Active Directory 사용자 저장소 연결 구성
목차
casso12kr
목차

사전 요구 사항
AD 사용자 저장소 연결을 구성하기 전에 다음 사항을 확인하십시오.
- 관리 UI가 설치되었고 정책 서버에 등록되었습니다.
- 사용자 저장소 연결을 만들기 위해 필요한 권한이 있는 관리자 계정이 있습니다.
일반적으로 발생하는 Active Directory LDAP 바인딩 오류에 대한 자세한 내용은 Microsoft 웹 사이트의 MSDN을 참조하십시오.
연결을 위한 AD 또는 LDAP 네임스페이스 선택
사용자 저장소 연결을 AD 또는 LDAP 네임스페이스로 구성할 수 있습니다. 선택하는 네임스페이스의 유형은 지원되는 기능과
Single Sign-On
기능의 다른 영역에 영향을 줍니다.다음 표는 AD 및 LDAP 네임스페이스의 장점 및 단점을 설명합니다.
네임스페이스 유형
| 장점
| 단점
|
AD |
|
|
LDAP |
|
|
사용자 저장소 정보 수집
사용자 저장소 연결을 만들기 전에 LDAP 설정 및 사용자 특성에 대해 필요한 정보를 수집하십시오.
이 정보를 수집하려면 디렉터리 서버 관리자에게 문의하십시오.
- 연결Active Directory 호스트 시스템의 IP 주소와 포트를 지정합니다.
- LDAP 검색 루트정책 서버가 디렉터리 연결의 시작점으로 사용하는 LDAP 트리 위치를 지정합니다. 정책 서버는 사용자를 찾을 때 루트에서 검색을 시작합니다.예:dc=domainname,dc=com
- 사용자 DN 조회LDAP 사용자 저장소에서 사용자를 찾기 위해 LDAP 검색 식의 텍스트 문자열 또는 사용자 DN을 지정합니다. 완전한 조회를 위해서는 "시작" 및 "끝" 문자열이 필요합니다. "시작" 문자열, 사용자 이름 및 "끝" 문자열의 조합을 사용하여 LDAP 사용자 저장소를 검색합니다.예 (시작):(sAMAccountName=예 (End):)
- 유니버설 ID정책 서버가 유니버설 ID로 사용하는 특성의 이름을 지정합니다.예:sAMAccountName
- 비활성화된 플래그사용자의 비활성화된 상태를 유지하는 사용자 디렉터리 특성의 이름을 지정합니다.예:carLicense(또는 임의의 정수 특성)
- 암호정책 서버가 사용자의 암호를 인증하기 위해 사용하는 사용자 디렉터리 특성의 이름을 지정합니다.예:unicodePwd
- 암호 데이터정책 서버가 암호 서비스 데이터에 사용하는 사용자 디렉터리 특성의 이름을 지정합니다.예:audio"암호 데이터"의 값은 큰 바이너리 특성일 수 있습니다. 이 값은 기본 암호 서비스를 사용하는 경우에만 필요합니다.
기본적으로
CA Single Sign-on
는 사용자가 디렉터리 서버에서 네이티브 설정으로 비활성화된 경우 사용자에게 자격 증명을 다시 요구합니다. 정책 서버는 이러한 사용자를 암호 서비스로 리디렉션하며, 이는 리소스를 보호하는 인증 체계에 암호 서비스가 사용되지 않는 경우에도 해당됩니다.이러한 동작이 수행되지 않도록 하려면 다음 레지스트리 키가 필요합니다.
textIgnoreDefaultRedirectOnADnativeDisabled
정책 서버 관리자에게 문의하여 해당 키를 생성하고 활성화하도록 요청하십시오.
다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 레지스트리 편집기를 열고 다음 위치로 이동합니다.textHKEY_LOCAL_MACHINE\Software\Netegrity\SiteMinder\CurrentVersion\Ds\LDAPProvider
- 레지스트리 유형이 REG_DWORD인 IgnoreDefaultRedirectOnADnativeDisabled 레지스트리 키를 만듭니다.값:0(사용 안 함) 또는 1(사용)기본값: 0
- 값을 1로 설정합니다.
- 레지스트리 편집기를 종료합니다.
- 정책 서버를 다시 시작합니다.
중요!
암호 서비스로 리디렉션하도록 지정된 암호 정책이 적용될 경우 이 레지스트리 키의 설정에 관계없이 Single Sign-On
은 네이티브 설정으로 비활성화된 사용자를 암호 서비스로 리디렉션합니다.개선된 Active Directory 통합 기능이 사용되도록 설정
Active Directory 2008에는 Windows NOS(네트워크 운영 체제)에 사용되는 여러 사용자 및 도메인 특성이 있습니다. LDAP 표준에는 이러한 사용자 및 도메인 특성이 필요 없습니다. "기본 암호 서비스"가 활성화된 경우 관리 UI를 사용하여 "개선된 Active Directory 통합 기능"을 활성화하십시오. 이 옵션을 사용하면 AD 사용자 특성을
Single Sign-On
의 매핑된 사용자 특성과 동기화하여 정책 서버의 사용자 관리 기능 및 암호 서비스와 AD 간의 통합이 개선됩니다.다음 단계를 수행하십시오.
- 관리 UI에 로그인합니다.
- "관리", "정책 서버", "전역 도구"를 차례로 클릭합니다.
- "개선된 Active Directory 통합 기능"을 선택합니다.
- 제출을 클릭합니다.개선된 Active Directory 통합 기능이 활성화됩니다.
사용자 저장소 연결 만들기
사용자 저장소 연결을 구성하면 정책 서버가 Active Directory와 통신할 수 있습니다. 환경에서 암호 서비스를 사용하는 경우 SSL 연결과 암호 특성(예: uincodePWD)이 필요합니다.
SSL을 통해 통신하도록 Active Directory를 구성하는 방법에 대한 자세한 내용은 해당 공급업체의 설명서를 참조하십시오.
다음 단계를 수행하십시오.
- 관리 UI에 로그인합니다.
- "인프라", "디렉터리", "사용자 디렉터리"를 차례로 클릭합니다.
- "사용자 디렉터리 만들기"를 클릭합니다.
- Microsoft Active Directory는 LDAP 호환 사용자 디렉터리입니다. AD 네임스페이스 또는 LDAP 네임스페이스를 사용하여 연결을 구성할 수 있습니다. 다음 작업 중하나를 수행하십시오.
- 기본 LDAP 설정을 그대로 둡니다.
- "네임스페이스" 목록에서 AD를 선택합니다.
- "일반" 및 "디렉터리 설정" 섹션에서 나머지 필요한 연결 정보를 지정합니다.참고: 정책 서버와 Active Directory 네임스페이스가 SSL 연결을 통해 통신하는 경우 "디렉터리 설정" 섹션의서버필드에 FQDN(정규화된 도메인 이름) 및 포트를 지정하십시오. FQDN을 포함하지 않으면 정책 서버는 사용자 디렉터리에 연결할 수 없다는 오류를 로깅합니다. 인증서가 서버 이름과 일치하지 않는다는 Windows 이벤트도 로깅됩니다.다음과 같은 조건인 경우 정책 서버와 디렉터리 저장소가 사용하는 인증서는 FIPS 호환 인증서여야 합니다.
- 정책 서버가 FIPS 모드에서 작동하고 있는 경우
- 정책 서버와 통신할 때 디렉터리 연결이 보안 SSL 연결을 사용하는 경우
- (선택 사항) "디렉터리 설정"에서 "구성"을 클릭하여 부하 분산 및 장애 조치를 구성합니다.
- "관리자 자격 증명"에서 다음을 수행합니다.
- "자격 증명 필요"를 선택합니다.
- 관리자 계정의 자격 증명을 입력합니다. "사용자 이름" 필드에 관리자의 FQDN(정규화된 도메인 이름)을 지정합니다. 그렇지 않으면 사용자 인증이 실패할 수 있습니다.
- "LDAP 설정" 영역에서 "LDAP 검색" 및 "LDAP 사용자 DN 조회" 설정을 구성합니다.
- "사용자 특성" 영역에서Single Sign-On용으로 예약된 사용자 디렉터리 프로필 특성을 지정합니다.
- (선택 사항) "특성 매핑 목록" 영역에서 "만들기"를 클릭하여 사용자 특성 매핑을 구성합니다.
- 제출을 클릭합니다. 사용자 디렉터리 연결이 생성됩니다.
정책 서버가 관리 변경 내용을 적용할 때까지(기본적으로 60초 간격) 정책 서버에서 새 사용자 디렉터리 연결을 사용할 수 없습니다. 사용자 디렉터리 연결이 수정된 경우에도 동일한 조건이 적용됩니다.
EnableADEnhancedReferrals 레지스트리 키 비활성화
사용자 저장소 연결이 LDAP 네임스페이스를 사용하여 구성된 경우 EnableADEnhancedReferals 레지스트리 키를 비활성화하십시오. 이 레지스트리 키를 비활성화하면 LDAP 연결 오류가 발생하지 않습니다.
정책 서버 관리자에게 문의하여 해당 키를 비활성화하도록 요청하십시오.
다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 레지스트리 편집기를 열고 다음 위치로 이동합니다.textHKEY_LOCAL_MACHINE\Software\Netegrity\SiteMinder\CurrentVersion\Ds\LDAPProvider
- EnableADEnhancedReferrals 키에 대해 이 값을 0으로 설정합니다.값:0(사용 안 함) 또는 1(사용)기본값: 1
- 레지스트리 편집기를 종료합니다.
SASL 바인드 레지스트리 키 활성화
Windows 기반 정책 서버는 SASL을 사용하여 Active Directory의 사용자를 인증할 수 있습니다. SASL 바인드를 사용하도록 활성화하려면
EnableSASLBind
레지스트리 키를 만들어 활성화하십시오. 이 설정을 사용할 경우 사용자 디렉터리 구성의 관리자 이름을 정규화된 고유 이름 대신 AD 로그인 이름으로 설정하십시오.중요!
정책 서버와 사용자 저장소 사이에서 SSL 연결을 구성하는 경우 이 레지스트리 키를 활성화하지 마십시오.정책 서버 관리자에게 문의하여 해당 키를 생성하고 활성화하도록 요청하십시오.
다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 레지스트리 편집기를 열고 다음 위치로 이동합니다.textHKEY_LOCAL_MACHINE\Software\Netegrity\SiteMinder\CurrentVersion\Ds\LDAPProvider
- 레지스트리 유형이 REG_DWORD인EnableSASLBind레지스트리 키를 만듭니다.
- 값을 1로 설정합니다.
- 레지스트리 편집기를 종료합니다.
- 정책 서버를 다시 시작합니다.
사용자 저장소 연결 테스트
사용자를 쿼리하여 연결을 테스트하십시오.
다음 단계를 수행하십시오.
- 관리 UI에 로그인합니다.
- "인프라", "디렉터리", "사용자 디렉터리"를 차례로 클릭합니다.
- 만든 사용자 저장소의 이름을 클릭합니다.
- "디렉터리 설정" 아래에서 "콘텐츠 보기"를 클릭합니다.
- 검색 유형이 "특성-값"으로 선택되어 있는지 확인합니다.
- "특성"에 "유니버설 ID"를 입력합니다.예:sAMAccountName
- "값" 필드에 *를 입력합니다.
- "실행"을 클릭합니다.계정 상세 정보가 나타납니다. 사용자 저장소에 성공적으로 연결되었습니다.