CLI를 사용하여 LDAP(Lightweight Directory Access Protocol)으로 원격 인증 서비스 구성

명령행 인터페이스(CLI)를 사용하여 AD(Active Directory)를 포함한 LDAP(Lightweight Directory Access Protocol)을 구현하는 서버에 대해 사용자를 인증하도록 시스템을 구성할 수 있습니다.

LDAP으로 사용자 인증을 사용하려면 다음 단계를 따르십시오.

1. chldap 명령을 입력하여 LDAP을 구성하십시오.
   이 명령은 Tivoli® Directory Server 및 AD 모두에 기본 설정을 제공합니다. Tivoli Directory Server 스키마 기본값 및 TLS(Transport Layer Security)로 인증을 구성하려면 예를 들어, 다음 명령을 입력하십시오.

   chldap -type itds -security tls

   LDAP 구성을 lsldap 명령으로 검사할 수 있습니다.

   참고: 전송된 비밀번호가 암호화되도록 TLS를 사용하십시오.
2. 최대 여섯 개의 LDAP 서버를 인증에 사용하도록 mkldapserver 명령을 지정하십시오.
   다른 사용자 세트에 액세스를 제공하기 위해 또는 중복성을 위해 다중 서버를 구성할 수 있습니다. 모든 서버는 chldap으로 구성된 설정을 공유해야 합니다. 예를 들어, cn=users,dc=company,dc=com 서브트리의 SSL(Secure Socket Layer) 인증 및 사용자로 LDAP 서버를 구성하려면 다음 명령을 입력하십시오.

   mkldapserver -ip 9.71.45.108 -basedn cn=users,dc=company,dc=com -sslcert /tmp/sslcert.pem

   또한 사용자 인증에 어떤 서버가 선호되는지 구성할 수도 있습니다.

   LDAP 서버 구성 정보는 lsldapserver를 지정하십시오. 구성된 LDAP 서버를 변경하려면 chldapserver 및 rmldapserver를 지정하십시오.

3. 인증 서비스에서 사용되는 사용자 그룹과 일치시켜 시스템에서 사용자 그룹을 구성하십시오.
   인증 서비스에 알려진 각 그룹의 경우, 시스템 사용자 그룹은 동일한 이름과 원격 설정을 사용하여 작성해야 합니다. 예를 들어, sysadmins라는 그룹의 구성원에게 시스템 관리자(admin) 역할이 필요한 경우 다음 명령을 입력하십시오.

   mkusergrp -name sysadmins -remote -role Administrator

   사용자 그룹이 시스템 사용자 그룹과 일치하지 않는 경우 사용자는 시스템에 액세스할 수 없습니다.

4. testldapserver 명령을 사용하여 LDAP 구성을 확인하십시오.
   LDAP 서버에 대한 연결을 테스트하려면 옵션 없이 명령을 입력하십시오. 구성 오류에 대한 테스트에 비밀번호를 포함하거나 포함하지 않고 사용자 이름을 제공할 수 있습니다. 각 서버에 대해 전체 인증 시도를 처리하려면 다음 명령을 입력하십시오.

   testldapserver -username username -password password

5. 다음 명령을 입력하여 LDAP 인증을 사용으로 설정하십시오.

   chauthservice -type ldap -enable yes

6. SSH(Secure Shell) 키 액세스를 필요로 하지 않는 사용자를 구성하십시오.
   원격 인증 서비스를 사용해야 하고 SSH 키 액세스를 필요로 하지 않는 시스템 사용자를 삭제하십시오.

   알아두기: 수퍼유저는 삭제할 수 없으며 원격 인증 서비스를 사용할 수 없습니다.
7. SSH 키 액세스가 필요한 사용자를 구성하십시오.

   원격 인증 서비스를 사용하고 SSH 키 액세스를 필요로 하는 모든 시스템 사용자는 원격 설정이 사용 가능해야 하며 시스템에 유효한 SSH 키가 구성되어 있어야 합니다.