본문 바로가기
카테고리 없음

LDAP 또는 Active Directory 서버에 연결하는 방법

by kogoza 2020. 10. 21.
반응형

소개

Single Sign-On을 수행하기 위해 LDAP 서버 (예 : OpenLDAP 또는 Active Directory)에 연결하도록 eFront를 설정할 수 있습니다. 그러나 LDAP 설정을 올바르게 구성하려면 SSO 프로세스의 작동 방식을 이해하는 것이 중요합니다.

  1. 시스템 관리자는 LDAP 서버의 세부 정보 (주소, 포트 등)를 구성합니다.

  2. 시스템 관리자는 LDAP 서버에 연결하고 검색을 수행하는 데 사용할 LDAP 계정의 자격 증명을 저장합니다.

  3. 사용자가 플랫폼을 방문하여 자신의 자격 증명을 입력하고 "로그인"버튼을 클릭합니다.

  4. 시스템은 먼저 저장된 LDAP 계정을 사용하여 LDAP 트리에서 주어진 사용자 이름을 가진 사용자 계정을 검색합니다. 발견되면 전체 DN을 검색하고 주어진 암호를 사용하여 사용자를 인증합니다.

  5. 사용자가 성공적으로 인증되면 eFront에 로그인됩니다. 처음 로그인하는 경우 eFront에서 사용자 계정이 동시에 생성됩니다.

위 절차의 핵심 단계는 (2)입니다. 전체 LDAP 트리 (또는 적어도 로그인 할 사용자를 보유하는 부분)에서 검색 권한이있는 계정을 제공해야합니다. 그러나이 사용자 계정에는 다른 권한이 필요하지 않습니다.

주의! 이 가이드의 나머지 부분에서는 특별히 달리 명시하지 않는 한 LDAP를 언급 할 때마다 Active Directory에도 적용됩니다.

설정

LDAP 연결을 설정하려면 관리자로 로그인하고 시스템 설정 → 싱글 사인온 → LDAP로 이동합니다. "LDAP 지원 활성화"옵션을 선택하고 필요한 정보를 입력합니다.

  • LDAP 바인드 DN  LDAP 바인드 비밀번호 의 값은 앞에서 설명한대로 로그인을 시도하는 사용자의 LDAP 트리를 검색하는 데 사용되는 계정에 대한 것입니다.

  • LDAP 기본 DN 검색어가 수행 할 기본 수준입니다 (이것은 루트가 될 필요가 없습니다 않도록)

  • 로그인 이름 , 이름  이메일 속성은 처음에 새로운 사용자가 로그인 (및 계정이 생성) 할 때 각각의 사용자 속성을 발견하기 위해 eFront 사용됩니다.

참고 : 로그인 이름의 기본값 은 OpenLDAP의 경우 uid 이고 Active Directory의 경우 samaccountname 입니다. 그러나 sAMAccountName 을 사용하는 이전 버전의 Active Directory 이므로 올바른 대소 문자를 사용해야합니다.

완료 한 후 "설정 확인"을 클릭하여 시스템이 실제로 LDAP 서버에 연결할 수 있는지 확인할 수 있습니다. 이 작업은 서버와 포트가 올바르게 설정되었는지 확인 만 할뿐 시스템이 SSO를 수행하기 위해 올바르게 설정되었음을 보장하지는 않습니다.

지점마다 다른 LDAP 서버 구성

eFront 버전 4.4부터 분기별로 다른 LDAP 서버를 구성 할 수 있습니다. 관리자로 로그인하고 지점으로 이동하여 서버를 설정할 지점을 클릭합니다. 그런 다음 설정 → LDAP를 클릭하고 앞서 설명한대로 필수 정보를 입력합니다.

이러한 설정에서 특정 지점에 속한 들어오는 사용자는 지점의 LDAP 서버에 대해 인증됩니다. 사용자가 구성된 LDAP 서버가없는 지점에 속해있는 경우 시스템은 구성된 LDAP 서버가있는 지점을 찾을 때까지 지점의 상위 항목을 검색합니다.

발견되지 않으면 글로벌 LDAP 서버 (시스템 설정에서)가 사용됩니다.

LDAP 서버 풀 사용

들어오는 사용자를 인증하기 위해 검사 할 여러 LDAP 서버를 구성 할 수 있습니다. 이렇게하려면 대체 LDAP 서버의 주소를 "LDAP 서버"텍스트 상자 (시스템 설정 → 단일 사인온 → LDAP 아래)에;로 구분하여 지정하기 만하면됩니다. (세미콜론). 예를 들면 :

ldap : //ldap1.example.com; ldap : //ldap2.example.com; ldap : //ldap3.example.com

그러나이 설정이 작동하려면 LDAP 서버에 바인드하는 데 사용되는 계정이 동일한 비밀번호를 사용하여 지정된 모든 LDAP 서버에 존재해야합니다.

LDAP를 통해 인증 할 사용자 가져 오기

LDAP 사용자는 처음 로그인 할 때 즉석에서 생성됩니다. 그러나 "CSV에서 가져 오기"작업을 사용하여 시스템을 사용할 일부 또는 모든 사용자를 미리 가져와야하는 것은 드문 일이 아닙니다.

이 경우 가져온 사용자가 LDAP를 통해 인증됨을 나타내려면 field : is_ldap 필드를 추가하고 1로 설정해야합니다. 예를 들어 다음 CSV 스 니펫은 LDAP를 통해 인증 될 사용자를 가져옵니다.

로그인, 이름, 성, 이메일, 활성, is_ldap sample_user, John, Doe, sample @ example.com , 1,1

LDAP 사용자 만 허용하도록 자체 등록 제한

유효한 LDAP 계정이있는 사용자에 대해서만 자체 등록을 허용하도록 eFront를 구성 할 수 있습니다. 이렇게하려면 관리자로 로그인하고 시스템 설정 → 사용자로 이동 한 다음 "자체 등록 허용"값을 "사용 가능하지만 유효한 LDAP 계정이있는 사용자 만 해당"으로 변경합니다.

반응형
저작자표시 (새창열림)

댓글

티스토리툴바