Microsoft AD LDS를 키 저장소로 구성
목차
casso128kkr
목차
2
Microsoft AD LDS를 별도의 키 저장소로 구성할 수 있습니다.
키 저장소 사전 요구 사항
키 저장소를 구성하기 전에 다음 사전 요구 사항을 충족하는지 확인합니다.
- 키 저장소로 작동할 디렉터리 서버 인스턴스를 생성합니다. 키를 저장할 루트 개체와 루트 접미사를 생성해야 합니다.
- 스키마 생성 권한과 LDAP 트리에서 키 저장소 루트 개체 아래의 개체에 대한 읽기, 수정 및 삭제 권한이 있는 LDAP 사용자를 생성합니다.
- 키 저장소 파티션을 생성합니다.
- 구성 파티션에 사용자를 생성할 수 있는지 확인합니다. 구성 파티션의 관리 사용자만 키 저장소 스키마를 가져올 수 있습니다.
구성 파티션에서 사용자 생성 허용
구성 파티션의 관리 사용자만 키 저장소 스키마를 가져올 수 있습니다. 이 사용자는 구성 파티션은 물론 키 저장소 파티션을 비롯한 모든 응용 프로그램 파티션에 대한 관리 권한을 가져야 합니다.
다음 단계를 수행하십시오.
- ADSI Edit 콘솔을 엽니다.
- 구성 파티션의 다음 항목으로 이동합니다.cn=directory service, cn=windows nt,cn=services, cn=configuration, cn={guid}
- msDS-Other-Settings 특성을 찾습니다.
- 다음 새 값을 msDS-Other-Settings 특성에 추가합니다.ADAMAllowADAMSecurityPrincipalsInConfigPartition=1
- 구성 및 키 저장소 응용 프로그램 파티션에서 다음을 수행합니다.
- CN=Administrators, CN=Roles로 이동합니다.
- CN=Administrators의 속성을 엽니다.
- 구성원 특성을 편집합니다.
- "DN 추가"를 클릭하고 구성 파티션에 생성한 사용자의 전체 DN을 붙여 넣습니다.
- 생성한 사용자의 속성으로 이동하고 다음 개체의 값을 확인합니다.msDS-UserAccountDisabled값이 false로 설정되었는지 확인합니다.
디렉터리 서버 정보 수집
별도의 키 저장소를 구성하기 위해서는 특정 정보가 필요합니다. 다음 정보를 수집하십시오.
- 호스트디렉터리 서버 호스트 시스템의 정규화된 이름 또는 IP 주소입니다.
- 포트디렉터리 서버 인스턴스가 수신 대기하는 포트입니다. 이 값은 디렉터리 서버 인스턴스가 비표준 포트에서 수신 대기하는 경우에만 필요합니다.기본값:636(SSL) 및 389(비 SSL)
- 관리자 DN디렉터리 서버 관리자의 guid 값을 포함한 전체 도메인 이름입니다.예: CN=user1,CN=People,CN=Configuration,CN,{guid}이 사용자는 다음 권한이 있어야 합니다.
- 스키마 만들기참고:이 권한은 키 저장소 스키마를 가져올 때만 필요합니다. 키 저장소를 배포한 후에는 이 권한이 없는 사용자로 정책 서버를 구성할 수 있습니다.
- 읽기
- 쓰기
- 수정
- 삭제
- 관리자 암호디렉터리 서버 관리자의 암호입니다.
- 응용 프로그램 파티션의 루트 DN키 저장소 스키마를 가져와야 하는 응용 프로그램 파티션의 루트 DN 위치입니다.
- (선택 사항) SSL 클라이언트 인증서디렉터리 연결이 SSL을 통해 이루어진 경우 SSL 클라이언트 인증서 데이터베이스가 있는 디렉터리의 경로입니다.
키 저장소 등록
casso128kkr
키 저장소를 등록하여 키 저장소와 정책 서버 간의 연결을 구성합니다. 정책 서버는 사용자가 키 저장소를 관리하기 위해 제공하는 자격 증명을 사용합니다.
중요!
등록은 별도의 키 저장소를 사용하도록 정책 서버를 구성하지 않습니다. 이 설정은 정책 서버가 다시 시작될 때까지 적용되지 않습니다. 키 저장소가 구성되고 이를 배포할 준비가 될 때까지 정책 서버를 다시 시작하지 마십시오.다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 다음 명령을 실행하여 연결을 구성합니다.smldapsetup reg -hhost -pport -dadmin_user -wadmin_password -rroot -k1casso128kkr중요!Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오.예:smldapsetup reg -host172.16.0.0 -p389 -d"cn=directory manager" -wpassword -r"dc=test" -k1
- 정책 서버 관리 콘솔을 시작하고 "데이터" 탭을 엽니다.
- 다음 절차 중 하나를 완료합니다.
- 정책 서버가 데이터 관계형 데이터베이스를 사용하도록 구성된 경우:
- "데이터베이스" 목록에서 "키 저장소"를 선택합니다.
- "저장소" 목록에서 LDAP을 선택하여 연결 설정과 관리 자격 증명을 표시합니다.
- 연결 설정과 관리 사용자 설정이 나타나는지 확인합니다.
- "LDAP 연결 테스트"를 클릭하여 정책 서버가 키 저장소 인스턴스와 통신할 수 있는지 확인합니다.
- 정책 서버가 디렉터리 서버를 사용하도록 구성된 경우:a. "데이터베이스" 목록에서 "키 저장소"를 선택합니다.b. 연결 설정과 관리 사용자 설정이 나타나는지 확인합니다.c. "LDAP 연결 테스트"를 클릭하여 정책 서버가 키 저장소 인스턴스와 통신할 수 있는지 확인합니다.
참고:"정책 저장소 데이터베이스 사용" 설정은 해제됩니다. 이 설정 해제는 예상되는 정상 동작입니다. 정책 서버는 정책 저장소와 함께 배치된 키 저장소를 계속 사용합니다. - 정책 서버 관리 콘솔을 종료합니다.별도의 키 저장소가 정책 서버에 등록됩니다.
키 저장소 스키마 만들기
casso128kkr
키 저장소 인스턴스를 사용하려면
Single Sign-On
웹 에이전트 키를 저장하고 검색할 스키마가 필요합니다. smldapsetup 유틸리티를 사용하여 키 저장소 스키마 파일을 생성할 수 있습니다.다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 다음 명령을 실행하여 키 저장소 스키마 파일을 생성합니다.smldapsetup ldgen -ffile_name -k1casso128kkr중요!Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오.예:smldapsetup ldgen -fkeystoreschema -k1키 저장소 스키마 파일이 생성되었습니다.
키 저장소 스키마 가져오기
casso128kkr
키 저장소 인스턴스를 사용하려면
Single Sign-On
웹 에이전트 키를 저장하고 검색할 스키마가 필요합니다. smldapsetup 유틸리티를 사용하여 키 저장소 스키마 파일을 가져올 수 있습니다.다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 다음 명령을 실행하여 키 저장소 스키마를 가져옵니다.smldapsetup ldmod -ffile_name -k1casso128kkr중요!Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오.
참고
: 표준 출력을 통해 가져오는 모든 정책 저장소 스키마가 표시됩니다. 이 동작은 예상된 정상 동작입니다. 이 유틸리티는 키 저장소 관련 스키마만 가져옵니다.예:
smldapsetup ldmod -fkeystoreschema -k1키 저장소 관련 스키마를 가져왔습니다.
정책 서버 다시 시작
casso128kkr
정책 서버를 다시 시작할 때까지 정책 서버는 함께 배치된 키 저장소를 계속 사용합니다. 별도의 키 저장소를 사용하기 시작하려면 정책 서버를 다시 시작하십시오.