chldap

chldap 명령은 시스템 전반의 LDAP(Lightweight Directory Access Protocol) 구성을 변경합니다. 이 명령을 사용하여 LDAP이 있는 원격 인증을 구성할 수 있습니다. 이러한 설정은 mkldapserver 명령을 사용하여 구성된 LDAP 서버에 대해 인증할 때 적용됩니다.

구문

구문 도표 읽기시각적 구문 도표 생략
>>- chldap-- --+----------------------+------------------------->
               +- -type --+---------+-+   
               |          +- ad ----+ |   
               |          +- itds --+ |   
               |          '- other -' |   
               '- -reset -------------'   

>--+-----------------------------------------------------------------+-->
   '- -username -- username ----+--------------------------------+---'   
                                +- -password --+------------+----+       
                                |              '- password -'    |       
                                '- -encpassword --+------------+-'       
                                                  '- password -'         

>--+-------------------------+---------------------------------->
   '- -security --+- tls --+-'   
                  +- ssl --+     
                  '- none -'     

>--+------------------------------------+----------------------->
   '- -userattribute -- user_attribute -'   

>--+--------------------------------------+--------------------->
   '- -groupattribute -- group_attribute -'   

>--+-------------------------------------------+---------------->
   '- -auditlogattribute -- auditlogattribute -'   

>--+------------------------------------+----------------------><
   '- -nestedgroupsearch --+- client -+-'   
                           +- server -+     
                           '- off ----'     

매개변수

-type ad | itds | other | -reset
(선택사항) LDAP 서버 유형을 지정하거나 LDAP 구성을 현재 서버 유형의 기본값으로 다시 설정합니다. 구성된 서버 유형의 기본값은 다음과 같습니다.
  • AD(Active Directory)
  • IBM Security Directory Server(ISDS)
  • 기타
-username username
(선택사항) 관리 바인딩의 사용자 이름을 지정합니다. 다음과 같습니다.
참고:
  • 식별 이름(DN)
  • Active Directory의 사용자 프린시펄 이름(UPN) 또는 NT 로그인 이름
-password password
(선택사항) 관리 바인딩의 비밀번호를 지정합니다.이 매개변수를 사용하여 선택적으로 비밀번호를 지정할 수 있습니다. 비밀번호를 지정하지 않은 경우, 시스템은 명령을 실행하기 전에 프롬프트를 표시하며 사용자가 입력한 비밀번호를 표시하지 않습니다.
-encpassword password
(선택사항) 격납장치의 비밀번호를 지정합니다. 이 매개변수를 사용하여 선택적으로 비밀번호를 지정할 수 있습니다. 비밀번호를 지정하지 않은 경우, 시스템은 명령을 실행하기 전에 프롬프트를 표시하며 사용자가 입력한 비밀번호를 표시하지 않습니다.
-security tls | ssl | none
(선택사항) LDAP 서버와 통신할 때 사용할 보안 유형을 지정합니다. tls를 지정하면 TLS(Transport Layer Security) 보안을 사용할 수 있습니다. ssl을 지정하면 SSL(Secure Socket LayerL) 보안을 사용할 수 있습니다. 기본값은 none입니다.
-userattribute user_attribute
(선택사항) 원격 사용자의 사용자 이름을 판별하는 데 사용하는 LDAP 속성을 지정합니다. 사용자 속성은 LDAP 스키마에 있어야 하며 각 사용자에 대해 고유해야 합니다.
-groupattribute group_attribute
(선택사항) 원격 사용자의 그룹 멤버십을 판별하는 데 사용하는 LDAP 속성을 지정합니다. 속성에는 그룹의 DN이 포함되거나 복수의 그룹 이름이 콜론으로 구분된 목록을 포함해야 합니다.
-auditlogattribute auditlogattribute
(선택사항) 원격 사용자의 ID를 판별하는 데 사용하는 LDAP 속성을 지정합니다. 사용자가 감사된 조치를 수행하면 이 정보가 감사에 기록됩니다.
-authcacheminutes auth_cache_minutes
(선택사항) 인증 세부사항을 캐시할 기간을 지정합니다.
-nestedgroupsearch client | server | off
(선택사항) 중첩된 그룹이 클라이언트(클러스터형 시스템), 서버(인증 서버)에서 평가되는지 또는 전혀 평가되지 않는지를 지정합니다.

설명

최소 하나의 매개변수를 지정해야 합니다.

LDAP 인증 사용 여부에 관계없이 chldap 명령을 실행할 수 있습니다. -reset 또는 -type을 지정하면 별도로 지정하지 않는 한 기본값으로 채웁니다.

-username이 지정된 경우에만 -password 또는 -encpassword를 지정할 수 있습니다.

-type 매개변수 값은 유형이 기존 유형과 다른 경우 지정된 유형의 기본값으로만 설정됩니다.

유형이 itds이면, -nestedgroupsearch를 실행할 수 없습니다(기본적으로 내포 그룹을 평가함). 유형이 ad이면, 서버 지원이 없기 때문에 -nestedgroupsearchclient 또는 off로만 설정할 수 있습니다. 유형이 other이면, -nestedgroupsearch 매개변수를 완벽히 구성할 수 있습니다.

식별 이름(DN), 사용자 프린시펄 이름(UPN) 또는 NT 로그인 이름을 지정하려면 -username을 사용하십시오. 식별 이름(DN)은 쉼표(,), 세미콜론(;) 또는 더하기 기호(+)로 분리된 속성=값 쌍 순서여야 합니다. 백슬래시(\,)는 특수 문자를 이스케이프 처리하는 데 사용하고, 바이트 인코딩을 통해 UTF-8 문자를 지정하는 데도 사용할 수 있습니다. 예를 들어 c\C4\87로 표시될 수 있습니다. NT 로그인은 Active Directory에만 유효하며 DOMAIN\user 형식이어야 합니다. 이러한 로그인은 마침표(.)로 시작하거나 끝나지 않아야 하며 DOMAIN과 사용자 둘 다 다음 문자를 사용하지 않아야 합니다. \/:?"<>| UPN 로그인은 Active Directory에만 유효하면 user@suffix 형식이어야 합니다. 사용자와 접미부 둘 다 공백 또는 ()<>,;:\"[]@ 문자를 사용할 수 없습니다.

팁:
  • -userattribute, -groupattribute, -auditlogattribute가 다음의 경우 값을 수락함을 기억하십시오.
    1. 문자로 시작해야 합니다.
    2. ASCII 문자, 숫자 문자 및 하이픈만 포함해야 합니다.
    3. 대소문자를 구분하지 않습니다.
다음 LDAP (최초) 구성 제안은 LDAP 서버 설정을 지원합니다.
중요사항:
  • 시스템이 LDAP 스키마에 따라 적절히 구성되어 있는지 확인하십시오. chldap -type을 실행하여 시스템의 LDAP 구성을 서버 유형 기본값으로 채우십시오. 이러한 기본값으로 돌아가려면 언제든 chldap -reset을 실행하십시오.
    • (고급) 모든 서버 유형의 경우, 사용자는 LDAP 속성 user_attribute에 구성된 사용자 이름을 사용하여 인증됩니다. 이 속성은 LDAP 스키마에 있어야 하며 각 사용자에 대해 고유해야 합니다. chldap -userattribute를 실행하여 구성할 수 있습니다. 또한 Active Directory 사용자는 UPN 또는 NT 로그인 이름을 사용하여 인증할 수 있습니다.
    • (고급) 인증된 사용자에게는 LDAP 그룹 멤버십에 따라 역할이 지정됩니다. 각 사용자의 그룹 멤버십은 LDAP 속성 group_attribute에 저장되어야 합니다. 이는 사용자의 LDAP 그룹의 DN이 포함된 LDAP 속성 또는 콜론으로 분리된 사용자 그룹 이름 목록이 포함된 LDAP 속성일 수 있습니다. chldap -groupattribute를 실행하여 구성할 수 있습니다.
    • (고급) LDAP 인증된 사용자가 감사된 명령을 실행하면, 사용자의 로그인 이름이 감사 로그에 기록됩니다. 이 이름은 chldap -auditlogattribute를 실행하여 구성할 수 있는 LDAP 속성 audit_log_attribute에서 추출됩니다.
  • 시스템이 LDAP 서버의 사용자 및 그룹 트리 내에서 검색할 수 있는지 확인하십시오. 기본적으로 시스템은 익명으로 인증합니다. 따라서 LDAP 디렉토리 익명 검색을 허용하거나 해당 권한을 가진 LDAP 사용자를 작성하고 chldap -usernamechldap -password 명령을 실행하여 이 사용자로 검색하도록 시스템에 지시해야 합니다.
  • 시스템이 적절한 보안 레벨로 연결할 수 있는지 확인하십시오. 비밀번호는 일반 텍스트로 LDAP 서버에 전송되므로 TLS(Transport Layer Security) 암호화를 권장합니다. 보안 레벨을 변경하려면 chldap -security를 실행하십시오.
  • (고급): Active Directory 및 일부 기타 LDAP 서버에서 시스템은 기본적으로 사용자가 직접 속한 그룹을 식별합니다. 상위 그룹에 따라 사용자에게 권한을 지정하려면, chldap -nestedgroupsearch를 실행하여 클라이언트에서 내포 그룹 검색을 사용할 수 있게 하십시오. 이 설정은 추가 성능 오버헤드를 가지며 최대 8개의 내포 레벨을 지원합니다.

호출 예제

chldap -type
itds -username uid=joebloggs,cn=admins,dc=company,dc=com -password passw0rd
-auditlogattribute descriptiveName

출력 결과:

No feedback
상위 주제: 사용자 관리 명령
관련 참조:
chauthservice
chcurrentuser
chldapserver
chnaskey
chuser
chusergrp
lscurrentuser
lsldap
lsldapserver
lsuser
lsusergrp
mkldapserver
mkuser
mkusergrp
rmldapserver
rmuser
rmusergrp
testldapserver