LDAP 통합 이해
LDAP 통합을 통해 인스턴스는 기존 LDAP 서버를 사용자 데이터의 기본 소스로 사용할 수 있습니다.
LDAP 통합 필수 조건
- 디렉터리 서비스 서버는 LDAP v3 규격이어야 합니다.
- 방화벽을 통한 인바운드 네트워크 액세스가 허용되어야 합니다(LDAP 서버로).
- LDAP 서버의 외부 IP 또는 이름
- 읽기 전용 액세스 권한이 있는 사용자 자격 증명
- LDAPS의 경우 PKI 인증서
LDAP 통합 타이밍
LDAP 통합은 일반적으로 인스턴스가 운영개시(Go-Live)되기 전에 수행되지만, 언제든지 통합될 수 있습니다.
LDAP 서버 데이터 무결성
일부 사용자는 타사(이 경우 인스턴스)가 LDAP 서버를 변경(쓰기)하는 것에 대해 우려합니다. LDAP 통합에서 인스턴스는 내부 LDAP 디렉터리에 기록하지 않습니다. 인스턴스가 정보를 쿼리하고 그에 따라 데이터베이스를 업데이트합니다.
인스턴스에 의해 내부 LDAP 서버가 변경되지 않습니다. 서비스 계정은 읽기 전용입니다.
LDAP 서버에 대한 대부분의 변경(추가 사항 포함)은 전체 LDAP 통합의 구성요소 수에 따라 몇 초 내에 인스턴스에서 사용할 수 있습니다.
LDAP 기록을 동기화된 상태로 유지하려면 LDAP 서버의 주기적인 스캔을 예약하여 변경사항을 선택합니다.
인스턴스는 부서 기록을 동기화하지 않습니다. 사용자 및 그룹 구성원 자격은 LDAP 수신기 메커니즘 및 일일 전체 LDAP 찾아보기를 통해 최신 상태로 유지되지만, 이러한 항목이 LDAP에서 사라지면 인스턴스는 해당 항목을 삭제하지 않습니다.
항목이 삭제되면 전체 기록도 삭제되고 해당 항목에 대한 참조가 지워지거나 삭제됩니다. 구성 항목(CI), SLA 계약, 소프트웨어 라이센스, 구매 주문서 및 서비스 카탈로그 항목에는 모두 부서에 대한 참조가 있으며 부서가 삭제되면 해당 참조가 지워집니다. 사용자에 대한 참조가 많으므로 사용자를 삭제하면 해당 사용자가 수행한 작업에 대한 모든 기록이 손실됩니다. 현재 삭제 여부는 고객이 결정합니다.
보안
연결은 방화벽의 특정 포트를 통해 고정 IP 주소를 사용하여 단일 컴퓨터에서 이루어집니다. 인증은 선택한 읽기 전용 LDAP 계정으로 수행됩니다. 표준 LDAP를 사용하거나 디렉토리에 설치된 SSL 인증서의 공개 측을로드 할 수 있습니다.이 경우 LDAPS를 사용할 수 있습니다. 또 다른 보안 계층을 추가하기 위해 포인트-투-포인트 IPSEC VPN 터널 옵션도 제공합니다. 자세한 내용 및 가격은 계정 관리자에게 문의하십시오.
| 연결 | 설명 |
|---|---|
| MID Server | 외부 네트워크 트래픽으로부터 LDAP 서버를 보호하려면 로컬 네트워크에 MID Server를 설치하고 보안 채널을 통해 MID Server와 통신하도록 시스템을 구성합니다. |
| Ldaps | 암호화된 LDAPS 연결을 설정하려면 LDAP 서버 SSL 인증서의 공개 측을 로드합니다. 통합은 인증서를 사용하여 LDAP 서버와 인스턴스 간의 모든 통신을 암호화합니다. |
| VPN | 암호화된 포인트-투-포인트 IPSEC VPN 터널로 LDAP 서버를 보호하려면 계정 관리자에게 자세한 내용 및 가격을 문의하세요. |
고려해야 할 또 다른 보안 측면은 LDAP 통합에서 공유되는 데이터입니다. 인스턴스에 노출되는 데이터를 제한하려면 변환 맵에서 속성을 지정하십시오. 자세한 내용은 LDAP 변환 맵 문서를 참조하십시오.
LDAP 데이터를 인스턴스로 임포트
필요한 데이터만 임포트하도록 속성을 정의하는 것이 좋습니다. 정의된 속성은 인스턴스 사용자 데이터베이스로 매핑됩니다.
어떤 특정 속성이 필요한지에 대한 질문에는 대답할 수 없는데, 이는 프로젝트의 범위와 비즈니스 요구 사항에 따라 결정되기 때문입니다.
지원되는 LDAP 서버 유형
인스턴스가 Microsoft Active Directory, Novell, Domino(Lotus Notes) 및 Open LDAP와 성공적으로 통합되었습니다. JNDI를 사용하여 LDAP 서버와 인터페이스합니다. LDAP 서버가 LDAP v3 규격이면 통합이 성공합니다.
LDAP SSO(Single Sign-On)
LDAP 가져오기와 함께 제공되는 데이터 채우기 기능과 함께 애플리케이션에서 지원하는 외부 인증 기능을 사용하여 사용자가 매번 사인 온할 필요가 없도록 할 수 있습니다.
여러 LDAP 도메인
여러 도메인을 처리하는 데 권장되는 방법은 각 도메인에 대해 별도의 LDAP 서버 기록을 만드는 것입니다. 각 LDAP 서버 레코드는 해당 도메인의 도메인 컨트롤러를 가리켜야 합니다. 즉, 로컬 네트워크는 각 도메인 컨트롤러에 대한 연결을 허용해야 합니다.
둘 이상의 네트워크 도메인으로 확장한 후에는 애플리케이션 사용자 이름에 대한 고유한 LDAP 속성을 식별하고 병합 값을 가져오는 것이 중요합니다. Active Directory의 일반적인 고유 병합 특성은 objectSid입니다. 고유한 사용자 이름은 LDAP 데이터 설계에 따라 다를 수 있습니다. 일반적인 특성은 email 또는 userPrincipalName입니다.
쿼리 제한 처리
기본적으로 Active Directory 2000/2003에는 과도한 로드와 서비스 거부 공격을 방지하기 위해 1000개의 개체 개로 제한되는 LDAP 쿼리 제한(maxPageSize)이 있습니다. 이 제한을 처리하는 방법에는 두 가지가 있습니다.
기본 방법은 한 번에 1000개 미만의 개체를 반환하도록 쿼리를 분할하는 것입니다. 예를 들어, 문자 'a'로 시작하는 객체에 대해서만 쿼리한 다음 'b' 객체를 쿼리합니다. 대규모 환경에 대한 보다 효율적인 방법은 페이징을 사용하도록 설정하는 것입니다. 페이징은 모든 Microsoft Active Directory 서버에서 기본적으로 지원됩니다. 결과를 여러 결과 집합으로 자동으로 분할하므로 쿼리를 여러 요청으로 분할할 필요가 없습니다.
LDAP 쿼리 유형
LDAP 비밀번호가 제공되면 "단순 바인드"가 수행됩니다. LDAP 암호가 제공되지 않은 경우 "없음"이 사용되며, 이 경우 LDAP 서버는 익명 로그인을 허용해야 합니다.
LDAP 인증
LDAP에 제공된 서비스 계정 자격 증명을 사용하여 LDAP 서버에서 사용자 DN을 검색합니다. 사용자의 DN 값이 주어지면 사용자 DN과 제공된 비밀번호가 지정된 LDAP와 다시 바인딩합니다.
암호 저장소
사용자가 입력하는 암호는 HTTPS 세션에 완전히 포함되어 있습니다. 우리는 그 암호를 어디에도 저장하지 않습니다.
LDAP 인증 설정
사용자 기록의 다음 필드는 LDAP와 관련이 있습니다.
- 소스: 소스 필드는 사용자가 LDAP를 사용하여 검증되었는지 여부를 식별합니다. 소스 필드가 'ldap'로 시작하면 사용자는 LDAP를 통해 검증됩니다. 소스 필드가 "ldap"로 시작하지 않으면, 로그인 시 사용자 기록의 암호를 사용하여 사용자를 확인합니다.
- LDAP 서버: 인스턴스는 여러 LDAP 서버를 지원하므로 LDAP 서버 필드는 사용자를 인증하는 데 사용해야 하는 서버를 결정합니다.