5.4. Directory Server에서 참조 사용
추천 은 클라이언트 애플리케이션에 요청을 진행하기 위해 연결할 서버를 알려주는 Directory Server에서 반환하는 정보입니다. 이 리디렉션 메커니즘은 클라이언트 애플리케이션이 로컬 서버에 포함되지 않은 디렉터리 항목을 요청할 때 발생합니다.
Directory Server는 다음 유형의 추천을 지원합니다.
- 기본 추천
- 클라이언트 애플리케이션이 로컬 트리에 속하지 않는 항목에 대해 요청할 때 디렉터리가 기본 추천을 반환합니다. 서버 및 접미사 수준에서 기본 추천을 구성할 수 있습니다.
- 스마트 추천
- Directory Server는 디렉터리 내의 항목에 대한 스마트 추천을 저장합니다. 스마트 추천은 스마트 추천이 포함된 항목의 DN과 일치하는 하위 트리에 대한 정보가 포함된 서버를 가리킵니다.
Directory Server는 LDAP 균일한 리소스 Cryostat 또는 LDAP URL 형식의 모든 추천을 반환합니다.
5.4.1. LDAP 참조 구조
Directory Server는 LDAP URL 형식의 모든 추천을 반환합니다. LDAP URL에는 다음 정보가 포함되어 있습니다.
- 연결할 서버의 호스트 이름입니다.
- LDAP 요청을 수신 대기하도록 구성된 서버의 포트 번호입니다.
- 기본 DN(검색 작업용) 또는 대상 DN(추가, 삭제 및 수정용)입니다.
예를 들어 클라이언트 애플리케이션은 dc=example,dc=com
분기에서 이름이 Jensen
인 항목을 검색합니다. 그러나 디렉터리 트리의 일부는 유럽 서버에 저장됩니다. 추천은 클라이언트 애플리케이션에 다음 LDAP URL을 반환합니다.
ldap://europe.example.com:389/ou=people,l=europe,dc=example,dc=com
이 추천은 클라이언트 애플리케이션이 포트 389에서 host europe.example.com
에 연락하고 European branch ou=people,l=europe,dc=example,dc=com
을 통해 새 검색을 제출하도록 지시합니다.
사용하는 LDAP 클라이언트 애플리케이션에 따라 추천 처리 방법이 결정됩니다. 일부 클라이언트 애플리케이션은 참조된 서버에서 작업을 자동으로 재시도합니다. 다른 클라이언트 애플리케이션은 추천 정보를 사용자에게 반환합니다. Red Hat Directory Server에서 제공하는 대부분의 LDAP 클라이언트 애플리케이션(예: 명령줄 유틸리티)은 자동으로 추천을 따릅니다. Directory Server는 초기 디렉터리 요청에 제공된 동일한 바인딩 자격 증명을 사용하여 서버에 액세스합니다.
대부분의 클라이언트 애플리케이션은 제한된 수의 추천 또는 홉 을 따릅니다. 추천 횟수에 대한 제한은 클라이언트 애플리케이션이 디렉터리 조회 요청을 완료하는 데 걸리는 시간을 줄이고 순환 참조 패턴으로 인한 중단 프로세스를 제거하는 데 도움이 됩니다.
5.4.2. Directory Server의 기본 참조
연결된 서버 또는 데이터베이스에 요청된 데이터가 포함되지 않은 경우 Directory Server는 클라이언트에 대한 기본 추천을 반환합니다.
예를 들어 클라이언트는 uid=bjensen,ou=people,dc=example,dc=com
디렉터리 항목을 요청합니다.
그러나 서버는 dc=europe,dc=example,dc=com
접미사 아래에 저장된 항목만 관리합니다. 디렉터리는 dc=example,dc=com
접미사 아래에 저장된 항목에 대해 연결할 수 있는 정보를 사용하여 클라이언트에 대한 참조를 반환합니다. 그런 다음 클라이언트는 적절한 서버에 연결하여 원래 요청을 다시 제출합니다.
서버 및 접미사 수준에서 기본 추천을 구성할 수 있습니다.
-
서버 수준 추천을 설정하려면 서버 수준 구성 속성
nsslapd-referral
을 사용합니다. Directory Server는dse.ldif
구성 파일에 특성 값을 저장합니다. 서버를 사용할 수 없거나 클라이언트가 로컬 서버의 데이터에 액세스할 수 있는 권한이 없는 경우 Directory Server는 기본 추천을 반환합니다. -
접미사 수준 추천을 설정하려면 접미사 구성 속성
nsslapd-referral
및nsslapd-state
를 사용합니다. 전체 접미사가 오프라인 상태가 되면 Directory Server는 해당 접미사에 대한 클라이언트 요청에 대한 추천을 반환합니다.
5.4.3. Directory Server의 스마트 참조
디렉터리 서버는 기본 참조 외에도 디렉터리 항목 또는 디렉터리 트리를 특정 LDAP URL과 연결하는 스마트 추천을 지원합니다. 따라서 Directory Server는 다음 중 하나로 클라이언트 요청을 전달할 수 있습니다.
- 다른 서버에 포함된 동일한 네임스페이스입니다.
- 다른 서버의 네임스페이스가 다릅니다.
- 동일한 서버의 다른 네임스페이스입니다.
기본 참조와 달리 Directory Server는 구성 파일이 아닌 디렉터리에 스마트 참조를 저장합니다.
예를 들어, ExampleCom의 미국 사무실용 디렉터리에는 ou=people,dc=example,dc=com
디렉토리 분기 포인트가 포함되어 있습니다.
이 분기의 요청을 ExampleCom의 유럽 사무실의 ou=people
분기로 리디렉션하려면 ou=people
항목 자체에서 스마트 추천을 지정할 수 있습니다. 스마트 추천에는 다음과 같은 값이 있습니다.
ldap://europe.example.com:389/ou=people,dc=example,dc=com
미국 디렉터리의 ou=people
분기에 대한 요청은 다음과 같은 방식으로 유럽 디렉터리로 리디렉션됩니다.
그림 5.7. 스마트 추천을 사용하여 요청 리디렉션
동일한 메커니즘을 사용하여 다른 네임스페이스를 사용하는 다른 서버로 쿼리를 리디렉션할 수 있습니다. 예를 들어, ExampleCom의 이탈리아 사무실에서 근무하는 직원은 미국에서 ExampleCom 직원의 전화 번호에 대한 유럽 디렉터리 서비스에 요청합니다. Directory Server는 다음과 같은 추천을 반환합니다.
ldap://america.example.com:389/ou=people,dc=example,dc=com
다음 다이어그램은 다른 네임스페이스에 대한 참조가 작동하는 방법을 보여줍니다.
그림 5.8. 쿼리를 다른 서버 및 네임스페이스로 리디렉션
마지막으로 동일한 서버에서 여러 접미사를 제공할 때 한 네임스페이스의 쿼리를 동일한 서버에서 제공된 다른 네임스페이스로 리디렉션할 수 있습니다. 예를 들어 로컬 서버의 o=example,c=us
에 대한 모든 쿼리를 dc=example,dc=com
으로 리디렉션하려면 o=example,c=us
항목에서 스마트 추천 ldap:///dc=example,dc=com
을 설정합니다. LDAP URL의 세 번째 슬래시는 URL이 동일한 서버를 가리키는 것을 나타냅니다.
한 네임스페이스에서 다른 네임스페이스로의 추천은 검색이 해당 고유 이름을 기반으로 하는 클라이언트에 대해서만 작동합니다. ou=people,o=example,c=US
아래의 검색과 같은 기타 작업 유형은 올바르게 수행되지 않습니다.
5.4.4. 스마트 추천 사용 시 고려 사항
스마트 추천을 사용하기 전에 다음 사항을 고려하십시오.
설계를 간단하게 유지합니다.
복잡한 추천 웹은 관리를 어렵게 만듭니다. 스마트 추천 과도한 사용은 또한 순환 추천 패턴을 유발할 수 있습니다. 예를 들어, 추천은 다른 LDAP URL을 가리키는 LDAP URL을 가리키므로 체인의 어느 곳에서는 다시 원래 서버를 가리킬 때까지 마찬가지입니다. 다음 다이어그램은 원형 참조 패턴을 보여줍니다.
그림 5.9. 순환 추천 패턴
주요 분기 지점에서 리디렉션합니다.
보안을 개선하고 유지 관리 비용을 줄이려면 접미사 및 주요 분기 지점에서 리디렉션을 처리하도록 추천 사용량을 제한합니다. 스마트 추천을 별칭 메커니즘으로 사용하지 마십시오.
보안에 미치는 영향을 고려하십시오.
액세스 제어는 추천 경계를 교차하지 않습니다. 요청이 원래 전송된 서버가 항목에 대한 액세스를 허용하는 경우에도 스마트 추천이 다른 서버로 클라이언트 요청을 보내면 클라이언트 애플리케이션이 액세스를 거부할 수 있습니다.
또한 클라이언트 애플리케이션은 클라이언트를 참조하는 서버를 인증하기 위해 자격 증명이 필요합니다.