LDAP 동기화 구성하기

Parent page: 고급 주제

회사 네트워크에 연결하고 접근하는 과정을 단순화하기 위해, Enterprise Server는 브라우저 인터페이스를 통해 디렉터리 서비스 지원을 제공합니다.

이를 통해 Lightweight Directory Access Protocol(LDAP)을 기반으로 도메인 사용자 동기화를 제공하며, 네트워크의 중앙 LDAP 서버를 조회하여 도메인 사용자 그룹 및 역할(Role) 멤버십 정보를 가져옵니다. 이렇게 기존 디렉터리 서비스를 통해 도메인 사용자를 인증하면 Enterprise Server를 포함한 모든 회사 시스템에 대해 단일 로그인(SSO)에 가까운 접근을 구현할 수 있습니다.

Enterprise Server의 LDAP 동기화는 사용자 역할 기준으로 네트워크 서비스를 조회하며, Enterprise Server 사용자 접근 권한 부여를 위해 역할 멤버십 정보를 수집합니다. LDAP 서비스를 통해 도메인 멤버십을 폴링(동기화)하면, 동기화 주기 내에서 도메인 사용자 구성 변경에 시스템이 대응할 수 있습니다.

LDAP 동기화

LDAP 동기화를 사용하면 Enterprise Server Workspace 관리자가 네트워크 도메인에 이미 존재하는 사용자 이름과 비밀번호 자격 증명을 활용할 수 있으므로, Workspace 브라우저 인터페이스의 Users 페이지에서 사용자 자격 증명을 하나씩 수동으로 만들 필요가 없습니다. 올바르게 설정하면 Users 페이지가 사용자 자격 증명으로 자동 채워지며, 목록에 있는 사용자는 누구나 일반적인 회사 네트워크 사용자 이름과 비밀번호로 Workspace에 접근할 수 있습니다.

이 문서는 도메인에서 LDAP 동기화를 설정할 때 성공적으로 사용된 검증된 접근 방법을 자세히 설명합니다. 자체 도메인에서 LDAP 동기화를 설정할 때 이 방법을 시도해 보십시오.

무엇이 필요하나요?

• Workspace에 대한 관리자 권한.
• 선택 사항으로, 매우 유용한 도구는 LDAP Admin라는 애플리케이션입니다(LdapAdminExe-<version>.zip에서 다운로드: https://sourceforge.net/projects/ldapadmin/ ).

LDAP 검색 문자열(Distinguished Name) 얻기

Workspace의 브라우저 기반 인터페이스를 통해 LDAP 동기화 작업을 구성할 때 LDAP Distinguished Name(DN)을 제공해야 합니다. 이는 문자열 형식으로 입력되며 LDAP 검색의 기준 객체(base object)를 식별합니다. 이 문자열을 얻기 위해 LDAP Admin 유틸리티를 사용할 것이므로, 먼저 zip 파일을 다운로드하고 그 안의 LdapAdmin 실행 파일을 추출하십시오.

LdapAdmin.exe 파일을 다운로드하고 압축을 해제합니다.

LdapAdmin.exe 실행 파일을 관리자 권한으로 실행합니다(마우스 오른쪽 버튼 클릭 후 Run as administrator 선택).

LDAP Admin 패널이 열리면 Start » Connect를 선택하여 Connections 대화상자에 접근한 다음, New connection를 더블 클릭하여 Connection properties 대화상자에 접근합니다.

LDAP Admin 유틸리티에서 새 연결 만들기.

Connection properties 대화상자의 General 탭에서 도메인에 맞게 연결 정보를 구성합니다. 예시는 다음과 같을 수 있습니다:

• Connection name: 연결 아이콘에 사용할 임의의 이름.
• Host: testsite.com
• Port: 389

• Base: DC=testsite, DC=com
• GSS-API 옵션을 활성화합니다.

• Account: Use current user credentials 옵션은 활성화된 상태로 그대로 둡니다.

표준 LDAP를 사용할 때의 구성 예. LDAPS(LDAP over SSL)를 사용하는 경우 포트를 636로 변경하고 SSL 옵션을 활성화하십시오.

연결 속성을 구성했으면 Test connection 버튼을 누르십시오. 모든 설정이 올바르면 Connection is successful 메시지가 표시됩니다. OK 를 클릭하여 새 연결 생성을 완료합니다.

이제 LDAP 검색의 기준 객체를 대상으로 하는 문자열을 식별해야 합니다. 이를 위해 다음을 수행합니다:

1. 새로 만든 연결을 선택하고 Connections 대화상자에서 OK를 클릭하면 네트워크 도메인 및 사용자 그룹 계층 구조가 표시됩니다.
2. 필요한 사용자가 포함된 폴더에 도달할 때까지 관련 폴더 경로를 확장합니다.
3. 해당 폴더를 마우스 오른쪽 버튼으로 클릭하고 컨텍스트 메뉴에서 Search 명령을 선택합니다. 그러면 Search 패널이 열립니다. 여기서 필요한 핵심 정보는 Path 필드에 이미 채워져 있는 문자열입니다. 이 문자열은 왼쪽에서 오른쪽으로 읽을 때 도메인 구조 내에서 아래에서 위로 사용자 폴더까지의 경로를 나타냅니다. 예시로, 특정 사용자 폴더 Engineers가 상위 폴더 Users의 하위라고 가정하면, 이 경우 문자열은 다음과 같습니다: OU=Engineers,OU=Users,DC=testsite,DC=com.
4. 이 문자열을 이후 구성 과정에서 사용하기 위해 텍스트 파일에 복사/붙여넣기 하거나, 선택적으로 Search 패널을 열린 상태로 두십시오.

이 시점부터는 추가 단계에서 LDAP Admin 유틸리티가 더 이상 필요하지 않습니다.

Workspace에서 LDAP 동기화 사용하도록 구성하기

이제 브라우저 인터페이스를 통해 대상 Workspace에 관리자로 로그인합니다. LDAP에서 사용자 자격 증명을 자동으로 생성하려는 경우, 기존에 수동으로 만든 사용자는 제거하는 것이 좋습니다. 따라서 이상적으로는 인터페이스의 Admin - Users 페이지에 있는 기본 관리자 사용자 admin만 남겨두고 시작하십시오.

기본 관리자 사용자 admin만 있는 대상 Workspace 예시.

LDAP 동기화로 가져온 사용자를 특정 역할에 연결하려면 Roles 페이지로 전환하여 필요에 따라 새 역할(예: Electrical Designers, Mechanical Designers, PCB Specialists 등)을 만들고, 사용자 없이 비워 둡니다. 여기 예시는 설치된 샘플 데이터에 포함된 기본 역할인 Engineers을 사용합니다.

이제 LDAP Sync 페이지로 전환한 다음 버튼(또는 이 경우 Create a new one 링크)을 클릭하여 LDAP Sync Creation 창을 엽니다.

Workspace 브라우저 인터페이스를 통해 새 LDAP 동기화 작업 추가.

다음 정보를 입력합니다(이전 섹션에서 사용한 예시 도메인 구조 기준):

일반

• Target Role: Engineers

• Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

  이 문자열은 이전 섹션에서 LDAP Admin 유틸리티를 사용했을 때 Search 패널의 Path 필드에서 얻은 값입니다.

• Url: LDAP://testsite.com:389

  LDAPS(LDAP over SSL)로 구성하는 경우, 이 예시의 Url는 LDAPS://testsite.com:636이 됩니다.

• Scope: sub

• Attributes: sAMAccountName

• Filter: 이 필드는 비워 두면 도메인에서 지정된 그룹(DN 필드에서 결정됨)에 속한 모든 사용자를 가져옵니다. 도메인 구조의 지정 영역에 사용자 그룹이 더 존재한다면, 여기에 적절한 필터링 문자열을 사용하여 그 사용자들 중 일부만 추출할 수 있습니다.

  예를 들어 Engineers 그룹 아래에 관리자 권한을 갖도록 모인 사용자 집합(CN=Administrators)이 있었다고 가정해 보겠습니다. Engineers 전체(OU=Engineers 영역 아래)를 대상으로 하지 않고 이 사용자 집합만 대상으로 하려면, 도메인 구조에서 해당 지점을 겨냥하는 쿼리 문자열을 작성할 수 있습니다:

  (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

  Filter 필드를 비워 DN 필드로 정의된 경로상의 모든 사용자를 반환하도록 할 수는 있지만, 이는 매우 위험할 수 있습니다. 해당 경로가 도메인 구조에서 매우 많은 사용자가 포함된 영역을 가리킬 수 있으며, Enterprise Server와 Active Directory에 과도한 부하가 걸려 조직 전체가 멈출 수도 있습니다. 전용 필터링을 사용해 하나 이상의 특정 사용자 집합을 대상으로 하는 편이 훨씬 낫습니다.

속성 매핑

• First Name: givenName
• Last Name: sn
• Email: mail
• User Name: sAMAccountName
• Overwrite existing users – 활성화하면 LDAP 동기화는 동기화 쿼리로 반환된 사용자로 수동 생성 사용자를 덮어쓰며, 사용자 이름이 완전히 동일하게 일치하는 경우에 한합니다.

인증

• User Name: domain\<your username> (예: testsite\jason.howie)
• Password: <your password>
• User authentication type: Windows
• Domain: testsite.com

표준 LDAP 사용 시 필요한 모든 정보로 구성된 LDAP 동기화 작업 예시. LDAPS(LDAP over SSL)를 사용하는 경우 Url 항목은 LDAPS://testsite.com:636으로 변경됩니다.

모든 설정 입력을 완료했으면 를 클릭합니다. 그러면 동기화 프로세스가 시작되며, 방금 입력한 정보를 처리하는 데 1~2분 정도 걸릴 수 있습니다.

이제 Users 페이지에 접근합니다. 이 목록은 이제 OU=<GroupName> 설정으로 정의된 모든 사용자로 채워져 있어야 합니다(아래 예시 이미지 참조). 이제 누구나 일반적인 Windows 로그인으로 Workspace에 접근할 수 있습니다.

LDAP 동기화를 통해 Workspace에 사용자 목록이 채워진 예시.