LDAP/SSL 구성

언어:

시스템 관리자는 LDAP/SSL 디렉토리 서비스를 사용하여 Oracle ILOM 사용자를 인증하고 Oracle ILOM 내의 기능을 사용하기 위한 사용자 권한 부여 레벨을 정의하도록 선택적으로 Oracle ILOM을 구성할 수 있습니다.

LDAP/SSL 서비스 상태에 대한 등록 정보는 Oracle ILOM에서 기본적으로 사용 안함으로 설정됩니다. LDAP/SSL 서비스 상태를 사용으로 설정하고 Oracle ILOM을 LDAP/SSL 클라이언트로 구성하려면 다음 표를 참조하십시오.

표 25 LDAP/SSL 인증을 사용으로 설정
표 26 LDAP/SSL 인증서 파일 업로드 또는 제거
표 27 선택적으로 LDAP/SSL 그룹 구성
표 28 LDAP/SSL 사용자 도메인 구성
표 29 선택적으로 LDAP/SSL 대체 서버 구성
표 30 LDAP/SSL 인증 문제 해결 지침

표 25 LDAP/SSL 인증을 사용으로 설정

사용자 인터페이스 구성 가능 대상:

CLI: /SP|CMM/clients/ldapssl/
웹: ILOM Administration > User Management > LDAP/SSL > Settings
사용자 역할: 사용자 관리(u)(모든 등록 정보 수정에 필요)
필수 조건: Oracle ILOM을 구성하려면 먼저 LDAP/SSL 서버를 사용자 및 사용자 그룹에 구성해야 합니다.

등록 정보

기본값

설명

상태

(state=)

Disabled

Disabled |Enabled

LDAP/SSL 인증 및 권한 부여 디렉토리 서비스를 사용하도록 Oracle ILOM을 구성하려면 상태 등록 정보를 enabled로 설정합니다.

상태 등록 정보가 disabled인 경우 Oracle ILOM이 사용자 인증 및 권한 부여 레벨에서 LDAP/SSL 서비스를 사용할 수 없도록 설정됩니다.

상태 등록 정보가 사용으로 설정되었고 엄격한 인증서 모드 등록 정보가 사용 안함으로 설정된 경우 보안 채널을 통한 Oracle ILOM은 사용자 인증 시 몇 가지 LDAP/SSL 서비스 인증서에 대한 검증을 제공합니다.

상태 등록 정보가 사용으로 설정되었고 엄격한 인증서 모드 등록 정보가 사용으로 설정된 경우 보안 채널을 통한 Oracle ILOM은 사용자 인증 시 LDAP/SSL 서비스 인증서에서 디지털 서명을 완전히 확인합니다.

CLI 상태 구문:

set /SP|CMM/clients/ldapssl/ state=disabled|enabled

역할

(defaultrole=)

None (server authorization)

Administrator |Operator |Advanced |None (server authorization)

Oracle ILOM에서 LDAP/SSL 인증된 사용자가 액세스할 수 있는 기능을 정의하려면 기본 역할 등록 정보를 수락된 4가지 등록 정보 값인 Administrator(a|u|c|r|o), Operator(c|r|o), Advanced(a|u|c|r|o|s) 또는 None(server authorization) 중 하나로 설정합니다.

기본 역할 등록 정보가 Oracle ILOM 사용자 역할로 설정된 경우 Oracle ILOM 내에서 기능을 사용하기 위한 권한 부여 레벨은 Oracle ILOM 사용자 역할로 부여된 사용자 권한에 따라 지정됩니다. 지정된 권한에 대한 자세한 내용은 아래의 사용자 역할 및 사용자 프로파일 관련 정보 절에 나열된 표를 참조하십시오.

기본 역할 등록 정보가 None (server authorization)으로 설정되었고 Oracle ILOM이 LDAP/SSL 그룹을 사용하도록 구성된 경우 Oracle ILOM 내에서 기능을 사용하기 위한 권한 부여 레벨은 LDAP/SSL 그룹에 의해 지정됩니다. 자세한 LDAP/SSL 구성 세부정보는 아래의 관련 정보 절에 나열된 LDAP/SSL 그룹에 대해 설명하는 표를 참조하십시오.

CLI 역할 구문:

set /SP|CMM/clients/ldapssl/ defaultrole=administrator|operator|a|u|c|r|o|s|none

관련 정보:

주소

(address=)

0.0.0.0

IP address| DNS host name (Active Directory Server)

LDAP/SSL 서버의 네트워크 주소를 구성하려면 주소 등록 정보에 DNS 호스트 이름의 LDAP/SSL IP 주소를 채웁니다. DNS 호스트 이름이 사용된 경우 Oracle ILOM에서 DNS 구성 등록 정보가 올바르게 구성되었고 작동해야 합니다.

CLI 주소 구문:

set /SP|CMM/clients/ldapssl/ address=LDAP/SSL_server ip_address|active_directory_server_dns_host_name

관련 정보:

표 47

포트

(port=)

0 Auto-select

0 Auto-select | Non-standard TCP port

표준 TCP 포트는 Oracle ILOM에서 LDAP/SSL 서버와 통신하기 위해 사용됩니다.

포트 자동 선택 등록 정보를 사용으로 설정하면 포트 번호가 기본적으로 0으로 설정됩니다.

포트 자동 선택 등록 정보가 사용 안함으로 설정된 경우 웹 인터페이스의 포트 번호 등록 정보가 사용자 구성 가능한 상태가 됩니다.

구성 가능한 포트 등록 정보는 Oracle ILOM에서 비표준 TCP 포트를 사용해야 하는 드문 경우를 위해 제공됩니다.

CLI 포트 구문:

set /SP|CMM/clients/ldapssl/ port=number

시간 초과

(timeout=)

4초

4 |user-specified

시간 초과 등록 정보는 기본적으로 4초로 설정됩니다. 필요에 따라 LDAP/SSL 서버에 연결할 수 없거나 서버가 응답하지 않는 경우 이 등록 정보 값을 조정하여 응답 시간을 세밀하게 조정할 수 있습니다.

시간 초과 등록 정보는 개별 트랜잭션이 완료될 때까지 기다려야 하는 시간(초)을 지정합니다. 구성에 따라 트랜잭션 수가 다를 수 있으므로 이 값은 모든 트랜잭션의 총 완료 시간을 의미하지 않습니다.

CLI 시간 초과 구문:

set /SP|CMM/clients/ldapssl/ timeout=number_of_seconds

엄격한 인증서 모드

(strictcert mode=)

Disabled

Disabled |Enabled

사용으로 설정된 경우 Oracle ILOM은 보안 채널을 통해 인증 시에 LDAP/SSL 인증서 서명을 완전히 확인합니다.

사용 안함으로 설정된 경우 Oracle ILOM은 보안 채널을 통해 인증 시에 제한된 서버 인증서 검증을 제공합니다.

주의 - 엄격한 인증서 모드 등록 정보를 사용으로 설정하려면 먼저 LDAP/SSL 서버 인증서를 Oracle ILOM에 업로드해야 합니다.

CLI 엄격한 인증서 모드 구문:

set /SP|CMM/clients/ldapssl/ strictcertmode=disabled|enabled

관련 정보:

표 26

선택적인 사용자 매핑

(/optionalUsermapping)

Disabled

Disabled | Enabled

선택적인 사용자 매핑 등록 정보는 일반적으로 사용자 도메인 로그인 이름의 일부로 uid가 사용되지 않은 경우에 사용됩니다. 사용자 인증을 위해 단순 사용자 로그인 이름을 도메인 이름으로 변환해야 할 경우 선택적인 사용자 매핑 등록 정보를 enabled로 설정합니다.

State – 사용으로 설정된 경우 사용자 자격 증명 인증을 위해 대체 속성을 구성할 수 있습니다.
Attribute Information – 수락된 입력 형식(&(objectclass=person)(uid=<USERNAME>))을 사용하여 속성 로그인 정보를 입력합니다. 속성 정보를 통해 LDAP/SSL 질의로 제공된 속성 로그인 정보에 따라 사용자 도메인 이름을 검색할 수 있습니다.
Searchbase – Searchbase 등록 정보를 검색 기준 객체의 고유 이름으로 설정하거나 Oracle ILOM이 LDAP 사용자 계정을 찾아야 하는 LDAP 트리의 분기로 설정합니다. 입력 형식: OU={organization},DC={company},DC={com}
Bind DN – Bind DN 등록 정보를 LDAP 서버의 읽기 전용 프록시 사용자의 DN(고유 이름)으로 설정합니다. 사용자를 검색하고 인증하려면 Oracle ILOM에 LDAP 서버에 대한 읽기 전용 액세스 권한이 있어야 합니다. 입력 형식: OU={organization},DC={company},DC={com}
Bind Password – Bind Password 등록 정보를 읽기 전용 프록시 사용자의 암호로 설정합니다.

CLI 선택적인 사용자 매핑 구문:

set /SP|CMM/clients/ldapssl/optionalUsermapping/ attributeInfo=<string> searchbase=<string> binddn=cn=proxyuser, ou=organization _name, dc=company, dc=com bindpw=password

로그 세부정보

(logdetail=)

없음

None | High | Medium | Low |Trace

Oracle ILOM 이벤트 로그에 LDAP/SSL 이벤트에 대해 기록된 진단 정보의 유형을 지정하려면 로그 세부정보 등록 정보를 5개의 수락된 등록 정보 값(none, high, medium, low 또는 trace) 중 하나로 설정합니다.

CLI 로그 세부정보 구문:

저장

웹 인터페이스 – LDAP/SSL Settings 페이지 내에서 등록 정보에 대해 수행한 변경사항을 적용하려면 Save를 눌러야 합니다.

표 26 LDAP/SSL 인증서 파일 업로드 또는 제거

사용자 인터페이스 구성 가능 대상: CLI: `/SP\|CMM/clients/ldapssl/cert` 웹: ILOM Administration > User Management > LDAP/SSL > Certificate Information 사용자 역할: 사용자 관리(`u`)(모든 등록 정보 수정에 필요)
등록 정보	기본값	설명
인증서 파일 상태 (`certstatus=`)	읽기 전용	`Certificate Present` \|`Certificate Not Present` 인증서 파일 상태 등록 정보는 LDAP/SSL 인증서가 Oracle ILOM에 업로드되었는지 여부를 나타냅니다. CLI 인증서 상태 구문: `show /SP\|CMM/clients/ldapssl/cert`
파일 전송 방법	브라우저(웹 인터페이스만 해당)	`Browser`\|`TFTP`\|`FTP`\|`SCP`\|`Paste` 각 파일 전송 방법에 대한 자세한 내용은 표 14을 참조하십시오.
인증서 로드 `(load_uri=)`		웹 인터페이스 – 파일 전송 방법 등록 정보에 지정된 LDAP/SSL 인증서 파일을 업로드하려면 Load Certificate 버튼을 누릅니다. CLI 인증서 로드 구문: `load_uri=file_transfer_method://host_address/file_path/filename`
인증서 제거 (`clear_action=true`)		웹 인터페이스 – Oracle ILOM에 현재 저장된 LDAP/SSL 인증서 파일을 제거하려면 Remove Certificate 버튼을 누릅니다. 메시지가 표시되면 Yes를 눌러서 작업을 계속하거나 No를 눌러서 작업을 취소합니다. CLI 인증서 제거 구문: `set /SP\|CMM/clients/ldapssl/cert clear_action=true` -또는- `reset /SP\|CMM/clients/ldapssl/cert` 메시지가 표시되면 `y`를 입력하여 작업을 계속하거나 `n`을 입력하여 작업을 취소합니다.

표 27 선택적으로 LDAP/SSL 그룹 구성

사용자 인터페이스 구성 가능 대상: CLI: `/SP\|CMM/clients/ldapssl` 웹: ILOM Administration > User Management > LDAP/SSL> (Name) Groups 사용자 역할: 사용자 관리(`u`)(모든 등록 정보 수정에 필요) 필수 조건: Oracle ILOM에서 LDAP/SSL 그룹을 설정하려면 먼저 LDAP/SSL 그룹이 LDAP/SSL 서버 및 지정된 멤버에 제공되어야 합니다.
등록 정보	설명
관리자 그룹 (`/admingroups/1\|2\|3\|4\|5`)	시스템 관리자는 선택적으로 Oracle ILOM에서 역할 등록 정보 대신 관리자 그룹 등록 정보를 구성하여 사용자 권한 부여를 제공할 수 있습니다. Oracle ILOM은 최대 5개의 관리자 그룹 구성을 지원합니다. 관리자 그룹 등록 정보가 Oracle ILOM에서 사용으로 설정된 경우 관리자 테이블에 정의된 일치하는 그룹에 대해 사용자의 그룹 멤버십을 확인합니다. 일치하는 항목이 있으면 사용자에게 관리자 레벨의 액세스 권한이 부여됩니다. 주 – Oracle ILOM은 각 구성된 그룹 테이블에서 발견된 일치하는 그룹(운영자, 관리자 또는 사용자 정의)에 따라 그룹 멤버에게 하나 이상의 권한 부여 레벨을 부여합니다. CLI 관리자 그룹 구문: `set /SP\|CMM/clients/ldapssl/admingroups/n name=string` 예제 구문: `set /SP/clients/ldapssl/admingroups/1/ name=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'name' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'`
운영자 그룹 (`/operatorgroups/1\|2\|3\|4\|5`)	시스템 관리자는 선택적으로 Oracle ILOM에서 역할 등록 정보 대신 운영자 그룹 등록 정보를 구성하여 사용자 권한 부여를 제공할 수 있습니다. Oracle ILOM은 최대 5개의 운영자 그룹 구성을 지원합니다. 운영자 그룹 등록 정보가 Oracle ILOM에서 사용으로 설정된 경우 사용자의 그룹 멤버십이 운영자 테이블에 정의된 일치하는 그룹에 대해 확인됩니다. 일치하는 항목이 발견되면 사용자에게 운영자 레벨의 액세스 권한이 부여됩니다. 주 – Oracle ILOM은 각 구성된 그룹 테이블에서 발견된 일치하는 그룹(운영자, 관리자 또는 사용자 정의)에 따라 그룹 멤버에게 하나 이상의 권한 부여 레벨을 부여합니다. CLI 운영자 그룹 구문: `set /SP\|CMM/clients/ldapssl/operatorgroups/n name=string` 예제 구문: `set /SP/clients/ldapssl/operatorgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC= com''`
호스트 그룹	LDAP/SSL 호스트 그룹 등록 정보는 Oracle 다중 도메인 SPARC 서버 시스템과 관련됩니다. 다중 도메인 SP 서버 시스템의 경우 Oracle ILOM에서 시스템 관리자가 LDAP/SSL 사용자 인증에 대해 최대 10개의 호스트 그룹을 구성할 수 있습니다. 호스트 그룹에 대한 CLI 구성 구문: `set /SP/clients/ldapssl/hostgroups/n/ name=string hosts=string roles=string` 설명: name=은 지정된 호스트 그룹에 대한 Active Directory 그룹 이름을 나타내는 읽기/쓰기 등록 정보입니다. hosts=는 이 호스트 그룹이 역할을 지정하는 PDomain이 나열된 읽기/쓰기 등록 정보입니다. roles=는 호스트 그룹에 대해 도메인 관련 권한 레벨을 지정하는 읽기/쓰기 등록 정보입니다. 이 등록 정보는 a, c 및 r(예: acr)(a= admin, c=console 및 r=reset)의 개별 호스트 역할 ID 조합을 지원합니다. 다중 도메인 서버 SP 시스템의 호스트 그룹 등록 정보를 구성하는 방법에 대한 자세한 내용은 Oracle 서버에 제공되는 관리 설명서를 참조하십시오.
사용자 정의 그룹 (`/customgroups/1\|2\|3\|4\|5`)	시스템 관리자가 Oracle ILOM에서 사용자 정의 그룹 등록 정보를 최대 5개까지 선택적으로 구성하여 사용자 권한 부여를 제공할 수 있습니다. Oracle ILOM은 사용자 정의 그룹 등록 정보를 사용하여 사용자 정의 그룹의 멤버인 사용자를 인증할 때 지정할 적합한 사용자 역할을 확인합니다. Oracle ILOM에서 사용자 정의 그룹 사용을 사용으로 설정할 때는 역할 등록 정보와 사용자 정의 그룹 등록 정보를 모두 구성해야 합니다. 역할의 구성 등록 정보에 대한 자세한 내용은 표 25에서 역할 등록 정보를 참조하십시오. 주 – Oracle ILOM은 각 구성된 그룹 테이블에서 발견된 일치하는 그룹(운영자, 관리자 또는 사용자 정의)에 따라 그룹 멤버에게 하나 이상의 권한 부여 레벨을 부여합니다. CLI 사용자 정의 그룹 구문: `set /SP\|CMM/clients/ldapssl/customgroups/n name=string roles=administrator\|operator\|a\|u\|c\|r\|o\|s` 예제 구문: `set /SP/clients/ldapssl/customgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com roles=au` `Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC= com'' roles' to 'au'` 관련 정보: Assignable Oracle ILOM User Roles
저장	웹 인터페이스 – Admin, Operator 또는 Custom Group 대화 상자에서 등록 정보에 대해 수행한 변경사항을 적용하려면 Save를 눌러야 합니다.

표 28 LDAP/SSL 사용자 도메인 구성

사용자 인터페이스 구성 가능 대상: CLI: `/SP\|CMM/clients/ldapssl`/userdomains/`n` 웹: ILOM Administration > User Management > LDAP/SSL > User Domains 사용자 역할: 사용자 관리(`u`)(모든 등록 정보 수정에 필요) 필수 조건: Oracle ILOM에서 사용자 도메인을 설정하려면 먼저 사용자 도메인이 LDAP/SSL 서버 및 지정된 멤버에 제공되어야 합니다.
등록 정보	설명
사용자 도메인 (/`1`\|`2`\|`3`\|`4`\|`5`)	시스템 관리자가 최대 5개까지 사용자 도메인을 선택적으로 구성할 수 있습니다. 하나 이상의 사용자 도메인이 정의된 경우 Oracle ILOM은 LDAP/SSL 사용자를 인증할 수 있을 때까지 이러한 등록 정보를 순서대로 사용합니다. 사용 가능한 다음 값을 사용하여 Oracle ILOM에서 각 사용자 도메인에 대해 구성 등록 정보를 채웁니다. UID 형식: uid=<USERNAME>,ou=people,dc=company,dc=com DN 형식: CN=<USERNAME>,CN=Users,DC=domain,DC=company,DC=com 주 - <USERNAME>은 리터럴로 사용할 수 있습니다. <USERNAME>이 리터럴로 사용된 경우 Oracle ILOM은 사용자 인증 중에 <USERNAME>을 현재 입력된 로그인 이름으로 바꿉니다. 사용자 도메인 구성 후 `<BASE:string>` 등록 정보를 추가하여 특정 검색 기준을 선택적으로 지정할 수 있습니다. 구문 세부정보는 아래의 예제 3을 참조하십시오. CLI 사용자 도메인 구문: `set /SP\|CMM/clients/ldapssl/userdomains/n domain=string` 예제 1: `domain=CN=<USERNAME>` `set /SP/clients/ldapssl/userdomains/1 domain=CN=<USERNAME>,OU=Groups,DC=sales,DC-oracle,DC=com` Set 'domain' to 'CN=<USERNAME>,OU=Groups,DC=sales,DC=oracle,DC=com' 예제 2: domain=CN=spSuperAdmin `set /SP/clients/ldapssl/userdomains/1 domain=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'domain' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'` 예제 3: `<BASE:string>`을 사용한 Searchbase 구문 `set /SP/clients/ldapssl/userdomains/1 domain=uid=<USERNAME>,ou=people,dc=oracle,dc=com<BASE:ou=doc,dc=oracle,dc=com>`
저장	웹 인터페이스 – LDAP/SSL User Domain 대화 상자에서 등록 정보에 대해 수행한 변경사항을 적용하려면 Save를 눌러야 합니다.

표 29 선택적으로 LDAP/SSL 대체 서버 구성

사용자 인터페이스 구성 가능 대상: CLI: `/SP\|CMM/clients/ldapssl/alternateservers/n` 웹: ILOM Administration > User Management > LDAP/SSL > Alternate Servers 사용자 역할: 사용자 관리(`u`)(모든 등록 정보 수정에 필요)
등록 정보	설명
대체 서버 (`/1\|2\|3\|4\|5`)	Oracle ILOM에서는 최대 5개까지 LDAP/SSL 대체 서버를 구성할 수 있습니다. 대체 서버는 인증 중복성과 함께 도메인 격리가 필요할 때 사용할 수 있는 서로 다른 LDAP/SSL 서버 선택 옵션을 제공합니다. 각 LDAP/SSL 대체 서버에는 기본 LDAP/SSL 서버와 동일한 사용자 권한 부여 규칙 및 요구 사항이 사용됩니다. 예를 들어, Oracle ILOM은 역할 등록 정보에 구성된 사용자 역할을 사용해서 사용자를 인증합니다. 하지만 역할 등록 정보가 구성되지 않은 경우 Oracle ILOM은 인증 서버에 적합한 권한 부여 규칙을 질의합니다. 각 대체 서버에는 네트워크 주소, 포트, 인증서 상태, 인증서 업로드 및 제거 명령에 대한 고유한 등록 정보가 포함됩니다. LDAP/SSL 인증서가 제공되지 않았지만 필요한 경우에는 Oracle ILOM이 최상위 기본 LDAP/SSL 서버 인증서를 사용합니다. CLI 대체 서버 주소 및 포트 구문: `set /SP\|CMM/clients/ldapssl/alternateservers/n address=sting port=string` CLI 대체 서버 인증서 구문: `show /SP\|CMM/clients/ldapssl/alternateservers/n/cert` `load_uri=file_transfer_method://host_address/file_path/filename` `set /SP\|CMM/clients/ldapssl/alternateservers/n/cert clear_action=true`
저장	웹 인터페이스 – LDAP/SSL Alternate Servers 대화 상자에서 등록 정보에 대해 수행한 변경사항을 적용하려면 Save를 눌러야 합니다.

표 30 LDAP/SSL 인증 문제 해결 지침

Oracle ILOM에서 LDAP/SSL 인증 및 권한 부여 시도 문제를 해결할 때는 다음 지침을 참조하십시오.

LDAP/SSL 인증을 테스트하고 LDAP/SSL 이벤트를 추적하도록 Oracle ILOM 이벤트 로그를 설정하려면 다음 단계를 따릅니다.

1: 추적할 LDAP/SSL 로그 세부정보 등록 정보를 설정합니다.

2: 이벤트를 생성하기 위해 Oracle ILOM에 대한 인증을 시도합니다.

3: Oracle ILOM 이벤트 로그 파일을 검토합니다.
LDAP/SSL에 구성된 사용자 그룹 및 사용자 도메인이 Oracle ILOM에 구성된 사용자 그룹 및 사용자 도메인과 일치하는지 확인합니다.
Oracle ILOM LDAP/SSL 클라이언트는 시계 설정을 관리하지 않습니다. Oracle ILOM에서 시계 설정은 수동으로 또는 NTP 서버를 통해 구성할 수 있습니다.

주. Oracle ILOM에서 NTP 서버를 사용하여 시계 설정이 구성된 경우 Oracle ILOM은 NTP 데몬을 시작하기 전에 NTP 서버를 사용하여 ntpupdate를 수행합니다.

관련 정보: