test

Sun Java System Web Proxy Server 4.0.8 관리 설명서

4장 사용자 및 그룹 관리

이 장에서 Proxy Server에 액세스할 수 있는 사용자 및 그룹을 추가, 삭제, 수정 및 관리하는 방법에 대해 설명합니다.

이 장은 다음 내용으로 구성되어 있습니다.

사용자 및 그룹에 대한 정보 액세스

Administration Server에서 사용자 계정, 그룹 목록, 액세스 권한, 조직 단위, 기타 사용자 및 그룹 특정 정보에 대한 응용 프로그램 데이터에 액세스할 수 있습니다.

사용자 및 그룹 정보는 텍스트 형식으로 보통 파일에 저장되거나 Sun Java System Directory Server와 같이 LDAP(Lightweight Directory Access Protocol)를 지원하는 디렉토리 서버에 저장됩니다. LDAP는 개방형 디렉토리 액세스 프로토콜로 TCP/IP(Transmission Control Protocol/Internet Protocol)에서 실행되며 전역적 규모의 수백만 항목을 수용하도록 확장될 수 있습니다.

디렉토리 서비스 설명

디렉토리 서비스를 통해 단일 소스에서 모든 사용자 정보를 관리할 수 있습니다. Proxy Server를 사용하여 세 가지 유형(LDAP, 키 파일 및 다이제스트 파일)의 디렉토리 서비스를 구성할 수 있습니다.

다른 디렉토리 서비스가 구성되지 않은 경우 디렉토리 서비스를 새로 만들면 해당 유형에 상관 없이 default 값으로 설정됩니다. 디렉토리 서비스를 만들면 server-root /userdb/dbswitch.conf 파일이 디렉토리 서비스 세부 정보를 포함하여 업데이트됩니다.

이 절에서는 LDAP, 키 파일 및 다이제스트 파일에 대한 디렉토리 서비스에 대해 설명합니다.

LDAP 디렉토리 서비스

LDAP 디렉토리 서비스에서 사용자 및 그룹 정보는 LDAP 기반 디렉토리 서버에 저장됩니다.

LDAP 서비스가 기본 서비스인 경우 dbswitch.conf 파일이 아래의 예와 같이 업데이트됩니다.

directory default ldap://test22.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcomdefault:binddn cn=Directory Managerdefault:encoded bindpw YWRtaW5hZG1pbg==

LDAP 서비스가 기본 서비스가 아닌 경우 dbswitch.conf 파일이 아래의 예와 같이 업데이트됩니다.

directory ldap ldap://test22.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcomldap:binddn cn=Directory Managerldap:encoded bindpw YWRtaW5hZG1pbg==

키 파일 디렉토리 서비스

키 파일은 해시 형식의 사용자 비밀번호와 사용자가 속한 그룹 목록이 포함된 텍스트 파일입니다. 키 파일 형식은 HTTP Basic 인증을 사용할 때만 사용할 수 있습니다. 이 인증 방법에 대한 자세한 내용은 사용자 및 그룹 지정을 참조하십시오.

키 파일 기반 데이터베이스를 만들면 dbswitch.conf 파일이 다음 예와 같이 업데이트됩니다.

directory keyfile filekeyfile:syntax keyfilekeyfile:keyfile D:\\test22\\keyfile\\keyfiledb

다이제스트 파일 디렉토리 서비스

다이제스트 파일은 암호화된 사용자 이름 및 비밀번호를 기반으로 사용자 및 그룹 정보를 저장합니다.

다이제스트 파일 형식은 HTTP Digest 인증뿐만 아니라 Basic 인증도 지원하기 때문에 두 가지 인증 방법 모두에 대해 사용할수 있습니다. 이 방법에 대한 자세한 내용은 사용자 및 그룹 지정을 참조하십시오.

다이제스트 기반 데이터베이스를 만들면 dbswitch.conf 파일이 다음 예와 같이 업데이트됩니다.

directory digest filedigest:syntax digestdigest:digestfile D:\\test22\\digest\\digestdb

주 –

분산 관리를 구성하려면 기본 디렉토리 서비스가 LDAP 기반 디렉토리 서비스여야 합니다.

디렉토리 서비스 구성

Administration Server의 Global Settings 탭에서 디렉토리 서비스를 만들고 구성합니다. 그런 다음 Administration Server의 Users and Groups 탭에서 사용자, 그룹 및 조직 단위를 만들고 관리합니다.

이 절에서는 디렉토리 서비스를 만들고 편집하는 방법에 대해 설명합니다.

Procedure디렉토리 서비스를 만드는 방법

  1. Administration Server에 액세스하고 Global Settings 탭을 누릅니다.

  2. Configure Directory Service 링크를 누릅니다.

  3. Create New Service of Type 드롭다운 목록에서 만들려는 디렉토리 서비스 유형을 선택하고 New를 누릅니다.

    해당 디렉토리 서비스의 구성 페이지가 나타납니다.

  4. 구성 정보를 입력한 다음 Save Changes를 누릅니다.

    특정 필드에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

    주 –

    다른 디렉토리 서비스가 구성되지 않은 경우 디렉토리 서비스를 새로 만들면 해당 유형에 상관 없이 default 값으로 설정됩니다.

Procedure디렉토리 서비스 편집 방법

  1. Administration Server에 액세스하고 Global Settings 탭을 누릅니다.

  2. Configure Directory Service 링크를 누릅니다.

  3. 편집할 디렉토리 서비스에 대한 링크를 누릅니다.

  4. 원하는 사항을 변경하고 Save Changes를 누릅니다.

    특정 필드에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

DN(Distinguished Name) 이해

Administration Server의 Users and Groups 탭은 사용자, 그룹 또는 조직 단위를 만들거나 수정할 때 사용합니다. 사용자는 회사 고용인 등의 LDAP 데이터베이스에 있는 개인입니다. 그룹은 공통 속성을 공유하는 둘 이상의 사용자입니다. 조직 단위는 회사 내의 하위 부서로, organizationalUnit 객체 클래스를 사용합니다. 사용자, 그룹 및 조직 단위는 이 장의 뒷 부분에서 자세히 설명합니다.

기업의 각 사용자와 그룹은 DN(고유 이름) 속성으로 구분됩니다. DN 속성은 연결된 사용자, 그룹 또는 객체에 대한 구분 정보가 있는 문자열입니다. 사용자 또는 그룹 디렉토리 항목을 변경할 때마다 DN을 사용합니다. 예를 들어, 디렉토리 항목을 만들거나 수정하고 액세스 제어 구성, 전자 메일이나 게시와 같이 응용 프로그램용 사용자 계정을 구성할 때 항상 DN 정보를 입력해야 합니다. Proxy Server의 Users and Groups 인터페이스는 DN을 만들거나 수정하는 데 사용됩니다.

다음의 예는 SunMicrosystems 직원의 일반적 DN입니다.

uid=doe,e=doe@sun.com,cn=John Doe,o=Sun Microsystems Inc.,c=US

이 예에서 사용된 약어의 의미는 다음과 같습니다.

DN은 다양한 이름-값 쌍을 포함할 수 있으며 LDAP를 지원하는 디렉토리의 인증서 주제와 항목을 식별하는 데 사용됩니다.

LDIF 사용

현재 디렉토리가 없거나 기존 디렉토리에 새 하위 트리를 추가하려는 경우 디렉토리 서버의 LDIF(Lightweight Directory Interchange Format) 가져오기 기능을 사용할 수 있습니다. 이 기능은 LDIF가 포함된 파일을 받아서 LDIF 항목에서 디렉토리를 구축하거나 새 하위 트리를 만듭니다. 또한 디렉토리 서버의 LDIF 내보내기 기능을 사용하여 현재 디렉토리를 LDIF로 내보낼 수 있습니다. 이 기능은 디렉토리에 대한 LDIF 형식 파일을 만듭니다. 사용 가능한 경우 ldapmodify 명령줄 유틸리티에 적절한 LDIF 업데이트문을 사용하여 항목을 추가하거나 편집할 수 있습니다.

LDIF를 사용하여 데이터베이스에 항목을 추가하려면 먼저 LDIF 파일에서 항목을 정의한 다음 디렉토리 서버에서 LDIF 파일을 가져옵니다.

사용자 생성

사용자 항목을 만들거나 수정하려면 Administration Server의 Users and Groups 탭을 사용합니다. 사용자 항목에는 데이터베이스의 개인 또는 객체에 대한 정보가 포함됩니다.

주 –

자원에 대한 사용자의 무단 액세스를 차단하여 서버 보안을 유지해야 합니다. Proxy Server는 ACL 기반 인증 및 인증 모델을 사용합니다. ACL 기반 보안에 대한 자세한 내용은 8 장서버 액세스 제어를 참조하십시오. 보안 정보에 대한 자세한 내용은 5 장인증서 및 키 사용을 참조하십시오.

이 절에서는 LDAP 기반 인증 데이터베이스, 키 파일 인증 데이터베이스 및 다이제스트 파일 인증 데이터베이스에 사용자를 만드는 방법에 대해 설명합니다.

LDAP 기반 인증 데이터베이스에 사용자 만들기

LDAP 기반 디렉토리 서비스에 사용자 항목을 추가하는 경우 배후의 LDAP 기반 디렉토리 서버의 서비스가 사용자를 인증하고 권한을 부여하는 데 사용됩니다. 이 절에서는 LDAP 기반 인증 데이터베이스를 사용할 때 고려해야 할 지침을 나열하고 Proxy Server Administration Server를 통해 사용자를 추가하는 방법에 대해 설명합니다.

LDAP 기반 사용자 항목 생성에 대한 지침

Proxy Server 관리 콘솔을 사용하여 LDAP 기반 디렉토리 서비스에 새 사용자 항목을 만드는 경우 다음 지침을 고려하십시오.

디렉토리 서버 사용자 항목

디렉토리 서버 사용자 항목에 대해 다음 정보를 참조하십시오.

표 4–1 LDAP 속성 - 사용자 항목 만들기 또는 편집

사용자 필드 

LDAP 속성 

이름 

givenName

성 

sn

전체 이름 

cn

사용자 아이디 

uid

비밀번호 

userPassword

전자 메일 주소 

mail

제목 

title

전화 번호 

telephoneNumber

LDAP 기반 사용자 항목 만들기

사용자 항목을 만들려면 LDAP 기반 사용자 항목 생성에 대한 지침의 지침을 읽은 후 다음 절차를 수행합니다.

ProcedureLDAP 기반 인증 데이터베이스에 사용자를 만드는 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Create User 링크를 누릅니다.

  3. 드롭다운 목록에서 LDAP 디렉토리 서비스를 선택하고 Select를 누릅니다.

  4. 표시되는 페이지에 정보를 입력합니다.

    특정 필드에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

    디렉토리 서버 사용자 항목을 참조하십시오.

  5. Create를 눌러 사용자 항목을 만들거나 Create and Edit를 눌러 사용자 항목을 만든 다음 해당 항목의 편집 페이지로 이동합니다.

키 파일 인증 데이터베이스에 사용자 생성

키 파일은 해시 형식의 사용자 비밀번호와 사용자가 속한 그룹 목록이 포함된 텍스트 파일입니다.

Procedure키 파일 인증 데이터베이스에 사용자를 만드는 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Create User 링크를 누릅니다.

  3. 드롭다운 목록에서 키 파일 기반 디렉토리 서비스를 선택하고 Select를 누릅니다.

  4. 표시되는 페이지에서 정보를 입력한 다음 Create User를 누릅니다.

    특정 필드에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

다이제스트 파일 인증 데이터베이스에 사용자 만들기

다이제스트 파일 인증 데이터베이스는 사용자 및 그룹 정보를 암호화된 형식으로 저장합니다.

Procedure다이제스트 파일 인증 데이터베이스에 사용자를 만드는 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Create User 링크를 누릅니다.

  3. 드롭다운 목록에서 다이제스트 파일 기반 디렉토리 서비스를 선택하고 Select를 누릅니다.

  4. 표시되는 페이지에서 정보를 입력한 다음 Create User를 누릅니다.

    특정 필드에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

    주 –

    Proxy Server ACL 사용자 인터페이스를 사용하여 Digest 인증을 사용하는 ACL을 만드는 경우 동일한 영역 문자열을 지정해야 합니다. 자세한 내용은 액세스 제어 설정을 참조하십시오.

사용자 관리

Administration Server Users and Groups 탭의 Manage Users 페이지에서 사용자 속성을 편집할 수 있습니다. 이 페이지에서 사용자 항목을 검색, 변경, 이름 변경 및 삭제할 수 있습니다.

이 절에서는 다음 항목에 대해 설명합니다.

사용자 정보 찾기

사용자 항목을 편집하려면 반드시 항목을 찾아 표시해야 합니다. LDAP 기반 디렉토리 서비스의 경우 편집하려는 항목에 대한 기술적인 값을 입력할 수 있습니다.

다음 정보를 제공할 수 있습니다.

사용자 정의 검색 쿼리 만들기

LDAP 서비스의 경우 Find All Users Whose 섹션에서 사용자 정의 검색 필터를 만들 수 있습니다. 이 필드를 사용하면 Find User 필드의 검색 범위를 좁힐 수 있습니다.

왼쪽의 드롭다운 목록에서 검색 기준으로 사용할 속성을 지정합니다. 다음 표에는 사용 가능한 검색 속성 옵션이 정리되어 있습니다.

표 4–2 검색 속성 옵션

옵션 

검색 대상 

Full name 

각 항목의 전체 이름 

Last name 

각 항목의 성 

User ID 

각 항목의 사용자 아이디 

Phone number 

각 항목의 전화 번호 

E-mail address 

각 항목의 전자 메일 주소 

가운데 드롭다운 목록에서 수행할 검색의 유형을 지정합니다. 다음 표에는 사용 가능한 검색 유형 옵션이 정리되어 있습니다.

표 4–3 검색 유형 옵션

옵션 

설명 

Contains

하위 문자열 검색이 수행되도록 합니다. 지정한 검색 문자열을 포함하는 속성 값 항목이 반환됩니다. 예를 들어, 사용자의 이름에 "Dylan" 단어가 포함되어 있음을 알고 있는 경우 이 옵션에 검색 문자열 "Dylan"을 사용하여 사용자 항목을 찾을 수 있습니다. 

Is

정확하게 일치하는 항목을 검색합니다(일치 검색 지정). 사용자 속성의 값을 정확히 아는 경우 이 옵션을 사용합니다. 예를 들어, 사용자 이름의 정확한 철자를 아는 경우입니다. 

Isn’t

검색 문자열과 정확히 일치하지 않는 속성값의 모든 항목을 검색합니다. 디렉토리에서 이름이 "John Smith"가 아닌 모든 사용자를 찾을 때 이 옵션을 사용합니다.그러나 이 옵션을 사용하면 지나치게 많은 수의 항목이 검색될 수 있습니다. 

Sounds like

근사치 또는 발음에 의한 검색이 수행됩니다. 속성의 값은 알지만 철자가 확실하지 않은 경우 이 옵션을 사용합니다. 예를 들어, 사용자의 이름 철자가 "Sarret", "Sarette" 또는 "Sarett" 인지 확실하지 않은 경우입니다. 

Starts with

하위 문자열 검색이 수행되도록 합니다. 지정된 검색 문자열로 시작하는 속성 값을 갖는 모든 항목을 검색합니다. 예를 들어, 사용자의 이름이 "Miles"로 시작되지만 나머지 이름은 알지 못하는 경우입니다. 

Ends with

하위 문자열 검색이 수행되도록 합니다. 지정된 검색 문자열로 끝나는 속성 값을 갖는 모든 항목을 반환합니다. 예를 들어, 사용자의 이름이 "Dimaggio"로 끝나지만 나머지 이름은 알지 못하는 경우입니다. 

오른쪽 텍스트 필드는 검색 문자열을 입력하는 데 사용됩니다. Look Within 필드에 지정된 디렉토리에 포함된 모든 사용자 항목을 표시하려면 별표(*)를 입력하거나 이 필드를 공란으로 남겨둡니다.

Procedure사용자 정보를 찾는 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Users 링크를 누릅니다.

  3. 드롭다운 목록에서 디렉토리 서비스를 선택하고 Select를 누릅니다.

    키 파일 또는 다이제스트 파일 디렉토리 서비스의 경우 사용자 목록이 표시됩니다. LDAP 기반 디렉토리 서비스의 경우 검색 필드가 표시됩니다.

  4. 사용자 정보 찾기

    키 파일 또는 다이제스트 파일 디렉토리 서비스의 경우 편집 페이지를 표시할 사용자의 링크를 누르고 변경합니다. 특정 필드에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

    LDAP 기반 디렉토리 서비스의 경우 다음을 수행합니다.

    1. Find User 필드에 편집하려는 항목에 대한 기술적인 값을 입력합니다.

      다른 방법으로 Find All Users Whose 섹션의 드롭다운 메뉴를 사용하여 검색 범위를 좁힐 수 있습니다. 자세한 내용은 사용자 정의 검색 쿼리 만들기를 참조하십시오.

    2. Look Within 필드에서 검색하려는 항목의 조직 단위를 선택합니다.

      기본값은 디렉토리의 루트 지점(최상단 항목)입니다.

    3. Format 필드에서 출력을 화면에 표시하거나 프린터로 인쇄할 수 있도록 포맷할 것인지 지정합니다.

    4. 이 프로세스의 아무 단계에서나 Find 버튼을 누릅니다.

      검색 기준과 일치하는 모든 사용자가 표시됩니다.

    5. 표시할 항목에 대한 링크를 누릅니다.

사용자 정보 편집

Procedure사용자 항목 편집 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Users 링크를 누릅니다.

  3. 사용자 정보 찾기에서 설명한 것과 같이 사용자 항목을 표시합니다.

  4. 원하는 사항을 변경합니다.

    특정 필드에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

    주 –

    사용자 편집 페이지에서 표시되지 않는 속성 값을 변경하려면 디렉토리 서버 ldapmodify 명령줄 유틸리티(사용 가능한 경우)를 사용합니다.

    사용자 아이디 변경에 대한 자세한 내용은 사용자 이름 변경을 참조하십시오.

사용자 비밀번호 관리

다음 절차에서는 사용자 비밀번호를 변경하고 만드는 방법에 대해 설명합니다.

Procedure사용자 비밀번호 변경 또는 만드는 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Users 링크를 누릅니다.

  3. 사용자 정보 찾기에서 설명한 것과 같이 사용자 항목을 표시합니다.

  4. 원하는 사항을 변경합니다.

    특정 필드에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

    LDAP 데이터베이스의 경우 Manage Users 페이지에서 액세스하여 사용자 비밀번호 정보를 편집하는 데 사용하는 페이지에서 Disable Password 버튼을 눌러 사용자의 비밀번호를 비활성화할 수도 있습니다. 이렇게 하면 사용자의 디렉토리 항목을 삭제할 필요 없이 서버에 로그인할 수 없도록 방지합니다. 새 비밀번호를 입력하면 사용자가 다시 액세스할 수 있습니다.

사용자 이름 변경

LDAP 데이터베이스의 경우 이름 변경 기능은 사용자 아이디만 변경합니다. 다른 모든 필드는 그대로 유지됩니다. 이름 변경 기능을 사용하여 항목을 하나의 조직 단위에서 다른 단위로 이동할 수는 없습니다.

Procedure사용자 항목 이름 변경 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Users 링크를 누릅니다.

  3. 사용자 정보 찾기에서 설명한 것과 같이 사용자 항목을 표시합니다.

  4. 사용자 편집 페이지의 Rename User 버튼을 누릅니다.

  5. 표시되는 페이지에서 사용자 아이디를 입력하고 Save Changes를 누릅니다.

    주 –

    Administration Server는 keepOldValueWhenRenaming 매개 변수를 false(기본값)로 설정하면 항목 이름을 변경할 때 이전 값을 보존하지 않도록 지정할 수 있습니다. 이 매개 변수는 다음 파일에 있습니다.

    server-root /proxy-admserv/config/dsgw-orgperson.conf

사용자 제거

Procedure사용자 항목 제거 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Users 링크를 누릅니다.

  3. 사용자 정보 찾기에서 설명한 것과 같이 사용자 항목을 표시합니다.

  4. 적절한 버튼을 누릅니다.

    • LDAP 서버의 경우 Delete User를 누릅니다.

    • 키 파일 및 다이제스트 파일 데이터베이스의 경우 Remove User를 누릅니다.

그룹 생성

그룹은 LDAP 데이터베이스에 있는 일련의 객체를 기술하는 객체입니다. Sun Java System 서버 그룹은 공통 속성을 공유하는 사용자로 구성됩니다. 예를 들어, 일련의 객체는 회사의 마케팅 부서에서 일하는 다수의 고용인일 수 있습니다. 이들 고용인은 Marketing이라는 이름의 그룹에 속할 수 있습니다.

LDAP 서버의 경우 정적 및 동적의 두 가지 방법으로 그룹 구성원을 정의합니다. 정적 그룹은 구성원 개체를 명시적으로 열거합니다. 정적 그룹은 공통 이름(CN)이며 uniqueMembers 또는 memberURLs 또는 memberCertDescriptions를 포함합니다. 정적 그룹의 경우 구성원은 cn=groupname 속성을 제외한 공통 속성을 공유하지 않습니다.

동적 그룹을 사용하면 LDAP URL을 사용하여 그룹 구성원에만 적용되는 일련의 규칙을 정의할 수 있습니다. 동적 그룹의 경우 구성원은 공통 속성 또는 memberURL 필터에 정의된 일련의 속성을 공유합니다. 예를 들어, 이미 LDAP 데이터베이스의 ou=Sales,o=Airius.com 에 있는 Sales의 모든 직원이 포함된 그룹이 필요한 경우 다음 구성원 URL로 동적 그룹을 정의할 수 있습니다.

ldap:///ou=Sales,o=sun??sub?(uid=*)

이 그룹에는 ou=Sales,o=sun 지점 아래의 트리에 있는 uid 속성을 가진 모든 객체가 포함됩니다.

정적 및 동적 그룹의 경우 memberCertDescription을 사용하면 구성원이 인증서에 있는 공통 속성을 공유할 수 있습니다. 이러한 공통 속성 공유는 ACL이 SSL 메소드를 사용하는 경우에만 적용됩니다.

새 그룹을 만든 후에는 사용자(구성원)를 해당 그룹에 추가할 수 있습니다.

이 절은 다음 내용으로 구성되어 있습니다.

정적 그룹 정보

LDAP 서비스의 경우 Administration Server를 사용하면 사용자 수에 상관없이 DN에서 동일한 그룹 속성을 지정하여 정적 그룹을 만들 수 있습니다. 정적 그룹은 그룹에 대해 사용자를 추가하거나 제거하지 않는 한 변경되지 않습니다.

정적 그룹 생성을 위한 지침

Administration Server 인터페이스를 사용하여 새 정적 그룹을 만들 때 다음 지침을 고려하십시오.

Procedure정적 그룹을 만드는 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Create Group 링크를 누릅니다.

  3. Type of Group 드롭다운 목록에서 New Group을 선택한 다음 Go를 누릅니다.

  4. Create Group 페이지에 정보를 입력합니다.

    특정 필드에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

  5. Create를 눌러 그룹을 만들거나 Create and Edit를 눌러 그룹을 만들고 해당 그룹의 편집 페이지를 표시합니다.

동적 그룹 정보

LDAP 서비스의 경우 Proxy Server를 사용하면 그룹 사용자가 자동으로 임의의 속성에 기반하도록 하거나 일치하는 DN이 있는 특정 그룹에 ACL을 적용하려는 경우 동적 그룹을 만들 수 있습니다. 예를 들어, department=marketing 속성이 있는 DN이 자동으로 포함되도록 그룹을 만들 수 있습니다. department=marketing 검색 필터를 적용하면 department=marketing 속성이 있는 모든 DN을 포함하는 그룹이 검색됩니다. 그 후, 이 필터에 기반하여 검색 결과에서 동적 그룹을 정의할 수 있습니다. 따라서 결과의 동적 그룹에 대한 ACL을 정의할 수 있습니다.

동적 그룹의 구현 방법

Proxy Server는 LDAP 서버 스키마에서 objectclass=groupOfURLs로 동적 그룹을 구현합니다. groupOfURLs 클래스는 0개 이상의 memberURL 속성을 포함할 수 있으며 각 속성은 디렉토리에 있는 일련의 객체를 기술하는 LDAP URL입니다. 그룹의 구성원은 이 세트의 조합이 됩니다. 예를 들어 다음 그룹은 하나의 구성원 URL만 포함합니다.

ldap:///o=mcom.com??sub?(department=marketing)

이 예는 부서가 marketingo=mcom.com 아래의 모든 객체로 구성되는 세트를 설명합니다. LDAP URL은 검색 기반 DN, 범위 및 필터를 포함하지만 호스트 이름과 포트는 포함하지 않습니다. 따라서 동일한 LDAP 서버에 있는 객체만 참조할 수 있습니다. 범위는 모두 지원됩니다. LDAP URL에 대한 자세한 내용은 동적 그룹 생성을 위한 지침을 참조하십시오.

DN은 자동으로 포함되므로 직접 개인을 그룹에 추가할 필요가 없습니다. ACL 검증을 위하여 그룹 조회가 필요할 때마다 Proxy Server가 LDAP 서버 검색을 수행하므로 그룹은 동적으로 변경됩니다. ACL 파일에서 사용된 사용자 및 그룹 이름은 LDAP 데이터베이스에 있는 객체의 cn 속성에 대응됩니다.

주 –

Proxy Server는 ACL의 그룹 이름으로 cn 속성을 사용합니다.

ACL에서 LDAP 데이터베이스로의 매핑은 dbswitch.conf 파일(실제 LDAP 데이터베이스 URL로 ACL 데이터베이스 이름과 연결) 및 ACL 파일(ACL에 사용할 데이터베이스 정의) 모두에 정의됩니다. 예를 들어, staff라는 이름의 그룹 구성원에게 기본 액세스 권한을 부여하는 경우 ACL 코드는 객체 클래스가 groupOf anything이며 CN이 staff로 설정된 객체를 조회합니다. 객체는 구성원 ND를 직접 나열(정적 그룹용 groupOfUniqueNames와 동일)하거나 또는 LDAP URL을 지정(예: groupOfURLs)하여 그룹의 구성원을 정의합니다.

주 –

그룹은 정적 및 동적이 될 수 있습니다. 그룹 객체는 objectclass=groupOfUniqueMembersobjectclass=groupOfURL s를 모두 가질 수 있습니다. 따라서 uniqueMembermemberURL 속성이 모두 유효합니다. 그룹의 구성원은 정적 및 동적 구성원의 조합입니다.

서버 성능에 미치는 동적 그룹의 영향

동적 그룹을 사용하면 서버 성능에 영향을 미칩니다. 그룹 구성원을 시험하며 DN이 정적 그룹의 구성원이 아닌 경우 Proxy Server는 데이터베이스의 기본 DN에 있는 모든 동적 그룹을 확인합니다. Proxy Server는 기본 DN과 범위를 사용자의 DN에 비교하여 각 memberURL이 일치하는지 결정합니다. 그런 다음 Proxy Server는 사용자 DN을 기본 DN으로 사용하고 memberURL의 필터를 통해 기본 검색을 수행합니다. 이 절차에는 많은 수의 개별 검색이 관련될 수 있습니다.

동적 그룹 생성을 위한 지침

Administration Server 인터페이스를 사용하여 새 동적 그룹을 만드는 경우 다음의 지침을 고려하십시오.

attributes, scope(filter) 매개 변수는 URL에서의 위치에 따라 구분됩니다. 속성을 지정하지 않는 경우에도 해당 필드를 구분하는 물음표(?)를 포함해야 합니다.

그룹 편집에 대한 자세한 내용은 그룹 항목 편집을 참조하십시오.

다음 표에는 LDAP URL의 필수 매개 변수가 정리되어 있습니다.

표 4–4 LDAP URL의 필수 매개 변수

매개 변수 이름 

설명 

base_dn

검색 기반의 DN 또는 LDAP 디렉토리에서 검색이 수행되는 지점. 이 매개 변수는 때로 o=mcom.com과 같이 디렉토리의 접미사 또는 루트로 설정됩니다.

attributes

검색이 반환할 수 있는 속성 목록. 둘 이상을 지정하려면 쉼표를 사용하여 속성을 구분합니다(예: cn,mail,telephoneNumber). 속성을 지정하지 않으면 모든 속성이 반환됩니다. 동적 그룹 구성원 확인의 경우 이 매개 변수는 무시됩니다.

scope

이 매개 변수는 필수입니다. 

검색의 범위로 다음 중 한 가지 값을 가집니다. 

  • base는 URL에 지정된 고유 이름(base_dn)에 대한 정보만 검색합니다.

  • one은 URL에 지정된 고유 이름(base_dn )보다 한 수준 아래의 항목에 대한 정보를 검색합니다. 기본 항목은 이 범위에 포함되지 않습니다.

  • sub는 URL에 지정된 고유 이름(base_dn )보다 아래인 모든 수준의 항목에 대한 정보를 검색합니다. 기본 항목은 이 범위에 포함되지 않습니다.

(filter)

이 매개 변수는 필수입니다. 

검색의 지정된 범위 안에 있는 항목에 적용되는 검색 필터. Administration Server 인터페이스를 사용하는 경우 반드시 이 속성을 지정해야 합니다. 괄호는 필수입니다. 

동적 그룹 만들기

Procedure동적 그룹을 만드는 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Create Group 링크를 누릅니다.

  3. Type of Group 드롭다운 목록에서 Dynamic Group을 선택하고 Go를 누릅니다.

  4. Create Group 페이지에 정보를 입력합니다.

    특정 필드에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

  5. Create를 눌러 그룹을 만들거나 Create and Edit를 눌러 그룹을 만들고 해당 그룹의 편집 페이지를 표시합니다.

그룹 관리

LDAP 서비스의 경우 Administration Server의 Administration Server Users and Groups 탭에 있는 Manage Groups 페이지에서 그룹을 편집하고 그룹 구성원을 관리할 수 있습니다.

이 절에서는 다음 작업에 대해 설명합니다.

그룹 항목 찾기

그룹 항목을 편집하려면 다음 절차에 설명된 대로 반드시 해당 항목을 찾아 표시해야 합니다.

Procedure그룹 항목을 찾는 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Groups 링크를 누릅니다.

  3. Find Group 필드에 찾으려는 그룹 이름을 입력합니다.

    다음을 입력할 수 있습니다.

    • 디렉토리에 있는 그룹을 모두 보려면 별표(*)를 사용합니다. 필드에 아무런 값을 입력하지 않아도 동일한 결과를 얻을 수 있습니다.

    • LDAP 검색 필터. 등호(=)가 있는 모든 문자열은 검색 필터로 간주됩니다.

      다른 방법으로 Find All Groups Whose 섹션을 사용하여 사용자 정의 검색 필터를 만들어 검색 결과를 좁힙니다. 자세한 내용은 Find All Groups Whose를 참조하십시오.

    • 이름. 이름의 전체 또는 부분을 입력합니다. 검색 문자열과 일치되는 모든 항목이 검색됩니다. 해당 항목을 찾을 수 없는 경우 검색 문자열을 포함하는 모든 항목이 검색됩니다. 해당 항목을 찾을 수 없는 경우 검색 문자열과 소리가 유사한 모든 항목이 검색됩니다.

  4. Look Within 필드에서 검색하려는 항목의 조직 단위를 선택합니다.

    기본값은 디렉토리의 루트 지점(최상단 항목)입니다.

  5. Format 필드에서 출력을 화면에 표시하거나 프린터로 인쇄할 수 있도록 포맷할 것인지 지정합니다.

  6. 이 프로세스의 모든 단계에서 조건에 맞는 모든 그룹을 표시하려면 Find 버튼을 누릅니다.

  7. 표시할 항목에 대한 링크를 누릅니다.

Find All Groups Whose

LDAP 서비스의 경우 Find All Groups Whose 섹션에서 사용자 정의 검색 필터를 만들 수 있습니다. 이 섹션의 필드를 사용하여 Find Group에서 반환되는 검색 결과를 더욱 좁힐 수 있습니다.

왼쪽의 드롭다운 목록에서 검색 기준으로 사용할 속성을 지정합니다. 다음 옵션을 사용할 수 있습니다.

가운데 드롭다운 목록에서 수행할 검색의 유형을 지정합니다. 다음 옵션을 사용할 수 있습니다.

오른쪽 텍스트 입력란에 검색 문자열을 입력합니다. 검색 위치 디렉토리에 포함된 모든 그룹 항목을 표시하려면 별표(*)를 입력하거나 이 필드를 공란으로 남겨둡니다.

그룹 항목 편집

Procedure그룹 항목 편집 방법

다음 절차는 LDAP 서비스에만 적용됩니다.

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Groups 링크를 누릅니다.

  3. 그룹 항목 찾기에 설명된 대로 편집할 그룹을 찾습니다.

  4. 원하는 사항을 변경합니다.

    특정 필드 및 버튼에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

    주 –

    그룹 편집 페이지에 표시되지 않는 속성 값을 변경해야 할 수 있습니다. 이런 경우 디렉토리 서버 ldapmodify 명령줄 유틸리티(사용 가능한 경우)를 사용하십시오.

그룹 구성원 추가

Procedure그룹에 구성원을 추가하는 방법

다음 절차는 LDAP 서비스에만 적용됩니다.

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Groups 링크를 누릅니다.

  3. 그룹 항목 찾기에 설명된 대로 관리할 그룹을 찾아 표시한 다음 Group Members 옆에 있는 Edit 버튼을 누릅니다.

    표시되는 페이지에 기존 그룹 구성원이 나열됩니다. 검색 필드도 표시됩니다.

    • 구성원 목록에 사용자 항목을 추가하려면 Find 드롭다운 목록에서 Users를 선택해야 합니다.

    • 그룹에 그룹 항목을 추가하려면 Groups을 선택해야 합니다.

  4. Matching 텍스트 필드에 검색 문자열을 입력합니다. 다음 옵션에 대한 정보를 입력합니다.

    • 이름. 이름의 전체 또는 부분을 입력합니다. 검색 문자열과 일치하는 이름의 항목이 모두 검색됩니다. 해당 항목을 찾을 수 없는 경우 검색 문자열을 포함하는 모든 항목이 검색됩니다. 해당 항목을 찾을 수 없는 경우 검색 문자열과 소리가 유사한 모든 항목이 검색됩니다.

    • 사용자 아이디. 사용자 아이디를 부분적으로 입력하면 문자열을 포함하는 모든 항목이 검색됩니다.

    • 전화번호. 번호를 부분적으로 입력하면 검색 번호로 끝나는 전화번호를 포함하는 모든 항목이 검색됩니다.

    • 전자 메일 주소. @ 기호를 포함하는 모든 검색 문자열은 전자 메일 주소인 것으로 가정합니다. 정확히 일치하는 검색 결과가 없는 경우 검색 문자열로 시작하는 모든 전자 메일 주소를 찾는 검색이 수행됩니다.

    • 현재 디렉토리에 있는 모든 항목이나 그룹을 보려면 이 필드에 별표(*)를 입력하거나 이 필드를 공란으로 남겨둡니다.

    • 모든 LDAP 검색 필터. 등호(=)가 있는 모든 문자열은 검색 필터로 간주됩니다.

  5. Add를 눌러 LDAP 데이터베이스에서 일치하는 모든 항목을 찾아 그룹에 추가합니다.

  6. (선택 사항) 그룹에 추가하지 않으려는 항목이 검색된 경우 Remove From List 열에서 해당 확인란을 누릅니다. 또한 그룹에서 제거하려는 항목과 일치하는 검색 필터를 만든 후 Remove를 누르면 됩니다. 자세한 내용은 그룹 구성원 목록에서 항목 제거를 참조하십시오.

  7. 그룹 구성원 목록이 완료되었으면 Save Changes를 누릅니다. 항목이 그룹 구성원 목록에 추가됩니다.

그룹 구성원 목록에 그룹 추가

LDAP 서비스의 경우 그룹의 구성원 목록에 개별 구성원 대신 그룹을 추가할 수 있습니다. 이렇게 하면 포함된 그룹에 속한 모든 사용자가 수신 그룹의 구성원이 됩니다. 예를 들어 Neil Armstrong이 Engineering Managers 그룹의 구성원이며 Engineering Managers 그룹을 Engineering Personnel 그룹의 구성원으로 추가하면 Neil Armstrong 또한 Engineering Personnel 그룹의 구성원이 됩니다.

그룹을 다른 그룹의 구성원 목록에 추가하려면 그룹이 사용자 항목인 것처럼 추가합니다. 자세한 내용은 그룹 구성원 추가를 참조하십시오.

그룹 구성원 목록에서 항목 제거

이 절차는 LDAP 서비스에만 적용됩니다.

Procedure그룹 구성원 목록에서 항목을 제거하는 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Groups 링크를 누릅니다.

  3. 관리할 그룹을 찾습니다.

    자세한 내용은 그룹 항목 찾기를 참조하십시오. Group Members 옆에 있는 Edit 버튼을 누릅니다.

  4. 제거할 구성원을 표시합니다.

    • 일부 구성원만 제거하려면 Remove From List 열에서 해당 확인란을 누릅니다.

    • 공통 기준에 따라 구성원을 제거하려면 그룹에서 제거할 항목과 일치하는 검색 필터를 만든 다음 Remove를 누릅니다.

    검색 필터 만들기에 대한 자세한 내용은 그룹 구성원 추가를 참조하십시오.

  5. Save Changes를 누릅니다.

    그룹 구성원 목록에서 해당 항목이 삭제됩니다.

소유자 관리

LDAP 서비스의 경우 그룹 소유자 목록은 그룹 구성원 목록과 같은 방식으로 관리됩니다.

자세한 내용을 제공하는 이 설명서의 항목 목록은 다음과 같습니다.

표 4–5 소유자 관리

수행 작업 

참조 

그룹에 소유자 추가 

그룹 구성원 추가

소유자 목록에 그룹 추가 

그룹 구성원 목록에 그룹 추가

소유자 목록에서 항목 제거 

그룹 구성원 목록에서 항목 제거

추가 참조 관리

추가 참조는 현재 그룹과 관련되었을 수 있는 기타 디렉토리 항목에 대한 참조입니다. 이러한 참조를 통해 현재 그룹과 관련된 사용자 및 기타 그룹의 항목을 쉽게 찾을 수 있습니다. 그룹 구성원 목록을 관리하는 것과 마찬가지로 추가 참조를 관리할 수 있습니다.

자세한 내용을 제공하는 이 설명서의 항목 목록은 다음과 같습니다.

표 4–6 추가 참조 관리

수행 작업 

참조 

추가 참조에 사용자 추가 

그룹 구성원 추가

추가 참조에 그룹 추가 

그룹 구성원 목록에 그룹 추가

추가 참조에서 항목 제거 

그룹 구성원 목록에서 항목 제거

그룹 이름 변경

이 절차는 LDAP 서비스에만 적용됩니다. 그룹 항목의 이름을 변경하면 그룹의 이름만 변경됩니다. 그룹 이름 변경 기능을 사용하여 항목을 하나의 조직 단위에서 다른 단위로 이동할 수는 없습니다. 예를 들어 회사에 다음과 같은 조직이 있는 것으로 가정합니다.

이 예에서 그룹의 이름을 Online Sales에서 Internet Investments로 변경할 수 있으나 Marketing 조직 단위 아래에 있는 Online Sales가 Product Management 조직 단위 아래의 Online Sales로 되도록 항목의 이름을 변경할 수는 없습니다.

Procedure그룹 이름 변경 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Groups 링크를 누르고 그룹 항목 찾기에 설명된 대로 관리할 그룹을 찾습니다.

  3. Rename Group 버튼을 누릅니다.

  4. 표시되는 페이지에 새 그룹 이름을 지정하고 Save Changes를 누릅니다.

그룹 제거

이 절차는 LDAP 서비스에만 적용됩니다.

Procedure그룹 제거 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Groups 링크를 누릅니다.

  3. 그룹 항목 찾기에 설명된 대로 관리할 그룹을 찾고 Delete Group을 누릅니다.

    주 –

    그룹의 개별 구성원은 제거되지 않습니다. 그룹 항목만 제거됩니다.

조직 단위 만들기

LDAP 서비스의 경우 조직 단위에는 여러 그룹이 포함될 수 있으며 보통 사업 단위, 부서 또는 기타 명확히 구분되는 엔티티를 나타냅니다. DN은 하나 이상의 조직 단위에 존재할 수 있습니다.

Procedure조직 단위를 만드는 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Create Organizational Unit 링크를 누릅니다.

  3. 정보를 입력하고 Create를 누릅니다.

    특정 필드에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

    예를 들어, Accounting이라는 이름의 새 조직을 West Coast라는 이름의 조직 단위 내에 만들고 기본 DN이 o=Ace Industry, c=US인 경우, 새 조직 단위의 DN은 다음과 같습니다.

    ou=Accounting,ou=West Coast,o=Ace Industry,c=US

조직 단위 관리

LDAP 서비스의 경우 조직 단위는 Administration Server Users and Groups 탭의 Manage Organizational Units 페이지에서 편집하고 관리합니다.

이 절은 다음 내용으로 구성되어 있습니다.

조직 단위 찾기

이 절차는 LDAP 서비스에만 적용됩니다.

Procedure조직 단위를 검색하는 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Organizational Units 링크를 누릅니다.

  3. Find Organizational Unit 필드에 찾으려는 단위의 이름을 입력합니다.

    다음을 입력할 수 있습니다.

    • 이름. 이름의 전체 또는 부분을 입력합니다. 검색 문자열과 일치되는 모든 항목이 검색됩니다. 해당 항목을 찾을 수 없는 경우 검색 문자열을 포함하는 모든 항목이 검색됩니다. 해당 항목을 찾을 수 없는 경우 검색 문자열과 소리가 유사한 모든 항목이 검색됩니다.

    • 디렉토리에 있는 그룹을 모두 보려면 별표(*)를 사용합니다. 필드에 아무런 값을 입력하지 않아도 동일한 결과를 얻을 수 있습니다.

    • 모든 LDAP 검색 필터. 등호(=)가 있는 모든 문자열은 검색 필터로 간주됩니다.

      다른 방법으로 Find All Units Whose 필드의 드롭다운 메뉴를 사용하여 검색 범위를 좁힐 수 있습니다. 자세한 내용은 Find All Units Whose 를 참조하십시오.

  4. Look Within 필드에서 검색하려는 항목의 조직 단위를 선택합니다.

    기본값은 디렉토리의 루트 지점(최상위 항목)입니다.

  5. Format 필드에서 출력을 화면에 표시하거나 프린터로 인쇄할 수 있도록 포맷할 것인지 지정합니다.

  6. 이 프로세스의 아무 단계에서나 Find 버튼을 누릅니다.

    검색 조건과 일치하는 조직 단위가 모두 표시됩니다.

  7. 표시할 항목에 대한 링크를 누릅니다.

Find All Units Whose

LDAP 서비스의 경우 Find All Units Whose 섹션에서 사용자 정의 검색 필터를 만들 수 있습니다. 이 섹션의 필드를 사용하여 Find Organizational Unit에서 반환되는 검색 결과를 더욱 좁힐 수 있습니다.

왼쪽의 드롭다운 목록에서 검색 기준으로 사용할 속성을 지정합니다. 다음 옵션을 사용할 수 있습니다.

가운데 드롭다운 목록에서 수행할 검색의 유형을 지정합니다. 다음 옵션을 사용할 수 있습니다.

오른쪽 텍스트 입력란에 검색 문자열을 입력합니다. 검색 위치 디렉토리에 포함된 모든 조직 단위 항목을 표시하려면 별표(*)를 입력하거나 이 필드를 공란으로 남겨둡니다.

조직 단위 속성 편집

이 절차는 LDAP 서비스에만 적용됩니다.

Procedure조직 단위 항목 편집 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Organizational Units 링크를 누릅니다.

  3. 조직 단위 찾기에 설명된 대로 편집할 조직 단위를 찾습니다.

  4. 원하는 사항을 변경합니다.

    특정 필드에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

    주 –

    조직 단위 편집 페이지에서 표시되지 않는 속성 값을 변경하려면 디렉토리 서버 ldapmodify 명령줄 유틸리티(사용 가능한 경우)를 사용합니다.

조직 단위 이름 변경

이 절차는 LDAP 서비스에만 적용됩니다. 조직 단위 항목의 이름을 변경하면 조직 단위의 이름만 변경됩니다. 이름 변경 기능을 사용하여 항목을 하나의 조직 단위에서 다른 단위로 이동할 수는 없습니다.

Procedure조직 단위 이름 변경 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Organizational Units 링크를 누릅니다.

  3. 조직 단위 찾기에 설명된 대로 편집할 조직 단위를 찾습니다.

  4. Rename 버튼을 누릅니다.

  5. 표시되는 페이지에 새 조직 단위 이름을 입력하고 Save Changes를 누릅니다.

조직 단위 제거

이 절차는 LDAP 서비스에만 적용됩니다.

Procedure조직 단위 삭제 방법

  1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

  2. Manage Organizational Units 링크를 누릅니다.

  3. 조직 단위 찾기에 설명된 대로 삭제할 조직 단위를 찾습니다.

  4. Delete 버튼을 누르고 표시되는 확인 상자에서 OK를 누릅니다.