를 Configuration Manager와 함께 사용

OpenLDAP 서버를 Configuration Manager와 함께 사용

OpenLDAP 서버를 Configuration Manager 데이터를 위한 저장소로 사용하려면, 구성 데이터를 저장하는 데 사용되는 개체 클래스와 속성을 지원하도록 서버의 스키마를 확장해야 합니다. apoc.schema라는 사용자 정의 스키마 파일이 Java Desktop System Management Tools CD에 제공된 Configuration Manager 배포 도구의 openldap 하위 디렉토리에 있습니다.

OpenLDAP 구성 디렉토리(/etc/openldap)의 schema 하위 디렉토리에 이 파일을 복사하고 그 디렉토리에 있는 slapd.conf 파일에 포함시켜 OpenLDAP 스키마에 추가해야 합니다. 이렇게 하려면 그 파일에 있는 스키마 순서의 끝에 include /etc/openldap/schema/apoc.schema라는 행을 삽입하면 됩니다. OpenLDAP 서버의 스키마 확장에 대한 자세한 내용은 서버의 설명서를 참조하십시오.

OpenLDAP 데이터베이스가 구성 데이터를 저장하도록 준비하려면 Configuration Manager와 함께 제공된 배포 도구를 사용해야 합니다. 이전 설치 단계에서 이미 확장된 스키마의 경우 createServiceTree 스크립트만 실행하면 됩니다. 이 스크립트는 누구든지 배포 도구 디렉토리에서 다음 명령을 사용하여 시작해야 합니다. ./createServiceTree. 스크립트는 이 문서의 배포 도구 절에서 설명한 대로 사용자에게 OpenLDAP 데이터베이스에 대한 정보를 표시합니다. OpenLDAP에 포함된 일반적인 개체 클래스 및 속성을 사용하는 기본 매핑 파일은 배포 도구의 openldap 하위 디렉토리에 있습니다. 이 파일은 OrganisationalMapping이라고 하며 createServiceTree를 실행하기 전에 주 배포 도구 디렉토리에 있는 동일한 이름의 파일을 덮어써서 배포할 수 있습니다.

Configuration Manager Agent에서는 데이터가 필요한 사용자의 DN을 제공하되 암호는 제공하지 않음으로써 익명으로 OpenLDAP 서버에 연결합니다. 일부 OpenLDAP 서버 릴리스에서는 이러한 익명 인증 모드를 사용하지 않도록 기본적으로 설정되어 있습니다. 이 경우에는 OpenLDAP 구성 디렉토리(/etc/openldap)에 있는 slapd.conf 파일에 정의된 공통 서버 매개 변수에 allow bind_anon_cred 행을 추가하여 사용할 수 있도록 설정해야 합니다. 해당 매핑에 대한 자세한 내용은 서버의 설명서를 참조하십시오.

Active Directory 서버를 Configuration Manager와 함께 사용

Active Directory 서버를 Configuration Manager 데이터를 위한 저장소로 사용하려면, 구성 데이터를 저장하는 데 사용되는 개체 클래스와 속성을 지원하도록 서버의 스키마를 확장해야 합니다. apoc-ad.ldf라는 스키마 확장 파일이 Management Tools CD에 제공된 Configuration Manager 배포 도구의 ad 하위 디렉토리에 있습니다. 자세한 내용은 배포 도구 절을 참조하십시오.

다음 단계를 따라 apoc-ad.ldf 파일을 Active Directory 스키마로 가져와야 합니다.

1. 스키마 확장을 활성화합니다. 해당 작업을 수행하는 방법에 대한 자세한 내용은 Active Directory 설명서를 참조하십시오.

2. 명령 프롬프트에서 다음을 실행합니다. ldifde -i -c "DC=Sun,DC=COM" <BaseDN> -f apoc-ad-registry.ldf.

   ---

   주 –

   <BaseDN>을 Active Directory 기본 DN으로 바꿉니다.

   ---

Active Directory 서버가 구성 데이터를 저장하도록 준비하려면 배포 도구를 사용해야 합니다. 이전 설치 단계에서 이미 확장된 스키마의 경우 createServiceTree 스크립트만 실행하면 됩니다. 이 스크립트는 누구든지 배포 도구 디렉토리에서 다음 명령을 사용하여 시작해야 합니다. ./createServiceTree. 스크립트는 사용자에게 Active Directory 데이터베이스에 대한 정보를 표시합니다. Active Directory에 포함된 일반적인 개체 클래스 및 속성을 사용하는 기본 매핑 파일은 배포 도구 디렉토리의 ad 하위 디렉토리에 있습니다. 파일의 이름은 OrganisationalMapping이며 createServiceTree를 시작하기 전에 이 파일을 배포 도구 디렉토리에 있는 같은 이름의 파일에 복사하여 배포할 수 있습니다.

이 시점부터 Active Directory 서버를 Configuration Manager와 함께 사용할 수 있습니다. Configuration Manager를 설치할 때 트리에 대한 읽기 권한이 있는 사용자의 전체 DN과 암호를 제공하십시오. 이 사용자는 다른 목적으로는 Active Directory를 사용할 수 없는 사용자일 수 있습니다. 해당 사용자를 설정하는 방법에 대한 자세한 내용은 Active Directory 설명서를 참조하십시오. 또한 Configuration Manager를 실행하는 시스템에서 Active Directory의 도메인 이름을 알고 있어야 합니다. 이렇게 하려면 Active Directory 서버의 IP 주소를 도메인 이름과 함께 그 시스템의 /etc/hosts 파일로 매핑하는 행을 추가하면 됩니다.

Java Desktop System 호스트에서 구성 데이터를 검색하려면 해당 호스트에서도 Active Directory의 도메인 이름을 알고 있어야 합니다. Java Desktop System 사용자 인증은 익명과 GSSAPI 사용의 두 가지 방법으로수행할 수 있습니다.

• 익명 연결을 사용하여 인증하려면 Active Directory 서버가 모든 사람에게 읽기 권한을 부여하도록 구성되어야 합니다. 해당 작업을 수행하는 방법에 대한 자세한 내용은 Active Directory 설명서를 참조하십시오.

• GSSAPI를 사용하여 인증하려면 커버로스 매개 변수를 지정하는 /etc/krb5.conf 파일을 수정하여 Active Directory 영역을 정의하고 Active Directory 서버를 KDC(Key Distribution Center)로 가리키도록 해야 합니다. 또한 기본 암호화 유형으로 Active Directory가 지원하는 DES 유형, 즉 des-cbc-crc 및 des-cbc-md5를 지정해야 합니다. 해당 작업을 수행하는 방법에 대한 자세한 내용은 커버로스 설명서를 참조하십시오. 구성 데이터에 액세스하기 전에 Java Desktop System에 로그인한 사용자에 대한 유효한 자격 증명을 획득해야 합니다. 이 작업은 kinit 명령을 실행하고 Active Directory에 정의된 사용자 암호를 제공하여 수동으로 수행할 수 있습니다. 다른 스키마는 로그인 시 자동으로 이러한 자격 증명을 생성할 수 있습니다. 자세한 내용은 Java Desktop System 설명서를 참조하십시오.