LDAP 동기화 구성하기

Created: February 20, 2025 | Updated: February 20, 2025 | Applies to versions: 7.2 and 8.0

회사 네트워크에 연결하고 접근하는 과정을 단순화하기 위해, Enterprise Server는 브라우저 인터페이스를 통해 디렉터리 서비스 지원을 제공합니다.

이는 Lightweight Directory Access Protocol (LDAP)을 기반으로 한 도메인 사용자 동기화를 제공하며, 네트워크의 중앙 LDAP 서버를 조회하여 도메인 사용자 그룹 및 역할(Role) 멤버십 정보를 가져옵니다. 이렇게 기존 디렉터리 서비스를 통해 도메인 사용자를 인증하면 Enterprise Server를 포함한 모든 회사 시스템에 대해 단일 로그인(SSO에 준하는 형태)을 구현할 가능성이 생깁니다.

Enterprise Server의 LDAP 동기화는 사용자 역할 기준으로 네트워크 서비스를 조회하며, 역할 멤버십 정보는 Enterprise Server 사용자 접근 권한 부여에 사용됩니다. LDAP 서비스를 통해 도메인 멤버십을 폴링(동기화)하면, 동기화 주기 내에서 도메인 사용자 구성 변경에 시스템이 대응할 수 있습니다.

LDAP의 원리, 기능 및 구현 구문에 대한 자세한 내용은 https://tools.ietf.org/html/rfc4510 및 해당 문서를 구성하는 관련 페이지를 참조하십시오.

LDAP Sync

LDAP Sync를 사용하면 Enterprise Server Workspace 관리자가 네트워크 도메인에 이미 존재하는 사용자 이름/비밀번호 자격 증명을 활용할 수 있으므로, Workspace 브라우저 인터페이스의 Users 페이지에서 사용자 자격 증명을 하나씩 수동으로 만들 필요가 없습니다. 올바르게 설정하면 Users 페이지가 사용자 자격 증명으로 자동 채워지며, 목록에 있는 사용자는 누구나 평소 회사 네트워크 사용자 이름과 비밀번호로 Workspace에 접근할 수 있습니다.

Workspace에 접근할 때 Windows 로그인 자격 증명을 사용하려면(Workspace의 Windows Authentication 지원 활용), Use Windows Session 옵션(브라우저 인터페이스) 또는 Use Windows Session credentials 옵션(Altium Designer의 Sign in 대화상자)을 활성화하십시오.

Enterprise Server는 Standard LDAP 및 LDAPS (LDAP over SSL)를 모두 지원합니다.

이 문서는 도메인에서 LDAP Sync를 설정할 때 성공적으로 사용된 검증된 접근 방법을 자세히 설명합니다. 자체 도메인에서 LDAP Sync를 설정할 때 이 방법을 시도해 보십시오.

무엇이 필요하나요?

Workspace에 대한 관리자 권한.
선택 사항이지만 매우 유용한 도구로 LDAP Admin라는 애플리케이션이 있습니다(LdapAdminExe-<version>.zip에서 다운로드: https://sourceforge.net/projects/ldapadmin/ ).

LDAP Admin이는 Workspace LDAP 설정 페이지를 구성하는 데 필요한 정확한 사용자 그룹 쿼리 문자열과 구문을 식별하는 데 사용할 수 있습니다.

LDAP 검색 문자열(Distinguished Name) 얻기

Workspace의 브라우저 기반 인터페이스를 통해 LDAP Sync 작업을 구성할 때 LDAP Distinguished Name(DN)을 제공해야 합니다. 이는 문자열 형식으로 입력되며 LDAP 검색의 기준 객체(base object)를 식별합니다. 이 문자열을 얻기 위해 LDAP Admin 유틸리티를 사용할 것이므로, 먼저 zip 파일을 다운로드한 뒤 압축을 풀어 그 안의 LdapAdmin 실행 파일을 추출하십시오.

LdapAdmin.exe 파일을 다운로드하고 압축을 해제합니다.

LdapAdmin.exe 실행 파일을 관리자 권한으로 실행합니다(파일을 마우스 오른쪽 버튼으로 클릭하고 Run as administrator 선택).

LDAP Admin 패널이 열리면 Start » Connect를 선택하여 Connections 대화상자에 들어간 다음, New connection을 더블클릭하여 Connection properties 대화상자에 접근합니다.

LDAP Admin 유틸리티에서 새 연결 만들기.

Connection properties 대화상자의 General 탭에서 도메인에 맞게 연결 정보를 구성합니다. 예시는 다음과 같습니다.

Connection name: 연결 아이콘에 사용할 임의의 이름이면 됩니다.
Host: testsite.com
Port: 389

LDAPS(LDAP over SSL)로 구성하는 경우 포트는 636이어야 합니다.

Base: DC=testsite, DC=com
GSS-API 옵션을 활성화합니다.

LDAPS(LDAP over SSL)로 구성하는 경우 SSL 옵션도 활성화해야 합니다.

Account: Use current user credentials 옵션은 활성화된 상태로 그대로 둡니다.

표준 LDAP를 사용할 때의 구성 예. LDAPS(LDAP over SSL)를 사용하는 경우 Port를 636으로 변경하고 SSL 옵션을 활성화하십시오.

연결 속성을 구성했으면 Test connection 버튼을 누릅니다. 모든 설정이 올바르면 Connection is successful 메시지가 표시됩니다. OK 를 클릭하여 새 연결 생성을 완료합니다.

이제 LDAP 검색의 기준 객체를 가리키는 문자열을 식별해야 합니다. 방법은 다음과 같습니다.

새로 만든 연결을 선택하고 Connections 대화상자에서 OK를 클릭하면 네트워크 도메인과 사용자 그룹 계층 구조가 표시됩니다.
필요한 사용자가 들어 있는 폴더에 도달할 때까지 관련 폴더 경로를 확장합니다.
해당 폴더를 마우스 오른쪽 버튼으로 클릭하고 컨텍스트 메뉴에서 Search 명령을 선택합니다. 그러면 Search 패널이 열립니다. 여기서 필요한 핵심 정보는 Path 필드에 이미 채워져 있는 문자열입니다. 이 문자열은 왼쪽에서 오른쪽으로 읽을 때, 도메인 구조 내에서 아래에서 위로(하위에서 상위로) 사용자 폴더까지의 경로를 나타냅니다. 예시로 특정 사용자 폴더 Engineers가 상위 폴더 Users의 하위에 있다고 가정하면, 이 경우 문자열은 OU=Engineers,OU=Users,DC=testsite,DC=com입니다.
이 문자열을 이후 구성 과정에서 사용하기 위해 텍스트 파일에 복사/붙여넣기 하거나, 선택적으로 Search 패널을 열린 상태로 두어도 됩니다.

이 시점부터는 이후 단계에서 LDAP Admin 유틸리티가 더 이상 필요하지 않습니다.

Workspace에서 LDAP Sync 사용하도록 구성하기

이제 브라우저 인터페이스를 통해 대상 Workspace에 관리자로 로그인합니다. LDAP에서 사용자 자격 증명을 자동으로 생성하려는 경우, 기존에 수동으로 생성된 사용자는 제거하는 것이 좋습니다. 따라서 이상적으로는 인터페이스의 Admin - Users 페이지에 있는 기본 관리자 사용자 admin만 남겨두고 시작하십시오.

기본 관리자 사용자 admin만 있는 대상 Workspace 예시.
기본 관리자 사용자 admin만 있는 대상 Workspace 예시.

LDAP Sync로 가져온 사용자를 특정 그룹에 연결하려면 Groups 페이지로 전환하여 필요에 따라 새 그룹(예: Electrical Designers, Mechanical Designers, PCB Specialists 등)을 만들고, 사용자는 비워 둔 상태로 두면 됩니다. 여기 예시는 설치된 샘플 데이터에 포함된 기본 그룹 Engineers를 사용합니다.

이제 LDAP Sync 페이지로 전환한 다음 버튼(또는 이 경우 Create a new one 링크)을 클릭하여 LDAP Sync Creation 창을 엽니다.

Workspace의 브라우저 인터페이스를 통해 새 LDAP Sync Task 추가.

다음 정보를 입력합니다(이전 섹션에서 사용한 예시 도메인 구조 기준).

General

Target Role: Engineers
Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

이 값은 이전 섹션에서 LDAP Admin 유틸리티를 사용했을 때 Search 패널의 Path 필드에서 얻은 문자열입니다.
Url: LDAP://testsite.com:389

LDAPS(LDAP over SSL)로 구성하는 경우, 이 예시에서 Url는 LDAPS://testsite.com:636이 됩니다.
Scope: sub
Attributes: sAMAccountName
Filter: 이 필드는 비워 두면, 도메인에서(DN 필드로) 지정된 그룹에 속한 모든 사용자를 가져옵니다. 도메인 구조의 지정 영역에 사용자 하위 그룹이 더 있다면, 여기에 적절한 필터링 문자열을 사용하여 그중 일부 사용자만 추출할 수 있습니다.

예를 들어 Engineers 그룹 아래에 관리자 권한을 갖도록 모아둔 사용자 집합(CN=Administrators)이 있었다고 가정해 보겠습니다. Engineers 전체(OU=Engineers 영역 아래)를 대상으로 하지 않고 이 사용자 집합만 대상으로 하려면, 도메인 구조에서 해당 지점을 겨냥하는 쿼리 문자열을 작성할 수 있습니다.

(&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

Filter 필드를 비워 두면 DN 필드로 정의된 경로상의 모든 사용자를 반환하지만, 이는 상당히 위험할 수 있습니다. 해당 경로가 도메인 구조에서 매우 많은 사용자를 포함하는 영역을 가리킬 수 있으며, Enterprise Server와 Active Directory에 과도한 부하가 걸려 조직 전체가 멈출 수도 있습니다. 전용 필터링을 사용해 하나 이상의 특정 사용자 집합을 대상으로 하는 편이 훨씬 좋습니다.

Attribute Mapping

First Name: givenName
Last Name: sn
Email: mail
User Name: sAMAccountName
Overwrite existing users – 활성화하면 LDAP Sync가 동기화 쿼리로 반환된 사용자로 수동 생성 사용자를 덮어씁니다(사용자 이름이 완전히 동일하게 일치하는 경우).

Authentication

User Name: domain\<your username> (예: testsite\jason.howie)
Password: <your password>
User authentication type: Windows
Domain: testsite.com

표준 LDAP 사용 시 필요한 모든 정보로 구성된 LDAP Sync 작업 예시. LDAPS(LDAP over SSL)를 사용하는 경우 Url 항목은 LDAPS://testsite.com:636으로 변경됩니다.

모든 설정 입력을 완료했으면 를 클릭합니다. 그러면 동기화 프로세스가 시작되며, 방금 입력한 정보를 처리하는 데 1~2분 정도 걸릴 수 있습니다.

이제 Users 페이지에 접근합니다. 이 목록은 이제 OU=<GroupName> 설정에 정의된 모든 사용자로 채워져 있어야 합니다(아래 예시 이미지 참조). 이제 누구나 일반적인 Windows 로그인으로 Workspace에 접근할 수 있습니다.

추가 사용자는 LDAP Sync 그룹 외부에서 수동으로 추가할 수도 있으므로, 수동 생성 사용자와 LDAP 지정(자동 생성) 사용자를 혼합하여 운영할 수 있습니다.

LDAP 동기화를 사용해 Workspace의 사용자 목록이 채워진 예시.

프린터 출력용 버전

AI로 번역됨

만약 문제가 있으시다면, 텍스트/이미지를 선택하신 상태에서 Ctrl + Enter를 누르셔서 저희에게 피드백을 보내주세요.