7장   사용자 계정 관리

사용자가 디렉토리 서버에 연결하여 인증되면 디렉토리는 인증 중에 설정된 ID에 따라 사용자에게 액세스 권한 및 자원 제한을 부여할 수 있습니다.

이 장에서는 디렉토리에 대한 암호 및 계정 잠금 정책 구성, 디렉토리에 액세스할 수 없도록 계정 또는 사용자 그룹 비활성화, 바인드 DN에 따라 사용자가 이용할 수 있는 시스템 자원 제한 등의 사용자 계정 관리 작업에 대해 설명합니다.

Directory Server 5.2에서는 개별 암호 정책을 지원합니다. 다양한 암호 정책을 정의하여 이 정책 중 하나를 특정 사용자 또는 사용자 그룹에 적용할 수 있으므로 디렉토리에 액세스할 수 있는 사용자 유형을 쉽게 제어할 수 있습니다.

이 장은 다음 내용으로 구성되어 있습니다.

• 암호 정책에 대한 개요
• 전역 암호 정책 구성
• 개별 암호 정책 관리
• 사용자 암호 재설정
• 사용자와 역할 비활성화 및 활성화
• 개별 자원 제한 설정

암호 정책에 대한 개요

---

보안 암호 정책은 다음과 같은 요구 사항을 강제하여 쉽게 추측할 수 있는 암호로 인한 위험을 최소화합니다.

• 사용자는 일정에 따라 암호를 변경해야 합니다.
• 사용자는 일반적이지 않은 암호를 제공해야 합니다.
• 잘못된 암호를 사용하여 여러 번 바인드를 시도하면 해당 계정이 잠길 수 있습니다.

Directory Server 5.2에서는 개별 및 전역 암호 정책을 지정할 수 있습니다. 개별 암호 정책은 디렉토리 트리의 하위 항목에서 정의되어 해당 정책이 할당된 사용자 항목에서 참조됩니다. 사용자 항목이 개별 정책을 참조하지 않으면 cn=PasswordPolicy,cn=config에 있는 전역 암호 정책이 적용됩니다.

다음 절에서는 암호 정책의 구현 방법과 이 암호 정책을 사용자 및 그룹에 할당하는 방법에 대해 설명합니다. 자세한 내용은 Sun ONE Directory Server Deployment Guide의 Chapter 7, "Designing Your Password Policies"를 참조하십시오.

사전 스타일 공격 차단

사전 스타일의 공격에서 침입자는 인증을 받을 때까지 반복해서 암호를 추측하여 암호를 해독하려고 합니다. 서버는 이러한 공격을 차단할 수 있는 다음 세 가지 도구를 제공합니다.

• 암호 구문 검사는 사용자 항목의 uid, cn, sn, givenName, ou 또는 mail 속성 값과 일치하지 않는 암호를 확인합니다. 암호가 이들 값 중 하나와 일치하면 서버는 사용자의 암호 설정을 허용하지 않습니다. 하지만 구문 검사를 통해 침입자가 /usr/dict/words에 있는 모든 단어를 시도하는 실제 사전 공격을 차단할 수는 없습니다.
• 최소 암호 길이는 사용자가 짧은 암호를 설정할 수 없도록 차단합니다. 문자 수가 많을수록 암호를 추측하거나 모든 값을 시도하기가 더 어렵습니다. Directory Server에서는 암호 구문 검사와 최소 길이를 동시에 사용해야 합니다.
• 계정 잠금 메커니즘은 일정 횟수의 인증 시도 실패 후에 바인드를 금지합니다. 원하는 암호 정책의 강도에 따라 일시적 또는 영구적으로 잠금을 설정할 수 있습니다.

두 방법 모두 암호 자동 추측을 효과적으로 방지합니다. 예를 들어, 5회의 시도 후에 5분 동안 사용자 계정을 잠그면 침입자는 분 당 평균 1회의 추측만 할 수 있도록 제한되고 실수로 잘못 입력한 사용자도 일시적으로 불편을 겪을 뿐입니다. 영구적 잠금을 설정한 경우에는 디렉토리 관리자가 사용자 암호를 수동으로 재설정해야 합니다.

복제된 환경의 암호 정책

개별 암호 정책과 전역 암호 정책이 모두 복제되므로 마스터에서 암호 정책을 정의하여 복제된 서버로 전파할 수 있습니다. 암호 기록(이전에 사용한 암호)과 암호 만료일이 포함된 작동 가능 속성을 비롯하여 설정한 모든 속성이 복제됩니다.

하지만 복제된 환경에서는 암호 정책에 의한 다음과 같은 영향에 주의해야 합니다.

• 암호가 곧 만료되는 사용자는 암호를 변경할 때까지 자신이 바인드하는 모든 복제본으로부터 경고를 받게 됩니다.
• 사용자가 암호를 변경해도 이 정보가 모든 복제본에서 업데이트되려면 상당한 시간이 소요될 수 있습니다. 사용자가 암호를 변경한 후 즉시 새 암호를 사용하여 소비자 복제본 중 하나에 다시 바인드하면 복제본이 업데이트된 암호를 받을 때까지 바인드가 실패할 수도 있습니다.
• 각각의 복제본에서 복제되지 않는 별도의 계정 잠금 카운터를 유지하므로 모든 개별 복제본에서는 잠금 정책이 실행되지만 사용자가 여러 복제본에 바인드를 시도하는 경우 잠금 정책을 무시할 수도 있습니다. 예를 들어, 복제 토폴로지에 10대의 서버가 있고 3회의 시도 후에 잠금이 활성화되면 침입자는 잠재적으로 30회의 암호 추측 시도를 할 수 있습니다.

복제 시 침입자에게 허용되는 추측 횟수가 증가하지만 수십억 개의 암호 수에 비하면 이 횟수는 큰 문제가 되지 않습니다. 암호 검사를 활성화하고 6자 이상의 암호 길이를 설정하여 사용자가 강력한 암호를 지정하도록 강제하는 것이 훨씬 중요합니다. 또한 일반 사전 단어가 아닌 암호를 선택하여 기억하는 방법에 대한 지침을 사용자에게 제공해야 합니다. 마지막으로 모든 디렉토리 관리자 사용자가 매우 강력한 암호를 지정하도록 해야 합니다.

전역 암호 정책 구성

---

전역 암호 정책은 개별 정책이 정의되어 있지 않은 디렉토리의 모든 사용자에게 적용되지만 디렉토리 관리자에게는 적용되지 않습니다.

콘솔에서 암호 정책 구성

Directory Server에 대한 전역 암호 정책을 설정 또는 수정하려면 다음을 수행합니다.

1. Directory Server 콘솔의 최상위 "구성" 탭에서 "데이터" 노드를 선택한 다음 오른쪽 패널에서 "암호" 탭을 선택합니다.
2. "암호" 탭에서 정책의 다음 측면을 설정합니다.
3. "재설정 후 사용자가 암호를 변경해야 합니다" 확인란을 선택하여 사용자가 처음 로그온할 때 자신의 암호를 변경하도록 지정합니다.

이 확인란을 선택하면 디렉토리 관리자만 사용자 암호를 재설정할 수 있습니다. 일반 관리자 사용자는 사용자의 암호 업데이트를 강제할 수 없습니다.

4. 사용자가 자신의 암호를 변경할 수 있도록 허용하려면 "사용자가 암호를 변경할 수 있습니다" 확인란을 선택합니다.
5. 사용자가 자신의 암호를 변경할 수 있는 빈도를 제한하려면 "X일 내 변경 허용" 텍스트 상자에 일 수를 입력합니다. 사용자가 원하는 대로 암호를 변경할 수 있게 하려면 "제한 없음" 확인란을 선택합니다.
6. 사용자가 같은 단어를 반복해서 사용할 수 없도록 차단하려면 "암호 기록 유지" 확인란을 선택하고 서버에서 각 사용자 텍스트 상자에 유지할 암호 수를 지정합니다. 이 경우 사용자는 목록에 있는 암호를 설정할 수 없습니다. 효과적으로 설정하려면 사용자가 암호를 변경할 수 있는 빈도도 제한해야 합니다.
7. 사용자 암호가 만료되지 않도록 하려면 "암호가 만료되지 않음" 라디오 버튼을 선택합니다.
8. 그렇지 않으면 "X일 후 암호 만료" 라디오 버튼을 선택하여 사용자가 정기적으로 암호를 변경하도록 설정한 다음, 사용자 암호의 유효 일 수를 입력합니다.
9. 암호 만료를 선택한 경우 "암호가 만료되기 X일 전에 경고 보내기" 필드에 암호가 만료되기 며칠 전에 사용자에게 경고를 보낼지 지정할 수 있습니다.

사용자가 경고를 받으면 암호는 원래 날짜에 만료됩니다. 경고를 보낸 후 충분한 경고 기간을 제공하기 위해 만료를 연장하려면 "경고에 관계 없이 만료됨" 확인란을 선택 취소합니다. 한 번의 경고와 1회 연장만 지원됩니다. 사용자가 암호 만료 후에 바인드할 경우 유예 로그인은 허용되지 않습니다.

10. 서버에서 사용자 암호 구문을 검사하여 암호 정책에 설정된 최소 요구 사항을 충족하는지 확인하려면 "암호 구문 검사" 확인란을 선택합니다. 그런 다음 "암호의 최소 길이" 텍스트 상자에 허용되는 최소 암호 길이를 지정합니다.
11. 기본적으로 디렉토리 관리자는 기록에 있는 암호의 재사용 등과 같이 암호 정책에 위반되는 암호를 재설정할 수 없습니다. 이를 허용하려면 "디렉토리 관리자가 암호 정책을 무시할 수 있음" 확인란을 선택합니다.
12. 서버에서 암호를 저장할 때 사용할 암호화 방법을 "암호 암호화" 풀다운 메뉴에서 지정합니다.
3. "계정 잠금" 탭을 누르고 "계정을 잠글 수 있음" 확인란을 선택하여 다음과 같이 계정 잠금 정책을 정의합니다.
4. 잠금을 실행하는 데 필요한 로그인 실패 횟수 및 기간를 입력합니다.
5. "영구히 잠금" 라디오 버튼을 선택하여 디렉토리 관리자가 사용자 암호를 재설정할 때까지 영구 잠금을 설정합니다.
6. 그렇지 않으면 "잠금 기간" 라디오 버튼을 선택하고 사용자 계정을 일시적으로 잠글 시간
   (분)을 입력합니다.
4. 암호 정책 변경이 끝나면 "저장"을 누릅니다. 새 전역 암호 정책이 즉시 실행됩니다.

명령줄에서 암호 정책 구성

전역 암호 정책은 cn=Password Policy, cn=config 항목의 속성에 의해 정의됩니다. 이 항목에 있는 전역 정책을 변경하려면 ldapmodify 유틸리티를 사용합니다.

암호 정책에 사용할 수 있는 모든 속성 정의에 대해서는 Sun ONE Directory Server Reference Manual의 Chapter 4, "cn=Password Policy"에서 설명합니다.

예를 들어, 암호 구문 및 길이 검사는 기본적으로 사용되지 않으며 계정 잠금도 비활성화됩니다. 구문 검사를 활성화하고 최소 길이를 8로 설정하며 5회의 잘못된 암호 입력 후에 5분 동안 일시적으로 계정을 잠그려면 아래 명령을 실행합니다.

ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: cn=Password Policy,cn=config
changetype: modify
replace: passwordCheckSyntax
passwordCheckSyntax: on
-
replace: passwordMinLength
passwordMinLength: 8
-
replace: passwordLockout
passwordLockout: on
-
replace: passwordMaxFailure
passwordMaxFailure: 5
-
replace: passwordLockoutDuration
passwordLockoutDuration: 300
-
replace: passwordUnlock
passwordUnlock: on

개별 암호 정책 관리

---

개별 암호 정책은 passwordPolicy 개체 클래스가 있는 하위 항목에 정의됩니다. 디렉토리 트리에서 cn=policy name,subtree 형식의 DN이 있는 모든 항목에서 정책을 정의할 수 있습니다. Directory Server 콘솔이나 명령줄 유틸리티에서 암호 정책을 정의한 다음 원하는 사용자 항목에 passwordPolicySubentry 속성을 설정하여 할당합니다.

이 절에서는 하위 트리 루트가 dc=example,dc=com인 example.com의 임시 직원들에 대한 암호 정책 구현 예제를 소개합니다.

콘솔에서 정책 정의

1. Directory Server 콘솔의 최상위 "디렉토리" 탭에서 개별 암호 정책 하위 항목을 정의할 항목을 표시합니다.
2. 항목을 마우스 오른쪽 버튼으로 누르고 "새로 만들기 > 암호 정책"을 선택합니다. 또는 항목을 왼쪽 마우스 버튼으로 눌러 선택한 다음 "개체" 메뉴에서 "새로 만들기 > 암호 정책"을 선택할 수도 있습니다.

암호 정책 항목의 사용자 정의 편집기가 표시됩니다.

3. "일반" 필드에 이 정책의 이름 및 설명(선택 사항)을 입력합니다. 이 이름은 정책을 정의하는 하위 항목의 cn 이름 지정 속성 값이 됩니다.
4. "암호" 탭을 눌러 정책의 다음 측면을 설정합니다.
5. "재설정 후 사용자가 암호를 변경해야 합니다" 확인란을 선택하여 사용자가 처음 로그온할 때 자신의 암호를 변경하도록 지정합니다.

이 확인란을 선택하면 디렉토리 관리자만 사용자 암호를 재설정할 수 있습니다. 일반 관리자 사용자는 사용자의 암호 업데이트를 강제할 수 없습니다.

6. 사용자가 자신의 암호를 변경할 수 있도록 허용하려면 "사용자가 암호를 변경할 수 있습니다" 확인란을 선택합니다.
7. 사용자가 자신의 암호를 변경할 수 있는 빈도를 제한하려면 "X일 내 변경 허용" 텍스트 상자에 일 수를 입력합니다. 사용자가 원하는 대로 암호를 변경할 수 있게 하려면 "제한 없음" 확인란을 선택합니다.
8. 사용자가 같은 단어를 반복해서 사용할 수 없도록 차단하려면 "암호 기록 유지" 확인란을 선택하고 서버에서 각 사용자 텍스트 상자에 유지할 암호 수를 지정합니다. 이 경우 사용자는 목록에 있는 암호를 설정할 수 없습니다. 효과적으로 설정하려면 사용자가 암호를 변경할 수 있는 빈도도 제한해야 합니다.
9. 사용자 암호가 만료되지 않도록 하려면 "암호가 만료되지 않음" 라디오 버튼을 선택합니다.
10. 그렇지 않으면 "X일 후 암호 만료" 라디오 버튼을 선택하여 사용자가 정기적으로 암호를 변경하도록 설정한 다음, 사용자 암호의 유효 일 수를 입력합니다.
11. 암호 만료를 선택한 경우 암호가 만료되기 며칠 전에 사용자에게 경고를 보낼지 지정할 수 있습니다. "암호가 만료되기 X일 전에 경고 보내기" 텍스트 상자에 경고를 보낼 암호 만료 전의 일 수를 입력합니다.

사용자가 경고를 받으면 암호는 원래 날짜에 만료됩니다. 경고를 보낸 후 충분한 경고 기간을 제공하기 위해 만료를 연장하려면 "경고에 관계 없이 만료됨" 확인란을 선택 취소합니다. 한 번의 경고와 1회 연장만 지원됩니다. 사용자가 암호 만료 후에 바인드할 경우 유예 로그인은 허용되지 않습니다.

12. 서버에서 사용자 암호 구문을 검사하여 암호 정책에 설정된 최소 요구 사항을 충족하는지 확인하려면 "암호 구문 검사" 확인란을 선택합니다. 그런 다음 "암호의 최소 길이" 텍스트 상자에 허용되는 최소 암호 길이를 지정합니다.
13. 기본적으로 디렉토리 관리자는 기록에 있는 암호의 재사용 등과 같이 암호 정책에 위반되는 암호를 재설정할 수 없습니다. 이를 허용하려면 "디렉토리 관리자가 암호 정책을 무시할 수 있음" 확인란을 선택합니다.
14. 서버에서 암호를 저장할 때 사용할 암호화 방법을 "암호 암호화" 풀다운 메뉴에서 지정합니다.
5. "잠금" 탭을 누르고 "계정을 잠글 수 있음" 확인란을 선택하여 다음과 같이 계정 잠금 정책을 정의합니다.
6. 잠금을 실행하는 데 필요한 로그인 실패 횟수 및 기간를 입력합니다.
7. "영구히 잠금" 라디오 버튼을 선택하여 디렉토리 관리자가 사용자 암호를 재설정할 때까지 영구 잠금을 설정합니다.
8. 그렇지 않으면 "잠금 기간" 라디오 버튼을 선택하고 사용자 계정을 일시적으로 잠글 시간(분)을 입력합니다.
6. 사용자 정의 편집기에서 "확인"을 눌러 정책을 저장하고 해당 하위 항목을 작성합니다.

명령줄에서 정책 정의

이 보안 정책에서 임시 직원의 암호는 100일(8 640 000초) 후에 만료되며, 암호 만료 3일(259 200초) 전부터 사용자가 바인드할 때 암호 만료에 대한 경고가 반환된다고 가정해 보십시오. 구문 검사를 활성화하여 암호 보안에 대한 최소 검사를 강제하고, 침입자가 디렉토리 공격을 통해 암호를 해독하지 못하도록 차단하는 잠금을 실행합니다. 정책의 다른 설정은 기본값을 적용합니다.

dc=example,dc=com에 다음과 같은 하위 항목을 추가하여 example.com 하위 트리에 이 암호 정책을 정의합니다.

ldapmodify -a -h host -p port -D "cn=Directory Manager" -w password
dn: cn=TempPolicy,dc=example,dc=com
objectClass: top
objectClass: passwordPolicy
objectClass: LDAPsubentry
cn: TempPolicy
passwordStorageScheme: SSHA
passwordChange: on
passwordMustChange: on
passwordCheckSyntax: on
passwordExp: on
passwordExp: on
passwordMinLength: 6
passwordMaxAge: 8640000
passwordMinAge: 0
passwordWarning: 259200
passwordInHistory: 6
passwordLockout: on
passwordMaxFailure: 3
passwordUnlock: on
passwordLockoutDuration: 3600
passwordResetFailureCount: 600

암호 정책에 사용할 수 있는 모든 속성 정의에 대해서는 Sun ONE Directory Server Reference Manual의 Chapter 4, "cn=Password Policy"에서 설명합니다.

암호 정책 할당

개별 암호 정책을 할당하려면 해당 정책 하위 항목을 지정해야 합니다. passwordPolicySubentry 값으로 개별 항목에 정책을 추가하거나 CoS 및 역할을 사용하여 정책을 관리합니다. 사용자가 자신에게 적용되는 암호 정책을 수정할 수 없도록 차단하는 액세스 제어도 설정해야 합니다.

콘솔 사용

Directory Server 콘솔은 사용자 또는 그룹에 할당된 암호 정책을 관리할 수 있는 다음과 같은 인터페이스를 제공합니다.

1. Directory Server 콘솔의 최상위 "디렉토리" 탭에서 개별 암호 정책을 할당하거나 수정할 사용자 또는 그룹 항목을 표시합니다.
2. 항목을 마우스 오른쪽 버튼으로 누르고 팝업 메뉴에서 "암호 정책 설정"을 선택합니다. 또는 항목을 왼쪽 마우스 버튼으로 눌러 선택한 다음 "개체" 메뉴에서 "암호 정책 설정"을 선택할 수도 있습니다.
3. 이 항목에 적용되는 암호 정책이 "암호 정책" 대화 상자에 표시됩니다.
4. 전역 정책이 적용되면 "할당"을 눌러 디렉토리 트리에서 암호 정책 하위 항목을 선택합니다.
5. 개별 정책이 정의되어 있으면 이 정책을 바꾸거나 제거 또는 편집할 수도 있습니다. "정책 편집"을 누르면 지정된 정책 하위 항목의 사용자 정의 편집기가 실행됩니다.

암호 정책을 할당하거나 바꾸면 디렉토리 브라우저 대화 상자가 실행되며, 여기서 작은 키 아이콘이 표시된 암호 정책 하위 항목을 찾을 수 있습니다.

4. 정책을 변경한 경우 "암호 정책" 대화 상자에서 "확인"을 누릅니다. 새 정책이 즉시 적용됩니다.

명령줄 사용

사용자 또는 그룹 항목에 암호 정책을 할당하려면 암호 정책의 DN을 passwordPolicySubentry 속성 값으로 추가합니다. 예를 들어, 아래 명령은 cn=TempPolicy,dc=example,dc=com을 Barbara Jensen에게 할당합니다.

ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: uid=bjensen,ou=People,dc=example,dc=com
changetype: modify
add: passwordPolicySubentry
passwordPolicySubentry: cn=TempPolicy,dc=example,dc=com

역할 및 CoS 사용

사용자와 역할을 그룹화하는 경우 CoS를 사용하여 해당 정책 하위 항목을 지정할 수 있습니다. 역할 및 CoS 사용에 대한 자세한 내용은 5장 "고급 항목 관리를 참조하십시오.

예를 들어, 아래 명령은 example.com의 임시 직원에 대한 필터링된 역할을 작성하고 이 역할이 지정된 직원에게 cn=TempPolicy,dc=example,dc=com을 할당합니다.

ldapmodify -a -h host -p port -D "cn=Directory Manager" -w password
dn: cn=TempFilter,ou=people,dc=example,dc=com
objectclass: top
objectclass: LDAPsubentry
objectclass: nsRoleDefinition
objectclass: nsComplexRoleDefinition
objectclass: nsFilteredRoleDefinition
cn: TempFilter
nsRoleFilter: (&(objectclass=person)(status=contractor))
description: filtered role for temporary employees

dn: cn=PolTempl,dc=example,dc=com
objectclass: top
objectclass: nsContainer

dn: cn="cn=TempFilter,ou=people,dc=example,dc=com",
 cn=PolTempl,dc=example,dc=com
objectclass: top
objectclass: extensibleObject
objectclass: LDAPsubentry
objectclass: costemplate
cosPriority: 1
passwordPolicySubentry: cn=TempPolicy,dc=example,dc=com

dn: cn=PolCoS,dc=example,dc=com
objectclass: top
objectclass: LDAPsubentry
objectclass: cosSuperDefinition
objectclass: cosClassicDefinition
cosTemplateDN: cn=PolTempl,dc=example,dc=com
cosSpecifier: nsRole
cosAttribute: passwordPolicySubentry operational

이제 계약 직원의 상태가 지정된 사용자는 cn=TempPolicy,dc=example,dc=com 암호 정책의 적용을 받습니다.

개별 암호 정책 보호

사용자가 자신에게 적용되는 암호 정책을 수정할 수 없도록 차단하려면 루트 항목에 다음과 같은 ACI도 추가해야 합니다.

ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr != "passwordPolicySubentry")(version 3.0; acl
 "Allow self entry modification except for passwordPolicySubentry";
 allow (write) (userdn ="ldap:///self");)

사용자 암호 재설정

---

디렉토리는 사용자 항목의 userPassword 속성에 암호 값을 저장합니다. 서버에 대한 액세스 제어 설정에 따라 사용자는 ldapmodify와 같은 표준 도구를 사용하여 userPassword 값을 지정한 암호 정책에 맞게 설정할 수도 있습니다.

영구 계정 잠금이 발생한 경우(암호 정책에서 사용자의 작동 가능 속성인 accountUnlockTime이 0이고 passwordUnlock이 off인 경우) 디렉토리 관리자로 암호를 재설정하여 사용자 계정을 잠금 해제할 수 있습니다. 예를 들어, example.com의 디렉토리 사용자인 Barbara Jensen이 암호를 잊어버려서 추측 시도한 후에 영구 잠금이 발생했다고 가정하면 아래 명령을 실행합니다.

ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: uid=bjensen,ou=People,dc=example,dc=com
changetype: modify
replace: userPassword
userPassword: ChAnGeMe

암호 정책에서 passwordMustChange가 on으로 설정되어 있으면 Barbara는 다음에 바인드할 때 자신의 암호를 변경해야 합니다. 가능하면 보안 채널을 통해 암호가 ChAnGeMe로 변경되었다고 알려주십시오.

사용자와 역할 비활성화 및 활성화

---

개별 사용자 계정이나 계정 집합을 일시적으로 비활성화할 수 있습니다. 비활성화된 사용자는 디렉토리에 바인드할 수 없으며 인증 작업이 실패합니다.

이 절에 설명된 절차에 따라 사용자와 역할을 동일한 방식으로 비활성화할 수 있습니다. 하지만 역할을 비활성화하는 경우 역할 자체가 아닌 이 역할의 구성원이 비활성화됩니다. 역할에 대한 일반적인 내용 및 역할이 특히 액세스 제어와 어떻게 상호 작용하는지에 대한 자세한 설명은 5장 "고급 항목 관리를 참조하십시오.

콘솔에서 사용자 및 역할 활성화 설정

1. Directory Server 콘솔의 최상위 "디렉토리" 탭에서 디렉토리 트리를 탐색하여 비활성화하거나 다시 활성화할 사용자 또는 역할 항목을 표시합니다.
2. 항목을 두 번 눌러 해당 사용자 정의 편집기를 표시하고 왼쪽 열에서 "계정" 탭을 누릅니다.

오른쪽 패널에 항목의 활성화 상태가 표시됩니다.

3. 이 항목에 해당하는 사용자 또는 역할을 비활성화하거나 활성화하는 버튼을 누릅니다. 편집기의 사용자 또는 역할 아이콘에 빨간색 상자와 막대가 표시되면 해당 항목은 비활성화됩니다.
4. "확인"을 눌러 대화 상자를 닫고 항목의 새 활성화 상태를 저장합니다.

사용자 정의 편집기를 여는 단축키로, 항목을 선택하고 "개체" 메뉴에서 "비활성화" 또는
"활성화"를 선택할 수도 있습니다.

콘솔의 "보기 > 표시" 메뉴에서 "비활성화 상태"를 선택하여 디렉토리 개체의 활성화 상태를 표시할 수 있습니다. 이렇게 하면 모든 비활성화 항목의 아이콘에 빨간색 막대가 표시됩니다. 직접 비활성화되었든 아니면 역할 구성원을 통해 비활성화되었든 관계 없이 사용자 항목의 올바른 활성화 상태가 표시됩니다.

명령줄에서 사용자 및 역할 활성화 설정

사용자 계정 또는 역할 구성원을 비활성화하려면 ns-inactivate.pl 스크립트(Solaris 패키지의 directoryserver account-inactivate)를 사용합니다. 사용자 또는 역할을 활성화하거나 다시 활성화하려면 ns-activate.pl 스크립트(Solaris 패키지의 directoryserver account-inactivate)를 사용합니다. 이 스크립트에 대한 명령은 플랫폼에 따라 달라집니다.

Solaris 패키지	# /usr/sbin/directoryserver account-inactivate # /usr/sbin/directoryserver account-activate
Windows 플랫폼	cd ServerRoot bin\slapd\admin\bin\perl slapd-serverID\ns-inactivate.pl bin\slapd\admin\bin\perl slapd-serverID\ns-activate.pl
기타 설치	# ServerRoot/slapd-serverID/ns-inactivate.pl # ServerRoot/slapd-serverID/ns-activate.pl

아래 명령은 perl 스크립트를 사용하여 Barbara Jensen의 사용자 계정을 비활성화하거나 다시 활성화하는 방법을 보여줍니다.

ns-inactivate.pl -h host -p port -D "cn=Directory Manager" -w password \
                 -I "uid=bjensen,ou=People,dc=example,dc=com"

ns-activate.pl -h host -p port -D "cn=Directory Manager" -w password \
               -I "uid=bjensen,ou=People,dc=example,dc=com"

두 명령에서 -I 옵션은 활성화 상태를 설정할 사용자 또는 역할의 DN을 지정합니다.

자세한 내용은 Sun ONE Directory Server Reference Manual의 Chapter 2, "ns-inactivate.pl" 및 "ns-activate.pl"을 참조하십시오.

개별 자원 제한 설정

---

디렉토리에 바인드하는 클라이언트 응용 프로그램의 특수 작동 가능 속성 값을 사용하여 검색 작업에 대한 서버 제한을 제어할 수 있습니다. 다음과 같은 검색 작업 제한을 설정할 수 있습니다.

• 조회 제한은 검색 작업 시 조사할 최대 항목 수를 지정합니다.
• 크기 제한은 서버에서 검색 작업에 응답하여 클라이언트 응용 프로그램에 반환하는 최대 항목 수를 지정합니다.
• 시간 제한은 서버에서 검색 작업 처리에 사용할 수 있는 최대 시간을 지정합니다.
• 유휴 시간 초과는 서버에서 연결을 중지할 때까지 클라이언트의 서버 연결을 유휴 상태로 유지할 수 있는 시간을 지정합니다.

---

주	기본적으로 디렉토리 관리자가 사용할 수 있는 자원에는 제한이 없습니다.

---

특정 사용자에 대해 설정한 자원 제한은 전역 서버 구성에서 설정한 기본 자원 제한보다 우선합니다. 사용자 항목이 포함된 접미사에 있는 아래 ACI에서 개별 자원 제한이 저장된 속성의 자체 수정을 차단하는지 확인해야 합니다.

(targetattr != "nsroledn || aci || nsLookThroughLimit || nsSizeLimit || nsTimeLimit || nsIdleTimeout || passwordPolicySubentry || passwordExpirationTime || passwordExpWarned || passwordRetryCount || retryCountResetTime || accountUnlockTime || passwordHistory || passwordAllowChangeTime")(version 3.0; acl "Allow self entry modification except for nsroledn, aci, resource limit attributes, passwordPolicySubentry and password policy state attributes"; allow (write)userdn ="ldap:///self";)

콘솔에서 자원 제한 설정

1. Directory Server 콘솔의 최상위 수준 "디렉토리" 탭에서 디렉토리 트리를 탐색하여 자원 제한을 설정할 사용자를 표시합니다.
2. 항목을 두 번 눌러 해당 사용자 정의 편집기를 표시하고 왼쪽 열에서 "계정" 탭을 누릅니다. 오른쪽 패널에 현재 항목에 설정된 제한이 표시됩니다.
3. 위에 설명된 자원 제한에 대한 네 개의 텍스트 필드에 값을 입력합니다. -1의 값은 해당 자원에 대한 제한이 없음을 나타냅니다.
4. 입력이 끝나면 "확인"을 눌러 새 제한을 저장합니다.

명령줄에서 자원 제한 설정

ldapmodify 명령을 사용하여 다음과 같은 사용자 항목 속성을 설정함으로써 해당 사용자의 자원 사용을 제한할 수 있습니다.

속성	설명
nsLookThroughLimit	검색 작업 시 조사할 수 있는 항목 수를 지정하므로 속성 값은 항목 수가 됩니다. 속성 값이 -1이면 제한 없음을 나타냅니다.
nsSizeLimit	서버에서 검색 작업에 응답하여 클라이언트 응용 프로그램에 반환하는 최대 항목 수를 지정합니다. 속성 값이 -1이면 제한 없음을 나타냅니다.
nsTimeLimit	서버에서 검색 작업 처리에 사용할 수 있는 최대 시간을 지정합니다. 속성 값이 -1이면 시간 제한 없음을 나타냅니다.
nsIdleTimeout	연결이 끊길 때까지 서버 연결을 유휴 상태로 유지할 수 있는 시간을 지정합니다. 값은 초 단위로 설정됩니다. 속성 값이 -1이면 제한 없음을 나타냅니다.

예를 들어, ldapmodify 명령을 다음과 같이 실행하여 항목에 크기 제한을 설정할 수 있습니다.

ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: uid=bjensen,ou=People,dc=example,dc=com
changetype: modify
add: nsSizeLimit
nsSizeLimit: 500

위의 ldapmodify 명령문은 nsSizeLimit 속성을 Barbara Jensen의 항목에 추가하고 검색 결과로 반환되는 최대 항목 수를 500개로 제한합니다.