NetBackup IT Analytics 보안 및 암호화 참조

Last Published:
Product(s): NetBackup IT Analytics (11.3)

AD/LDAP 구성

NetBackup IT Analytics에서는 사용자 인증을 지원하며 필요한 경우 AD(Active Directory) 또는 LDAP(Lightweight Directory Access Protocol)를 사용하는 권한 부여를 지원합니다.

AD/LDAP 인증 및 권한 부여의 구성은 portal.properties 파일의 구성 매개 변수를 통해 구성됩니다.

AD/LDAP 구성 속성

AD/LDAP 구성은 다음 속성을 지원하며 portal.properties 파일에서 설정할 수 있습니다.

OS별 portal.properties 파일 위치:

  • Linux: /opt/aptare/portalconf/portal.properties

  • Windows: C:\opt\aptare\portalconf\portal.properties

표: AD/LDAP 구성 속성

속성

설명

ldap.enabled

LDAP를 실행하려면 이 속성을 true로 설정하십시오.

지원되는 값: true | false

ldap.searchBase

  • 인증 디렉터리의 사용자를 찾을 때 검색을 수행할 위치.

  • AD(Active Directory) 검색 기준이라고도 하는 이 위치는 LDAP 사용자 검색을 위한 Active Directory 트리의 시작점입니다. LDAP 고유 이름 형식의 이 검색 기준에는 정규화된 도메인 이름이 포함됩니다. NetBackup IT Analytics는 하나의 검색 기준만 지원합니다.

예: dc=example,dc=company,dc=com

ldap_url

  • AD의 호스트 및 포트로 설정합니다. 이 URL 값에는 접두사 ldap:가 있습니다. SSL을 사용하는 경우 접두사를 ldaps로 변경하십시오.

  • 외부 LDAP 구성에 Active Directory를 사용하는 경우 포트 389 대신 3268의 글로벌 카탈로그 포트를 사용하는 것이 좋습니다.

  • SSL을 사용하는 경우 표준 LDAP에 3269 또는 636의 보안 글로벌 카탈로그 포트를 사용하는 것이 좋습니다.

예: ldap://example.company.com:389 또는 ldaps://example.company.com:636

ldap. dn

  • SEARCHBASE 검색 권한이 있는 사용자의 ID로 설정하십시오. 이 사용자는 모든 LDAP 디렉터리 서버를 검색할 수 있어야 합니다.

  • NetBackup IT Analytics에는 Active Directory 구조 내의 기본 DN(고유 이름)에서 검색할 권한이 있는 사용자가 필요합니다. 관리 권한이 있는 계정, 일반적으로 관리자여야 합니다. Active Directory를 설치할 때 생성된 관리자 계정 또는 계정 생성 후 관리자 권한을 부여하거나 관리 권한이 있는 그룹에 배치한 계정을 사용할 수 있습니다.

  • Active Directory 서비스는 익명 바인딩을 허용하지 않으므로 Active Directory를 사용하는 경우 이 설정을 지정하십시오. Microsoft Active Directory를 사용하려면 LDAP 디렉터리를 검색하기에 충분한 권한이 있는 사용자 이름과 암호가 필요합니다.

예: 

ldap.dn =CN=Admin,CN=Users,DC=example,
DC=company,DC=com

ldap.password

ldap.dn 속성에 사용된 사용자의 암호로 설정하십시오. LDAP를 구성한 후 Portal Tomcat 서비스를 재시작하면 비워지고 암호화된 값이 ldap.password.encrypted 속성에 설정됩니다.

ldap.password.encrypted

LDAP를 구성한 후 Portal Tomcat 서비스를 재시작할 때 설정됩니다. ldap.password 속성의 암호화된 값이 있습니다.

ldap.loginAttribute

인증에 사용되는 로그인 속성. uid 또는 sAMAccountName과 같이 사용자 이름을 지정하는 Active Directory의 속성 이름입니다.

예: ldap.loginAttribute=sAMAccountName

ldap.authorization

true로 설정하면 포털은 AD 그룹에 대한 사용자 권한을 부여합니다.

새 사용자가 구성원인 하나 이상의 AD 그룹을 포털의 사용자 그룹으로 구성해야 합니다.

참고:

AD 그룹이 포털의 사용자 그룹과 매핑되지 않은 경우 로그인하는 동안 인증이 실패하고 "외부 LDAP 사용자에 대한 사용자 그룹 매핑이 없습니다"라는 오류가 발생합니다.

지원되는 값: true | false

ldap.newUserDomain

새 사용자가 생성되는 포털 도메인 이름. ldap.authorization이 true로 설정된 경우에만 사용됩니다.

포털에서 도메인 이름을 찾으려면 관리 > 도메인 > 도메인 이름으로 이동하십시오.

예: ldap.newUserDomain=example.company.com

ldap.keystore

LDAP에 대해 SSL 지원이 실행된 경우 다음 항목이 있어야 합니다.

  • AD 인증서가 포함된 키스토어 경로 위치

  • aptare:tomcat 권한

참고:

LDAP에 대해 SSL이 실행되지 않은 경우 주석을 달아야 합니다.

ldap.keystore.password

ldap.keystore 속성에 설정된 키스토어의 암호. LDAP를 구성한 후 Portal Tomcat 서비스를 재시작하면 비워지고 암호화된 값이 ldap.keystore.password.encrypted 속성에 설정됩니다.

참고:

LDAP에 대해 SSL이 실행되지 않은 경우 주석을 달아야 합니다.

ldap.keystore.password.encrypted

LDAP를 구성한 후 Portal Tomcat 서비스를 재시작할 때 설정됩니다. ldap.keystore.password 속성의 암호화된 값이 있습니다.

참고:

LDAP에 대해 SSL이 실행되지 않은 경우 주석을 달아야 합니다.

ldap.disable.user.attribute.name

(11.0부터 사용 가능)

해당 값은 사용자가 활성 상태인지 아니면 비활성 상태인지를 나타내는 AD 속성입니다. AD를 통한 포털 인증 동안 REST API는 이 속성에 할당된 AD 속성을 사용하여 사용자가 여전히 활성 AD 사용자인지 여부를 확인합니다.

예를 들어 ad.user.active가 사용자가 활성 상태인지 아니면 비활성 상태인지를 나타내는 AD 속성인 경우 ad.user.active를 이 속성의 값으로 할당해야 합니다(ldap.disable.user.attribute=ad.user.active).

ldap.disable.user.attribute.value

(11.0부터 사용 가능)

해당 값은 AD 사용자가 실행 중지되어 있는지를 나타내는 AD 속성의 값(ldap.disable.user.attribute.name에 지정됨)과 같아야 합니다.

예: ad.user.active가 AD의 사용자 상태 속성인 경우 라이브, 비활성, 참여함 등 여러 값을 가질 수 있습니다. 값 비활성이 AD에서 사용자가 실행 중지되어 있음을 나타내는 경우 비활성을 이 속성의 값으로 설정해야 합니다(ldap.disable.user.attribute.value=비활성).

REST API는 이 값을 ldap.disable.user.attribute.name 속성에 지정된 AD 속성의 값과 일치시킵니다. 값이 일치하면 NetBackup IT Analytics 포털에서 사용자가 실행 중지됩니다.

참고:

포털 슈퍼 사용자는 과거 AD와 포털 모두에서 비활성화되었지만 AD에서만 다시 활성화된 사용자를 명시적으로 활성화해야 합니다. 적절한 권한을 가지는 포털 관리자도 이러한 사용자를 활성화할 수 있습니다. 사용자 활성화를 수행하지 않은 경우 포털 액세스가 제한됩니다.

사용자 인증 및 권한 부여를 위한 AD/LDAP를 구성하려면 포털 관리자가 하나 이상의 사용자 그룹을 포털에 생성해야 합니다. 해당 사용자 그룹은 AD/LDAP에도 UserGroup으로 존재합니다.

SSL을 통한 LDAP 지원

비표준 CA(인증 기관)에서 발급한 AD 인증서 또는 자체 서명 인증서를 사용하는 경우 AD 인증서가 있는 키스토어가 필요하며 portal.properties 파일의 LDAP 구성을 업데이트해야 합니다. CA의 표준 인증서를 사용하는 경우 이 절차를 건너뛸 수 있습니다.