8.4. Active Directory 및 Directory Server 간에 동기화됨
디렉터리 서버 또는 Windows 서버에서 시작된 디렉터리 서버의 모든 동기화 항목은 다음과 같은 특수 동기화 특성을 갖습니다.All synchronized entries in the Directory Server, whether they originated in the Directory Server or in the Windows server, have the following special synchronization attributes:
ntUniqueId에는 해당 Windows 항목에 대한objectGUID속성 값이 포함되어 있습니다. 이 속성은 동기화 프로세스에서 설정하며 수동으로 설정하거나 수정하지 않아야 합니다.ntUserDeleteAccount는 Windows 항목이 동기화될 때 자동으로 설정되지만 Directory Server 항목에 대해 수동으로 설정해야 합니다.ntUserDeleteAccount값이 true 인 경우 Directory Server 항목이 삭제되면 해당 Windows 항목이 삭제됩니다.ntDomainUser는 Active Directory 항목의samAccountName속성에 해당합니다. 사용자 항목만 해당됩니다.ntGroupType은 동기화되는 Windows 그룹에 대해 자동으로 설정되지만 동기화되기 전에 Directory Server 항목에서 수동으로 설정해야 합니다. 그룹 항목만 해당됩니다.
사전 정의된 특성 목록은 Directory Server와 Active Directory 항목 간에 동기화됩니다. Directory Server의
givenName 특성과 같은 이러한 속성 중 일부는 Active Directory의 지정된Name 속성과 일치합니다. Active Directory 및 Red Hat Directory Server의 정의된 스키마는 약간 다르기 때문에 Active Directory와 Red Hat Directory Server 간에 다른 속성이 매핑됩니다. 대부분의 속성은 Directory Server의 Windows별 속성입니다.
8.4.1. 사용자 속성이 Directory Server 및 Active Directory 간에 동기화됨
Directory Server 및 Active Directory 속성의 하위 집합만 동기화됩니다. 이러한 속성은 하드 코딩되며 항목이 동기화되는 방식에 관계없이 정의됩니다. Directory Server 또는 Active Directory에 있는 항목에 있는 다른 속성은 동기화의 영향을 받지 않습니다.
Directory Server 및 Active Directory에서 사용되는 일부 속성은 동일합니다. 일반적으로 이러한 속성은 LDAP 표준에 정의된 속성이며, 이는 모든 LDAP 서비스 중에서 일반적입니다. 이러한 속성은 서로 정확히 동기화됩니다. 표 8.2. “Directory Server 및 Windows Server에서 동일한 사용자 스키마” Directory Server와 Windows 서버 간에 동일한 특성을 표시합니다.
일부 속성은 동일한 정보를 정의하지만 속성 또는 해당 스키마 정의의 이름은 다릅니다. 이러한 속성은 Active Directory와 Directory Server 간에 매핑되므로 한 서버의 A 속성이 다른 서버에서 특성 B로 처리됩니다. 동기화의 경우 이러한 특성 중 많은 부분이 Windows 관련 정보와 관련이 있습니다. 표 8.1. “Directory Server와 Active Directory 간에 매핑된 사용자 스키마” Directory Server와 Windows 서버 간에 매핑된 속성을 표시합니다.
Directory Server 및 Active Directory가 일부 스키마 요소를 처리하는 방법에 대한 자세한 내용은 8.4.2절. “Red Hat Directory Server와 Active Directory의 사용자 스키마 차이점” 을 참조하십시오.
| 디렉터리 서버 | Active Directory |
|---|---|
| cn | name |
| ntUserDomainId | sAMAccountName |
| ntUserHomeDir | homeDirectory |
| ntUserScriptPath | scriptPath |
| ntUserLastLogon | lastLogon |
| ntUserLastLogoff | lastLogoff |
| ntUserAcctExpires | accountExpires |
| ntUserCodePage | codePage |
| ntUserLogonHours | logonHours |
| ntUserMaxStorage | maxStorage |
| ntUserProfile | profilePath |
| ntUserParms | userParameters |
| ntUserWorkstations | userWorkstations |
| cn | physicalDeliveryOfficeName |
| description | postOfficeBox |
| destinationIndicator | postalAddress |
| facsimileTelephoneNumber | postalCode |
| givenName | registeredAddress |
| homePhone | SN |
| homePostalAddress | st |
| initials | street |
| l | telephoneNumber |
| teletexTerminalIdentifier | |
| 관리자 | telexNumber |
| 휴대 전화 | title |
| o | userCertificate |
| ou | x121Address |
| pager |
8.4.2. Red Hat Directory Server와 Active Directory의 사용자 스키마 차이점
Active Directory는 Directory Server와 동일한 기본 X.500 개체 클래스를 지원하지만 관리자가 알아야 하는 몇 가지 비호환성이 있습니다.
8.4.2.1. cn 속성 값
Directory Server에서
cn 속성은 다중 값일 수 있지만 Active Directory에서는 이 속성에는 단일 값만 있어야 합니다. Directory Server cn 속성이 동기화되면 하나의 값만 Active Directory 피어로 전송됩니다.
동기화에 대한 의미는
cn 값이 Active Directory 항목에 추가되고 해당 값이 Directory Server의 cn 값 중 하나가 아닌 경우 모든 Directory Server cn 값을 단일 Active Directory 값으로 덮어씁니다.
또 다른 중요한 차이점은 Active Directory가
cn 속성을 이름 지정 속성으로 사용하며 여기서 Directory Server는 uid 입니다. 즉, Directory Server에서 cn 속성이 편집된 경우 완전히 항목의 이름을 변경할 수 있습니다. 해당 cn 변경이 Active Directory 항목에 기록되면 항목의 이름이 변경되고 새로 이름이 지정된 항목이 Directory Server에 다시 기록됩니다. 그러나 이는 cn 속성이 동기화된 경우에만 발생합니다. 변경 사항이 동기화되지 않으면 항목의 이름이 변경되지 않습니다.
8.4.2.2. 암호 정책
Active Directory 및 Directory Server 모두 암호 최소 길이 또는 최대 기간과 같은 암호 정책을 적용할 수 있습니다. Windows Sync는 정책이 일관되고, 적용되거나, 동기화되었는지 확인하려고 하지 않습니다. Directory Server와 Active Directory 모두에서 암호 정책이 일치하지 않으면 한 시스템에서 변경한 암호 변경 사항이 다른 시스템과 동기화되면 실패할 수 있습니다. Directory Server의 기본 암호 구문 설정은 Active Directory가 적용하는 기본 암호 복잡성 규칙을 모방합니다.
8.4.2.3. Street 및 StreetAddress의 값
Active Directory는 사용자 또는 그룹의 우편 주소에 대해 attribute
Address 를 사용합니다. 이는 Directory Server가 Street 특성을 사용하는 방법입니다. Active Directory와 Directory Server가 StreetAddress 및 Street 특성을 각각 사용하는 방식에는 두 가지 중요한 차이점이 있습니다. - Directory Server에서
StreetAddress는 거리의 별칭입니다.Active Directory에는Street특성도 있지만 StreetAddress의 별칭이 아닌 독립적인 값을 보유할 수 있는 별도의속성입니다. - Active Directory는
StreetAddress및Street를 단일 값 속성으로 정의하는 반면, Directory Server는 RFC 4519에 지정된 대로 multi-valued 속성으로거리를정의합니다.
Directory Server와 Active Directory가
StreetAddress 및 Street 속성을 처리하는 다양한 방법으로 인해 Active Directory 및 Directory Server에서 주소 속성을 설정할 때 따라야 할 두 가지 규칙이 있습니다. - Windows Sync는 Windows 항목의
StreetAddress를 Directory Server의거리에매핑합니다. 충돌을 방지하려면 Active Directory에서스트리트속성을 사용해서는 안 됩니다. - 하나의 Directory Server
Street특성 값만 Active Directory와 동기화됩니다. Active Directory에서StreetAddress특성이 변경되고 새 값이 Directory Server에 존재하지 않는 경우 Directory Server의 모든거리특성 값이 새로운 단일 Active Directory 값으로 교체됩니다.
8.4.2.4. 초기 속성의 제약 조건
초기 속성의 경우 Active Directory는 최대 길이 제약 조건을 6 자로 설정하지만 Directory Server에는 길이 제한이 없습니다. 6자보다 긴 초기 속성이 Directory Server에 추가되면 Active Directory 항목과 동기화될 때 값이 트리밍됩니다.
8.4.3. 그룹 속성 동기화 디렉터리 서버 및 Active Directory 간 동기화
Directory Server 및 Active Directory 속성의 하위 집합만 동기화됩니다. 이러한 속성은 하드 코딩되며 항목이 동기화되는 방식에 관계없이 정의됩니다. Directory Server 또는 Active Directory에 있는 항목에 있는 다른 속성은 동기화의 영향을 받지 않습니다.
Directory Server 및 Active Directory 그룹 항목에서 사용되는 일부 속성은 동일합니다. 일반적으로 이러한 속성은 LDAP 표준에 정의된 속성이며, 이는 모든 LDAP 서비스 중에서 일반적입니다. 이러한 속성은 서로 정확히 동기화됩니다. 표 8.4. “Directory Server와 Active Directory 간에 동일한 그룹 항목 속성” Directory Server와 Windows 서버 간에 동일한 특성을 표시합니다.
일부 속성은 동일한 정보를 정의하지만 속성 또는 해당 스키마 정의의 이름은 다릅니다. 이러한 속성은 Active Directory와 Directory Server 간에 매핑되므로 한 서버의 A 속성이 다른 서버에서 특성 B로 처리됩니다. 동기화의 경우 이러한 특성 중 많은 부분이 Windows 관련 정보와 관련이 있습니다. 표 8.3. “Directory Server와 Active Directory 간의 그룹 항목 속성 매핑” Directory Server와 Windows 서버 간에 매핑된 속성을 표시합니다.
Directory Server 및 Active Directory가 일부 스키마 요소를 처리하는 방법에 대한 자세한 내용은 8.4.4절. “Group Schema differences between Red Hat Directory Server and Active Directory” 을 참조하십시오.
| 디렉터리 서버 | Active Directory | |||
|---|---|---|---|---|
| cn | name | |||
| ntGroupAttributes | groupAttributes | |||
| ntGroupId |
| |||
| ntGroupType | groupType |
| cn | 멤버 |
| description | ou |
| l | seeAlso |
8.4.4. Group Schema differences between Red Hat Directory Server and Active Directory
Active Directory는 Directory Server와 동일한 기본 X.500 개체 클래스를 지원하지만 관리자가 알아야 하는 몇 가지 비호환성이 있습니다.
중첩 그룹(그룹에 멤버로 포함된 다른 그룹이 지원되고 WinSync의 경우 동기화됨)이 지원됩니다. 그러나 Active Directory는 중첩 그룹의 구성에 대해 특정 제약 조건을 적용합니다. 예를 들어 글로벌 그룹에는 도메인 로컬 그룹이 멤버로 포함됩니다. 디렉터리 서버에는 로컬 및 글로벌 그룹에 대한 개념이 없으므로 동기화 시 Active Directory의 제약 조건을 위반하는 디렉터리 서버 측에 항목을 만들 수 있습니다.
