주:

이 자습서는 Oracle에서 제공하는 무료 실습 환경에서 사용할 수 있습니다.
Oracle Cloud Infrastructure 자격 증명, 테넌시 및 구획에 예제 값을 사용합니다. 실습을 완료했으면 이러한 값을 자신의 클라우드 환경과 관련된 값으로 대체하십시오.

LDAP User Management와 Oracle Linux Automation Manager 통합

소개

관리자는 Oracle Linux Automation Manager를 사용하여 기존 내부 RBAC(역할 기반 액세스 제어) 소스와 함께 사용자 관리를 위한 LDAP를 통합할 수 있습니다. 구성되면 LDAP 계정으로 로그인하는 사용자가 자동으로 Oracle Linux Automation Manager 계정을 생성하고 표준 사용자 또는 관리자 조직에 지정됩니다.

목표

이 자습서에서는 다음을 수행하는 방법을 배웁니다.

LDAP에서 계정 및 그룹 생성 및 구성
- bind 계정
- user 계정
- superuser 그룹
- system_auditor 그룹
LDAP을 사용하도록 Oracle Linux Automation Manager 구성
LDAP 액세스 확인
LDAPS 사용

필요 조건

Oracle Linux Automation Manager가 설치된 시스템입니다.
사용 가능한 LDAP 서버(예: 오픈 소스 FreeIPA ID 관리 서버)입니다.

Oracle Linux Automation Manager 배포

주: 고유 테넌시에서 실행 중인 경우 랩 환경을 배치하기 전에 linux-virt-labs GitHub 프로젝트 README.md을 읽고 필요 조건을 완료하십시오.

Luna Desktop에서 터미널을 엽니다.

linux-virt-labs GitHub 프로젝트를 복제합니다.

git clone https://github.com/oracle-devrel/linux-virt-labs.git

작업 디렉토리로 변경합니다.
```
cd linux-virt-labs/olam
```

필요한 모음을 설치합니다.

ansible-galaxy collection install -r requirements.yml

Oracle Linux 인스턴스 구성을 업데이트합니다.

cat << EOF | tee instances.yml > /dev/null
compute_instances:
  1:
    instance_name: "olam-node"
    type: "control"
  2:
    instance_name: "ipa-server"
    type: "server"
use_freeipa: true
EOF

lab 환경을 배치합니다.
```
ansible-playbook create_instance.yml -e ansible_python_interpreter="/usr/bin/python3.6" -e "@instances.yml"
```
무료 실습 환경에서는 Oracle Cloud Infrastructure SDK for Python용 RPM 패키지를 설치하므로 추가 변수 ansible_python_interpreter이 필요합니다. 이 패키지의 설치 위치는 python3.6 모듈 아래에 있습니다.

기본 배치 구성은 AMD CPU 및 Oracle Linux 8을 사용합니다. Intel CPU 또는 Oracle Linux 9를 사용하려면 배치 명령에 -e instance_shape="VM.Standard3.Flex" 또는 -e os_version="9"를 추가합니다.

중요: 플레이북이 성공적으로 실행될 때까지 기다렸다가 일시 중지 작업에 도달합니다. 플레이북의 이 단계에서 Oracle Linux Automation Manager 설치가 완료되고 인스턴스가 준비됩니다. 배포하는 노드의 공용 및 전용 IP 주소를 인쇄하는 이전 플레이를 기록해 둡니다.

IPA 서버가 존재하는지 확인

터미널을 열고 SSH를 통해 ipa-server 인스턴스에 연결합니다.
```
ssh oracle@<ip_address_of_node>
```
IPA 서비스가 실행 중인지 확인합니다.
```
sudo systemctl status ipa.service
```
ipa.service는 모든 개별 구성 요소를 동시에 시작하거나 중지하는 ipactl 명령을 활용합니다.
터미널 지역화 설정을 지정합니다.

이 설정은 ipactl 명령의 요구 사항입니다.
```
export LC_ALL="C.UTF-8"
```
IPA 서버 제어 인터페이스를 사용하여 상태를 확인합니다.
```
sudo ipactl status
```
나열된 모든 구성 요소가 IPA 서버가 제대로 작동하려면 실행 중이어야 합니다.

바인드 계정 생성

바인드 계정은 전체 LDAP 구조에 대한 읽기 전용 액세스를 허용하는 시스템 계정입니다. 일반 사용자 계정 대신 바인드 계정을 사용하면 다른 시스템에 대한 액세스를 방지할 수 있으며 파일을 소유하지 않습니다. 또한 바인드 계정에는 특별한 권한이 없으며 IPA LDAP 서버에 데이터를 쓸 수 없습니다.

업데이트 파일을 만듭니다.

ipa-LDAP-updater 매뉴얼 페이지에 따라 업데이트 파일은 추가 또는 수정할 LDAP 항목과 해당 항목에 대해 수행할 작업 세트를 설명합니다.
```
tee olam-binddn.update << EOF 
dn: uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com
default:objectclass:account
default:objectclass:simplesecurityobject
default:uid:olam-bind
only:userPassword:olamPassword123
only:passwordExpirationTime:20380101000000Z
only:nsIdleTimeout:0
EOF
```
바인드 사용자 계정 및 적합한 uid에 대한 강력하고 안전한 암호를 선택합니다. 위의 userPassword 및 uid는 무료 실습 환경 내에서만 데모를 위한 것입니다.
업데이트 파일을 IPA 서버로 가져옵니다.
```
sudo ipa-ldap-updater olam-binddn.update
```

새 바인드 계정이 존재하는지 확인합니다.

ldapsearch -D 'cn=Directory Manager' -x uid=olam-bind -W 

메시지가 표시되면 Directory Manager 계정의 암호를 입력합니다.

무료 실습 환경에서는 암호가 DMPassword1입니다.

출력 예:

[oracle@ipa-server ~]$ ldapsearch -D 'cn=Directory Manager' -x uid=olam-bind -W
Enter LDAP Password: 
# extended LDIF
#
# LDAPv3
# base <dc=lv,dc=vcn,dc=oraclevcn,dc=com> (default) with scope subtree
# filter: uid=olam-bind
# requesting: ALL
#
   
# olam-bind, sysaccounts, etc, lv.vcn.oraclevcn.com
dn: uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=co
 m
objectClass: account
objectClass: simplesecurityobject
objectClass: top
uid: olam-bind
userPassword:: e1BCS0RGMl9TSEEyNTZ9QUFBSUFPTjJrZ295RVBRcmFtWkFydE5kRllNOVlkcmp
 UK2pVMkgwTm5qUUpxbHpJTUNxSUJOUXp4Z1F5emVqdk02Nk5jL2ZXMVNvelUyaGUwZDFJenFMN2Fk
 aExTaWFnc1kzVVFTbnBxL3RUdUo3VnBvU05GaXFpQWJTWktrcGZwR0REM0lNdCtKRWt1T2NBRk94d
 mFwS2tTUC9KS1FYUVprcGRjbzF0TlZDNHkzNEE4cFQ2UGtWM0pFcm4zdUNkdkVGZ2ZIM1Y4QWxiaG
 pQcm9HWU50aTdrMXRrM0ZkdFI0VlNGWW96SUcra2tUTkt1OE9tYVl3YXp6ZlV5VHBxeFFEMnBxRy9
 XYmxBdW02OURNcDA2RzVBZUJzRGlYOWpDWkZrenNwbllKQXdiQ015MTFXVXI0TFB5VzByejNac2V0
 SmE0dU9yS2NmOWhCZWpBV3NiRlNhQVR0MTU4V2FtN3Q2S21wNXU5em1yTm9oMVRCeEdqaG5Mb3dJN
 kdjcDF4a2p2VkNsYmhVSkQxZTRqS0lzTFJHc3JOclRKN3R0MitpbXZtSlRtR1FkRllsb1dr
   
# search result
search: 2
result: 0 Success
   
# numResponses: 2
# numEntries: 1

사용자 생성

Oracle Linux Automation Manager는 설치 중 기본 admin 사용자를 만듭니다. 동일한 권한이 할당되는 LDAP 유저를 생성합니다.

Kerberos 티켓을 얻어 IPA 서버에 수동으로 인증합니다.
```
kinit admin
```
IPA 서버의 미리 정의된 admin 계정 암호를 입력합니다.

무료 실습 환경에서는 암호가 ADMPassword1입니다.
IPA 서버에서 사용자를 만듭니다.
```
ipa user-add olam_admin --first=OLAM --last=Administrator --password
```
사용자의 로그인, 이름 및 성을 ipa user-add 명령에 전달합니다. 이러한 세부 정보를 디렉토리에 저장할 때 IPA는 자동으로 전체 사용자 로그인을 소문자로 변환하므로 대소문자가 혼합된 사용자 이름이 불가능합니다.
olam_admin 계정에 대한 프롬프트에서 선택한 암호를 입력하고 확인합니다.
모든 IPA 서버 계정을 나열하여 사용자가 존재하는지 확인합니다.
```
ipa user-find
```
결과에는 기본 IPA 서버 admin 계정과 새로 만든 olam_admin가 표시됩니다.

그룹 생성

Oracle Linux Automation Manager에는 세 가지 사용자 유형이 있으며, 이 중 두 유형은 만들어야 하는 LDAP 그룹으로 변환됩니다. 이러한 그룹은 System Administrator 및 System Auditor 유형용입니다.

관리자 그룹을 만듭니다.
```
ipa group-add olam_administrators
```
감사자 그룹을 생성합니다.
```
ipa group-add olam_auditors
```
새 사용자를 관리자 그룹에 추가합니다.
```
ipa group-add-member olam_administrators --users=olam_admin
```
이렇게 하면 IPA 서버에서 필요한 최소 단계가 완료됩니다.
열린 세션을 IPA 서버로 닫습니다.
```
exit
```

LDAP 클라이언트 도구 설치

Oracle Linux Automation Manager는 기본적으로 OpenLDAP 응용 프로그램 및 개발 도구 모음을 설치하지 않습니다. 관리자는 이러한 도구를 사용하여 터미널에서 LDAP 디렉토리에 액세스 및 수정하여 구성을 테스트할 수 있습니다.

SSH를 통해 기존 터미널을 사용하여 olam-node 인스턴스에 접속합니다.
```
ssh oracle@<ip_address_of_node>
```
OpenLDAP 도구 패키지를 설치합니다.
```
sudo dnf -y install openldap-clients
```
LDAP 서버를 연결하고 검색합니다.
```
ldapsearch -D uid=olam_admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldap://ipa-server.lv.vcn.oraclevcn.com:389
```
- -D: LDAP 디렉토리에 바인드할 DN(식별 이름)입니다.
- -W: 단순 인증 프롬프트
- -H: 프로토콜, 호스트 및 포트로만 구성된 LDAP 서버의 URI를 지정합니다.
프롬프트에서 olam_admin 사용자에 대한 암호를 입력합니다.

연결에 성공하면 검색 결과가 출력됩니다.
터미널 세션을 닫습니다.
```
exit
```

Oracle Linux Automation Manager에 로그인 WebUI

기존 터미널을 사용하여 olam-node 인스턴스에 대한 SSH 터널을 구성합니다.
```
ssh -o ExitOnForwardFailure=yes -f -L 8444:localhost:443 oracle@<ip_address_of_node> sleep 300
```
- -o ExitOnForwardFailure=yes: 모든 원격 포트가 성공적으로 설정될 때까지 기다립니다.
- -f: 백그라운드에서 SSH 터널을 실행합니다.
- -L: 로컬 시스템의 포트 8444 및 원격 시스템의 포트 443에 터널을 만듭니다.
- sleep 300: 원격 터널을 5분 동안 열어 두고 자동으로 닫기 전에 설정된 접속을 기다립니다.
웹 브라우저를 열고 URL을 입력합니다.
```
https://localhost:8444
```
주: 사용된 브라우저를 기반으로 보안 경고를 승인합니다. Chrome 브라우저에 대해 고급 버튼을 누른 다음 로컬 호스트로 진행(안전하지 않음) 링크를 누릅니다.
Oracle Linux Automation Manager WebUI에 로그인합니다.

무료 실습 환경에서는 Username admin 및 Password admin을 사용합니다.
로그인한 후 WebUI가 표시됩니다.

LDAP 설정 열기

시스템 관리자 권한이 있는 사용자는 Oracle Linux Automation Manager WebUI의 설정 페이지를 사용하여 LDAP와 같은 대체 인증 설정을 추가합니다.

탐색 메뉴의 맨 아래에 있는 설정을 눌러 설정 페이지를 표시합니다.

이 페이지에서는 LDAP 서버에 대한 액세스를 구성하는 데 사용할 대체 인증 설정에 액세스할 수 있습니다.
인증 섹션 아래의 LDAP 설정 링크를 누릅니다.

이 링크를 누르면 기본 LDAP 서버 구성 페이지가 표시됩니다. 기본 LDAP 서버 외에도 Oracle Linux Automation Manager에서는 5개의 추가 LDAP 소스를 구성할 수 있습니다.

기본 LDAP 설정 편집

기본 세부정보 페이지 하단으로 스크롤하고 편집 단추를 누릅니다.

페이지가 새로 고쳐지고 이제 다른 필드를 편집할 수 있습니다. 항목을 사용 가능한 실습 환경의 다양한 필드에 붙여 넣을 때는 Ctrl+V를 사용하는 것이 좋습니다.
LDAP Server URI 필드에 LDAP 서버 주소를 입력합니다.
```
ldap://ipa-server.lv.vcn.oraclevcn.com:389
```
LDAP Bind Password 필드에 바인드 사용자의 암호를 입력합니다.

무료 실습 환경에서는 암호가 olamPassword123입니다.
```
olamPassword123
```
Oracle Linux Automation Manager는 구성 변경사항을 저장한 후 비밀번호 필드를 암호화합니다. LDAP Bind Password 필드는 계속 편집할 수 있지만 WebUI에는 입력한 초기 암호가 더 이상 표시되지 않습니다.
LDAP 그룹 유형 드롭다운 값 목록에서 그룹 유형을 눌러 선택합니다.

무료 실습 환경에서 LDAP Group Type의 기본값은 MemberDNGroupType이며, 이 유형은 LDAP 서버에서 사용할 수 있습니다.

Oracle Linux Automation Manager가 지원하는 LDAP 그룹 유형에는 django-auth-LDAP-library가 사용됩니다.

각 LDAP 그룹 유형에는 서로 다른 매개변수가 사용될 수 있으므로 django_auth_ldap 업스트림 설명서의 init 클래스에서 필요한 매개변수를 확인하십시오.
Oracle Linux Automation Manager가 LDAP 서버에 연결하거나 바인딩하는 데 사용하는 LDAP 사용자의 LDAP Bind DN 필드에 DN(식별 이름)을 입력합니다.

이전에 만든 olam-bind 사용자 계정을 사용합니다.
```
uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com
```
LDAP User DN Template 필드에 사용자 이름을 저장하는 키를 입력합니다.
```
uid=%(user)s,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com
```
LDAP Require Group 필드에 그룹 구분 이름을 입력하여 해당 그룹 내의 사용자가 Oracle Linux Automation Manager에 액세스할 수 있도록 합니다.
```
cn=olam_administrators,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com
```
세부정보 편집 페이지는 이 단계의 무료 실습 환경에서 스크린샷과 유사해야 합니다.

LDAP User Search 필드에 인증할 때 사용자를 검색할 위치를 입력합니다.

[
   "cn=users,cn=accounts,dc=lv,dc=1inuxvirt,dc=oraclevcn,dc=com",
   "SCOPE_SUBTREE",
   "(uid=%(user)s)"
]

LDAP 그룹 검색 필드에 검색할 그룹 및 검색 방법을 입력합니다.

[
   "cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com",
   "SCOPE_SUBTREE",
   "(objectClass=groupofNames)"
]

LDAP User Attribute Map 텍스트 필드에 사용자 속성을 입력합니다.
```
{
   "email": "mail",
   "first_name": "givenName",
   "last_name": "sn"
}
```
사용자를 검색할 때 Oracle Linux Automation Manager는 last_name의 사용자를 sn 키에서 가져옵니다.
LDAP User Flags by Group 필드에 사용자 프로파일 플래그를 입력합니다.

이러한 프로파일은 LDAP 사용자를 Superusers 및 Auditors로 지정합니다.
```
{
   "is_superuser": "cn=olam_administrators,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com",
   "is_system_auditor": "cn=olam_auditors,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com"
}
```
Oracle Linux Automation Manager는 표시된 예제와 일치하도록 구성을 저장한 후 이 필드의 형식을 변경합니다.
완료되면 Save 단추를 누릅니다.

인증 설정 확인

LDAP 설정을 저장한 후에는 Oracle Linux Automation Manager에 LDAP 사용자로 로그인할 수 있어야 합니다.

Oracle Linux Automation Manager에서 로그아웃합니다.

WebUI의 오른쪽 위에 있는 admin 사용자를 누르고 값 목록에서 Logout을 선택합니다.
사용자 이름 olam_admin을 사용하여 Oracle Linux Automation Manager에 로그인합니다.

계정을 만드는 동안 사용자에게 지정한 암호를 사용합니다.
탐색 메뉴에서 Users(사용자) 메뉴 항목을 누릅니다.
olam_admin가 사용자 목록에 있는지 확인합니다.

중요: Oracle Linux Automation Manager는 사용자를 자동으로 동기화하지 않지만 사용자의 초기 로그인 중에 사용자를 생성하고 추가합니다.

(선택사항) SSL/TLS 사용

IPA 서버는 인증서를 생성하기 위해 certutil를 사용하여 selfsign 자체 서명된 CA를 설치합니다. 이러한 인증서를 사용하면 클라이언트와 서버 간의 SSL 및 TLS 통신을 테스트할 수 있습니다. 운용 환경에서는 신뢰할 수 있는 CA(인증 기관)가 서명한 인증서를 사용해야 합니다.

IPA 서버의 자체 서명된 CA 인증서는 IPA 서버의 /etc/ipa/ca.crt 디렉토리에 있습니다.

olam-node 인스턴스에 연결된 개방형 터미널 세션으로 전환합니다.
자체 서명된 CA를 IPA 서버에서 Oracle Linux Automation Manager로 복사합니다.
```
scp oracle@ipa-server:/etc/ipa/ca.crt ~/
```
암호로 oracle를 입력하고 터미널이 사용 가능한 실습 환경에서 암호 프롬프트를 표시하면 ENTER를 입력합니다.
자체 서명된 CA 인증서를 Oracle Linux Automation Manager 서버의 공유 시스템 인증서 디렉토리에 복사합니다.
```
sudo mv ~/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt
```

인증서 파일의 소유권을 변경합니다.

sudo chown root.root /etc/pki/ca-trust/source/anchors/ipa.crt

시스템 차원의 보안 저장소 구성을 업데이트합니다.
```
sudo update-ca-trust
```

SSL을 사용하여 LDAP 서버에 대한 연결을 테스트합니다.

ldapsearch -D uid=olam_admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldaps://ipa-server.lv.vcn.oraclevcn.com

브라우저로 다시 전환하고, 필요한 경우 admin 사용자로 Oracle Linux Automation Manager에 로그인합니다.
Settings 및 LDAP settings로 이동합니다.
아래로 스크롤하고 편집 버튼을 누릅니다.
LDAP Server URI 또는 LDAP Start TLS를 업데이트합니다.

LDAP Server URI를 업데이트하도록 선택한 경우 프로토콜을 ldap://에서 ldaps://로, 포트를 389에서 636로 변경합니다.

LDAP Start TLS를 업데이트하는 경우 스위치를 On으로 전환합니다.

중요: LDAPS with Oracle Linux Automation Manager는 이러한 옵션 중 하나를 사용으로 설정할 때만 작동하며 두 옵션 중 하나만 사용으로 설정할 수 있습니다. 따라서 URI를 업데이트하는 경우 토글을 사용으로 설정하지 마십시오. 그 반대도 가능합니다.
페이지 하단으로 스크롤하고 Save 버튼을 누릅니다.
WebUI에서 로그아웃합니다.
사용자 이름 olam_admin 및 계정을 만드는 동안 지정한 암호를 사용하여 Oracle Linux Automation Manager에 로그인합니다.

로그인한 후 Oracle Linux Automation Manager와 LDAP 서버 간의 SSL/TLS 통신이 작동 중인지 확인했습니다. 시간이 허용되면 LDAP 설정을 다시 편집하고 다른 옵션을 시도하십시오.

다음 단계

이제 Oracle Linux Automation Manager가 외부 LDAP 서버에 대해 사용자를 성공적으로 인증하여 중앙에서 WebUI 자격 증명 및 액세스 제어를 관리할 수 있습니다. Oracle Linux Training Station을 방문하여 다른 Oracle Linux Automation Manager 교육을 확인하십시오.

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하세요. 또한 Oracle Learning Explorer가 되려면 education.oracle.com/learning-explorer을 방문하십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.

제목 및 저작권 정보

Integrate LDAP User Management with Oracle Linux Automation Manager

F75249-02