LDAP 서비스 계획

LDAP 태스크 기능을 실행하는 HCLDomino® 서버는 LDAP 클라이언트의 요청을 처리할 LDAP 디렉토리 서버의 역할을 수행합니다. 이러한 요청은 디렉토리 정보를 검색하기 위해 기본 LDAP 지원 기능을 가진 일반적인 웹 브라우저 클라이언트 또는 디렉토리 정보를 검색 및 관리하도록 디자인된 사용자 정의 LDAP 애플리케이션에서 생성될 수 있습니다.

이 태스크 정보

LDAP 서비스를 계획할 때 고려해야 할 사항은 다음과 같습니다.

  • 사용할 LDAP 클라이언트 인증 레벨. 기본으로 사용 가능한 익명 액세스를 사용하여 LDAP 클라이언트를 비밀번호 또는 인증서와 같은 이름과 인증 신임 정보를 제공하지 않고 연결할 수 있습니다. 일반적으로, 익명으로 연결하는 LDAP 클라이언트에게는 디렉토리에 대한 읽기 권한만을 허용합니다.
  • 디렉토리에 대한 LDAP 액세스를 제어하기 위해 확장 ACL을 사용해야 할지 여부. 확장 ACL은 데이터베이스 ACL이 단독으로 지원하는 것보다 세분화된 디렉토리 액세스 제어를 제공합니다. 확장 ACL을 사용하는 경우, 데이터베이스 ACL 및 확장 ACL은 익명 LDAP 검색 권한과 함께 지원되는 다른 클라이언트 프로토콜에 대한 익명 액세스를 제어합니다. 확장 ACL을 사용하지 않는 경우, 환경 설정 문서는 익명 LDAP 검색 액세스를 제어합니다.
  • Domino® 디렉토리에 대한 전체 텍스트 색인을 작성해야 하는지 여부. 일반적으로, LDAP 클라이언트는 이름 또는 메일 주소를 검색하는 검색 필터를 사용하면 디렉토리에 대한 전체 텍스트 색인을 작성할 필요가 없습니다. LDAP 클라이언트가 다른 유형의 검색 필터를 사용하는 경우, LDAP 서비스가 전체 텍스트 색인을 검색하여 이러한 종류의 요청을 보다 빨리 처리할 수 있도록 디렉토리에 대한 전체 텍스트 색인을 작성할 것을 권장합니다.
  • 새 오브젝트 클래스 또는 속성에 대한 지원을 추가하기 위해 스키마를 확장해야 하는지 여부. 회사가 애플리케이션 특정 정보를 검색하는 LDAP 애플리케이션을 가진 경우 스키마를 확장해야 합니다. Domino® LDAP 스키마 데이터베이스(schema.nsf)를 사용하여 스키마를 확장하거나 양식 및 필드를 디렉토리에 추가할 수 있습니다. 스키마 데이터베이스 사용이 권장됩니다.

LDAP 서비스에 대한 디렉토리 보조자 계획

이 태스크 정보

LDAP 서비스가 클라이언트 LDAP 요청을 2차 Domino® 디렉토리 또는 원격 LDAP 디렉토리로 확장할 수 있도록 LADP 서비스를 실행하는 서버에 디렉토리 보조자를 설정할 수 있습니다. 2차 Domino® 디렉토리에 디렉토리 보조자를 사용하도록 LDAP 서비스를 설정하는 작업과 관련하여 다음 사항을 고려해야 합니다.

  • LDAP 클라이언트가 2차 Domino® 디렉토리에 부여할 액세스 권한. LDAP 서비스가 제공하는 각 Domino® 디렉토리 또는 확장 디렉토리 카탈로그에 대해 별도로 LDAP 액세스를 제어합니다.
  • 사용자 정의 LDAP 애플리케이션을 사용하여 디렉토리를 관리하는 경우, LDAP 서비스는 디렉토리가 LDAP 서비스를 실행하는 서버에 로컬로 저장되어 있을 경우에만 애플리케이션이 디렉토리를 수정하도록 허용합니다. 2차 Domino® 디렉토리가 원격 서버에 저장되어 있을 경우, LDAP 서비스는 LDAP 태스크를 직접 처리하는 대신 해당 서버로 referral을 리턴할 수 있습니다.

LDAP 클라이언트를 원격 LDAP 디렉토리에 참조하기 위해 디렉토리 보조자를 사용하도록 LDAP 서비스를 설정하는 것과 관련하여 다음 사항을 고려해야 합니다.

  • LDAP 서비스는 원격 LDAP 디렉토리에서 LDAP 검색, 추가 또는 수정 요청을 처리할 수 없습니다. 이것은 LDAP 클라이언트를 원격 LDAP 디렉토리로 참조만 할 수 있습니다.
  • 기본적으로, LDAP 서비스는 지정된 LDAP 클라이언트에게 하나의 원격 LDAP 디렉토리에 대한 referral만 반환할 수 있습니다. LDAP 서비스가 LADP 클라이언트에게 하나 이상의 referral을 리턴하여 첫 번째 referral에서 지정된 디렉토리 서버를 사용할 수 없는 경우, LDAP 클라이언트가 대체 referral을 계속 리턴할 수 있도록 하려면 LDAP 서비스에 대한 최대 referral 수 설정을 증가시켜야 합니다.
  • 원격 LDAP 디렉토리에 대한 하나의 디렉토리 보조자 문서에 referral용 대체 LDAP 디렉토리를 지정할 수 있습니다.
주: Domino® 인터넷 프로토콜 서버와 같은 LDAP 서비스는 디렉토리 보조자를 사용하여 2차 디렉토리에 있는 신임 정보를 사용하여 클라이언트를 확인하고, 데이터베이스 권한을 위해 2차 디렉토리에 있는 그룹을 사용할 수 있습니다.