LDAP 조직 단위 정의

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 3분

    • OU(조직 단위) 정의는 통합에 사용할 수 있는 LDAP 소스 디렉터리를 지정합니다.

    시작하기 전에

    필요한 역할: admin.

    이 태스크 정보

    OU 정의에는 위치, 사람 또는 사용자 그룹이 포함될 수 있습니다. 모든 LDAP 서버 정의에는 두 개의 샘플 OU 정의가 있는데 하나는 그룹을 시스템으로 가져오는 데 사용되는 정의이고 다른 하나는 사용자에 대한 정의입니다.

    프로시저

    1. 다음으로 이동 모두 > 시스템 LDAP > LDAP 서버.
    2. 구성할 LDAP 서버를 선택합니다.
    3. LDAP OU 정의 관련 목록에서 그룹 또는 사용자 샘플 OU 정의를 선택합니다.
    4. LDAP OU 정의 양식을 작성합니다(표 참조).
    5. 업데이트를 클릭합니다.
      시스템이 LDAP 서버에 대한 연결을 자동으로 테스트합니다.
    6. 관련 링크에서 찾아보기를 클릭하여 OU 정의가 반환하는 LDAP 디렉터리 레코드를 봅니다.
      LDAP OU 정의 양식
      표 1. OU 정의 양식
      필드 설명
      이름 이 OU를 참조할 때 통합이 사용하는 이름을 지정합니다. 여기에 입력한 이름은 데이터 소스 기록에서 LDAP 대상이 됩니다.
      RDN 검색할 하위 디렉터리의 상대적 고유 이름을 지정합니다. 이 RDN은 LDAP 서버 정의의 검색 시작 디렉토리와 결합되어 이 조직 구성 단위에 대한 정보를 포함하는 하위 디렉토리를 식별합니다. 예를 들어 샘플 OU 정의는 CN=Users 의 RDN 값을 사용하여 LDAP 디렉터리 CN=Users,DC=service-now,DC=com 및 이 지점 아래의 모든 디렉터리를 검색합니다. 이 필드는 LDAP 시스템의 하위 디렉토리와 일치해야 합니다.
      쿼리 필드 LDAP 서버 내에 기록을 쿼리할 속성의 이름을 지정합니다. 쿼리 필드는 단일 및 여러 도메인 인스턴스 모두에서 고유해야 합니다. 최상의 결과를 내려면 여러 도메인 인스턴스에서 사용자를 고유하게 식별할 수 있는 이메일 주소 또는 기타 자격 증명을 사용하십시오. Active Directory는 sAMAccountName 특성을 사용합니다. 다른 LDAP 서버는 cn 속성을 사용하는 경향이 있습니다.
      주:
      쿼리 필드는 사용자 [sys_user] 테이블의 사용자 ID 필드에 매핑되어야 합니다. 예를 들어 Active Directory 사용자가 joe.example로 로그인하는 경우 사용자 ID 값이 joe.example 인 사용자 레코드와 sAMAccountName 값이 joe.example인 LDAP 레코드가 있어야 합니다.
      활성 OU 정의를 활성화하고 관리자가 데이터 임포트를 테스트할 수 있도록 하려면 이 확인란을 선택합니다. 그러나 통합은 활성 OU 정의에서만 시스템으로 데이터를 가져올 수 있습니다.
      테이블 LDAP 서버에서 매핑된 데이터를 수신하는 테이블을 지정합니다. 사용자의 경우 사용자(sys_user)를 선택하고 그룹의 경우 그룹(sys_group)을 선택합니다.
      필터 LDAP 필터 문자열을 입력하여 OU에서 임포트할 특정 기록을 선택합니다. LDAP 필터 쿼리가 구체적일수록 쿼리의 효율성이 높아집니다.

      예를 들어, 사용자 LDAP OU 정의는 다음 필터를 사용하여 사람으로 분류되고, sn 속성 값을 가지며, 컴퓨터가 아니고, 비활성으로 플래그가 지정되지 않은 기록을 선택합니다.

      (&(objectClass=person)(sn=*)(!( objectClass=컴퓨터)) (!( userAccountControl:1.2.840.113556.1.4.803:=2)))

      인터넷에서 LDAP 필터 RFC를 검색하여 LDAP 필터 구문에 대한 설명을 찾을 수 있습니다.

    조직 단위 정의 예시

    다음과 같은 디렉터리 구조를 가진 LDAP 서버가 있다고 가정합니다.

    dc=내 도메인, dc=com

    • ou=그룹
      • cn=개발
      • cn=HR
      • cn=판매
    • ou=사용자
      • ou=개발
      • ou=HR
      • ou=판매

    또한 애플리케이션에서 HR 그룹 및 HR 사용자를 제외하려 한다고 가정해 보겠습니다. 다음을 따르십시오.

    1. dc=my-domain,dc=com의 시작 검색 디렉터리를 사용하여 LDAP 서버 기록을 생성합니다.
    2. cn=HR을 제외하는 필터로 ou=그룹에 대한 OU 정의 기록을 생성합니다.
    3. ou=HR을 제외하기 위한 필터를 사용하여 ou=Users에 대한 OU 정의 기록을 생성합니다.

    OU 정의를 사용하여 추가 속성이나 필터를 지정하지 않으면 LDAP 쿼리는 시작 디렉터리 및 RDN의 전체 하위 트리를 반환합니다.

    이 예에서 RDN 값이 ou=Groups이고 필터가 없는 OU 정의는 모든 그룹을 반환했을 것입니다. 마찬가지로 RDN 값이 ou=Users이고 필터가 없는 OU 정의는 모든 사용자 및 자식 조직 구성 단위를 반환했을 것입니다.