Sun Java System Instant Messaging 7.2 관리 설명서

11장 Instant Messaging의 LDAP 액세스 구성 관리

Access Manager 배포 및 비배포 환경의 Instant Messaging에서 LDAP가 사용되는 방법을 설명하기 위해 이 장에서 다루는 내용은 다음과 같습니다.

Instant Messaging에서의 LDAP 사용 방법 개요

모든 Instant Messaging 배포에는 디렉토리 서버가 필요합니다. Sun Java^TM System Access Manager가 없는 배포 환경에서 Instant Messaging 서버는 디렉토리 서버를 사용하여 최종 사용자에 대한 인증 및 검색을 수행합니다.

그러나 Sun Java System Portal Server가 있는 배포 환경인 경우 Instant Messaging 서버는 Sun Java System Portal Server에서 사용되는 디렉토리를 사용합니다. Access Manager 배포 환경에 설치되는 경우 Instant Messaging 서버는 Access Manager에서 사용되는 디렉토리를 통해 최종 사용자를 검색하지만 최종 사용자 인증에는 이 디렉토리를 사용하지 않습니다. Access Manager 배포 환경의 경우 Access Manager에서 인증을 수행합니다.

LDAP 디렉토리를 사용하여 사용자 이름 공간을 유지하는 경우 기본 구성은 이 디렉토리에서 사용되는 스키마에 대해 다음과 같이 가정합니다.

최종 사용자 항목은 inetOrgPerson 객체 클래스로 식별됩니다.
그룹 항목은 groupOfUniqueNames 또는 groupofURLs 객체 클래스로 식별됩니다.
최종 사용자의 Instant Messenger 아이디 속성은 inetOrgPerson 객체 클래스의 uid 속성에서 제공합니다.
최종 사용자의 전자 메일 주소는 mail 속성에서 제공합니다.
최종 사용자나 그룹의 표시 이름은 cn 속성에서 제공합니다.
그룹 구성원 목록은 groupOfUniqueNames 객체 클래스의 uniqueMember 속성에서 제공합니다.

이러한 기본 설정은 iim.conf 파일을 편집하여 변경할 수 있습니다. iim.conf 파일 구문을 참조하십시오.

주의 –

일부 사용자 속성에는 기밀 정보가 포함될 수 있습니다. 이 경우 권한이 없는 사용자가 무단으로 액세스하지 못하도록 디렉토리 액세스 제어를 설정해야 합니다. 자세한 내용은 디렉토리 설명서를 참조하십시오.

디렉토리 익명 검색

Instant Messaging은 디렉토리를 검색할 수 있어야 기능을 제대로 수행합니다. 익명 사용자가 검색할 수 있도록 디렉토리를 구성하면 Instant Messaging에서 이 디렉토리를 검색할 수 있습니다. 익명 사용자가 디렉토리를 읽거나 검색할 수 없으면 디렉토리에 대한 읽기 액세스 권한이 있는 사용자 아이디의 자격 증명으로 iim.conf를 구성하는 단계를 추가로 수행해야 합니다. 이 자격 증명은 다음과 같이 구성됩니다.

고유 이름(dn)
이 dn의 비밀번호

서버에서 특정 최종 사용자로서 디렉토리를 검색할 수 있도록 하려면

iim.conf에서 다음 매개 변수에 대한 값을 확인합니다.
- iim_ldap.usergroupbinddn - 검색을 위해 디렉토리에 바인드할 때 사용할 고유 이름(dn)을 지정합니다.
- iim_ldap.usergroupbindcred - 고유 이름(dn)에 사용할 비밀번호를 지정합니다.
예를 들면 다음과 같습니다.

iim_ldap.usergroupbinddn="cn=iim server,o=i-zed.com"

iim_ldap.usergroupbindcred=secret

주 –
도메인 트리에 대해서는 읽기 액세스 권한만 있으면 되므로 쓰기 수준 액세스 권한을 가진 관리자 수준 자격 증명을 사용하지 않아도 됩니다. 따라서 읽기 액세스 권한이 있는 LDAP 사용자는 자신의 자격 증명을 대신 사용합니다. 관리자 수준 자격 증명을 유포할 필요가 없으므로 더 안전한 방법입니다.

iim.conf 파일 찾기 및 수정에 대한 지침은 iim.conf 파일 구문을 참조하십시오.

Sun Java System Access Manager와 함께 배포할 때 익명 사용자가 디렉토리를 검색할 수 없으면 다음을 수행합니다.
- iim_ldap.useidentityadmin 구성 매개 변수를 true로 설정합니다.
- 또한 다음 구성 매개 변수를 삭제하거나 주석 처리할 수도 있습니다.
  - iim_ldap.usergroupbinddn
  - iim_ldap.usergroupbindcred

iim.conf 파일을 편집합니다.

iim.conf 파일 찾기 및 수정에 대한 지침은 iim.conf 파일 구문을 참조하십시오.

iim.conf 파일에 iim_ldap.usergroupbinddn 및 iim_ldap.usergroupbindcred 매개 변수가 없는 경우 파일에서 원하는 위치에 이러한 매개 변수를 추가할 수 있습니다.

LDAP 동적 그룹 사용을 위한 Instant Messaging 구성

Sun Java System Directory Server 및 일부 기타 LDAP 서버에서 동적 그룹은 최종 사용자를 DN에 기반하여 필터링하고 단일 그룹에 포함시킵니다. 동적 그룹은 Directory Server에서 groupOfUrls 객체 클래스로 정의됩니다.

최종 사용자가 검색 결과에서 동적 그룹을 보고 자신의 대화 상대 목록에 추가할 수 있도록 하려면 검색 결과에 groupOfUrls 객체를 포함시켜야 합니다.

이 경우 iim.conf 파일을 다음과 같이 수정해야 합니다.

동적 그룹을 사용하도록 Instant Messaging을 구성하려면

iim.conf를 엽니다.

iim.conf 파일 찾기 및 수정에 대한 지침은 iim.conf 파일 구문을 참조하십시오.

iim.conf에 다음 세 줄을 추가합니다.

iim_ldap.usergroupbynamesearchfilter=(|(&(|
(objectclass=groupofuniquenames)
(objectclass=groupofurls)))
(cn={0}))(&(objectclass=inetorgperson)
(cn={0})))

iim_ldap.groupbrowsefilter=(|
(objectclass=groupofuniquenames)
(objectclass=groupofurls))

iim_ldap.groupclass=groupOfUniqueNames,groupOfURLs

한 줄 내에는 줄바꿈을 사용하지 마십시오. 속성 이름과 객체 클래스 이름은 구성할 수 있습니다. 기본적으로 memberOfUrls 속성은 동적 그룹의 구성원 속성으로 사용됩니다. memberOfUrls 이외의 속성 이름을 사용하려면 iim_ldap.groupmemberurlattr 옵션을 원하는 속성 이름으로 설정합니다.