LDAP(Lightweight Directory Access Protocol)를 사용하여 원격 인증 구성

원격 인증을 통해 사용자는 외부 인증 서비스에 저장된 신임 정보를 사용해 시스템에 대해 인증할 수 있습니다. 원격 인증을 구성하면 시스템에 사용자를 구성하거나 추가 비밀번호를 지정할 필요가 없습니다. 대신 사용자 관리 및 액세스를 단순화하기 위해 원격 서비스에서 정의한 기존 비밀번호 및 사용자 그룹을 사용해 비밀번호 정책을 보다 효율적으로 적용하고 사용자 관리와 스토리지 관리를 구분할 수 있습니다.

관리 GUI 사용

LDAP으로 원격 인증을 구성하려면 다음 단계를 완료하십시오.

관리 GUI에서 설정 > 보안 > 원격 인증을 선택하십시오.
원격 인증 구성을 선택하십시오.
LDAP를 선택하십시오.
인증에 사용되는 LDAP 서버의 유형을 선택하십시오.
다음 보안 옵션 중 하나를 선택하십시오.
TLS(Transport Layer Security)

표준 LDAP 포트(389)를 TLS 또는 SSL을 사용하는 암호화된 포트로 업그레이드하는 확장을 구성하려면 이 옵션을 선택하십시오. 디렉토리 서버에 대한 초기 연결은 암호화되지 않지만 포트 636을 사용할 수 없는 시스템에서 사용될 수 있습니다.

SSL(Secure Sockets Layer)

기본 보안 포트(636)를 사용해 LDAP 통신을 보호하려면 이 옵션을 선택하십시오. 디렉토리 서버를 사용하는 모든 트랜잭션의 연결이 암호화됩니다.

없음

암호화하지 않고 일반 텍스트 형식으로 데이터를 전송하려면 이 옵션을 선택하십시오.
선택적 서비스 신임 정보를 지정하거나 고급 LDAP 설정을 수정하십시오. 다음 LDAP 속성을 구성할 수 있습니다.
사용자 속성

모든 서버 유형의 경우 사용자는 LDAP 사용자 속성으로 정의되는 사용자 이름으로 인증됩니다. 이 속성은 LDAP 스키마에 있어야 하며 각 사용자에 대해 고유해야 합니다. 또한 Active Directory 사용자는 해당 UPN(User Principal Name) 또는 NT 로그인 이름을 사용하여 인증할 수 있습니다.

그룹 속성

인증된 사용자는 해당 LDAP 그룹 멤버십에 따른 역할에 지정됩니다. 사용자가 속하는 그룹은 LDAP 그룹 속성에 저장됩니다. 이 속성 값은 각 그룹의 식별 이름 또는 사용자 그룹 이름의 콜론으로 구분된 목록일 수 있습니다.

감사 로그 속성

LDAP 사용자가 감사되는 조치를 수행하는 경우 감사 로그 속성의 컨텐츠가 감사 로그에 기록됩니다.
최대 여섯 개의 LDAP 서버를 인증에 사용하도록 정의하십시오. 다른 사용자 세트에 액세스를 제공하기 위해 또는 중복성을 위해 다중 서버를 구성할 수 있습니다. 또한 사용자 인증에 어떤 서버가 선호되는지 구성할 수도 있습니다.
LDAP 구성을 확인하십시오. LDAP 서버에 대한 연결을 테스트하려면 글로벌 조치 > LDAP 연결 테스트를 선택하십시오. LDAP 서버에 대한 인증을 테스트하려면 글로벌 조치 > LDAP 인증 테스트를 선택하고 사용자에 대한 해당 신임 정보를 입력하십시오.
비밀번호 없이 액세스해야 하는 원격 사용자는 시스템에 SSH(Secure Shell) 키를 구성해야 합니다. SSH 키 액세스에 대해 원격 사용자를 구성하려면 다음 단계를 완료하십시오.
1. 액세스 > 사용자를 선택하십시오.
2. 새 사용자를 선택하거나 조치 > 특성을 선택하여 기존 사용자를 변경하십시오.
3. 원격 인증 모드를 선택하고 SSH 공개 키를 제공하십시오. 비밀번호를 입력하지 않고 명령행에 액세스하려면 SSH 공개 키를 사용하십시오.
시스템에서 사용자를 삭제하려면 다음 단계를 완료하십시오.
1. 액세스 > 사용자를 선택하십시오.
2. 사용자를 마우스 오른쪽 단추로 클릭하고 조치 > 삭제를 선택하십시오.

명령행 인터페이스 사용

명령행 인터페이스를 사용하여 LDAP로 사용자 인증을 사용하려면 다음 단계를 따르십시오.

chldap 명령을 입력하여 LDAP를 구성하십시오.
이 명령은 IBM Security Directory Server 및 AD 모두에 대해 기본 설정을 제공합니다. 예를 들어, IBM Security Directory Server 스키마 기본값 및 TLS(Transport Layer Security)로 인증을 구성하려면 다음 명령을 실행하십시오.
```
chldap -type itds -security tls
```
LDAP 구성을 lsldap 명령으로 검사할 수 있습니다.
참고: 전송된 비밀번호가 암호화되도록 TLS를 사용하십시오.
최대 여섯 개의 LDAP 서버를 인증에 사용하도록 mkldapserver 명령을 지정하십시오.
다른 사용자 세트에 액세스를 제공하기 위해 또는 중복성을 위해 다중 서버를 구성할 수 있습니다. 모든 서버는 chldap로 구성된 설정을 공유해야 합니다. 예를 들어, cn=users,dc=company,dc=com 서브트리의 SSL 인증서 및 사용자로 LDAP 서버를 구성하려면 다음 명령을 입력하십시오.
```
mkldapserver -ip 9.71.45.108 -basedn cn=users,dc=company,dc=com -sslcert /tmp/sslcert.pem
```
또한 사용자 인증에 어떤 서버가 선호되는지 구성할 수도 있습니다.

LDAP 서버 구성 정보는 lsldapserver를 지정하십시오. chldapserver 및 rmldapserver를 지정하여 구성된 LDAP 서버를 변경하십시오.
인증 서비스에서 사용되는 해당 사용자 그룹에 일치시켜 시스템에 사용자 그룹을 구성하십시오.
인증 서비스에 대해 알려진 각 그룹의 경우 시스템 사용자 그룹은 동일한 이름 및 원격 설정으로 작성되어 사용되어야 합니다. 예를 들어, sysadmins라는 그룹의 멤버에게 시스템 관리자(admin) 역할이 필요한 경우 다음 명령을 입력하십시오.
```
mkusergrp -name sysadmins -remote -role Administrator
```
사용자 그룹이 시스템 사용자 그룹과 일치하지 않은 경우 사용자는 시스템에 액세스할 수 없습니다.
testldapserver 명령을 사용하여 LDAP 구성을 확인하십시오.
LDAP 서버에 대한 연결을 테스트하려면 옵션 없이 명령을 입력하십시오. 구성 오류에 대한 테스트에 비밀번호를 포함하거나 포함하지 않고 사용자 이름을 제공할 수 있습니다. 각 서버에 대해 전체 인증을 처리하려면 다음 명령을 실행하십시오.
```
testldapserver -username username -password password
```
다음 명령을 입력하여 LDAP 인증을 사용으로 설정하십시오.
```
chauthservice -type ldap -enable yes
```
SSH(Secure Shell) 키 액세스를 필요로 하지 않는 사용자를 구성하십시오.
원격 인증 서비스를 사용해야 하며 SSH 키 액세스를 필요로 하지 않는 시스템 사용자를 삭제하십시오.
알아두기: 수퍼유저는 삭제할 수 없으며 원격 인증 서비스를 사용할 수 없습니다.
SSH 키 액세스가 필요한 사용자를 구성하십시오.
원격 인증 서비스를 사용하고 SSH 키 액세스가 필요한 모든 시스템 사용자는 원격 설정이 사용가능해야 하며 시스템에 유효한 SSH 키가 구성되어 있어야 합니다.
LDAP 서버와 통신할 때 사용할 보안 유형을 지정하십시오.
tls를 지정하여 TLS를 사용으로 설정하십시오. 표준 LDAP 포트(389)를 TLS를 사용하는 암호화된 포트로 업그레이드하는 확장을 구성하려면 이 옵션을 선택하십시오. 디렉토리 서버에 대한 초기 연결은 암호화되지 않지만 포트 636을 사용할 수 없는 시스템에서 사용될 수 있습니다.

ssl를 지정하여 SSL 보안을 사용으로 설정하십시오. 이 옵션은 기본 보안 포트(636)를 사용하여 LDAP 통신을 보호합니다. 디렉토리 서버를 사용하는 모든 트랜잭션의 연결이 암호화됩니다. 기본값은 없음입니다.