그룹 생성

그룹은 LDAP 데이터베이스에 있는 일련의 객체를 기술하는 객체입니다. Sun Java System 서버 그룹은 공통 속성을 공유하는 사용자로 구성됩니다. 예를 들어, 일련의 객체는 회사의 마케팅 부서에서 일하는 다수의 고용인일 수 있습니다. 이들 고용인은 Marketing이라는 이름의 그룹에 속할 수 있습니다.

LDAP 서버의 경우 정적 및 동적의 두 가지 방법으로 그룹 구성원을 정의합니다. 정적 그룹은 구성원 개체를 명시적으로 열거합니다. 정적 그룹은 공통 이름(CN)이며 uniqueMembers 또는 memberURLs 또는 memberCertDescriptions를 포함합니다. 정적 그룹의 경우 구성원은 cn=groupname 속성을 제외한 공통 속성을 공유하지 않습니다.

동적 그룹을 사용하면 LDAP URL을 사용하여 그룹 구성원에만 적용되는 일련의 규칙을 정의할 수 있습니다. 동적 그룹의 경우 구성원은 공통 속성 또는 memberURL 필터에 정의된 일련의 속성을 공유합니다. 예를 들어, 이미 LDAP 데이터베이스의 ou=Sales,o=Airius.com 에 있는 Sales의 모든 직원이 포함된 그룹이 필요한 경우 다음 구성원 URL로 동적 그룹을 정의할 수 있습니다.

ldap:///ou=Sales,o=sun??sub?(uid=*)

이 그룹에는 ou=Sales,o=sun 지점 아래의 트리에 있는 uid 속성을 가진 모든 객체가 포함됩니다.

정적 및 동적 그룹의 경우 memberCertDescription을 사용하면 구성원이 인증서에 있는 공통 속성을 공유할 수 있습니다. 이러한 공통 속성 공유는 ACL이 SSL 메소드를 사용하는 경우에만 적용됩니다.

새 그룹을 만든 후에는 사용자(구성원)를 해당 그룹에 추가할 수 있습니다.

이 절은 다음 내용으로 구성되어 있습니다.

• 정적 그룹 정보

• 동적 그룹 정보

정적 그룹 정보

LDAP 서비스의 경우 Administration Server를 사용하면 사용자 수에 상관없이 DN에서 동일한 그룹 속성을 지정하여 정적 그룹을 만들 수 있습니다. 정적 그룹은 그룹에 대해 사용자를 추가하거나 제거하지 않는 한 변경되지 않습니다.

정적 그룹 생성을 위한 지침

Administration Server 인터페이스를 사용하여 새 정적 그룹을 만들 때 다음 지침을 고려하십시오.

• 정적 그룹에는 다른 정적 또는 동적 그룹이 포함될 수 있습니다.

• 디렉토리에 대해 조직 단위가 정의된 경우 Administration Server 인터페이스에서 Create Group 페이지의 Add New Group To 목록을 사용하여 새 그룹을 배치할 위치를 지정할 수 있습니다. 기본 위치는 디렉토리의 루트 지점인 최상위 항목입니다.

• 그룹 편집에 대한 자세한 내용은 그룹 항목 편집을 참조하십시오.

정적 그룹을 만드는 방법

1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

2. Create Group 링크를 누릅니다.

3. Type of Group 드롭다운 목록에서 New Group을 선택한 다음 Go를 누릅니다.

4. Create Group 페이지에 정보를 입력합니다.

   특정 필드에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

5. Create를 눌러 그룹을 만들거나 Create and Edit를 눌러 그룹을 만들고 해당 그룹의 편집 페이지를 표시합니다.

동적 그룹 정보

LDAP 서비스의 경우 Proxy Server를 사용하면 그룹 사용자가 자동으로 임의의 속성에 기반하도록 하거나 일치하는 DN이 있는 특정 그룹에 ACL을 적용하려는 경우 동적 그룹을 만들 수 있습니다. 예를 들어, department=marketing 속성이 있는 DN이 자동으로 포함되도록 그룹을 만들 수 있습니다. department=marketing 검색 필터를 적용하면 department=marketing 속성이 있는 모든 DN을 포함하는 그룹이 검색됩니다. 그 후, 이 필터에 기반하여 검색 결과에서 동적 그룹을 정의할 수 있습니다. 따라서 결과의 동적 그룹에 대한 ACL을 정의할 수 있습니다.

동적 그룹의 구현 방법

Proxy Server는 LDAP 서버 스키마에서 objectclass=groupOfURLs로 동적 그룹을 구현합니다. groupOfURLs 클래스는 0개 이상의 memberURL 속성을 포함할 수 있으며 각 속성은 디렉토리에 있는 일련의 객체를 기술하는 LDAP URL입니다. 그룹의 구성원은 이 세트의 조합이 됩니다. 예를 들어 다음 그룹은 하나의 구성원 URL만 포함합니다.

ldap:///o=mcom.com??sub?(department=marketing)

이 예는 부서가 marketing인 o=mcom.com 아래의 모든 객체로 구성되는 세트를 설명합니다. LDAP URL은 검색 기반 DN, 범위 및 필터를 포함하지만 호스트 이름과 포트는 포함하지 않습니다. 따라서 동일한 LDAP 서버에 있는 객체만 참조할 수 있습니다. 범위는 모두 지원됩니다. LDAP URL에 대한 자세한 내용은 동적 그룹 생성을 위한 지침을 참조하십시오.

DN은 자동으로 포함되므로 직접 개인을 그룹에 추가할 필요가 없습니다. ACL 검증을 위하여 그룹 조회가 필요할 때마다 Proxy Server가 LDAP 서버 검색을 수행하므로 그룹은 동적으로 변경됩니다. ACL 파일에서 사용된 사용자 및 그룹 이름은 LDAP 데이터베이스에 있는 객체의 cn 속성에 대응됩니다.

---

주 –

Proxy Server는 ACL의 그룹 이름으로 cn 속성을 사용합니다.

---

ACL에서 LDAP 데이터베이스로의 매핑은 dbswitch.conf 파일(실제 LDAP 데이터베이스 URL로 ACL 데이터베이스 이름과 연결) 및 ACL 파일(ACL에 사용할 데이터베이스 정의) 모두에 정의됩니다. 예를 들어, staff라는 이름의 그룹 구성원에게 기본 액세스 권한을 부여하는 경우 ACL 코드는 객체 클래스가 groupOf anything이며 CN이 staff로 설정된 객체를 조회합니다. 객체는 구성원 ND를 직접 나열(정적 그룹용 groupOfUniqueNames와 동일)하거나 또는 LDAP URL을 지정(예: groupOfURLs)하여 그룹의 구성원을 정의합니다.

---

주 –

그룹은 정적 및 동적이 될 수 있습니다. 그룹 객체는 objectclass=groupOfUniqueMembers 및 objectclass=groupOfURL s를 모두 가질 수 있습니다. 따라서 uniqueMember 및 memberURL 속성이 모두 유효합니다. 그룹의 구성원은 정적 및 동적 구성원의 조합입니다.

---

서버 성능에 미치는 동적 그룹의 영향

동적 그룹을 사용하면 서버 성능에 영향을 미칩니다. 그룹 구성원을 시험하며 DN이 정적 그룹의 구성원이 아닌 경우 Proxy Server는 데이터베이스의 기본 DN에 있는 모든 동적 그룹을 확인합니다. Proxy Server는 기본 DN과 범위를 사용자의 DN에 비교하여 각 memberURL이 일치하는지 결정합니다. 그런 다음 Proxy Server는 사용자 DN을 기본 DN으로 사용하고 memberURL의 필터를 통해 기본 검색을 수행합니다. 이 절차에는 많은 수의 개별 검색이 관련될 수 있습니다.

동적 그룹 생성을 위한 지침

Administration Server 인터페이스를 사용하여 새 동적 그룹을 만드는 경우 다음의 지침을 고려하십시오.

• 동적 그룹에는 다른 그룹이 포함될 수 없습니다.

• LDAP URL은 이러한 매개 변수가 무시되므로 호스트 및 포트 정보를 생략하고 다음 형식을 사용합니다.

  ldap:/// base-dn?attributes? scope?(filter)

attributes, scope 및 (filter) 매개 변수는 URL에서의 위치에 따라 구분됩니다. 속성을 지정하지 않는 경우에도 해당 필드를 구분하는 물음표(?)를 포함해야 합니다.

• 디렉토리에 대해 조직 단위가 정의된 경우 Administration Server 인터페이스에서 Create Group 페이지의 Add New Group To 목록을 사용하여 새 그룹을 배치할 위치를 지정할 수 있습니다. 기본 위치는 디렉토리의 루트 지점인 최상위 항목입니다.

그룹 편집에 대한 자세한 내용은 그룹 항목 편집을 참조하십시오.

다음 표에는 LDAP URL의 필수 매개 변수가 정리되어 있습니다.

표 4–4 LDAP URL의 필수 매개 변수

매개 변수 이름	설명
base_dn	검색 기반의 DN 또는 LDAP 디렉토리에서 검색이 수행되는 지점. 이 매개 변수는 때로 o=mcom.com과 같이 디렉토리의 접미사 또는 루트로 설정됩니다.
attributes	검색이 반환할 수 있는 속성 목록. 둘 이상을 지정하려면 쉼표를 사용하여 속성을 구분합니다(예: cn,mail,telephoneNumber). 속성을 지정하지 않으면 모든 속성이 반환됩니다. 동적 그룹 구성원 확인의 경우 이 매개 변수는 무시됩니다.
scope	이 매개 변수는 필수입니다.  검색의 범위로 다음 중 한 가지 값을 가집니다.  base는 URL에 지정된 고유 이름(base_dn)에 대한 정보만 검색합니다. one은 URL에 지정된 고유 이름(base_dn )보다 한 수준 아래의 항목에 대한 정보를 검색합니다. 기본 항목은 이 범위에 포함되지 않습니다. sub는 URL에 지정된 고유 이름(base_dn )보다 아래인 모든 수준의 항목에 대한 정보를 검색합니다. 기본 항목은 이 범위에 포함되지 않습니다.
(filter)	이 매개 변수는 필수입니다.  검색의 지정된 범위 안에 있는 항목에 적용되는 검색 필터. Administration Server 인터페이스를 사용하는 경우 반드시 이 속성을 지정해야 합니다. 괄호는 필수입니다.

동적 그룹 만들기

동적 그룹을 만드는 방법

1. Administration Server에 액세스하고 Users and Groups 탭을 선택합니다.

2. Create Group 링크를 누릅니다.

3. Type of Group 드롭다운 목록에서 Dynamic Group을 선택하고 Go를 누릅니다.

4. Create Group 페이지에 정보를 입력합니다.

   특정 필드에 대한 자세한 내용은 온라인 도움말을 참조하십시오.

5. Create를 눌러 그룹을 만들거나 Create and Edit를 눌러 그룹을 만들고 해당 그룹의 편집 페이지를 표시합니다.