4.3. 그룹화 디렉토리 항목
필요한 항목을 생성한 후 쉽게 관리할 수 있도록 그룹화합니다. Directory Server는 항목을 그룹화하는 여러 방법을 지원합니다.
- 그룹 사용
- 역할 사용
4.3.1. 그룹 정보
그룹, 이름에서 알 수 있듯이, 단순히 사용자 모음입니다. Directory Server에는 인증서 그룹, URL 그룹, 고유 그룹(모든 멤버가 고유해야 함)과 같이 허용되는 멤버십 유형을 반영하는 여러 가지 유형의 그룹이 있습니다. 각 유형의 그룹은 개체 클래스(예: groupOfUniqueNames) 및 해당 멤버 특성(예: uniqueMember)에 의해 정의됩니다.
그룹 유형은 멤버 유형을 식별합니다. 그룹의 구성은 해당 멤버가 그룹에 추가되는 방식에 따라 달라집니다. Directory Server에는 두 가지 종류의 그룹이 있습니다.
- 정적 그룹에 는 그룹 항목에 수동으로 추가되는 유한 및 정의된 멤버 목록이 있습니다.
- 동적 그룹은 필터를 사용하여 그룹 멤버인 항목을 인식하므로 그룹 멤버십은 그룹 필터와 일치하는 항목으로 지속적으로 변경됩니다.
그룹은 Directory Server에서 가장 간단한 형식의 항목입니다. 일반적으로 수동으로 구성되며 조직 방법 이외의 기능이나 동작이 없습니다. (즉, 그룹은 작업을 수행하기 위해 LDAP 클라이언트가 조작할 수 있지만 디렉터리 항목에는 아무것도 "실행"하지 않습니다.)
4.3.1.1. 사용자 항목에 그룹 멤버십 나열
그룹은 기본적으로 사용자 DN 목록입니다. 기본적으로 그룹 멤버십은 사용자 항목이 아닌 그룹 항목 자체에만 반영됩니다. 그러나 MemberOf 플러그인은 그룹 멤버 항목을 사용하여 사용자 항목을 동적으로 업데이트하여 사용자가 속한 그룹인 사용자 항목을 반영합니다. MemberOf 플러그인은 지정된 멤버 특성을 사용하여 그룹 항목을 자동으로 검색하고 모든 사용자 DN을 추적하며, 사용자 항목에 대해 해당
memberOf 특성을 그룹 이름으로 생성합니다.
그룹 멤버십은 그룹 항목의 member 속성에 따라 결정되지 만 사용자의 모든 그룹에 대한 그룹 멤버십은
memberOf 속성의 사용자 항목에 반영됩니다. 사용자가 속한 모든 그룹의 이름은 memberOf 속성으로 나열됩니다. memberOf 특성의 값은 Directory Server에서 관리합니다.
참고
6.2.1절. “여러 데이터베이스 사용 정보” 에 설명된 대로 다른 데이터베이스에 다른 접미사를 저장할 수 있습니다.
기본적으로 MemberOf 플러그인은 그룹과 동일한 데이터베이스에 있는 사용자만 잠재적인 멤버를 찾습니다. 사용자가 그룹과 다른 데이터베이스에 저장된 경우 플러그인에서 해당 플러그인 간의 관계를 확인할 수 없기 때문에
memberOf 속성으로 사용자 항목이 업데이트되지 않습니다.
memberOfAllBackends 속성을 활성화하여 구성된 모든 데이터베이스를 검색하도록 MemberOf 플러그인을 구성할 수 있습니다.
MemberOf 플러그인의 단일 인스턴스는 플러그인 항목에서 다중 값
memberofgroupattr 을 설정하여 여러 멤버 속성을 식별하도록 구성할 수 있으므로 MemberOf 플러그인에서 여러 유형의 그룹을 관리할 수 있습니다.
4.3.1.2. 그룹에 새 항목 자동 추가
그룹 관리는 디렉터리 데이터, 특히 Directory Server 데이터 및 조직을 사용하는 클라이언트 또는 그룹을 사용하여 항목에 기능을 적용하는 중요한 요소일 수 있습니다. 그룹을 사용하면 디렉터리에 정책을 일관되고 안정적으로 적용할 수 있습니다. 암호 정책, 액세스 제어 목록 및 기타 규칙은 모두 그룹 멤버십을 기반으로 할 수 있습니다.
계정이 생성될 때 자동으로 새 항목을 그룹에 할당할 수 있으면 관리자의 개입 없이 적절한 정책과 기능이 해당 항목에 즉시 적용됩니다.
Automembership 플러그인 은 기본적으로 정적 그룹이 동적 그룹처럼 작동하도록 허용합니다. 일련의 규칙(입력 속성, 디렉터리 위치 및 정규식에 따라)을 사용하여 사용자를 지정된 그룹에 자동으로 할당합니다.
LDAP 검색 필터와 일치하는 항목을 다른 속성의 값에 따라 다른 그룹에 추가해야 하는 인스턴스가 있을 수 있습니다. 예를 들어 IP 주소 또는 물리적 위치에 따라 머신을 다른 그룹에 추가해야 할 수 있습니다. 사용자는 직원 ID 번호에 따라 다른 그룹에 있어야 할 수 있습니다.
automember 정의는 중첩된 항목 세트로, Auto membership Plug-in 컨테이너가 포함된 다음 automember 정의 및 해당 정의에 대한 정규식 조건이 있습니다.
그림 4.13. 정규 표현식 조건
참고
Automembership 할당은 디렉터리 서버에 항목이 추가되는 경우에만 자동으로 수행됩니다.
자동 멤버 규칙을 충족하기 위해 편집된 기존 항목 또는 항목의 경우 적절한 그룹 멤버십을 할당하기 위해 실행할 수 있는 수정 작업이 있습니다.
4.3.2. 역할 정보
역할은 일종의 하이브리드 그룹으로, 정적 및 동적 그룹으로 작동합니다. 그룹을 사용하면 항목이 그룹 항목에 멤버로 추가됩니다. 역할을 사용하면 역할 속성이 항목에 추가되고 해당 특성이 역할 항목의 멤버를 자동으로 식별하는 데 사용됩니다.
역할은 여러 가지 방법으로 사용자를 효과적으로 구성하고 자동으로 구성합니다.
- 역할 멤버를 명시적으로 나열합니다. 역할을 보면 해당 역할의 전체 멤버 목록이 표시됩니다. 역할 자체를 쿼리하여 멤버십(동적 그룹에서 수행할 수 없음)을 확인할 수 있습니다.
- 항목이 속한 역할을 표시합니다. 역할 멤버십은 항목의 속성에 따라 결정되므로 항목을 보면 해당 역할이 속하는 모든 역할이 표시됩니다. 이는 그룹의 memberOf 속성과 유사하지만 이 기능이 작동하도록 플러그인 인스턴스를 활성화하거나 구성할 필요는 없습니다. automatic 입니다.
- 적절한 역할을 할당합니다. 역할 멤버십은 역할이 아닌 항목을 통해 할당되므로 단일 단계에서 항목을 편집하여 사용자가 속한 역할을 쉽게 할당 및 제거할 수 있습니다.
관리 역할은 일반적으로 정적 그룹으로 수행할 수 있는 모든 작업을 수행할 수 있습니다. 역할 멤버는 동적 그룹으로 필터링하는 것과 유사하게 필터링된 역할을 사용하여 필터링할 수 있습니다. 역할은 그룹보다 사용하기 쉽고 구현에 더 유연하며 클라이언트의 복잡성을 줄일 수 있습니다.
역할 멤버 는 역할을 보유한 항목입니다. 멤버는 명시적으로 또는 동적으로 지정할 수 있습니다. 역할 멤버십을 지정하는 방법은 역할 유형에 따라 다릅니다. Directory Server는 다음 세 가지 유형의 역할을 지원합니다.
- 관리되는 역할에 는 명시적 열거된 멤버 목록이 있습니다.
- 필터링된 역할은 LDAP 필터에 지정된 각 항목에 포함된 속성에 따라 역할에 할당됩니다. 필터와 일치하는 항목에는 역할이 있습니다.
- 중첩된 역할은 다른 역할을 포함하는 역할입니다.
역할 활성화/활성화 역할의 개념은 하나의 작업에서 전체 항목 그룹을 활성화하거나 활성화할 수 있습니다. 즉, 역할 멤버가 속한 역할을 비활성화하여 일시적으로 비활성화할 수 있습니다.
역할이 비활성화되면 사용자가 해당 역할 항목을 사용하여 서버에 바인딩할 수 없다는 의미는 아닙니다. 비활성화된 역할의 의미는 사용자가 해당 역할에 속하는 항목을 사용하여 서버에 바인딩할 수 없다는 것입니다. 비활성화된 역할에 속하는 항목에는
nsAccountLock 속성이 true 로 설정되어 있습니다.
중첩된 역할이 비활성화되면 중첩된 역할 내의 모든 역할의 멤버인 경우 사용자가 서버에 바인딩할 수 없습니다. 직접 또는 간접적으로 중첩된 역할의 멤버인 역할에 속하는 모든 항목은
nsAccountLock 을 true 로 설정합니다. 중첩된 역할의 여러 계층이 있을 수 있으며 중첩의 모든 지점에서 중첩된 역할을 비활성화하면 해당 역할 아래에 있는 모든 역할과 사용자가 활성화됩니다.
4.3.3. 역할 및 그룹 간 결정
역할과 그룹은 동일한 목표를 달성할 수 있습니다. 관리되는 역할은 정적 그룹이 수행할 수 있는 모든 작업을 수행할 수 있지만 필터링된 역할은 동적 그룹으로 멤버를 필터링하고 식별할 수 있습니다. 역할과 그룹 모두 장단점이 있습니다. 역할 또는 그룹(또는 혼합)을 사용할지 여부를 결정하는 것은 클라이언트 요구 사항과 서버 리소스의 균형을 조정하는 데 따라 달라집니다.
역할은 클라이언트 측의 복잡성을 줄이는데 이는 주요 이점입니다. 역할을 사용하면 클라이언트 애플리케이션에서 항목에서
nsRole 운영 속성을 검색하여 역할 멤버십을 확인할 수 있습니다. 이 다중 값 속성은 항목이 속한 모든 역할을 식별합니다. 클라이언트 애플리케이션 관점에서 멤버십을 확인하는 방법은 균일하며 서버 측에서 수행됩니다.
그러나 이러한 클라이언트 사용 편의성은 서버 복잡성 증가로 인해 발생합니다. 역할을 평가하는 것은 서버가 클라이언트 애플리케이션에 대해 작업을 수행하기 때문에 그룹을 평가하는 것보다 리소스 집약적입니다.
그룹이 서버에 더 쉬워지지만 이를 효과적으로 사용하려면 더 스마트하고 복잡한 클라이언트가 필요합니다. 예를 들어 애플리케이션 관점에서 동적 그룹은 그룹 멤버 목록을 제공하기 위해 서버에서 지원하지 않습니다. 대신 애플리케이션은 그룹 정의를 검색한 다음 필터를 실행합니다. 그룹 멤버십은 적절한 플러그인이 구성된 경우에만 사용자 항목에 반영됩니다. 궁극적으로 그룹 멤버십을 결정하는 방법은 균일하거나 예측 가능하지 않습니다.
참고
그룹 멤버십 관리의 균형을 조정할 수 있는 한 가지는 MemberOf 플러그인입니다.
memberOf 를 사용하면 클라이언트가 사용하기 쉽고 서버가 계산할 수 있는 효율적인 방법 간의 균형을 유지할 수 있습니다.
MemberOf 플러그인은 사용자가 그룹에 추가될 때마다 사용자 항목에
memberOf 속성을 동적으로 생성합니다. 클라이언트는 그룹 항목에서 단일 검색을 실행하여 모든 멤버 목록을 가져오거나 사용자 항목에서 단일 검색을 실행하여 속하는 모든 그룹의 전체 목록을 가져올 수 있습니다.
멤버십이 수정되는 경우에만 서버에는 유지 관리 오버헤드가 있습니다. 지정된 멤버(그룹) 및
memberOf (사용자) 특성이 모두 데이터베이스에 저장되므로 검색에 필요한 추가 처리가 없으므로 클라이언트의 검색이 매우 효율적입니다.
