test

Sun Java System Directory Server Enterprise Edition 6.3 관리 설명서

27장 디렉토리 프록시 서버 클라이언트 인증

디렉토리 프록시 서버에서 클라이언트 인증에 대한 개요는 Sun Java System Directory Server Enterprise Edition 6.3 Reference의 21 장, Directory Proxy Server Client Authentication을 참조하십시오.

이 장은 다음 내용으로 구성되어 있습니다.

클라이언트와 디렉토리 프록시 서버 간의 수신기 구성

디렉토리 프록시 서버에서는 클라이언트와의 통신을 위해 보안 수신기와 비보안 수신기가 제공됩니다. 디렉토리 프록시 서버의 수신기에 대한 자세한 내용은 Sun Java System Directory Server Enterprise Edition 6.3 ReferenceDirectory Proxy Server Client Listeners를 참조하십시오. 이 절에서는 수신기를 구성하는 방법에 대해 설명합니다.

Procedure클라이언트와 디렉토리 프록시 서버 간에 수신기를 구성하는 방법

주 –

이 절차에서는 클라이언트와 디렉토리 프록시 서버 간에 비보안 수신기를 구성합니다. 보안 수신기를 구성하려면 동일한 절차를 수행하되 ldapldaps로 바꿉니다.

DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오. DSCC에서는 성능 탭에서 이 등록 정보를 구성할 수 있습니다.

  1. 비보안 수신기의 등록 정보를 봅니다.


    $ dpconf get-ldap-listener-prop -h host -p port

    비보안 수신기의 기본 등록 정보는 다음과 같습니다.


    connection-idle-timeout          :  1h
connection-read-data-timeout     :  2s
connection-write-data-timeout    :  1h
is-enabled                       :  true
listen-address                   :  0.0.0.0
listen-port                      :  port-number
max-connection-queue-size        :  128
max-ldap-message-size            :  unlimited
number-of-threads                :  2
use-tcp-no-delay                 :  true

  2. 요구 사항에 따라 단계 1에 나열된 등록 정보 중 하나 이상을 변경합니다.


    $ dpconf set-ldap-listener-prop -h host -p port property:new-value

    예를 들어 host1에서 실행 중인 디렉토리 프록시 서버 인스턴스의 비보안 포트를 비활성화하려면 다음 명령을 실행합니다.


    $ dpconf set-ldap-listener-prop -h host1 -p 1389 is-enabled:false
    주의 – 주의 –

    권한이 없는 포트 번호를 사용하려면 디렉토리 프록시 서버를 루트로 실행해야 합니다.

    비보안 포트 번호를 변경하려면 다음 명령을 실행합니다.


    $ dpconf set-ldap-listener-prop -h host -p port listen-port:new-port-number

  3. 필요한 경우 디렉토리 프록시 서버 인스턴스를 다시 시작하여 변경 사항을 적용합니다.

    특정 수신기 등록 정보를 변경한 후에는 서버를 다시 시작해야 합니다. 서버를 다시 시작해야 하는 경우 dpconf는 경고를 표시합니다. 디렉토리 프록시 서버를 다시 시작하는 방법에 대한 자세한 내용은 디렉토리 프록시 서버를 다시 시작하는 방법을 참조하십시오.

디렉토리 프록시 서버에 대해 클라이언트 인증

기본적으로 디렉토리 프록시 서버는 단순 바인드 인증에 맞게 구성됩니다. 단순한 바인드 인증은 추가로 구성할 필요가 없습니다.

클라이언트와 디렉토리 프록시 서버 간 인증에 대한 자세한 내용은 Sun Java System Directory Server Enterprise Edition 6.3 ReferenceClient Authentication Overview를 참조하십시오. 인증을 구성하는 방법에 대한 자세한 내용은 다음 절차를 참조하십시오.

Procedure인증서 기반 인증을 구성하는 방법

클라이언트의 인증서 기반 인증에 대한 자세한 내용은 Sun Java System Directory Server Enterprise Edition 6.3 ReferenceConfiguring Certificates in Directory Proxy Server를 참조하십시오. 이 절에서는 인증서 기반 인증을 구성하는 방법에 대해 설명합니다.

DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.

주 –

인증서 기반 인증은 SSL 연결을 통해서만 수행할 수 있습니다.

  1. 클라이언트가 SSL 연결을 설정할 때 클라이언트가 인증서를 제공하도록 디렉토리 프록시 서버를 구성합니다.


    $ dpconf set-server-prop -h host -p port allow-cert-based-auth:require

Procedure익명 액세스를 구성하는 방법

익명 액세스에 대한 자세한 내용은 Sun Java System Directory Server Enterprise Edition 6.3 ReferenceAnonymous Access를 참조하십시오. 익명 클라이언트의 아이디를 다른 아이디에 매핑하는 방법에 대한 자세한 내용은 대체 사용자로 요청 전달을 참조하십시오.

DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.

  1. 인증되지 않은 사용자가 작업을 수행하도록 허용합니다.


    $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:true

ProcedureSASL 외부 바인드에 대해 디렉토리 프록시 서버를 구성하는 방법

SASL 외부 바인드에 대한 자세한 내용은 Sun Java System Directory Server Enterprise Edition 6.3 ReferenceUsing SASL External Bind를 참조하십시오.

DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.

  1. 인증되지 않은 작업을 허용하지 않습니다.


    $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false

  2. 연결을 설정할 때 클라이언트가 인증서를 제공하도록 요구합니다. 


    $ dpconf set-server-prop -h host -p port allow-cert-based-auth:require

    클라이언트는 DN을 포함하는 인증서를 제공합니다.

  3. SASL 외부 바인드로 클라이언트 인증을 활성화합니다.


    $ dpconf set-server-prop -h host -p port allow-sasl-external-authentication:true

  4. 백엔드 LDAP 서버에서 클라이언트 인증서를 매핑하려면 디렉토리 프록시 서버에 사용되는 아이디를 구성합니다.


    $ dpconf set-server-prop -h host -p port cert-search-bind-dn:bind-DN \
 cert-search-bind-pwd-file:filename

  5. 디렉토리 프록시 서버가 검색하는 하위 트리의 기본 DN을 구성합니다.

    디렉토리 프록시 서버는 하위 트리를 검색하여 클라이언트 인증서에 매핑되는 사용자 항목을 찾습니다.


    $ dpconf set-server-prop -h host -p port cert-search-base-dn:base-DN

  6. 클라이언트 인증서의 정보를 LDAP 서버의 인증서에 매핑합니다.

    1. 인증서를 포함하는 LDAP 서버의 속성에 이름을 지정합니다.


      $ dpconf set-server-prop cert-search-user-attribute:attribute

    2. 클라이언트 인증서의 속성을 인증서가 포함된 LDAP 서버 항목의 DN에 매핑합니다.


      $ dpconf set-server-prop -h host -p port \
 cert-search-attr-mappings:client-side-attribute-name:server-side-attribute-name

      예를 들어 DN cn=user1,o=sun,c=us가 있는 클라이언트 인증서를 DN uid=user1,o=sun이 있는 LDAP 항목에 매핑하려면 다음 명령을 실행합니다.


      $ dpconf set-server-prop -h host1 -p 1389 cert-search-attr-mappings:cn:uid \
 cert-search-attr-mappings:o:o

  7. (옵션) SASL 외부 바인드 작업에 대한 요청을 모든 데이터 보기 또는 데이터 보기의 사용자 정의 목록에 전달합니다.

    • 모든 데이터 보기에 요청을 전달하려면 다음 명령을 실행합니다.


      $ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:all-routable

    • 데이터 보기 목록에 요청을 전달하려면 다음 명령을 실행합니다.


    $ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:custom \
 cert-data-view-routing-custom-list:view-name [view-name...]