데이터베이스 권한을 위해 디렉토리 보조자 및 그룹 검색

데이터베이스 ACL이 서버의 1차 Domino® 디렉토리에 위치한 그룹을 포함하는 경우, 서버는 자동으로 사용자의 데이터베이스 액세스를 인증할 때 해당 그룹의 구성원을 찾아볼 수 있습니다.

이 태스크 정보

1차 Domino® 디렉토리 외에도 하나의 디렉토리에서 데이터베이스 권한에 사용되는 그룹을 저장할 수 있습니다. 이 추가 디렉토리는 2차 Domino® 디렉토리, 확장 디렉토리 카탈로그 또는 원격 LDAP 디렉토리가 될 수 있습니다. 1차 Domino® 디렉토리와 하나의 추가 디렉토리에 모두 같은 이름으로 데이터베이스 권한에 사용되는 그룹이 포함되어 있는 경우, 서버는 1차 Domino® 디렉토리의 해당 그룹을 사용합니다.

프로시저

그룹 권한을 위해 추가 디렉토리를 하나 사용하려면 해당 디렉토리에 대한 디렉토리 보조자 문서에서 다음 작업을 수행하십시오.
  • Basics 탭에서 Make this domain available to에 대해 Notes clients and Internet Authentication/Authorization을 선택합니다.
  • 기본사항 탭에서 그룹 권한 부여 옆에 있는 를 선택합니다.
팁: 확장 디렉토리 카탈로그에 대해 그룹 권한 부여를 사용 가능으로 설정하면 디렉토리를 디렉토리 카탈로그로 집계하는 경우, 여러 개의 2차 Domino® 디렉토리에서 데이터베이스 권한에 사용되는 그룹을 효과적으로 저장할 수 있습니다.

서버는 클라이언트 인증 프로세스가 완료된 후 데이터베이스에 대한 클라이언트의 액세스를 확인합니다. 클라이언트 인증 및 그룹 권한에 다른 디렉토리를 사용할 수 있습니다. 예를 들어, 클라이언트 인증에는 원격 LDAP 디렉토리를 사용하고, 데이터베이스에 권한을 부여하는 동안 그룹을 찾기 위해 확장 디렉토리 카탈로그를 사용할 수 있습니다.

주: 원격 LDAP 디렉토리의 그룹 권한 부여를 사용 가능으로 설정할 때 서버가 그룹 검색에 사용할 사용자 정의 검색 필터를 선택할 수 있습니다.

데이터베이스 권한에 사용되는 그룹 중첩

이 태스크 정보

데이터베이스 액세스를 인증할 때 서버는 데이터베이스 ACL에 나열된 그룹에 중첩된 그룹을 검색할 수 있고, 모든 그룹이 같은 디렉토리에 위치하는 한 중첩된 그룹에서 중첩된 그룹을 검색할 수 있습니다.

2차 Domino® 디렉토리 또는 확장 디렉토리 카탈로그에 대해 그룹 권한 부여를 사용 가능으로 설정할 경우, 서버는 항상 디렉토리에 중첩된 그룹을 검색합니다. 원격 LDAP 디렉토리에 대해 그룹 권한 부여를 사용 가능으로 설정할 경우 중첩된 그룹 확장을 사용하여 서버가 중첩된 그룹을 검색하는지 여부를 제어합니다. 중첩된 그룹을 검색하려면 Yes(기본값)를 선택하고, 중첩된 그룹 검색을 금지하려면 No를 선택하십시오. 중첩된 그룹이 많은 경우, "No"를 선택하면 검색 성능을 향상시킬 수 있습니다.

Domino®는 중첩된 그룹 검색에 디렉토리 보조자 이름 규칙을 적용하지 않습니다. 그룹 DN이 2차 디렉토리용으로 설정된 이름 규칙을 준수하지만 그룹의 구성원(사용자 또는 중첩된 그룹)의 dn과 일치하지 않을 수도 있습니다. 디렉토리 보조자 이름 규칙을 적용하지 않으면 이런 문제가 발생하지 않으며 검색 요청에 대해 완전한 이름 목록을 검색할 수 있습니다.

데이터베이스 권한에 사용되는 그룹의 위치 제한은 다른 목적에 사용되는 그룹에는 적용되지 않습니다. 예를 들어 라우터는 디렉토리 보조자에 대해 설정된 디렉토리에서 그룹을 검색할 수 있고 중첩된 그룹이 상위 디렉토리와 다른 디렉토리에 있는 경우에도 중첩된 그룹을 검색할 수 있습니다.