LDAP 보안 기본 사항

LDAP 보안 구성요소는 다음과 같은 세 가지입니다.

  • LDAP 보안 객체

  • LDAP 트리 구조

  • 식별 이름

LDAP 보안 객체

인증에 사용되는 LDAP 객체는 다음과 같습니다.

  • 조직 단위(OU): objectClass organizationalUnit(OU)

    조직 단위 객체는 Windows 디렉토리와 유사합니다. LDAP의 경우 일반적으로 그룹 객체 또는 사용자 객체가 포함됩니다.

  • 그룹(CN): objectClass 그룹(CN) [posixGroup이라고도 함]

    조직 단위가 디렉토리와 유사한 것과 같이 그룹 객체는 파일과 유사합니다. 그룹 객체에는 해당 그룹의 사용자를 정의하는 식별 이름 목록인 멤버 속성이 포함됩니다.

  • 사용자(CN): objectClass 사용자(CN) [organizationalPerson이라고도 함]

    파일과 마찬가지로 사용자 객체는 LDAP 구조 내 단일 사용자를 기술합니다. 그룹과 달리 사용자 객체는 목록을 포함하지 않습니다. 대신 해당 속성이 필요에 따라 보다 상세하게 사용자를 기술합니다.

LDAP 트리 구조

LDAP 항목 구조는 UNIX와 Windows에 있는 디렉토리 및 파일에 대한 익숙한 트리 구조와 일치합니다. WebLogic Server 구성 중 기본 그룹 및 주체를 구성할 때는 트리 구조를 사용하여 객체의 식별 이름을 생성해야 합니다.

LDAP 식별 이름

식별 이름은 다른 모든 객체와의 구별을 위해 각 LDAP 객체와 연결된 값입니다. 이 값은 앞서 설명된 트리 구조를 기반으로 합니다. 식별 이름을 생성하려는 경우 기본적으로 이름을 지정하려는 객체부터 시작하여 트리 맨 위로 올라가므로 사용자 John Doe에 대한 식별 이름은 다음과 같을 수 있습니다.

CN=johndoe,OU=Users,OU=VSMGUI,DC=yourfirm,DC=com

객체 유형은 일반적으로 DN에서 대문자이지만 소문자도 유효합니다. 객체 이름의 경우 대소문자가 실제 이름의 대소문자와 정확히 일치해야 합니다. 또한 콤마와 객체 유형 사이에 공백이 없어야 합니다. DN에 존재해야 하는 유일한 공백은 객체 이름에 있는 공백입니다. 따라서 VSM Admins에 대한 DN은 다음과 같을 수 있습니다.

CN=VSM Admins,OU-Groups,OU=VSMGUI,DC=yourfirm,DC=com

유효한 DN과 관련하여 WebLogic에는 제한사항이 있습니다. DN에 추가될 가능성이 있는 특정 문자는 WebLogic Server에서 허용되지 않습니다. 이러한 문자로는 콤마(,), 플러스 기호(+), 따옴표(”), 백슬래시(\), 꺾쇠 괄호(< 및 >), 세미콜론(;) 등이 있습니다.

이 중 콤마가 가장 많이 사용됩니다(특히 사용자 이름이 Smith, John 형식인 경우). 해당 문자 중 하나가 DN에 포함될 수 있지만 이는 주로 Active Directory에서 발생합니다. 사용자 중 한 명은 항상 주체(LDAP 서버에 액세스할 수 있는 사용자)로 설정되므로 이에 유의해야 합니다. DN에 해당 문자가 포함되는 경우 상응하는 다른 DN을 가진 특수한 사용자로 주체를 추가해야 합니다.

주:

  • 고객 환경에 따라 앞서 설명된 기본 구성이 여러 조직에 대해 정의된 LDAP 레이아웃 체계에 맞지 않을 수 있습니다. 예를 들어, 그룹 정보가 완전히 별개의 하위 트리에 있을 수 있으므로 Groups는 그룹이 정의된 디렉토리에 존재하며 VSMGUI Groups라는 이름이 지정될 수 있습니다. Users도 완전히 별개의 하위 트리에 존재하며 VSMGUI Users라는 이름이 지정될 수 있습니다. 조직 단위 VSMGUI를 정의할 필요는 없습니다. 위치에 대한 변경사항이 발생하면 WebLogic 구성에서 필드에 대해 다른 DN이 만들어지며 이에 따라 설정이 수행되어야 합니다.

  • 두 가지 별도의 방법으로 사용자를 설정할 수 있습니다. 일반적으로는 이미 있는 사용자 이름을 새 조직 단위에 추가하여 사용자 기본 디렉토리로 설정합니다. 원하는 경우 사용자 기본 디렉토리를 컨테이너 유형의 LDAP 객체로 설정하여 해당 그룹에 속하는 모든 사용자에게 VSM GUI 사용 권한을 제공할 수도 있습니다.

  • 일반적으로 LDAP 서버에서 값을 설정하려면 LDAP 서버에 대한 보안 액세스 권한 보유자가 필요합니다. 새 서버를 설정하려면 관리자로 LDAP 서버에 액세스할 수 있어야 합니다.

  • DN 값(Principal, User Base DN 및 Group Base DN)을 설정할 때는 특히 주의해야 하며 이름 필터 값의 속성 및 객체 클래스 값이 올바르게 정의되었는지 확인해야 합니다. 인증이 제대로 작동하려면 모든 값이 Active Directory 값에 정확히 맞춰져야 합니다.