SSL을 통한 LDAP 사용자 디렉터리 연결 구성

decimal
casso12kr
SSL을 통한 연결 구성 전 작업
SSL을 통한 LDAP 사용자 디렉터리 연결을 구성하기 전에 다음 사항을 검토하십시오.
  • 디렉터리 서버가 SSL이 사용되도록 설정되었는지 확인합니다.
  • 데이터베이스 파일이 Netscape 데이터베이스 버전 파일 형식(cert8.db)인지 확인하십시오. 정책 서버는 Mozilla LDAP SDK를 사용하여 LDAP 디렉터리와 통신합니다.
    중요!
    cert8.db 데이터베이스 파일에 인증서를 설치할 때 Microsoft Internet Explorer를 사용하지 마십시오.
  • (Active Directory만 해당) AD 네임스페이스를 사용하여 사용자 디렉터리 연결이 구성된 경우에는 이후 항목에 설명되어 있는 SSL 프로세스가 적용되지 않습니다. AD 네임스페이스는 SSL 연결 설정 시 네이티브 Windows 인증서 리포지토리를 사용합니다.AD 네임스페이스가 SSL을 통해 통신하도록 하려면 다음과 같이 하십시오.
    • 사용자 디렉터리 연결에 대해 보안 연결이 구성되었는지 확인합니다.
    • Active Directory 인스턴스를 호스트하는 컴퓨터에서 루트 CA 인증서와 서버 인증서가 서비스 인증서 저장소에 추가되었는지 확인합니다.
인증서 데이터베이스 파일 만들기
인증서 데이터베이스 파일을 만들려면 정책 서버에 포함된 Mozilla NSS(Network Security Services) certutil 응용 프로그램을 사용하십시오.
참고:
다음 절차에서는 태스크를 완료하는 데 필요한 옵션 및 인수에 대해 자세히 설명합니다. NSS 유틸리티 옵션 및 인수의 전체 목록은 NSS 프로젝트 페이지에서 Mozilla 설명서를 참조하십시오.
중요!
Windows Server에서 UAC(사용자 계정 컨트롤)가 활성화된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오.
다음 단계를 수행하십시오.
  1. 명령 프롬프트에서 설치 bin 디렉터리로 이동합니다.
    예:
    C:\Program Files\CA\SiteMinder\bin
    참고:
    Windows에는 네이티브 certutil 유틸리티가 있습니다. 정책 서버의 bin 디렉터리에서 작업 중인지 확인하십시오. 그렇지 않을 경우 실수로 Windows certutil 유틸리티를 실행할 수 있습니다.
  2. 다음 명령을 입력하십시오.
    certutil -N -d
    certificate_database_directory
    • -N
      cert8.db, key3.db 및 secmod.db 인증서 데이터베이스 파일을 생성합니다.
    • -d certificate_database_directory
      certutil 도구가 인증서 데이터베이스 파일을 생성할 디렉터리를 지정합니다.
    참고:
    certificate_database_directory에서 지정한 디렉터리가 이미 존재해야 합니다. 파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.
    데이터베이스 키 암호화에 사용할 암호를 묻는 메시지가 표시됩니다.
  3. 암호를 입력하고 확인합니다.
    필요한 다음 인증서 데이터베이스 파일이 생성됩니다.
    • cert8.db
    • key3.db
    • secmod.db
예: 인증서 데이터베이스 파일 만들기
certutil -N -d C:\certdatabase
인증서 데이터베이스에 루트 인증 기관 추가
루트 인증 기관(CA)을 추가하려면 정책 서버에 있는 Mozilla Network Security Services(NSS) certutil 응용 프로그램을 사용하십시오.
참고:
다음 절차에서는 태스크를 완료하는 데 필요한 옵션 및 인수에 대해 자세히 설명합니다. NSS 유틸리티 옵션 및 인수의 전체 목록은 NSS 프로젝트 페이지에서 Mozilla 설명서를 참조하십시오.
중요!
Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오.
다음 단계를 수행하십시오.
  1. 명령 프롬프트에서 정책 서버 설치 bin 디렉터리로 이동합니다.
    예:
    C:\Program Files\CA\SiteMinder\bin
    참고:
    Windows에는 네이티브 certutil 유틸리티가 있습니다. NSS 유틸리티의 bin 디렉터리에서 작업 중인지 확인하십시오. 그렇지 않을 경우 실수로 Windows certutil 유틸리티를 실행할 수 있습니다.
  2. 다음 명령을 실행합니다.
    certutil -A -n alias -t
    trust_arguments
    -i
    root_CA_path
    -d
    certificate_database_directory
     
    • -A
      인증서 데이터베이스에 인증서를 추가합니다.
    • -n alias
      인증서의 별칭을 지정합니다.
      참고:
      별칭에 공백이 있는 경우 별칭을 따옴표로 묶으십시오.
    • -t trust_arguments
      인증서에 적용할 트러스트 특성을 지정합니다. 세 개의 사용 가능한 트러스트 범주는 다음 순서로 표시됩니다: "SSL, 전자 메일, 개체 서명". 각 범주 위치에서 다음 특성 인수를 0개 이상 사용할 수 있습니다.
      p
      유효한 피어입니다.
      P
      트러스트된 피어입니다. 이 인수는 p를 내포합니다.
      c
      유효한 CA입니다.
      T
      클라이언트 인증서를 발급하도록 트러스트된 CA입니다. 이 인수는 c를 내포합니다.
      C
      서버 인증서를 발급하도록 트러스트된 CA입니다(SSL만 해당). 이 인수는 c를 내포합니다.
      중요!
      이 인수는 SSL 트러스트 범주에 필요합니다.
      u
      인증 또는 서명에 인증서를 사용할 수 있습니다.
    • -i root_CA_path
      루트 CA 파일의 경로를 지정합니다. 이 경로는 인증서 이름을 포함합니다. 인증서의 유효한 확장명에는 cert, .cer, .pem이 포함됩니다.
      참고:
      파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.
    • -d certificate_database_directory
      인증서 데이터베이스가 포함된 디렉터리의 경로를 지정합니다.
      참고:
      파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.
예: 인증서 데이터베이스에 루트 CA 추가
certutil -A -n "My Root CA" -t "C,," -i C:\certificates\cacert.cer -d C:\certdatabase
인증서 데이터베이스에 서버 인증서 추가
참고
: Active Directory의 경우 이 절차가 필요하지 않습니다.
SSL을 통한 통신을 사용하려면 인증서에 서버 인증서를 추가하십시오. 정책 서버에 있는 Mozilla Network Security Services(NSS) certutil 응용 프로그램을 사용하십시오.
참고:
다음 절차에서는 태스크를 완료하는 데 필요한 옵션 및 인수에 대해 자세히 설명합니다. NSS 유틸리티 옵션 및 인수의 전체 목록은 NSS 프로젝트 페이지에서 Mozilla 설명서를 참조하십시오.
중요!
Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오.
다음 단계를 수행하십시오.
  1. 명령 프롬프트에서 정책 서버 설치 bin 디렉터리로 이동합니다.
    예:
    C:\Program Files\CA\SiteMinder\bin
    참고:
    Windows에는 네이티브 certutil 유틸리티가 있습니다. NSS 유틸리티의 bin 디렉터리에서 작업 중인지 확인하십시오. 그렇지 않을 경우 실수로 Windows certutil 유틸리티를 실행할 수 있습니다.
  2. 다음 명령을 실행합니다.
    certutil -A -n alias -t
    trust_arguments
    -i server_certificate_path -d
    certificate_database_directory
     
    • -A
      인증서 데이터베이스에 인증서를 추가합니다.
    • -n alias
      인증서의 별칭을 지정합니다.
      참고:
      별칭에 공백이 있는 경우 별칭을 따옴표로 묶으십시오.
    • -t trust_arguments
      트러스트 인수를 지정합니다. 각 인증서에 대한 세 개의 사용 가능한 트러스트 범주는 다음 순서로 표시됩니다: "SSL, 전자 메일, 개체 서명". 각 범주 위치에서 다음 특성 인수를 0개 이상 사용할 수 있습니다.
      p
      유효한 피어입니다.
      P
      트러스트된 피어입니다. 이 인수는 p를 내포합니다.
      중요!
      이 인수는 SSL 트러스트 범주에 필요합니다.
    • -i server_certificate_path
      서버 인증서의 경로를 지정합니다. 이 경로는 인증서 이름을 포함합니다. 인증서의 유효한 확장명에는 cert, .cer, .pem이 포함됩니다.
      참고:
      파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.
    • -d certificate_database_directory
      인증서 데이터베이스가 포함된 디렉터리의 경로를 지정합니다.
      참고:
      파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.
    NSS에서 인증서 데이터베이스에 서버 인증서를 추가합니다.
예:
certutil -A -n "My Server Certificate" -t "P,," -i C:\certificates\servercert.cer -d C:\certdatabase
인증서 데이터베이스의 인증서 목록 표시
인증서가 인증서 데이터베이스에 있는지 확인하려면 Mozilla Network Security Services(NSS) certutil 응용 프로그램을 사용하십시오. 정책 서버에는 이 도구가 포함되어 있습니다.
참고:
다음 절차에서는 태스크를 완료하는 데 필요한 옵션 및 인수에 대해 자세히 설명합니다. NSS 유틸리티 옵션 및 인수의 전체 목록은 NSS 프로젝트 페이지에서 Mozilla 설명서를 참조하십시오.
중요!
Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오.
다음 단계를 수행하십시오.
  1. 명령 프롬프트에서 정책 서버 설치 bin 디렉터리로 이동합니다.
    예:
    C:\Program Files\CA\SiteMinder\bin
    참고:
    Windows에는 네이티브 certutil 유틸리티가 있습니다. NSS 유틸리티의 bin 디렉터리에서 작업 중인지 확인하십시오. 그렇지 않을 경우 실수로 Windows certutil 유틸리티를 실행할 수 있습니다.
  2. 다음 명령을 실행합니다.
    certutil -L -d
    certificate_database_directory
     
    • -L
      인증서 데이터베이스에 있는 모든 인증서의 목록을 표시합니다.
    • -d certificate_database_directory
      인증서 데이터베이스가 포함된 디렉터리의 경로를 지정합니다.
참고:
파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.
이 명령은 루트 CA 별칭, 서버 인증서 별칭, 그리고 인증서를 인증서 데이터베이스에 추가할 때 지정한 트러스트 특성을 표시합니다.
예: 인증서 데이터베이스의 인증서 목록 표시
certutil -L -d C:\certdatabase
사용자 디렉터리 연결에 대해 SSL 구성
정책 서버와 사용자 저장소가 적절히 통신할 수 있도록 사용자 저장소에 대한 SSL 연결을 구성합니다.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "인프라", "디렉터리"를 차례로 클릭합니다.
  3. "사용자 디렉터리"를 클릭합니다.
  4. 원하는 사용자 디렉터리 연결의 이름을 클릭합니다.
  5. 아래로 스크롤하고 "수정"을 클릭합니다.
  6. 디렉터리 설정 영역에서 "보안 연결" 옵션을 선택하고 "제출"을 클릭합니다.
    사용자 디렉터리 연결은 SSL을 통해 통신할 수 있습니다.
정책 서버를 인증서 데이터베이스에 연결
SSL을 통해 사용자 디렉터리와 통신하려면 정책 서버에서 인증서 데이터베이스를 지정해야 합니다.
다음 단계를 수행하십시오.
  1. 정책 서버 관리 콘솔을 시작합니다.
    중요!
    Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한으로 바로 가기를 여십시오. 관리자로 시스템에 로그인한 경우에도 관리자 권한을 사용하십시오. 자세한 내용은
    Single Sign-On
    구성 요소의 릴리스 정보를 참조하십시오.
  2. "데이터" 탭을 클릭합니다.
  3. "Netscape 인증서 데이터베이스 파일" 필드에 인증서 데이터베이스 파일의 경로를 입력합니다.
    예:
    C:\certdatabase\cert8.db
    참고:
    key3.db 파일은 cert8.db 파일과 동일한 디렉터리에 있어야 합니다.
  4. 정책 서버를 다시 시작합니다.
    정책 서버가 SSL을 통하여 사용자 디렉터리와 통신할 수 있습니다.
SSL 연결 확인
사용자 디렉터리와 정책 서버가 올바로 통신하는지 확인하려면 SSL 연결을 확인하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "인프라", "디렉터리"를 차례로 클릭합니다.
  3. "사용자 디렉터리"를 클릭합니다.
  4. 원하는 사용자 디렉터리 연결의 이름을 클릭합니다.
  5. "콘텐츠 보기"를 클릭합니다.
    SSL이 적절하게 구성된 경우 "디렉터리 콘텐츠" 화면이 나타나고 사용자 디렉터리의 콘텐츠가 나열됩니다.