LDAP 통합 이해

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기5분

    • LDAP 통합을 통해 인스턴스에서 기존 LDAP 서버를 사용자 데이터의 기본 소스로 사용할 수 있습니다.

    LDAP 통합 필수 조건

    • 디렉터리 서비스 서버는 LDAP v3을 준수해야 합니다.
    • 방화벽을 통한 인바운드 네트워크 액세스가 허용되어야 합니다(LDAP 서버에 대한).
    • LDAP 서버의 외부 IP 또는 이름입니다
    • 읽기 전용 접근 권한이 있는 사용자 자격 증명
    • LDAPS의 경우 PKI 인증서

    LDAP 통합 타이밍

    LDAP 통합은 일반적으로 인스턴스가 가동되기 전에 수행되지만, 언제든지 통합될 수 있습니다.

    LDAP 서버 데이터 무결성

    일부 사용자는 제3자(이 경우 인스턴스)가 LDAP 서버를 변경(쓰기)하는 것을 우려합니다. LDAP 통합에서 인스턴스는 내부 LDAP 디렉터리에 쓰지 않습니다. 인스턴스가 정보를 쿼리하고 그에 따라 데이터베이스를 업데이트합니다.

    인스턴스가 내부 LDAP 서버를 변경하지 않습니다. 서비스 계정은 읽기 전용입니다.

    전체 LDAP 통합의 구성요소 수에 따라 LDAP 서버에 대한 대부분의 변경 사항(추가 항목 포함)은 몇 초 이내에 인스턴스에서 사용할 수 있습니다.

    LDAP 기록을 동기화된 상태로 유지하려면 LDAP 서버의 주기적인 검사를 예약하여 변경 사항을 선택합니다.

    인스턴스는 부서 기록을 동기화하지 않습니다. 사용자 및 그룹 구성원 자격은 LDAP 수신기 메커니즘과 일일 전체 LDAP 찾아보기를 통해 최신 상태로 유지되지만, LDAP에서 사라지면 인스턴스는 이러한 항목을 삭제하지 않습니다.

    항목이 삭제되면 전체 기록도 삭제되고 그에 대한 모든 참조가 지워지거나 삭제됩니다. 구성 항목(CI), SLA 계약, 소프트웨어 라이센스, 구매 주문서 및 서비스 카탈로그 항목에는 모두 부서에 대한 참조가 있으며 부서가 삭제되면 해당 참조가 지워집니다. 사용자에 대한 참조가 많으므로 사용자를 삭제하면 해당 사용자가 수행한 작업에 대한 모든 기록이 손실됩니다. 현재 삭제 여부는 고객이 결정합니다.

    보안

    연결은 방화벽의 특정 포트를 통해 고정 IP 주소를 사용하는 단일 시스템에서 이루어집니다. 인증은 선택한 읽기 전용 LDAP 계정으로 수행됩니다. 표준 LDAP를 사용하거나 디렉토리에 설치된 SSL 인증서의 공개 측을로드 할 수 있습니다.이 경우 LDAPS를 사용할 수 있습니다. 또 다른 보안 계층을 추가하기 위해 지점 간 IPSEC VPN 터널 옵션도 제공합니다. 자세한 내용 및 가격은 계정 관리자에게 문의하십시오.

    표 1. 보안 LDAP 연결
    연결 설명
    MID 서버 외부 네트워크 트래픽으로부터 LDAP 서버를 보호하려면 로컬 네트워크에 MID 서버를 설치하고 보안 채널을 통해 MID 서버와 통신하도록 시스템을 구성합니다.
    LDAPS 암호화된 LDAPS 연결을 설정하려면 LDAP 서버 SSL 인증서의 공개 쪽을 로드합니다. 통합은 인증서를 사용하여 LDAP 서버와 인스턴스 간의 모든 통신을 암호화합니다.
    VPN 암호화된 지점 간 IPSEC VPN 터널로 LDAP 서버를 보호하려면 계정 관리자에게 자세한 내용 및 가격을 문의하십시오.

    고려해야 할 또 다른 보안 측면은 LDAP 통합에서 공유되는 데이터입니다. 인스턴스에 노출되는 데이터를 제한하려면 변환 맵에 속성을 지정하십시오. 자세한 내용은 LDAP 변환 맵 문서를 참조하십시오.

    LDAP 데이터를 인스턴스로 임포트

    필수 데이터만 임포트하도록 속성을 정의하는 것이 좋습니다. 정의된 속성은 인스턴스 사용자 데이터베이스에 매핑됩니다.

    어떤 특정 속성이 필요한지에 대한 질문에 답할 수 없는데, 이는 프로젝트의 범위와 비즈니스 요구 사항에 따라 결정되기 때문입니다.

    지원되는 LDAP 서버 유형

    인스턴스가 Microsoft Active Directory, Novell, Domino(Lotus Notes) 및 Open LDAP와 성공적으로 통합되었습니다. JNDI를 사용하여 LDAP 서버와 인터페이스합니다. LDAP 서버가 LDAP v3을 준수하면 통합이 성공합니다.

    LDAP SSO(Single Sign-On)

    LDAP 가져오기와 함께 제공되는 데이터 채우기 기능과 함께 애플리케이션에서 지원하는 외부 인증 기능을 사용하여 사용자가 매번 로그온할 필요가 없도록 할 수 있습니다.

    여러 LDAP 도메인

    여러 도메인을 처리할 때 권장되는 방법은 각 도메인에 대해 별도의 LDAP 서버 기록을 만드는 것입니다. 각 LDAP 서버 기록은 해당 도메인의 도메인 컨트롤러를 가리켜야 합니다. 즉, 로컬 네트워크는 각 도메인 컨트롤러에 대한 연결을 허용해야 합니다.

    둘 이상의 네트워크 도메인으로 확장한 후에는 애플리케이션 사용자 이름에 대한 고유한 LDAP 속성을 식별하고 병합 값을 임포트하는 것이 중요합니다. Active Directory의 일반적인 고유 병합 특성은 objectSid입니다. 고유한 사용자 이름은 LDAP 데이터 설계에 따라 다를 수 있습니다. 일반적인 특성은 email 또는 userPrincipalName입니다.

    쿼리 제한 처리

    기본적으로 Active Directory 2000/2003에는 과도한 로드 및 서비스 거부 공격을 방지하기 위해 1000개의 개체로 제한되는 LDAP 쿼리 제한(maxPageSize)이 있습니다. 이 제한을 처리하는 두 가지 방법이 있습니다.

    기본 방법은 한 번에 1,000개 미만의 개체를 반환하도록 쿼리를 분할하는 것입니다. 예를 들어, 문자 'a'로 시작하는 객체만 쿼리한 다음 'b' 객체를 쿼리합니다. 대규모 환경에서 보다 효율적인 방법은 페이징을 사용하도록 설정하는 것입니다. 페이징은 모든 Microsoft Active Directory 서버에서 기본적으로 지원됩니다. 결과를 여러 결과 집합으로 자동으로 분할하므로 쿼리를 여러 요청으로 분할할 필요가 없습니다.

    LDAP 쿼리 유형

    LDAP 비밀번호가 제공되면 "단순 바인드"가 수행됩니다. LDAP 암호를 제공하지 않으면 "없음"이 사용되며, 이 경우 LDAP 서버는 익명의 로그인을 허용해야 합니다.

    LDAP 인증

    LDAP에 제공된 서비스 계정 자격 증명을 사용하여 LDAP 서버에서 사용자 DN을 검색합니다. 사용자의 DN 값이 지정되면 사용자 DN과 제공된 암호가 제공된 LDAP와 다시 바인딩합니다.

    암호 스토리지

    사용자가 입력하는 암호는 전적으로 HTTPS 세션에 포함되어 있습니다. 우리는 그 암호를 어디에도 저장하지 않습니다.

    LDAP 인증 설정

    LDAP와 관련된 사용자 기록의 다음 필드:

    • 소스: 소스 필드는 LDAP를 사용하여 사용자의 유효성을 검사할지 여부를 식별합니다. 소스 필드가 "ldap"로 시작하면 사용자는 LDAP를 통해 검증됩니다. 소스 필드가 'ldap'로 시작하지 않으면, 로그인 시 사용자 기록의 비밀번호를 사용하여 사용자를 확인합니다.
    • LDAP 서버: 인스턴스는 여러 LDAP 서버를 지원하므로 LDAP 서버 필드는 사용자를 인증하는 데 사용해야 하는 서버를 결정합니다.