LDAP 조직 단위 정의

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기3분

    • OU(조직 구성 단위) 정의는 통합에 사용할 수 있는 LDAP 소스 디렉터리를 지정합니다.

    시작하기 전에

    필요한 역할: admin.

    이 태스크 정보

    OU 정의에는 위치, 사람 또는 사용자 그룹이 포함될 수 있습니다. 모든 LDAP 서버 정의에는 두 개의 샘플 OU 정의가 포함되어 있는데, 하나는 그룹을 시스템으로 가져오기 위한 것이고 다른 하나는 사용자를 위한 것입니다.

    프로시저

    1. 다음으로 이동 모두 > 시스템 LDAP > LDAP 서버레이블이 표시됩니다.
    2. 구성할 LDAP 서버를 선택합니다.
    3. LDAP OU 정의 관련 목록에서 그룹 또는 사용자 샘플 OU 정의를 선택합니다.
    4. LDAP OU 정의 양식을 작성합니다(표 참조).
    5. 업데이트를 클릭합니다.
      시스템이 자동으로 LDAP 서버에 대한 연결을 테스트합니다.
    6. Related Links(관련 링크)에서 Browse(찾아보기)를 클릭하여 OU 정의가 반환하는 LDAP 디렉터리 레코드를 봅니다.
      LDAP OU 정의 양식
      표 1. OU 정의 양식
      필드 설명
      이름 통합이 이 OU를 참조할 때 사용하는 이름을 지정합니다. 여기에 입력하는 이름은 데이터 소스 기록의 LDAP 대상이 됩니다.
      RDN 검색할 하위 디렉터리의 상대적 고유 이름을 지정합니다. 이 RDN은 LDAP 서버 정의의 start-searching 디렉터리와 결합되어 이 조직 구성 단위에 대한 정보가 포함된 하위 디렉터리를 식별합니다. 예를 들어 샘플 OU 정의는 CN=Users 의 RDN 값을 사용하여 LDAP 디렉터리 CN=Users,DC=service-now,DC=com 및 이 지점 아래의 모든 디렉터리를 검색합니다. 이 필드는 LDAP 시스템의 하위 디렉토리와 일치해야 합니다.
      쿼리 필드 LDAP 서버 내에 기록을 쿼리할 속성의 이름을 지정합니다. 쿼리 필드는 단일 도메인 인스턴스와 여러 도메인 인스턴스 모두에서 고유해야 합니다. 최상의 결과를 내려면 여러 도메인 인스턴스에서 사용자를 고유하게 식별할 수 있는 이메일 주소 또는 기타 자격 증명을 사용하십시오. Active Directory는 sAMAccountName 특성을 사용합니다. 다른 LDAP 서버는 cn 속성을 사용하는 경향이 있습니다.
      주:
      쿼리 필드는 사용자 [sys_user] 테이블의 사용자 ID 필드에 매핑되어야 합니다. 예를 들어 Active Directory 사용자가 joe.example로 로그인하는 경우 사용자 ID 값이 joe.example 인 사용자 기록과 sAMAccountName 값이 joe.example인 LDAP 기록이 있어야 합니다.
      활성 OU 정의를 활성화하고 관리자가 데이터 가져오기를 테스트할 수 있도록 하려면 이 확인란을 선택합니다. 그러나 통합은 활성 OU 정의에서만 데이터를 시스템으로 가져올 수 있습니다.
      테이블 LDAP 서버에서 매핑된 데이터를 수신할 테이블을 지정합니다. 사용자의 경우 사용자(sys_user)를 선택하고 그룹의 경우 그룹(sys_group)을 선택합니다.
      필터 LDAP 필터 문자열을 입력하여 OU에서 임포트할 특정 기록을 선택합니다. LDAP 필터 쿼리가 구체적일수록 쿼리 효율성이 높아집니다.

      예를 들어 사용자 LDAP OU 정의는 다음 필터를 사용하여 사람으로 분류되고, sn 속성 값을 가지며, 컴퓨터가 아니고, 비활성 플래그가 지정되지 않은 레코드를 선택합니다.

      (&(objectClass=사람)(sn=*)(!( objectClass=컴퓨터)) (!( userAccountControl:1.2.840.113556.1.4.803:=2)))

      인터넷에서 LDAP 필터 RFC를 검색하여 LDAP 필터 구문에 대한 설명을 찾을 수 있습니다.

    조직 구성 단위 정의 예시

    디렉터리 구조가 다음과 같은 LDAP 서버가 있다고 가정합니다.

    dc=내 도메인, dc=com

    • ou=그룹
      • cn=개발
      • cn=HR
      • cn=판매
    • ou=사용자
      • ou=개발
      • ou=HR
      • ou=판매

    또한 애플리케이션에서 HR 그룹 및 HR 사용자를 제외하려 한다고 가정해 보겠습니다. 다음과 같이 수행하십시오.

    1. 검색 시작 디렉터리가 dc=my-domain,dc=com인 LDAP 서버 기록을 작성합니다.
    2. 필터를 사용하여 ou=Groups에 대한 OU 정의 기록을 생성하여 cn=HR을 제외합니다.
    3. ou=HR을 제외하는 필터를 사용하여 ou=Users에 대한 OU 정의 기록을 만듭니다.

    OU 정의를 사용하여 추가 속성이나 필터를 지정하지 않으면 LDAP 쿼리는 시작 디렉터리 및 RDN에서 전체 하위 트리를 반환합니다.

    이 예제에서 RDN 값이 ou=Groups이고 필터가 없는 OU 정의는 모든 그룹을 반환했을 것입니다. 마찬가지로 RDN 값이 ou=Users이고 필터가 없는 OU 정의는 모든 사용자와 하위 조직 단위를 반환합니다.