Introscope 보안 › LDAP를 사용한 Introscope 보안 › realms.xml에 LDAP 인증 구성

realms.xml에 LDAP 인증 구성

이 항목에서는 인증 메서드로 LDAP를 구성하는 방법을 설명합니다.

참고: 쉬운 구성을 위해 <EM_Home>/examples/authentication 디렉터리에 있는 샘플 realms.ldap.xml 구성 파일을 사용할 수 있습니다.

realms.xml을 구성하는 경우 다음 규칙을 따라야 합니다.

중요! Enterprise Manager를 시작하려면 아래 규칙이 모두 충족되어야 합니다.

• descriptor=의 값은 대/소문자를 구분합니다.
  • 예를 들어 descriptor=LDAP Realm은 descriptor=ldap realm과 다릅니다.
• LDAP 영역의 경우 descriptor=의 값은 LDAP Realm이어야 합니다.
• 영역이 여러 개인 경우 영역 태그의 id= 값은 각 영역마다 고유해야 합니다. 예:

  <realm descriptor="LDAP Realm" id="LDAP" active="true">
  

다음 단계를 따르십시오.

1. <EM_Home>/config 디렉터리에 있는 realms.xml 파일을 엽니다.
2. 인증 방법으로 LDAP를 구성하려면 다음 속성을 설정합니다.

   LDAP 인증을 사용하는 경우 사용자 ID가 올바른 한, Introscope 사용자는 빈 암호를 사용하여 Workstation에 로그인할 수 있습니다. LDAP 인증은 빈 암호나 Null 암호 필드를 검사하지 않으므로 사용자가 성공적으로 로그인할 수 있습니다. 이는 LDAP 인증 속성은 Workstation 클라이언트 또는 WebView에 로그인하는 경우에 해당합니다. 보안을 시행하려면 disallowEmptyPassword 속성을 설정하십시오.

   참고: LDAP 서버는 모든 사이트마다 고유하게 구성됩니다. LDAP 속성을 구성하기 전에 LDAP 관리자로부터 LDAP 구성 정보를 얻으십시오.

   url

   원격 LDAP 서버의 URL입니다.

   비 SSL 연결에 대한 기본 포트는 389이며, SSL 연결에 대한 기본 포트는 636입니다.

   SSL을 사용하는 경우 SSL LDAP 포트가 서버 URL에 포함되어야 합니다.

   예를 들어 ldap://host:port입니다.

   useSSL

   원격 LDAP 서버 연결에 SSL을 사용할지 여부를 지정합니다.

   옵션에는 true, false가 있습니다.

   bindName

   LDAP 컴퓨터에 바인딩하는 데 사용된 이름입니다. 빈 상태로 두면 익명 바인딩이 사용됩니다.

   예를 들어 IntroscopeLDAPUser입니다.

   bindPassword

   LDAP 컴퓨터에 바인딩하는 데 사용된 암호입니다.

   이 속성은 선택 항목입니다.

   bindName 필드가 비어 있는 경우(익명 바인딩 사용) bindPassword 속성은 무시됩니다.

   plainTextPasswords

   bindPassword가 일반 텍스트인지, 또는 암호화되었는지를 나타냅니다. 이 속성은 선택 항목입니다.

   이 속성이 누락되거나 True로 설정된 경우 Enterprise Manager에서 bindPassword 속성은 일반 텍스트로 가정됩니다.

   기본적으로 이 값은 True로 설정되며, 이는 암호가 일반 텍스트로 가정된다는 의미입니다.

   Enterprise Manager가 realms.xml 파일을 읽어 이 값이 True로 설정되었음을 발견하면 Enterprise Manager는 다음 작업을 수행합니다.

   • bindPassword 속성 일반 텍스트 암호를 암호화합니다.
   • 암호화된 암호로 realms.xml을 다시 씁니다.
   • realms.xml plainTextPasswords 속성을 False로 설정합니다.

     값을 False로 설정하면 암호가 암호화됩니다.

중요! Enterprise Manager를 시작하려면 이 속성이 realms.xml 파일에 포함되어 있어야 합니다.

bindAuthentication

바인딩하는 경우에 사용하는 인증 유형입니다.

옵션에는 none, simple, DIGEST-MD5가 있습니다.

baseDN

모든 사용자 개체 쿼리에 대한 기반 고유 이름(DN)입니다.

옵션에는 cn=Users, dc=dev, dc=com이 있습니다.

scopeDepth

사용자 개체를 쿼리하는 경우의 검색 정도입니다.

usernameAttribute

Introscope 사용자 이름과 일치시킬 LDAP 특성 이름입니다.

예를 들어 userPrincipalName입니다.

userObjectQuery

사용자 개체를 쿼리하는 데 사용되는 LDAP 검색 필터입니다. 토큰 "%u"는 쿼리가 실행되기 전에 Introscope 사용자 이름으로 채워집니다.

예를 들어 (&(userPrincipalName=%u)(objectclass=user))입니다.

serverCertificate

인증서 파일 이름입니다. 지원되는 인증서 유형은 X.509 및 Base64 인코딩 유형입니다.

지정되지 않은 경우 JVM이 제공하는 기본 인증 기관이 사용됩니다(http://java.sun.com/j2se/1.5/docs/index.html 참조).

groupNameAttribute

Introscope 사용자 이름과 일치시킬 그룹 특성 이름입니다.

예를 들어 cn입니다.

groupObjectQuery

그룹 개체를 쿼리하는 데 사용되는 LDAP 검색 필터입니다. 토큰 "%u"는 쿼리가 실행되기 전에 Introscope 그룹 이름으로 채워집니다.

예를 들어 (&(objectClass=group)(cn={0}))입니다.

groupMemberQuery

그룹 구성원을 쿼리하는 데 사용되는 LDAP 검색 필터입니다. 토큰 "%u"는 쿼리가 실행되기 전에 Introscope 그룹 구성원으로 채워집니다.

예를 들어 (&(objectClass=group)(member={0}))입니다.

disallowEmptyPassword

사용자가 빈 암호로 로그인하는 것을 허용하지 않습니다.

disableNestedGroupSearch

LDAP 인증 중 사용자가 속하는 그룹 내 중첩된 그룹에 대한 LDAP 재귀 검색을 비활성화합니다. true로 설정하면 LDAP 인증 성능을 높일 수 있습니다.

이 속성은 선택 항목입니다.

옵션에는 true, false가 있습니다. 기본값은 false입니다.

1. 변경 사항을 적용하려면 변경 내용을 realms.xml 파일에 저장하고 Enterprise Manager를 다시 시작합니다.

참고: 다음과 같은 경우, 업그레이드 후 수동으로 절대 경로를 업데이트하십시오.

• 업그레이드 중 Introscope 디렉터리의 이름을 변경한 경우
• 속성 파일이 Introscope 디렉터리에 있는 파일을 참조하기 위해 절대 경로를 사용한 경우

이러한 상황을 방지하려면 Introscope 루트 디렉터리 내의 파일을 참조할 때 상대 경로를 사용하십시오.