백엔드 LDAP 서버에 요청 전달

이 절에는 디렉토리 프록시 서버에서 백엔드 LDAP 서버에 요청을 전달하는 데 사용할 수 있는 다양한 방법에 대한 정보가 들어 있습니다.

바인드 재생을 사용하여 요청 전달

디렉토리 프록시 서버의 클라이언트 자격 증명을 위한 바인드 재생에 대한 자세한 내용은 Sun Java System Directory Server Enterprise Edition 6.3 Reference의 Directory Proxy Server Configured for BIND Replay를 참조하십시오. 다음 절차에서는 바인드 재생을 사용하여 디렉토리 프록시 서버에서 백엔드 LDAP 서버에 요청을 전달하는 방법에 대해 설명합니다.

바인드 재생을 사용하여 요청을 전달하는 방법

DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.

1. 클라이언트에서 제공된 자격 증명을 사용하여 백엔드 LDAP 서버에 대해 인증하도록 데이터 소스 클라이언트 자격 증명을 구성합니다.

   $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-client-identity

프록시 인증을 사용하여 요청 전달

디렉토리 프록시 서버의 프록시 인증에 대한 자세한 내용은 Sun Java System Directory Server Enterprise Edition 6.3 Reference의 Directory Proxy Server Configured for Proxy Authorization을 참조하십시오.

이 절은 프록시 인증 및 프록시 인증 제어를 사용하여 요청을 전달하는 절차로 구성되어 있습니다.

프록시 인증을 사용하여 요청을 전달하는 방법

1. 버전 1 또는 버전 2의 프록시 인증 제어가 필요하도록 데이터 소스를 구성합니다.

   예를 들어 버전 1의 프록시 인증 제어가 필요하도록 데이터 소스를 구성합니다.

   $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-use-v1:true

   또는 버전 2의 프록시 인증 제어가 필요하도록 데이터 소스를 구성합니다.

   $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-use-v1:false

2. 프록시 인증을 사용하여 백엔드 LDAP 서버에 대해 인증하도록 데이터 소스를 구성합니다.

   $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-proxy-auth

   쓰기 작업에만 프록시 인증을 사용하여 백엔드 LDAP 서버에 대해 인증하도록 데이터 소스를 구성하려면 다음 명령을 실행합니다.

   $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-proxy-auth-for-write

   쓰기 작업만 프록시 인증 제어를 사용하여 수행할 경우 읽기 요청에서는 클라이언트 아이디가 LDAP 서버에 전달되지 않습니다. 클라이언트 아이디 없이 요청을 전달하는 방법에 대한 자세한 내용은 클라이언트 아이디 없이 요청 전달을 참조하십시오.

3. 디렉토리 프록시 서버의 바인드 자격 증명을 사용하여 데이터 소스를 구성합니다.

   $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ bind-dn:DPS-bind-dn bind-pwd-file:filename

4. 시간 초과를 사용하여 데이터 소스를 구성합니다.

   $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-check-timeout:value

   디렉토리 프록시 서버는 getEffectiveRights 명령을 사용하여 프록시 인증에 대한 적절한 ACI가 클라이언트 DN에 있는지 확인합니다. 결과는 디렉토리 프록시 서버에 캐시되고 proxied-auth-check-timeout 만료 시에 갱신됩니다.

5. 필요한 경우 디렉토리 프록시 서버 인스턴스를 다시 시작하여 변경 사항을 적용합니다.

   디렉토리 프록시 서버를 다시 시작하는 방법에 대한 자세한 내용은 디렉토리 프록시 서버를 다시 시작하는 방법을 참조하십시오.

요청에 프록시 인증 제어가 포함된 경우 프록시 인증을 사용하여 요청을 전달하는 방법

DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.

1. 버전 1이나 2 또는 두 버전 모두 프록시 인증 제어를 허용하도록 디렉토리 프록시 서버를 구성합니다.

   $ dpconf set-server-prop -h host -p port allowed-ldap-controls:proxy-auth-v1 \ allowed-ldap-controls:proxy-auth-v2

클라이언트 아이디 없이 요청 전달

다음 절차에서는 클라이언트 아이디를 전달하지 않고 디렉토리 프록시 서버에서 백엔드 LDAP 서버에 요청을 전달하는 방법에 대해 설명합니다.

클라이언트 아이디 없이 요청을 전달하는 방법

DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.

1. 디렉토리 프록시 서버의 자격 증명을 사용하여 백엔드 LDAP 서버에 대해 인증하도록 데이터 소스를 구성합니다.

   $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-specific-identity

2. 디렉토리 프록시 서버의 바인드 자격 증명을 사용하여 데이터 소스를 구성합니다.

   $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ bind-dn:bind-dn-of-DPS bind-pwd-file:filename

3. 필요한 경우 디렉토리 프록시 서버 인스턴스를 다시 시작하여 변경 사항을 적용합니다.

   디렉토리 프록시 서버를 다시 시작하는 방법에 대한 자세한 내용은 디렉토리 프록시 서버를 다시 시작하는 방법을 참조하십시오.

대체 사용자로 요청 전달

이 절은 요청을 대체 사용자로 전달하는 방법에 대한 정보로 구성되어 있습니다.

원격 사용자 매핑을 구성하는 방법

DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.

1. 대체 사용자로 전달할 작업을 활성화합니다.

   $ dpconf set-server-prop -h host -p port enable-user-mapping:true

2. 원격 매핑을 위한 아이디를 포함하는 속성의 이름을 지정합니다.

   $ dpconf set-server-prop -h host -p port \ remote-user-mapping-bind-dn-attr:attribute-name

3. 클라이언트 아이디를 원격으로 매핑하도록 디렉토리 프록시 서버를 활성화합니다.

   $ dpconf set-server-prop -h host -p port enable-remote-user-mapping:true

4. 기본 매핑을 구성합니다.

   $ dpconf set-server-prop -h host -p port \ user-mapping-default-bind-dn:default-mapping-bind-dn \ user-mapping-default-bind-pwd-file:filename

   매핑된 아이디를 원격 LDAP 서버에서 찾을 수 없는 경우 클라이언트 아이디는 기본 아이디에 매핑됩니다.

5. 원격 LDAP 서버의 클라이언트에 대한 항목에서 사용자 매핑을 구성합니다.

   디렉토리 서버에서 사용자 매핑을 구성하는 방법에 대한 자세한 내용은 프록시 인증을 참조하십시오.

로컬 사용자 매핑을 구성하는 방법

DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.

1. 대체 사용자로 전달할 작업을 활성화합니다.

   $ dpconf set-server-prop -h host -p port enable-user-mapping:true

2. 디렉토리 프록시 서버가 클라이언트 아이디를 원격으로 매핑하도록 구성되지 않았는지 확인합니다.

   $ dpconf set-server-prop -h host -p port enable-remote-user-mapping:false

3. 기본 매핑을 구성합니다.

   $ dpconf set-server-prop -h host -p port \ user-mapping-default-bind-dn:default-mapping-bind-dn \ user-mapping-default-bind-pwd-file:filename

   원격 LDAP 서버의 매핑이 실패할 경우 클라이언트 아이디는 이 DN에 매핑됩니다.

4. 인증되지 않은 사용자가 작업을 수행하도록 허용할 경우 인증되지 않은 클라이언트에 대한 매핑을 구성합니다.

   $ dpconf set-server-prop -h host -p port \ user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \ user-mapping-anonymous-bind-pwd-file:filename

   인증되지 않은 사용자가 작업을 수행하도록 허용하는 방법에 대한 자세한 내용은 익명 액세스를 구성하는 방법을 참조하십시오.

5. 클라이언트의 아이디를 구성합니다.

   $ dpconf set-user-mapping-prop -h host -p port \ user-bind-dn:client-bind-dn user-bind-pwd-file:filename

6. 대체 사용자의 아이디를 구성합니다.

   $ dpconf set-user-mapping-prop -h host -p port \ mapped-bind-dn:alt-user-bind-dn mapped-bind-pwd-file:filename

익명 클라이언트에 대한 사용자 매핑을 구성하는 방법

DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.

1. 인증되지 않은 클라이언트에 대한 매핑을 구성합니다.

   $ dpconf set-server-prop -h host -p port \ user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \ user-mapping-anonymous-bind-pwd-file:filename

   익명 클라이언트에 대한 항목이 원격 LDAP 서버에 포함되어 있지 않으므로 익명 클라이언트에 대한 매핑이 디렉토리 프록시 서버에서 구성됩니다.

   인증되지 않은 사용자가 작업을 수행하도록 허용하는 방법에 대한 자세한 내용은 익명 액세스를 구성하는 방법을 참조하십시오.