CA LDAP Server for z/OS 사용자 디렉터리 연결 구성
목차
sm1252sp1kkr
목차
2
CA LDAP Server for z/OS 개요
정책 서버에서 CA LDAP Server for z/OS로의 연결을 구성하여 LDAP Server를 사용자 저장소로 구성할 수 있습니다. 정책 서버에서 LDAP Server로의 연결을 구성하는 방법은 LDAP Server 보안에 사용하는 백엔드 옵션에 따라 달라집니다.

CA에서는 CA LDAP Server에 다음과 같은 백엔드 보안 옵션을 지원합니다.
- CA Top Secret r12(TSS)
- CA LDAP Server r15 for z/OS(RACF)
- CA LDAP Server r15 for z/OS(ACF2)
정책 서버에서 LDAP Server로의 연결을 구성하기 전에 이러한 백엔드 보안 옵션의 개체 클래스 계층에 대해 잘 알아 두십시오. 또한 LDAP 네임스페이스의 정책 서버 레지스트리에 백엔드 관련 개체 클래스를 추가하십시오.
참고:
z/OS는 메인프레임 컴퓨터용 IBM 운영 체제입니다.기능 중 CA LDAP Server for z/OS(TSS)에서 지원하지 않는 기능
CA LDAP Server for z/OS는 다음 기능을 지원하지 않습니다.
- 암호 서비스암호 서비스가 지원되지 않습니다.
- 익명 바인딩CA LDAP Server r15 for z/OS를 사용자 저장소로 구성하는 경우 "사용자 디렉터리 만들기" 페이지에서 "관리자 자격 증명" 값을 제공하십시오.
- 사용자 이름에 지원되지 않는 문자사용자 이름에 지원되지 않는 문자는 다음과 같습니다.
- 공백
- 작은따옴표
- 여는 괄호
- 닫는 괄호
- 쉼표
- 백슬래시
- 사용자 그룹 및 정책사용자 그룹을 정책에 추가하고 해당 그룹의 사용자에게 권한을 부여하려고 하면 실패합니다.
- 부하 분산 및 장애 조치(TSS)부하 분산 및 장애 조치가 지원되지 않습니다.
- LDAP 장애 조치 및 복제(RACF 및 ACF2)LDAP 장애 조치 및 복제가 지원되지 않습니다.
CA Top Secret r12(TSS) 백엔드 보안 옵션
CA LDAP Server for z/OS의 보안에 TSS를 사용하는 경우 정책 서버에서 CA LDAP Server로의 연결을 구성하기 전에 다음 단계를 완료하십시오.
- TSS 개체 클래스 계층에 대해 잘 알아 둡니다.
- LDAP 네임스페이스의 정책 서버 레지스트리에 TSS 개체 클래스를 추가합니다.
TSS 개체 클래스 계층
다음 다이어그램에서는 CA Top Secret DIT(디렉터리 정보 트리)에 있는 개체 클래스 항목의 계층을 보여 줍니다. 다이어그램 아래에는 각 개체 클래스에 대한 설명이 나옵니다.

- host 개체 클래스CA Top Secret 데이터베이스의 개체 클래스 계층에 대한 액세스를 시작하는 데 사용되는 개체 클래스입니다.
- tsssysinfo 개체 클래스개체 클래스 계층에서 호스트 아래에 분기를 생성하는 데 사용되는 개체 클래스입니다.
- tssadmingrp 개체 클래스개체 클래스 계층에서 호스트 아래에 분기를 생성하는 데 사용되는 개체 클래스입니다.값:
- acids
- profiles
- 그룹
- departments
- divisions
- zones
- tssacid 개체 클래스모든 사용자 유형의 ACID 레코드 필드에 액세스하는 데 사용되는 개체 클래스입니다.
- tssacidgrp 개체 클래스개체 클래스 계층에서 acid 아래에 분기를 생성하는 데 사용되는 개체 클래스입니다.
TSS에 대한 정책 서버 레지스트리 항목 구성
CA LDAP Server for z/OS에는 다른 LDAP 서버와는 구별되는 개체 클래스가 있습니다. 정책 서버에서 CA LDAP Server로의 연결을 구성하기 전에 LDAP 네임스페이스의 특정 정책 서버 레지스트리 항목에 TSS 개체 클래스를 추가해야 합니다. 다음 정책 서버 레지스트리 항목의 기본값을 대체 값으로 바꿉니다.
- registry_entry_home다음 레지스트리 항목 위치를 지정합니다.HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Netegrity\SiteMinder\CurrentVersion\Ds.
default_value
레지스트리 항목의 기본값을 지정합니다.
replacement_value
레지스트리 항목에 대해 TSS 개체 클래스를 포함하는 새 값을 지정합니다.
- registry_entry_home\ClassFilters
class_filters_default_value:
organization,organizationalUnit,groupOfNames,groupOfUniqueNames,groupclass_filters_replacement_value:
class_filters_default_value,eTTSSAcidName,tssacidgrp,tssadmingrp,tssacid- registry_entry_home\GroupClassFilters
group_class_filters_default_value:
groupOfNames,groupOfUniqueNames,groupgroup_class_filters_replacement_value:
group_class_filters_default_value,eTTSSAcidName,tssacidgrp,tssadmingrp,tssacid- registry_entry_home\PolicyClassFilters
policy_class_filters_default_value:
organizationalPerson,inetOrgPerson,organization,organizationalUnit, groupOfNames,groupOfUniqueNames,grouppolicy_class_filters_replacement_value:
policy_class_filters_default_value,eTTSSAcidName,tssacidgrp,tssadmingrp,tssacid- registry_entry_home\PolicyResolution다음 TSS 개체 클래스를 이 레지스트리 항목에 추가합니다.TSS 개체 클래스레지스트리 키 종류DataeTTSSAcidNameREG_DWORD0x00000001(1)tssacidREG_DWORD0x00000001(1)tssacidgrpREG_DWORD0x00000002(2)tssadmingrpREG_DWORD0x00000003(3)
참고:
정책 서버가 실행하는 일부 LDAP 쿼리(예: 전체 사용자 목록)는 완료되는 데 최대 60초가 소요될 수 있습니다. 이러한 경우 정책 서버 측에서 실행한 대부분의 쿼리는 시간 만료됩니다. 연결 성능을 개선하려면 이 레지스트리 키 항목을 다음과 같이 수정하면 됩니다.[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Netegrity\SiteMinder\CurrentVersion\Debug]LDAPPingTimeout = 300; REG_DWORD
CA LDAP Server for z/OS 사용자 디렉터리 연결 구성
정책 서버가 사용자 저장소와 통신할 수 있도록 사용자 디렉터리 연결을 구성합니다.
참고
이 LDAP 서버에서는 부하 분산 및 장애 조치가 지원되지 않습니다.다음 단계를 수행하십시오.
- "인프라", "디렉터리"를 차례로 클릭합니다.
- "사용자 디렉터리"를 선택합니다.
- "사용자 디렉터리 만들기"를 클릭합니다.
- "일반" 및 디렉터리 설정 영역에서 필요한 연결 정보를 지정합니다.
- "LDAP 설정" 영역에서 "LDAP 검색" 및 "LDAP 사용자 DN 조회" 설정을 구성합니다."최대 시간"에는 100을 입력하십시오. 정책 서버가 현재 LDAP 서버에서 데이터를 검색하려면 이 정도의 시간이 필요합니다.
- "관리자 자격 증명" 영역에서 다음을 수행합니다. (선택 사항) "사용자 특성" 영역에서Single Sign-On용으로 예약된 사용자 디렉터리 프로필 특성을 지정합니다.
- "자격 증명 필요" 옵션을 선택합니다.
- "사용자 이름"에 관리자의 전체 DN을 입력합니다.
- "암호"에 관리자 암호를 입력합니다. TSS에서는 사용자 저장소에 대한 익명 바인딩을 허용하지 않습니다.
- (선택 사항) "특성 매핑 목록" 영역에서 "만들기"를 클릭하여 사용자 특성 매핑을 구성합니다.
- 제출을 클릭합니다.사용자 디렉터리 연결이 생성됩니다.참고: 정책 서버가 관리 변경 내용을 적용할 때까지(기본적으로 60초 간격) 정책 서버에서 새 사용자 디렉터리 연결을 사용할 수 없습니다. 이는 사용자 디렉터리 연결이 수정된 경우에도 적용됩니다.
CA LDAP Server r15 for z/OS(ACF2) 백엔드 보안 옵션
이 섹션에서는 정책 서버에서 CA LDAP Server r15 for z/OS(ACF2)를 사용자 저장소로 구성하는 데 필요한 설정에 대해 설명합니다.
ACF2 개체 클래스 계층
다음 그림에서는 CA ACF2 DIT(디렉터리 정보 트리)에 있는 개체 클래스 항목의 계층을 보여 줍니다. 그림에는 각 개체 클래스에 대한 설명이 나와 있습니다.

host 개체 클래스
CA ACF2 데이터베이스의 개체 클래스 계층에 대한 액세스를 시작하는 데 사용되는 개체 클래스입니다.
acf2admingrp 개체 클래스
개체 클래스 계층에서 호스트 아래에 분기를 생성하는 데 사용되는 개체 클래스입니다.
값:
- lids
- 그룹
- rules
acf2lid 개체 클래스
LID 레코드 필드(사용자 레코드)에 액세스하는 데 사용되는 개체 클래스입니다. acf2lid는 추가, 수정 및 삭제가 가능한 유일한 개체 클래스입니다. 다른 모든 개체 클래스 개체는 읽기 전용입니다.
acf2lidgrp 개체 클래스
CA ACF2에서 그룹을 에뮬레이트하는 데 사용되는 개체 클래스입니다.
acf2ruletype 개체 클래스
유사한 규칙 유형을 그룹화하는 데 사용되는 개체 클래스입니다. acf2ruletype 개체 클래스는 읽기 전용이며 수정, 추가 또는 삭제할 수 없습니다.
ACF2에 대한 정책 서버 레지스트리 항목 구성
CA LDAP Server r15 for z/OS(ACF2)에는 다른 LDAP 서버와 구별되는 개체 클래스 집합이 있습니다. 정책 서버에서 CA LDAP Server로의 사용자 디렉터리 연결을 구성하기 전에 LDAP 네임스페이스의 특정 정책 서버 레지스트리 항목에 ACF2 개체 클래스를 추가해야 합니다. 다음 정책 서버 레지스트리 항목의 기본값을 대체 값으로 바꿉니다.
- registry_entry_home
다음 레지스트리 항목 위치를 지정합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Netegrity\SiteMinder\CurrentVersion\Ds.
- default_value
레지스트리 항목의 기본값을 지정합니다.
- replacement_value
레지스트리 항목에 대해 ACF2 개체 클래스를 포함하는 새 값을 지정합니다.
- registry_entry_home\ClassFilters
class_filters_default_value:
organization,organizationalUnit,groupOfNames,groupOfUniqueNames,groupclass_filters_replacement_value:
class_filters_default_value,*- registry_entry_home\GroupClassFilters
group_class_filters_default_value:
groupOfNames,groupOfUniqueNames,groupgroup_class_filters_replacement_value:
group_class_filters_default_value,*- registry_entry_home\PolicyClassFilters
policy_class_filters_default_value:
organizationalPerson,inetOrgPerson,organization,organizationalUnit,groupOfNames,groupOfUniqueNames,grouppolicy_class_filters_replacement_value:
policy_class_filters_default_value,*- registry_entry_home\PolicyResolution다음 ACF2 개체 클래스를 이 레지스트리 항목에 추가합니다.ACF2 개체 클래스레지스트리 키 종류Dataacf2lidREG_DWORD0x00000001(1)acf2admingrpREG_DWORD0x00000002(2)eTACFLidNameREG_DWORD0x00000001(1)
- registry_entry_home\DebugUNIX의 경우 다음 ACF2 개체 클래스를 이 레지스트리 항목에 추가합니다.ACF2 개체 클래스레지스트리 키 종류DataLDAPPingTimeout=REG_DWORD300;참고:CA LDAP Server r15 for z/OS(ACF2)의 응답 시간에 따라 이 레지스트리 키 값을 변경할 수 있습니다.
CA LDAP Server r15 for z/OS(RACF) 백엔드 보안 옵션
이 섹션에서는 정책 서버에서 CA LDAP Server r15 for z/OS(RACF)를 사용자 저장소로 구성하는 데 필요한 설정에 대해 설명합니다.
RACF 네임스페이스 계층
다음 그림에서는 RACF DIT(디렉터리 정보 트리)에 있는 네임스페이스 항목의 계층을 보여 줍니다. 그림에는 각 네임스페이스에 대한 설명이 나와 있습니다. RACF 네임스페이스 계층은 ACF2 개체 클래스 계층과 비슷합니다.

ACF2 서버와 마찬가지로 계층에서 맨 위 4개 항목은 서버에서 생성한 예약된 읽기 전용 항목입니다. 이러한 예약된 항목은 RACF 사용자, 그룹 및 연결을 계층적으로 나타내는 데 사용됩니다.
RACF에 대한 정책 서버 레지스트리 항목 구성
CA LDAP Server r15 for z/OS(RACF)에는 다른 LDAP 서버와 구별되는 개체 클래스 집합이 있습니다. 정책 서버에서 CA LDAP Server로의 사용자 디렉터리 연결을 구성하기 전에 LDAP 네임스페이스의 특정 정책 서버 레지스트리 항목에 RACF 개체 클래스를 추가해야 합니다. 다음 정책 서버 레지스트리 항목의 기본값을 대체 값으로 바꿉니다.
- registry_entry_home
다음 레지스트리 항목 위치를 지정합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Netegrity\SiteMinder\CurrentVersion\Ds.
default_value
레지스트리 항목의 기본값을 지정합니다.
replacement_value
레지스트리 항목에 대해 RACF 개체 클래스를 포함하는 새 값을 지정합니다.
- registry_entry_home\ClassFilters
class_filters_default_value:
organization,organizationalUnit,groupOfNames,groupOfUniqueNames,groupclass_filters_replacement_value:
class_filters_default_value,*- registry_entry_home\GroupClassFilters
group_class_filters_default_value:
groupOfNames,groupOfUniqueNames,groupgroup_class_filters_replacement_value:
group_class_filters_default_value,*- registry_entry_home\PolicyClassFilters
policy_class_filters_default_value:
organizationalPerson,inetOrgPerson,organization,organizationalUnit,groupOfNames,groupOfUniqueNames,grouppolicy_class_filters_replacement_value:
policy_class_filters_default_value,*- registry_entry_home\PolicyResolution다음 RACF 개체 클래스를 이 레지스트리 항목에 추가합니다.RACF 개체 클래스레지스트리 키 종류DataeTRACUseridREG_DWORD0x00000001(1)eTRACAdminGrpREG_DWORD0x00000002(2)
- registry_entry_home\DebugUNIX의 경우 다음 RACF 개체 클래스를 이 레지스트리 항목에 추가합니다.RACF 개체 클래스레지스트리 키 종류DataLDAPPingTimeout=REG_DWORD300;참고:CA LDAP Server r15 for z/OS(RACF)의 응답 시간에 따라 이 레지스트리 키 값을 변경할 수 있습니다.
정책 서버에서 CA LDAP Server for z/OS로의 연결 구성
정책 서버에서 CA LDAP Server for z/OS(RACF) 또는 CA LDAP Server for z/OS(ACF2)로의 연결을 구성하려면 관리 UI에서 기존 사용자 디렉터리 개체를 여십시오.
다음 단계를 수행하십시오.
참고:
이 LDAP 서버에는 장애 조치가 지원되지 않습니다.- "사용자 디렉터리" 대화 상자를 엽니다.
- "디렉터리 설정"에서 네임스페이스로 "LDAP"을 선택합니다.
- LDAP 디렉터리에 대한 연결 정보를 입력합니다.
- "LDAP 검색" 섹션의 "최대 시간" 필드에서 300초를 지정합니다.참고:정책 서버가 이 LDAP Server에서 데이터를 가져오는 데는 많은 시간이 소요되므로 시간 만료 값을 높게 지정해야 합니다.
- "자격 증명 및 연결"에서 정책 서버가 이 LDAP Server에 연결할 때 사용할 관리자 자격 증명을 지정합니다.중요!CA LDAP Server r15 for z/OS(RACF) 및 CA LDAP Server r15 for z/OS(ACF2)에서는 사용자 저장소에 대한 익명 바인딩이 허용되지 않으므로 관리자 자격 증명을 반드시 지정해야 합니다.