2.3. 사이트 설문 조사 수행

일반적으로 디렉터리에 액세스하는 애플리케이션 및 이러한 애플리케이션의 데이터 요구 사항은 디렉터리 콘텐츠 계획을 추진합니다. 대부분의 일반 애플리케이션은 이 디렉터리를 사용합니다.

디렉터리를 사용할 애플리케이션을 검사할 때 각 애플리케이션에서 사용하는 정보 유형을 확인합니다. 다음 표에서는 애플리케이션 및 각각에 사용되는 정보의 예를 제공합니다.

각 애플리케이션에서 사용하는 애플리케이션 및 정보를 식별한 후에는 일부 유형의 데이터가 둘 이상의 애플리케이션에서 사용됩니다. 데이터 계획 단계에서 이러한 유형의 작업을 수행하면 디렉터리의 데이터 중복 문제를 방지하고 데이터 디렉터리 종속 애플리케이션에 필요한 데이터를 보다 명확하게 표시하는 데 도움이 될 수 있습니다.

디렉터리에서 유지 관리되는 데이터 유형과 정보가 디렉터리로 마이그레이션되는 경우 다음 요인의 영향을 받는 최종 결정은 다음과 같습니다.

디렉터리에 포함할 모든 데이터를 식별하려면 기존 데이터 저장소에 대한 설문 조사를 수행합니다. 설문 조사에는 다음이 포함되어야 합니다.

설문 조사 중에 표 2.2. “ 정보 소스 예” 와 유사하게 엔터프라이즈의 모든 정보 소스를 식별하는 매트릭스를 개발하는 것이 좋습니다.

디렉터리에 포함하도록 식별된 모든 데이터는 다음 일반 지점에 따라 특성화할 수 있습니다.

디렉토리에 포함할 각 종류의 데이터를 연구하여 다른 데이터와 공유하는 특성을 결정합니다. 이렇게 하면 3장. 디렉터리 스키마 설계 에 자세히 설명된 스키마 설계 단계 중 시간을 절약할 수 있습니다.

디렉터리 데이터를 특성화하는 표 2.3. “디렉터리 데이터 특성” 와 유사한 테이블을 사용하는 것이 좋습니다.

제공되는 서비스 수준은 디렉터리 지원 애플리케이션에 의존하는 사용자의 기대치에 따라 달라집니다. 각 애플리케이션이 예상하는 서비스 수준을 확인하려면 먼저 애플리케이션이 사용되는 방법과 시기를 결정합니다.

디렉터리가 진화함에 따라 프로덕션에서 미션 크리티컬에 이르기까지 다양한 서비스 수준을 지원해야 할 수 있습니다. 디렉터리가 배포된 후 서비스 수준을 높이기 어려울 수 있으므로 초기 설계에서 향후 요구 사항을 충족할 수 있는지 확인합니다.

예를 들어 총 실패 위험을 제거해야 하는 경우 동일한 데이터에 대해 여러 공급업체가 있는 다중 공급 업체 구성을 사용합니다.

데이터 공급자는 공급자 데이터 소스인 서버입니다. 동일한 정보가 여러 위치에 저장되더라도 데이터 무결성의 성능이 저하될 수 있습니다. 데이터 공급자는 여러 위치에 저장된 모든 정보가 일관되고 정확한지 확인합니다. 데이터 공급자가 필요한 몇 가지 시나리오가 있습니다.

디렉터리와 간접적으로 통신하는 애플리케이션이 있는 경우 데이터의 공급자 소스를 고려하십시오. 데이터를 변경하는 프로세스와 가능한 한 간단하게 데이터를 변경할 수 있는 위치를 유지합니다. 단일 사이트에서 데이터를 관리하도록 결정한 후 동일한 사이트를 사용하여 여기에 포함된 다른 모든 데이터를 관리합니다. 단일 사이트를 사용하면 데이터베이스에서 동기화가 손실되는 경우 문제 해결을 단순화합니다.

데이터 공급을 구현하는 다양한 방법이 있습니다.

데이터의 주요 복사본을 유지 관리하는 방법은 특정 디렉터리의 필요에 따라 다릅니다. 그러나 데이터 공급 업체를 유지하는 방법에 관계없이 간단하고 일관성을 유지합니다. 예를 들어 여러 사이트에서 데이터를 관리하려고 시도하지 말고 경쟁하는 애플리케이션 간에 데이터를 자동으로 교환하지 마십시오. 이렇게 하면 "마지막 변경 성공" 시나리오가 발생하고 관리 오버헤드가 증가합니다.

예를 들어 디렉터리는 직원의 홈 전화 번호를 관리합니다. LDAP 디렉터리와 human resources 데이터베이스 모두 이 정보를 저장합니다. 인적 리소스 애플리케이션은 LDAP를 사용할 수 있으므로 LDAP 디렉토리에서 인사 데이터베이스로 데이터를 자동으로 전송하는 애플리케이션을 작성할 수 있으며 그 반대의 경우도 마찬가지입니다.

그러나 LDAP 디렉토리와 인적 리소스 데이터 모두에서 해당 직원의 전화 번호를 변경하려고 하면 전화 번호가 변경된 마지막 위치가 다른 데이터베이스의 정보를 덮어씁니다. 데이터 작성 마지막 애플리케이션에 올바른 정보가 있는 경우에만 이 작업을 수행할 수 있습니다.

해당 정보가 오래되지 않은 경우, 인적 리소스 데이터가 백업에서 다시 로드되었기 때문에 LDAP 디렉터리의 올바른 전화 번호가 삭제됩니다.

다중 제공 복제를 통해 Directory Server는 둘 이상의 서버에 공급자 정보 소스를 포함할 수 있습니다. 여러 공급업체가 변경 로그를 유지하고 충돌을 더 안전하게 해결할 수 있습니다. 제한된 수의 Directory Server는 변경을 허용할 수 있는 공급업체로 간주되고, 그런 다음 데이터를 복제본 서버 또는 소비자 서버에 복제합니다.^[1] 데이터 공급자 서버에 대한 자세한 내용은 서버가 오프라인 상태가 되는 경우 안전한 페일오버를 제공합니다. 복제 및 다중 제공 복제에 대한 자세한 내용은 7장. 복제 프로세스 설계 을 참조하십시오.

동기화를 통해 Directory Server 사용자, 그룹, 속성 및 암호를 Microsoft Active Directory 사용자, 그룹, 속성 및 암호와 통합할 수 있습니다. 두 개의 디렉토리 서비스를 통해 동일한 정보를 처리할지 여부, 해당 정보의 양 및 해당 정보에 대한 데이터 공급자가 될 서비스를 결정합니다. 가장 좋은 방법은 데이터를 관리하고 동기화 프로세스에서 다른 서비스에서 항목을 추가, 업데이트 또는 삭제할 수 있는 단일 애플리케이션을 선택하는 것입니다.

데이터 소유권 은 데이터가 최신 상태인지 확인하는 사람 또는 조직을 나타냅니다. 데이터 설계 단계에서 디렉터리에 데이터를 쓸 수 있는 사람을 결정합니다. 다음은 데이터 소유권을 결정하는 몇 가지 일반적인 전략입니다.

동일한 정보에 대한 쓰기 권한이 필요한 사람이 여러 개인일 수 있습니다. 예를 들어 정보 시스템(IS) 또는 디렉터리 관리 그룹에는 직원 암호에 대한 쓰기 액세스 권한이 필요할 수 있습니다. 또한 직원 자신이 자신의 암호에 대한 쓰기 액세스 권한을 갖는 것이 바람직할 수 있습니다. 일반적으로 여러 사용자가 동일한 정보에 대한 쓰기 액세스 권한을 가지므로 이 그룹을 작고 쉽게 식별할 수 있습니다. 그룹을 작게 유지하면 데이터 무결성을 보장하는 데 도움이 됩니다.

디렉터리에 대한 액세스 제어 설정에 대한 자세한 내용은 9장. 보안 디렉터리 설계 을 참조하십시오.

데이터 소유권을 확인한 후 누가 각 데이터를 읽을 수 있는지 결정하십시오. 예를 들어 직원의 전화 번호는 디렉터리에 저장할 수 있습니다. 이 데이터는 직원의 관리자 및 인적 리소스를 포함한 여러 조직에 유용할 수 있습니다. 직원은 확인 목적으로 이 정보를 읽을 수 있어야 합니다. 그러나 집 연락처 정보는 민감한 것으로 간주될 수 있으므로 기업 전체에서 널리 사용할 수 없어야 합니다.

디렉터리에 저장된 각 정보에 대해 다음을 결정합니다.

디렉터리 데이터의 각 부분에 대해 이러한 결정을 내릴 때 디렉터리에 대한 보안 정책을 정의합니다. 이러한 결정은 사이트의 특성과 사이트에서 이미 사용 가능한 보안 유형에 따라 달라집니다. 예를 들어 방화벽이 있거나 인터넷에 직접 액세스할 수 없으므로 디렉터리가 인터넷에 직접 배치된 것보다 익명 액세스를 지원하는 것이 더 안전합니다. 또한 일부 정보는 액세스를 적절하게 제한하기 위해 액세스 제어 및 인증 조치만 있으면 됩니다. 다른 중요한 정보는 데이터베이스 내에서 저장해야 할 수 있습니다.

많은 국가에서 데이터 보호 법률은 기업이 개인정보를 유지하는 방법을 관리하고 누가 개인정보에 접근할 수 있는지를 제한하고 있습니다. 예를 들어, 법률에 따라 주소 및 전화번호에 대한 익명 액세스를 금지하거나, 사용자가 정보를 표시하고 수정할 수 있도록 요청할 수 있습니다. 디렉터리 배포가 기업이 운영하는 국가에 필요한 모든 법률을 준수하는지 확인하려면 조직의 법적 부서를 확인하십시오.

보안 정책 생성 및 구현 방법은 9장. 보안 디렉터리 설계 에 자세히 설명되어 있습니다.