통합 안내서 › 다중 LDAP 서버를 사용하여 작업 › 소개

소개

이 장의 정보는 시스템 또는 데이터베이스 관리자가 CA Directory를 사용하는 여러 LDAP 서버로 CA ControlMinder 엔터프라이즈 관리를 구성하는 방법에 대해 설명합니다. 여러 LDAP 서버를 사용하여 작업하면 관리자가 여러 LDAP 사용자 저장소를 하나의 기업 전체 사용자 저장소로 통합할 수 있습니다.

여러 LDAP 서버를 구성하는 방법

CA Directory는 LDAP 서버를 분산된 디렉터리 백본으로 통합하는 것을 지원합니다.

CA Directory는 여러 LDAP 디렉터리 서버에서 검색할 수 있게 하는 DXlink란 이름의 유틸리티를 제공합니다.

다음 다이어그램은 CA Directory를 사용하는 여러 LDAP 서버에 대해 CA ControlMinder 엔터프라이즈 관리를 구성하는 방법을 보여 줍니다.

다음 단계를 수행하여 CA Directory를 사용하는 여러 LDAP 서버에 대해 엔터프라이즈 관리 서버를 구성합니다.

1. CA Directory를 설치합니다.
2. CA Directory 라우터를 구성합니다.
3. CA Directory 라우터 정의를 사용자 지정합니다.
4. 데이터베이스에 엔터티를 채워 DIT를 만듭니다.
5. CA Directory를 시작합니다.
6. Active Directory를 사용자 저장소로 사용하여 엔터프라이즈 관리 서버를 설치합니다.

   중요! 엔터프라이즈 관리 서버를 설치할 때 다음을 지정하십시오.

   • 호스트 이름 - CA Directory 호스트 이름 지정
   • 포트 번호 - 25389 지정
   • 기본 DN - 환경에서 모든 Active Directory 서버에 공통적인 DN을 지정합니다. 해당되지 않는 경우 이 필드는 비워두십시오.
   • (Linux) 검색 루트 - 환경에서 모든 Active Directory 서버에 공통적인 DN을 지정합니다. 해당되지 않는 경우 이 필드는 비워두십시오.
   • 관리 계정 - Active Directory 도메인 중 하나에서 관리 계정을 지정합니다.

참고: CA ControlMinder 엔터프라이즈 관리에 로그인할 때는 사용하는 관리 계정이 구성원으로 등록된 도메인 이름을 지정해야 합니다.

CA Directory 라우터 구성

CA Directory는 클라이언트 요청에 정의된 접미사에 일치하는 Active Directory에 대한 요청을 CA ControlMinder에서 사용되는 Active Directory로 라우트합니다. CA Directory는 DXlink 유틸리티를 사용하여 요청을 라우트합니다.

이 절차를 완료하기 전에 두 개의 Active Directory 사용자 저장소(예: acdir1 및 acdir2)와 명명된 dsarouter인 CA Directory를 설치했습니다.

다음 단계를 수행하십시오.

1. CA Directory 서버에서 "명령 프롬프트" 창을 엽니다.
2. 다음 명령을 실행합니다.

   dxnewdsa -s 1 cadirhost-adrouter 25389
   

   -s 1

   데이터베이스 크기를 1MB로 지정합니다.

   cadirhost -adrouter

   라우터의 이름을 정의합니다.

   25389

   라우터 포트를 지정합니다.

3. 다음 명령을 사용하여 라우터를 중지합니다.

   dxserver stop cadirhost-adrouter
   

4. 다음 명령을 사용하여 라우터를 설치합니다.

   dxserver install cadirhost-adrouter
   

5. 다음 디렉터리로 이동합니다. 여기서 DXHOME은 라우터를 설치한 디렉터리의 이름입니다.

   DXHOME/config/knowledge
   

6. 다음과 같이 cadirhost-router.dxc 파일을 복사합니다.
   1. 한 파일의 이름을 acdir1-dxlink.dxc로 변경합니다.
   2. 두 번째 파일의 이름을 acdir2-dxlink.dxc로 변경합니다.
   3. acdir1-dxlink.dxc 파일을 다음과 같이 편집합니다.

      set dsa "acdir1-dxlink" =
      {
          prefix            = <dc "acdir1"><dc "com">
          dsa-name          = <cn "acdir1-dxlink">
          dsa-password      = "secret"
          ldap-dsa-name     = <dc "acdir1"><dc "com"><cn "users"><cn "Administrator">
          ldap-dsa-password = "{CADIR}yKW2cVbG"
          address           = tcp "acdir1" port 389
          auth-levels       = clear-password
          trust-flags       = allow-check-password, no-server-credentials
          link-flags        = dsp-ldap, ms-ad
      };
      

      ldap-dsa-name

      Active Directory에 바인딩하는 데 사용하는 DN(Distinguished Named)을 지정합니다.

      ldap-dsa-password

      DN의 암호화된 암호를 정의합니다..

      참고: dxpassword 유틸리티를 사용하여 암호를 암호화하십시오. 예: dxpassword -P CADIR <password>.

      address

      Active Directory 도메인 컨트롤러 주소를 지정합니다.

   4. acdir2-dxlink.dxc를 다음과 같이 편집합니다.

      set dsa "aclabcail-dxlink" =
      {
          prefix            = <dc "acdir2"><dc "com">
          dsa-name          = <cn "acdir2-dxlink">
          dsa-password      = "secret"
          ldap-dsa-name     = <dc "acl"><dc "aclab"><cn "users"><cn "Administrator">
          ldap-dsa-password = "{CADIR}yKW2cVbG"
          address           = tcp "acdir2" port 389
          auth-levels       = clear-password
          trust-flags       = allow-check-password, no-server-credentials
          link-flags        = dsp-ldap, ms-ad
      };
      

CA Directory 라우터를 구성했습니다.

CA Directory 라우터 정의 사용자 지정

CA Directory 라우터를 구성한 이후에는 CA Directory 라우터 정의를 사용자 지정해야 합니다.

다음 단계를 수행하십시오.

1. 다음 디렉터리로 이동합니다. 여기서 DXHOME은 CA Directory를 설치한 디렉터리를 나타냅니다.

   DXHOME/config/limits
   

2. 다음 작업을 수행하십시오.
   1. default.dxc 파일의 사본을 만들고 원본 파일의 이름을 dsarouter-adrouter.dxc로 변경합니다.
   2. 파일에서 ReadOnly 플래그를 제거합니다.
   3. dsarouter-adrouter.dxc 파일을 열고 아래와 같이 다음 필드를 수정합니다.

      # size limits
      set max-users = 255;
      set max-local-ops = 100;
      set max-op-size = 0;
      
      # time limits
      set max-bind-time = none;
      set bind-idle-time = 3600;
      set max-op-time = 600;
      

      파일을 저장한 후 닫습니다.

3. 다음 디렉터리로 이동합니다.

   DXHOME/config/settings
   

4. 다음 작업을 수행하십시오.
   1. default.dxc 파일의 사본을 만들고 원본 파일의 이름을 dsarouter-adrouter.dxc로 변경합니다.
   2. 파일에서 ReadOnly 플래그를 제거합니다.
   3. dsarouter-adrouter.dxc 파일을 열고 아래와 같이 다음 필드를 수정합니다.

      # directory information base
      set alias-integrity = true;
      # distribution controls
      set multi-casting = true;
      set always-chain-down = false;
      # security controls
      set min-auth = clear-password;
      set allow-binds = true;
      set ssl-auth-bypass-entry-check = false;
      # general controls
      set op-attrs = true;
      set transparent-routing = true;
      

      파일을 저장한 후 닫습니다.

5. 다음 디렉터리로 이동합니다.

   DXHOME/config/knowledge
   

6. dsarouter-adrouter.dxc 파일을 열거나 만들고 auth-levels 문자열 값 "anonymous"를 제거하여 명확한 암호 로그인만 허용합니다. 예를 들면 다음과 같습니다.

   set dsa "cadirhost-adrouter" =
   {
   

       prefix        = <>
       dsa-name      = <cn "cadirhost-adrouter">
       dsa-password  = "secret"
       address       = tcp "cadirhost" port 25389
       disp-psap     = DISP
       snmp-port     = 25389
       console-port  = 25390
   

    auth-levels   = clear-password
   

   파일을 저장한 후 닫습니다.

   중요! IPv4 및 IPv6 주소가 모두 정의된 서버에 CA Directory를 설치한 경우 tcp 값에 IPv4 및 IPv6 주소 유형을 지정하십시오. 예: address = tcp "fe80::20d:56ff:fed4:8300%5" port 19389, tcp "192.168.1.1" port 19389

7. adrouter.dxa란 이름의 파일을 만들고 다음 줄을 추가한 다음 파일을 저장하고 닫습니다.

   source "dsarouter-adrouter.dxc";
   source "acdir1-dxlink.dxc";
   source "acdir2-dxlink.dxc";
   

8. 다음 디렉터리로 이동합니다.

   DXHOME/config/logging
   

9. 다음 작업을 수행하십시오.
   1. default.dxc 파일의 사본을 만듭니다.
   2. 원본 파일의 이름을 dsarouter-adrouter.dxc로 변경합니다.
   3. ReadOnly 태그를 제거합니다.
10. 다음 디렉터리로 이동합니다.

    DXHOME/config/servers
    

11. 다음 작업을 수행하십시오.
    1. cadirhost-adrouter.dxi를 편집하고 아래와 같이 다음 줄을 편집한 다음 파일을 저장하고 닫습니다.

       #
       # Initialization file written by DXnewdsa
       #
       # logging and tracing
       source "../logging/cadirhost-adrouter.dxc";
       # schema
       clear schema;
       source "../schema/default.dxg";
       # knowledge
       clear dsas;
       source "../knowledge/adrouter.dxg";
       # operational settings
       source "../settings/cadirhost-adrouter.dxc";
       # service limits
       source "../limits/cadirhost-adrouter.dxc";
       # access controls
       clear access;
       source "../access/default.dxc";
       # ssl
       source "../ssld/default.dxc";
       # replication agreements (rarely used)
       # source "../replication/";
       # multiwrite DISP recovery
       set multi-write-disp-recovery = false;
       # grid configuration
       set dxgrid-db-location = "data";
       set dxgrid-db-size = 1;
       set cache-index = all-attributes;
       set lookup-cache = true;
       

참고: cadirhost를 CA Directory 호스트 이름으로 대체하십시오.

CA Directory 라우터 정의를 사용자 지정했습니다.

CA Directory 데이터베이스를 채워 DIT 만들기

디렉터리 정보 트리(DIT)를 만들기 위해 CA Directory 데이터베이스를 엔터티로 채우도록 선택할 수 있습니다. DIT는 하향식(톱다운)으로 조직 계층 구조를 탐색할 수 있게 해 줍니다.

다음 단계를 수행하십시오.

1. CA Directory 라우터를 호스팅하는 서버에서 input.ldif란 이름의 파일을 만들고 아래와 같이 다음 엔터티를 추가합니다.

   dn: dc=com
   objectClass: domain
   objectClass: top
   dc: com
   
   dn: dc=company,dc=com
   objectClass: domain
   objectClass: top
   dc: company
   
   dn: dc=demo
   objectClass: domain
   objectClass: top
   dc: demo
   

2. 파일을 저장한 후 닫습니다.
3. "명령 프롬프트" 창을 열고 다음 명령을 실행합니다.

   dxloaddb cadirhost-adrouter input.ldif
   

4. 다음 명령을 실행하여 CA Directory 라우터를 시작합니다.

   dxserver start cadirhost-adrouter
   

   참고: cadirhost를 CA Directory 호스트 이름으로 대체하십시오.

DIT를 만들기 위해 CA Directory 데이터베이스에 엔터티를 채웠습니다.