Active Directory 사용자 저장소 연결 구성

목차
casso12kr
목차
how to configure an Active Directory user store connection
사전 요구 사항
AD 사용자 저장소 연결을 구성하기 전에 다음 사항을 확인하십시오.
  • 관리 UI가 설치되었고 정책 서버에 등록되었습니다.
  • 사용자 저장소 연결을 만들기 위해 필요한 권한이 있는 관리자 계정이 있습니다.
일반적으로 발생하는 Active Directory LDAP 바인딩 오류에 대한 자세한 내용은 Microsoft 웹 사이트의 MSDN을 참조하십시오.
연결을 위한 AD 또는 LDAP 네임스페이스 선택
사용자 저장소 연결을 AD 또는 LDAP 네임스페이스로 구성할 수 있습니다. 선택하는 네임스페이스의 유형은 지원되는 기능과
Single Sign-On
기능의 다른 영역에 영향을 줍니다.
다음 표는 AD 및 LDAP 네임스페이스의 장점 및 단점을 설명합니다.
네임스페이스 유형
장점
단점
AD
  • 네이티브 Windows 인증서 데이터베이스를 사용하는 SSL 연결이 사용됩니다.
  • 정책 서버와 Active Directory 사용자 저장소를 호스트하는 시스템 모두에 트러스트가 설정되어 있어야 합니다. 
  • 보안 LDAP 바인딩 작업을 허용하는 네이티브 Windows SASL이 지원됩니다.
  • 향상된 LDAP 조회가 지원되지 않습니다.
  • LDAP 페이징 및 정렬 작업이 지원되지 않습니다.
  • 멀티바이트 문자 집합이 지원되지 않습니다.
    멀티바이트 문자 집합을 사용하려면 LDAP 네임스페이스를 사용하여 디렉터리 연결을 구성하십시오. 사용 중인 코드 페이지에 관계없이 정책 서버는 문자를 유니코드 정의에 따라 처리합니다. 이때 코드 페이지가 문자를 싱글바이트로 참조하는지 여부는 관계가 없습니다.
LDAP
  • 향상된 LDAP 조회가 지원됩니다.
  • LDAP 페이징 및 정렬이 지원됩니다.
  • 네이티브 Windows SASL이 지원되지 않습니다.
  • 개체 클래스 특성이 인덱싱되지 않습니다.
    Active Directory 사용자 디렉터리와 함께 효율적으로 실행하려면 Active Directory에서 개체 클래스 특성을 인덱싱하십시오. 인덱싱에 대한 자세한 내용은 해당 공급업체의 설명서를 참조하십시오.
  • Windows 사용자 보안 컨텍스트를 사용합니다. 에이전트가 Windows 사용자 보안 컨텍스트에서 실행될 수 있으므로 사용자는 IIS 웹 서버의 웹 리소스에 액세스할 수 있습니다. 정책 서버가 Windows 사용자 보안 컨텍스트를 제공하도록 하려면 다음을 수행하십시오.
    1. 영역별로 세션 저장소를 구성하고 영구 세션을 활성화합니다.
    2. 관리 UI에서 "디렉터리 설정" 아래의
      인증된 사용자의 보안 컨텍스트
      사용
      옵션을 선택하여 해당 컨텍스트를 활성화합니다.
사용자 저장소 정보 수집
사용자 저장소 연결을 만들기 전에 LDAP 설정 및 사용자 특성에 대해 필요한 정보를 수집하십시오.
이 정보를 수집하려면 디렉터리 서버 관리자에게 문의하십시오.
  • 연결
    Active Directory 호스트 시스템의 IP 주소와 포트를 지정합니다.
  • LDAP 검색 루트
    정책 서버가 디렉터리 연결의 시작점으로 사용하는 LDAP 트리 위치를 지정합니다. 정책 서버는 사용자를 찾을 때 루트에서 검색을 시작합니다.
    예:
    dc=domainname,dc=com
  • 사용자 DN 조회
    LDAP 사용자 저장소에서 사용자를 찾기 위해 LDAP 검색 식의 텍스트 문자열 또는 사용자 DN을 지정합니다. 완전한 조회를 위해서는 "시작" 및 "끝" 문자열이 필요합니다. "시작" 문자열, 사용자 이름 및 "끝" 문자열의 조합을 사용하여 LDAP 사용자 저장소를 검색합니다.
    예 (시작):
    (sAMAccountName=
    예 (End):
    )
  • 유니버설 ID
    정책 서버가 유니버설 ID로 사용하는 특성의 이름을 지정합니다.
    예:
    sAMAccountName
  • 비활성화된 플래그
    사용자의 비활성화된 상태를 유지하는 사용자 디렉터리 특성의 이름을 지정합니다.
    예:
    carLicense(또는 임의의 정수 특성)
  • 암호
    정책 서버가 사용자의 암호를 인증하기 위해 사용하는 사용자 디렉터리 특성의 이름을 지정합니다.
    예:
    unicodePwd
  • 암호 데이터
    정책 서버가 암호 서비스 데이터에 사용하는 사용자 디렉터리 특성의 이름을 지정합니다.
    예:
    audio
    "암호 데이터"의 값은 큰 바이너리 특성일 수 있습니다. 이 값은 기본 암호 서비스를 사용하는 경우에만 필요합니다.
네이티브 설정으로 비활성화된 권한 없는 사용자에 대해 암호 서비스 리디렉션이 사용되지 않도록 설정
기본적으로
CA Single Sign-on
는 사용자가 디렉터리 서버에서 네이티브 설정으로 비활성화된 경우 사용자에게 자격 증명을 다시 요구합니다. 정책 서버는 이러한 사용자를 암호 서비스로 리디렉션하며, 이는 리소스를 보호하는 인증 체계에 암호 서비스가 사용되지 않는 경우에도 해당됩니다.
이러한 동작이 수행되지 않도록 하려면 다음 레지스트리 키가 필요합니다.
textIgnoreDefaultRedirectOnADnativeDisabled
정책 서버 관리자에게 문의하여 해당 키를 생성하고 활성화하도록 요청하십시오.
다음 단계를 수행하십시오.
  1. 정책 서버 호스트 시스템에 로그인합니다.
  2. 레지스트리 편집기를 열고 다음 위치로 이동합니다.
    textHKEY_LOCAL_MACHINE\Software\Netegrity\SiteMinder\CurrentVersion\Ds\LDAPProvider
  3. 레지스트리 유형이 REG_DWORD인 IgnoreDefaultRedirectOnADnativeDisabled 레지스트리 키를 만듭니다.
    값:
    0(사용 안 함) 또는 1(사용)
    기본값
    : 0
  4. 값을 1로 설정합니다.
  5. 레지스트리 편집기를 종료합니다.
  6. 정책 서버를 다시 시작합니다.
중요!
암호 서비스로 리디렉션하도록 지정된 암호 정책이 적용될 경우 이 레지스트리 키의 설정에 관계없이
Single Sign-On
은 네이티브 설정으로 비활성화된 사용자를 암호 서비스로 리디렉션합니다.
개선된 Active Directory 통합 기능이 사용되도록 설정
Active Directory 2008에는 Windows NOS(네트워크 운영 체제)에 사용되는 여러 사용자 및 도메인 특성이 있습니다. LDAP 표준에는 이러한 사용자 및 도메인 특성이 필요 없습니다. "기본 암호 서비스"가 활성화된 경우 관리 UI를 사용하여 "개선된 Active Directory 통합 기능"을 활성화하십시오. 이 옵션을 사용하면 AD 사용자 특성을
Single Sign-On
의 매핑된 사용자 특성과 동기화하여 정책 서버의 사용자 관리 기능 및 암호 서비스와 AD 간의 통합이 개선됩니다.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "관리", "정책 서버", "전역 도구"를 차례로 클릭합니다.
  3. "개선된 Active Directory 통합 기능"을 선택합니다.
  4. 제출을 클릭합니다.
    개선된 Active Directory 통합 기능이 활성화됩니다.
사용자 저장소 연결 만들기
사용자 저장소 연결을 구성하면 정책 서버가 Active Directory와 통신할 수 있습니다. 환경에서 암호 서비스를 사용하는 경우 SSL 연결과 암호 특성(예: uincodePWD)이 필요합니다.
SSL을 통해 통신하도록 Active Directory를 구성하는 방법에 대한 자세한 내용은 해당 공급업체의 설명서를 참조하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "인프라", "디렉터리", "사용자 디렉터리"를 차례로 클릭합니다.
  3. "사용자 디렉터리 만들기"를 클릭합니다.
  4. Microsoft Active Directory는 LDAP 호환 사용자 디렉터리입니다. AD 네임스페이스 또는 LDAP 네임스페이스를 사용하여 연결을 구성할 수 있습니다. 다음 작업 중
    하나
    를 수행하십시오.
    • 기본 LDAP 설정을 그대로 둡니다.
    • "네임스페이스" 목록에서 AD를 선택합니다.
  5. "일반" 및 "디렉터리 설정" 섹션에서 나머지 필요한 연결 정보를 지정합니다.
    참고
    : 정책 서버와 Active Directory 네임스페이스가 SSL 연결을 통해 통신하는 경우 "디렉터리 설정" 섹션의
    서버
    필드에 FQDN(정규화된 도메인 이름) 및 포트를 지정하십시오. FQDN을 포함하지 않으면 정책 서버는 사용자 디렉터리에 연결할 수 없다는 오류를 로깅합니다. 인증서가 서버 이름과 일치하지 않는다는 Windows 이벤트도 로깅됩니다.
    다음과 같은 조건인 경우 정책 서버와 디렉터리 저장소가 사용하는 인증서는 FIPS 호환 인증서여야 합니다.
    • 정책 서버가 FIPS 모드에서 작동하고 있는 경우
    • 정책 서버와 통신할 때 디렉터리 연결이 보안 SSL 연결을 사용하는 경우
  6. (선택 사항) "디렉터리 설정"에서 "구성"을 클릭하여 부하 분산 및 장애 조치를 구성합니다.
  7. "관리자 자격 증명"에서 다음을 수행합니다.
    1. "자격 증명 필요"를 선택합니다.
    2. 관리자 계정의 자격 증명을 입력합니다. "사용자 이름" 필드에 관리자의 FQDN(정규화된 도메인 이름)을 지정합니다. 그렇지 않으면 사용자 인증이 실패할 수 있습니다.
  8. "LDAP 설정" 영역에서 "LDAP 검색" 및 "LDAP 사용자 DN 조회" 설정을 구성합니다.
  9. "사용자 특성" 영역에서
    Single Sign-On
    용으로 예약된 사용자 디렉터리 프로필 특성을 지정합니다.
  10. (선택 사항) "특성 매핑 목록" 영역에서 "만들기"를 클릭하여 사용자 특성 매핑을 구성합니다.
  11. 제출을 클릭합니다. 사용자 디렉터리 연결이 생성됩니다. 
정책 서버가 관리 변경 내용을 적용할 때까지(기본적으로 60초 간격) 정책 서버에서 새 사용자 디렉터리 연결을 사용할 수 없습니다. 사용자 디렉터리 연결이 수정된 경우에도 동일한 조건이 적용됩니다.
EnableADEnhancedReferrals 레지스트리 키 비활성화
사용자 저장소 연결이 LDAP 네임스페이스를 사용하여 구성된 경우 EnableADEnhancedReferals 레지스트리 키를 비활성화하십시오. 이 레지스트리 키를 비활성화하면 LDAP 연결 오류가 발생하지 않습니다.
정책 서버 관리자에게 문의하여 해당 키를 비활성화하도록 요청하십시오.
다음 단계를 수행하십시오.
  1. 정책 서버 호스트 시스템에 로그인합니다.
  2. 레지스트리 편집기를 열고 다음 위치로 이동합니다.
    textHKEY_LOCAL_MACHINE\Software\Netegrity\SiteMinder\CurrentVersion\Ds\LDAPProvider
  3. EnableADEnhancedReferrals 키에 대해 이 값을 0으로 설정합니다.
    값:
    0(사용 안 함) 또는 1(사용)
    기본값
    : 1
  4. 레지스트리 편집기를 종료합니다.
SASL 바인드 레지스트리 키 활성화
Windows 기반 정책 서버는 SASL을 사용하여 Active Directory의 사용자를 인증할 수 있습니다. SASL 바인드를 사용하도록 활성화하려면
EnableSASLBind
레지스트리 키를 만들어 활성화하십시오. 이 설정을 사용할 경우 사용자 디렉터리 구성의 관리자 이름을 정규화된 고유 이름 대신 AD 로그인 이름으로 설정하십시오.
중요!
정책 서버와 사용자 저장소 사이에서 SSL 연결을 구성하는 경우 이 레지스트리 키를 활성화하지 마십시오.
정책 서버 관리자에게 문의하여 해당 키를 생성하고 활성화하도록 요청하십시오.
다음 단계를 수행하십시오.
  1. 정책 서버 호스트 시스템에 로그인합니다.
  2. 레지스트리 편집기를 열고 다음 위치로 이동합니다.
    textHKEY_LOCAL_MACHINE\Software\Netegrity\SiteMinder\CurrentVersion\Ds\LDAPProvider
  3. 레지스트리 유형이 REG_DWORD인
    EnableSASLBind
    레지스트리 키를 만듭니다.
  4. 값을 1로 설정합니다.
  5. 레지스트리 편집기를 종료합니다.
  6. 정책 서버를 다시 시작합니다.
사용자 저장소 연결 테스트
사용자를 쿼리하여 연결을 테스트하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "인프라", "디렉터리", "사용자 디렉터리"를 차례로 클릭합니다.
  3. 만든 사용자 저장소의 이름을 클릭합니다.
  4. "디렉터리 설정" 아래에서 "콘텐츠 보기"를 클릭합니다.
  5. 검색 유형이 "특성-값"으로 선택되어 있는지 확인합니다.
  6. "특성"에 "유니버설 ID"를 입력합니다.
    예:
    sAMAccountName
  7. "값" 필드에 *를 입력합니다.
  8. "실행"을 클릭합니다.
    계정 상세 정보가 나타납니다. 사용자 저장소에 성공적으로 연결되었습니다.