LDAP 동기화 구성하기

Created: April 06, 2017 | Updated: January 18, 2018

회사 네트워크에 연결하고 접근하는 과정을 단순화하기 위해, Altium Infrastructure Server는 브라우저 인터페이스를 통해 디렉터리 서비스 지원을 제공합니다.

이를 통해 Lightweight Directory Access Protocol (LDAP)을 기반으로 도메인 사용자 동기화를 제공하며, 네트워크의 중앙 LDAP 서버를 쿼리하여 도메인 사용자 그룹 및 역할 멤버십 정보를 가져옵니다. 이렇게 기존 디렉터리 서비스를 통해 도메인 사용자를 인증하면, Altium Infrastructure Server를 포함한 모든 회사 시스템에 단일 로그인으로 접근할 수 있는 가능성이 생깁니다.

Infrastructure Server의 LDAP 동기화는 사용자 역할을 기준으로 네트워크 서비스를 쿼리하며, Infrastructure Server 사용자 접근 권한 부여를 위해 역할 멤버십 정보를 수집합니다. LDAP 서비스를 통해 도메인 멤버십을 폴링(동기화)하면, 동기화 주기 내에서 도메인 사용자 구성 변경에 시스템이 대응할 수 있습니다.

LDAP의 원리, 기능 및 구현 구문에 대한 자세한 내용은 https://tools.ietf.org/html/rfc4510 및 해당 문서 페이지들을 참조하십시오.

LDAP 동기화

LDAP 동기화를 사용하면 Altium Infrastructure Server 관리자가 네트워크 도메인에 이미 존재하는 사용자 이름과 비밀번호 자격 증명을 활용할 수 있으므로, Infrastructure Server의 브라우저 기반 인터페이스 USERS 페이지에서 사용자 자격 증명을 하나씩 수동으로 만들 필요가 없습니다. 올바르게 설정되면 USERS 페이지가 사용자 자격 증명으로 자동 채워지며, 목록에 있는 사용자는 누구나 일반적인 회사 네트워크 사용자 이름과 비밀번호로 Altium Infrastructure Server에 로그인할 수 있습니다.

Windows 인증을 지원하는 Infrastructure Server 기능을 활용하여 Windows 로그인 자격 증명으로 Infrastructure Server에 로그인하려면 Use Windows Session credentials 옵션을 활성화하십시오.

Altium Infrastructure Server는 Standard LDAP 및 LDAPS (LDAP over SSL)를 모두 지원합니다.

이 문서는 도메인에서 LDAP 동기화를 설정할 때 성공적으로 사용된 검증된 접근 방법을 자세히 설명합니다. 자체 도메인에서 LDAP 동기화를 설정할 때 이 방법을 시도해 보십시오.

무엇이 필요하나요?

Altium Infrastructure Server에 대한 관리자 접근 권한.
선택 사항으로, 매우 유용한 유틸리티로 LDAP Admin라는 애플리케이션이 있습니다(LdapAdminExe-<version>.zip 다운로드: http://www.ldapadmin.org/)

LDAP Admin는 Altium Infrastructure Server LDAP 설정 페이지를 구성하는 데 필요한 정확한 사용자 그룹 쿼리 문자열과 구문을 식별하는 데 사용할 수 있습니다.

LDAP 검색 문자열(고유 이름, Distinguished Name) 얻기

Altium Infrastructure Server의 브라우저 기반 인터페이스를 통해 LDAP 동기화 작업을 구성할 때 LDAP Distinguished Name(DN)을 제공해야 합니다. 이는 문자열 형식으로 입력되며 LDAP 검색의 기준 객체(base object)를 식별합니다. 이 문자열을 얻기 위해 LDAP Admin 유틸리티를 사용할 것이므로, 먼저 zip 파일을 다운로드하고 그 안의 LdapAdmin 실행 파일을 추출하십시오.

LdapAdmin.exe 파일을 다운로드하고 압축을 해제합니다.

LdapAdmin.exe 실행 파일을 관리자 권한으로 실행합니다(마우스 오른쪽 버튼을 클릭하고 Run as administrator 선택).

LDAP Admin 패널이 열리면 Start » Connect를 선택하여 Connections 대화상자에 접근한 다음, New connection를 더블 클릭하여 Connection properties 대화상자에 접근합니다.

LDAP Admin 유틸리티에서 새 연결 만들기.

Connection properties 대화상자의 General 탭에서 도메인에 맞게 연결 정보를 구성합니다. 예시는 다음과 같을 수 있습니다:

Connection name: 연결 아이콘에 사용할 임의의 이름이면 됩니다.
Host: testsite.com
Port: 389

LDAPS(LDAP over SSL)로 구성하는 경우 포트는 636여야 합니다.

Base: DC=testsite, DC=com
GSS-API 옵션을 활성화합니다.

LDAPS(LDAP over SSL)로 구성하는 경우 SSL 옵션도 활성화해야 합니다.

Account: Use current user credentials 옵션은 활성화된 상태로 그대로 둡니다.

표준 LDAP를 사용할 때의 구성 예. LDAPS(LDAP over SSL)를 사용하는 경우,
Port를 636로 변경하고 SSL 옵션을 활성화합니다.

연결 속성을 구성했으면 Test connection 버튼을 누르십시오. 모든 설정이 올바르면 Connection is successful 메시지가 표시됩니다. OK 를 클릭하여 새 연결 생성을 완료합니다.

이제 LDAP 검색의 기준 객체를 대상으로 하는 문자열을 식별해야 합니다. 방법은 다음과 같습니다:

새로 만든 연결을 선택하고 Connections 대화상자에서 OK를 클릭하면 네트워크 도메인과 사용자 그룹 계층 구조가 표시됩니다.
필요한 사용자가 들어 있는 폴더에 도달할 때까지 관련 폴더 경로를 확장합니다.
이 폴더를 마우스 오른쪽 버튼으로 클릭하고 컨텍스트 메뉴에서 Search 명령을 선택합니다. 그러면 Search 패널이 열립니다. 여기서 필요한 핵심 정보는 Path 필드에 이미 채워져 있는 문자열입니다. 왼쪽에서 오른쪽으로 읽으면, 이 문자열은 도메인 구조 내에서 아래에서 위로 이 사용자 폴더까지의 경로를 나타냅니다. 예시로 특정 사용자 폴더 Managers가 상위 폴더 Users의 하위라고 가정하면, 이 경우 문자열은 OU=Managers,OU=Users,DC=testsite,DC=com입니다.
이 문자열을 이후 구성 과정에서 사용하기 위해 텍스트 파일에 복사해 두거나, 선택적으로 Search 패널을 열린 상태로 두십시오.

이 시점부터는 LDAP Admin 유틸리티가 이후 단계에서 더 이상 필요하지 않습니다.

Altium Infrastructure Server에서 LDAP 동기화 사용 구성

이제 Altium Infrastructure Server에 집중해 보겠습니다. 브라우저 기반 인터페이스를 통해 대상 Altium Infrastructure Server에 관리자로 로그인하십시오. LDAP에서 사용자 자격 증명을 자동으로 생성하려는 경우, 기존에 수동으로 만든 사용자는 제거하는 것이 좋습니다. 따라서 이상적으로는 기본 관리자 역할 사용자 admin 및 System만 남긴 상태에서 시작하십시오.

기본 관리 사용자 두 명(admin, System)만 있는 대상 Altium Infrastructure Server 예시.

LDAP 동기화로 가져온 사용자를 특정 역할에 연결하려면 Roles 탭으로 전환하여 필요에 따라 새 역할을 만들고, 사용자 없이 비워 둡니다. 예시에서는 Managers라는 역할을 만들겠습니다.

이제 LDAP Sync 탭으로 전환하고 버튼을 클릭하여 Add LDAP Sync Task 대화상자에 접근합니다.

Infrastructure Server의 브라우저 기반 인터페이스를 통해 새 LDAP 동기화 작업 추가.

다음 정보를 입력합니다(이전 섹션에서 사용한 예시 도메인 구조 기준):

일반

Target Role: Managers
Url: LDAP://testsite.com:389

LDAPS(LDAP over SSL)로 구성하는 경우, 이 예시에서 Url는 LDAPS://testsite.com:636가 됩니다.

DN: OU=Managers,OU=Users,DC=testsite,DC=com

이 문자열은 이전 섹션에서 LDAP Admin 유틸리티를 사용했을 때 Search 패널의 Path 필드에서 얻은 값입니다.

Filter: 도메인에서 지정된 그룹(DN 필드로 결정됨)으로부터 모든 사용자를 가져오려면 이 필드를 비워 두십시오. 도메인 구조의 지정 영역에 사용자에 대한 추가 그룹이 포함되어 있다면, 여기에 적절한 필터링 문자열을 사용하여 그 사용자들 중 일부만 추출할 수 있습니다.

예를 들어, Managers 그룹 아래에 관리 권한을 갖도록 모아둔 사용자 집합(CN=Administrators)이 있었다고 가정해 보겠습니다. Managers 전체(OU=Managers 영역 아래)를 대상으로 하지 않고 이 사용자 집합만 대상으로 하려면, 도메인 구조에서 해당 지점을 겨냥하는 쿼리 문자열을 작성할 수 있습니다:

(&(objectClass=user)(memberof=CN=Administrators,OU=Managers,OU=Users,DC=testsite,DC=com))

Filter 필드를 비워 DN 필드로 정의된 경로상의 모든 사용자를 반환하도록 할 수도 있지만, 이는 상당히 위험할 수 있습니다. 해당 경로가 도메인 구조에서 매우 많은 사용자가 포함된 영역을 가리킬 수 있으며, Altium Infrastructure Server와 Active Directory에 과도한 부하가 걸려 조직 전체가 멈출 수도 있습니다. 전용 필터링을 사용하여 하나 이상의 특정 사용자 집합을 대상으로 하는 것이 훨씬 낫습니다. 특정 사용자 집합을 대상으로 하는 데 사용할 수 있는 LDAP 쿼리에 대한 자세한 내용은 다음 링크를 참조하십시오:

Common LDAP Queries - 특히 사용자 관련 쿼리. 이 페이지는 Google의 상세 매뉴얼 일부로, Google Apps Directory Sync와 관련되어 있지만 LDAP를 다루는 영역에 유용합니다.
LDAP Query Basics

Scope: sub
Attributes: sAMAccountName

인증

User Name: domain\<your username> (예: testsite\jason.howie)
Password: <your password>

속성 매핑

First Name: givenName
Last Name: sn
Email: mail
User Name: sAMAccountName

사용자 인증 유형

Radio button: Windows
Domain: testsite.com

표준 LDAP 사용 시 필요한 모든 정보로 구성된 LDAP 동기화 작업 예시. LDAPS(LDAP over SSL)를 사용하는 경우 Url
항목은 LDAPS://testsite.com:636로 변경됩니다.

모든 설정 입력을 완료했으면 를 클릭합니다. 그러면 동기화 프로세스가 시작되며, 방금 입력한 정보를 처리하는 데 1~2분 정도 걸릴 수 있습니다. 프로세스가 완료되는 시점을 확인하려면 LDAP Sync 페이지 상단의 동기화 상태 메시지를 확인하십시오.

이제 Users 탭을 클릭합니다. 이 목록은 이제 OU=<GroupName> 설정에 정의된 모든 사용자로 채워져 있어야 합니다(아래 예시 이미지 참조). 이제 누구나 일반적인 Windows 로그인으로 Altium Infrastructure Server에 로그인할 수 있습니다.

또한 LDAP 동기화 그룹 외부의 사용자를 수동으로 추가할 수도 있으므로, 수동으로 생성한 사용자와 LDAP에서 지정된(자동 생성된) 사용자를 혼합하여 운영할 수 있습니다.

LDAP 동기화를 사용하여 Altium Infrastructure Server에 사용자를 예시로 등록하는 방법.