3.5. 일관된 스키마 유지 관리
Directory Server 내의 일관된 스키마를 사용하면 LDAP 클라이언트 애플리케이션이 디렉터리 항목을 찾는 데 도움이 됩니다. 일관되지 않은 스키마를 사용하면 디렉터리 트리에서 정보를 효율적으로 찾기가 매우 어렵습니다.
일관되지 않은 스키마는 다른 특성 또는 형식을 사용하여 동일한 정보를 저장합니다. 다음과 같은 방법으로 스키마 일관성을 유지합니다.
- 스키마 검사를 사용하여 속성 및 오브젝트 클래스가 스키마 규칙을 준수하는지 확인합니다.
- 구문 검증을 사용하여 속성 값이 required 특성 구문과 일치하는지 확인합니다.
- 일관된 데이터 형식을 선택하고 적용합니다.
3.5.1. 스키마 검사
스키마 검사를 통해 모든 신규 또는 수정된 디렉터리 항목이 스키마 규칙을 준수하는지 확인합니다. 규칙이 위반되면 디렉터리는 요청된 변경을 거부합니다.
참고
스키마 검사에서는 적절한 속성이 있는지만 확인합니다. 속성 값이 올바른 구문에 있는지 확인하려면 3.5.2절. “구문 검증” 에 설명된 대로 구문 검증을 사용합니다.
기본적으로 디렉터리는 스키마 확인을 활성화합니다. Red Hat은 이 기능을 비활성화하지 않는 것이 좋습니다. 스키마 검사 활성화 및 비활성화에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드를 참조하십시오.
스키마 확인이 활성화된 경우 오브젝트 클래스에 정의된 대로 필수 및 허용되는 속성에 대해 주의해야 합니다. 오브젝트 클래스 정의에는 일반적으로 하나 이상의 필수 속성과 하나 이상의 선택적 속성이 포함됩니다. 선택적 속성은 디렉터리 항목에 추가할 수 있지만 필수는 아닌 속성입니다. 항목의 개체 클래스 정의에 따라 필요하지 않거나 허용되지 않은 항목에 속성을 추가하려고 하면 Directory Server에서 개체 클래스 위반 메시지를 반환합니다.
예를 들어 organizationalPerson 오브젝트 클래스를 사용하도록 항목이 정의된 경우 항목에 공통 이름(
cn) 및 surname(sn) 속성이 필요합니다. 즉, 이러한 속성의 값은 항목을 만들 때 설정해야 합니다. 또한 전화 번호,uid,StreetAddress 및 userPassword 와 같은 설명적 특성을 포함하여 항목에서 선택적으로 사용할 수 있는 속성의 긴 목록이 있습니다.
3.5.2. 구문 검증
구문 검증 은 Directory Server에서 특성 값이 해당 속성에 필요한 구문과 일치하는지 확인하는 것을 의미합니다. 예를 들어 구문 검증은 새로운
telephoneNumber 속성에 실제로 해당 값에 유효한 전화 번호가 있는지 확인합니다.
3.5.2.1. 구문 검증 개요
기본적으로 구문 검증은 활성화됩니다. 이는 가장 기본적인 구문 검증입니다. 스키마 검사와 마찬가지로 디렉터리 수정을 검증하고 구문 규칙을 위반하는 변경 사항을 거부합니다. 구문 검증에서 구문 위반에 대한 경고 메시지를 기록한 다음 수정을 거부하거나 수정 프로세스가 성공할 수 있도록 추가 설정을 선택적으로 구성할 수 있습니다.
구문 검증에서는 새 속성이 추가되거나 특성 값이 변경되었기 때문에 새 속성 값이 추가된 LDAP 작업을 확인합니다. 구문 검증은 복제와 같은 데이터베이스 작업을 통해 추가된 기존 특성 또는 속성을 처리하지 않습니다. 기존 속성은 특수 스크립트인 syntax-validate.pl 을 사용하여 검증할 수 있습니다.
3.5.2.2. 구문 검증 및 기타 디렉터리 서버 작업
구문 검증은 주로 항목(추가) 또는 속성 편집(modify)과 같은 표준 LDAP 작업과 관련이 있습니다. 그러나 특성 구문을 검증하면 다른 Directory Server 작업에 영향을 미칠 수 있습니다.
데이터베이스 암호화
일반적인 LDAP 작업의 경우 값이 데이터베이스에 기록되기 직전에 속성이 암호화됩니다. 즉, 특성 구문의 유효성을 검사한 후 암호화가 수행됩니다.
암호화된 데이터베이스( 9.8절. “데이터베이스 암호화”에 설명된 대로)를 내보내고 가져올 수 있습니다. 일반적으로 이러한 내보내기 및 가져오기 작업은 db2ldif 및 ldif2db 를 사용하여
-E 플래그를 사용하여 수행하는 것이 좋습니다. 이렇게 하면 가져오기 작업에 구문 유효성 검사가 수행될 수 있습니다. 그러나 암호화된 데이터베이스가 -E 플래그(지원되지 않음)를 사용하지 않고 내보낸 경우 암호화된 값이 있는 LDIF가 생성됩니다. 그러면 이 LDIF를 가져오면 암호화된 특성을 검증할 수 없으며, 경고가 기록되고 가져온 항목에서 속성 유효성 검사를 건너뜁니다.
동기화
Windows Active Directory 항목 및 Red Hat Directory Server 항목에서 속성에 대해 허용되거나 강제 적용되는 구문에 차이가 있을 수 있습니다. 이 경우 구문 검증에서 Directory Server 항목의 RFC 표준을 적용하기 때문에 Active Directory 값을 올바르게 동기화할 수 없었습니다.
복제
Directory Server 11.0 인스턴스가 사용자에게 변경 사항을 복제하는 공급자인 경우 구문 유효성 검사를 사용하는 데 문제가 없습니다. 그러나 복제된 공급자가 이전 버전의 Directory Server이거나 구문 검증이 비활성화된 경우 Directory Server 11.0 소비자가 공급자가 허용하는 특성 값을 거부할 수 있으므로 11.0 소비자에서 구문 유효성 검사를 사용해서는 안 됩니다.
3.5.3. 일관된 데이터 형식 선택
LDAP 스키마를 사용하면 모든 데이터를 모든 속성 값에 배치할 수 있습니다. 그러나 LDAP 클라이언트 애플리케이션 및 디렉터리 사용자에게 적합한 형식을 선택하여 디렉터리 트리에 일관되게 데이터를 저장하는 것이 중요합니다.
LDAP 프로토콜 및 디렉터리 서버를 사용하면 데이터를 RFC 2252에 지정된 데이터 형식으로 표시해야 합니다. 예를 들어 전화 번호에 대한 올바른 LDAP 형식은 다음 두 ITU-T 권장 사항 문서에 정의되어 있습니다.
- ITU-T 권장 사항 E.123. 국가 및 국제 전화 번호에 대한 표기법입니다.
- ITU-T 권장 사항 E.163. 국제 전화 서비스에 대한 번호 지정 계획 예를 들어, 미국 전화번호는 +1 555 222 1717 로 포맷되어 있습니다.
또 다른 예로,
postalAddress 속성은 달러 기호($)를 줄 구분 기호로 사용하는 다중 줄 문자열 형식의 속성 값을 예상합니다. 올바르게 포맷된 디렉터리 항목이 다음과 같이 표시됩니다.
postalAddress: 1206 Directory Drive$Pleasant View, MN$34200
속성에는 문자열, 바이너리 입력, 정수 및 기타 형식이 필요할 수 있습니다. 허용되는 형식은 속성에 대해 스키마 정의에서 설정됩니다.
3.5.4. 복제된 스키마에서 일관성 유지
디렉터리 스키마를 편집하면 변경 로그에 변경 사항이 기록됩니다. 복제 중에 변경 사항이 있는지 변경 로그를 스캔하고 변경 사항이 복제됩니다. 복제 스키마에서 일관성을 유지 관리하면 복제가 원활하게 진행될 수 있습니다. 복제된 환경에서 일관된 스키마를 유지 관리하려면 다음 사항을 고려하십시오.
- 읽기 전용 복제본에서 스키마를 수정하지 마십시오.읽기 전용 복제본에서 스키마를 수정하면 스키마의 불일치가 발생하고 복제가 실패합니다.Moding the schema on a read-only replica introduces an inconsistency in the schema and causes replication to fail.
- 다른 구문을 사용하는 것과 동일한 이름의 두 속성을 생성하지 마십시오.provider 복제본에 특성과 이름이 동일하지만 공급업체의 특성과 다른 구문이 있는 읽기-쓰기 복제본에서 속성이 생성되면 복제가 실패합니다.
