21. LDAP 인증 설정¶

관리자는 컨트롤러 사용자의 계정 인증 정보 소스로 LDAP를 사용합니다. 사용자 인증이 제공되지만 사용자 권한과 인증 정보가 동기화되지는 않습니다. 조직 멤버십(및 조직 관리자)과 팀 멤버십은 동기화할 수 있습니다.

이렇게 구성하면 LDAP 사용자 이름과 암호로 로그인한 사용자는 생성된 컨트롤러 계정을 자동으로 받고 일반 사용자 또는 조직 관리자로 조직에 자동 배치될 수 있습니다.

LDAP 로그인을 통해 생성된 사용자는 사용자 이름, 성, 이름을 변경하거나 로컬 암호를 직접 설정할 수 없습니다. 다른 필드 이름을 편집하는 것을 제한하기 위해 이 구성을 조정할 수도 있습니다.

컨트롤러의 LDAP 통합을 구성하려면 다음을 수행합니다.

1. 먼저 전체 LDAP 구조를 읽을 수 있는 권한이 부여된 사용자를 LDAP에 생성합니다.

2. LDAP 서버에 성공적으로 쿼리할 수 있는지 테스트합니다. ldapsearch 명령을 사용하십시오. 이 명령은 컨트롤러 시스템의 명령행과 다른 Linux 및 OSX 시스템에 설치할 수 있는 명령행 툴입니다. 다음 명령을 사용하여 ldap 서버를 쿼리합니다. 여기서 *josie*와 *Josie4Cloud*는 설정에 적합한 속성으로 교체됩니다.

ldapsearch -x  -H ldap://win -D "CN=josie,CN=Users,DC=website,DC=com" -b "dc=website,dc=com" -w Josie4Cloud

여기서 ``CN=josie,CN=users,DC=website,DC=com``은 연결하는 사용자의 고유 이름입니다.

3. automation controller 사용자 인터페이스에서 왼쪽 탐색의 **설정**을 클릭하고 인증 옵션 목록의 **LDAP 설정**을 클릭하여 선택합니다.

참고

구성할 서버를 지정하여 여러 LDAP 서버를 구성할 수 있습니다. 구성하지 않는 경우 서버를 **기본값**으로 유지합니다.

동등한 API 끝점은 AUTH_LDAP_*``를 ``AUTH_LDAP_1_*, AUTH_LDAP_2_*, …, ``AUTH_LDAP_5_*``와 같이 반복적으로 표시하여 서버 지정을 나타냅니다.

4. 편집**을 클릭하고 연결할 LDAP 서버 주소를 텍스트 필드에 표시된 것과 동일한 포맷으로 **LDAP 서버 URI 필드에 입력합니다. 다음은 예제입니다.

5. LDAP 바인딩 DN 텍스트 필드에 고유 이름을 입력하여 컨트롤러가 LDAP 서버에 연결(바인딩)하는 데 사용하는 사용자를 지정합니다. 다음은 예제 ``CN=josie,CN=users,DC=website,DC=com``을 사용합니다.

6. LDAP 바인딩 암호 텍스트 필드에 바인딩 사용자에게 사용할 암호를 입력합니다. 이 예제에서 암호는 〈passme’입니다.

7. 해당 이름이 sAMAccountName 키에 저장된 경우 **LDAP 사용자 DN 템플릿**은 ``(sAMAccountName=%(user)s)``로 채워집니다. Active Directory는 사용자 이름을 ``sAMAccountName``에 저장합니다. 마찬가지로, OpenLDAP의 경우 키가 ``uid``이므로 줄이 ``(uid=%(user)s)``가 됩니다.

8. LDAP 그룹 유형 드롭다운 메뉴 목록에서 그룹 유형을 클릭하여 선택합니다.

LDAP 그룹 유형은 다음과 같습니다.

• PosixGroupType

• GroupOfNamesType

• GroupOfUniqueNamesType

• ActiveDirectoryGroupType

• OrganizationalRoleGroupType

• MemberDNGroupType

• NISGroupType

• NestedGroupOfNamesType

• NestedGroupOfUniqueNamesType

• NestedActiveDirectoryGroupType

• NestedOrganizationalRoleGroupType

• NestedMemberDNGroupType

• PosixUIDGroupType

컨트롤러에서 지원하는 LDAP 그룹 유형은 기본 `django-auth-ldap library`_를 활용합니다.

**LDAP 그룹 유형**마다 사용하는 매개변수가 다를 수도 있습니다. 이에 따라 컨트롤러는 LDAP_GROUP_TYPE_PARAMS``를 노출하여 관련 정보를 표시합니다. ``LDAP_GROUP_TYPE_PARAMS``는 컨트롤러를 통해 kwargs로 변환된 후 선택한 LDAP 그룹 유형 클래스에 전달되는 사전입니다. LDAP 그룹 유형에서 사용하는 두 가지 일반 매개변수는 ``name_attr``과 ``member_attr``입니다. 여기서 ``name_attr``의 기본값은 ``cn, ``member_attr``의 기본값은 ``member``입니다.

{"name_attr": "cn", "member_attr": "member"}

특정 LDAP 그룹 유형에 필요한 매개변수를 확인하려면 클래스 init 매개변수에 관한 django_auth_ldap 문서를 참조하십시오.

9. 그룹 내의 사용자가 컨트롤러에 액세스할 수 있도록 하는 그룹 고유 이름을 텍스트 필드에 표시된 것과 동일한 포맷으로 LDAP 필요 그룹 필드에 입력합니다. 이 예제에서는 ``CN=controller Users,OU=Users,DC=website,DC=com``을 사용합니다.

10. 그룹 내의 사용자가 컨트롤러에 액세스할 수 없도록 하는 그룹 고유 이름을 텍스트 필드에 표시된 것과 동일한 포맷으로 LDAP 거부 그룹 필드에 입력합니다. 이 예제에서는 필드를 비워 둡니다.

11. **LDAP 시작 TLS**는 기본적으로 비활성화되어 있습니다. LDAP 연결이 SSL을 사용하지 않을 때 TLS를 활성화하려면 토글을 클릭하여 **ON**으로 전환합니다.

12. 인증하는 동안 사용자를 검색할 위치를 텍스트 필드에 표시된 것과 동일한 포맷으로 LDAP 사용자 검색 필드에 입력합니다. 이 예제에서는 다음을 사용합니다.

[
"OU=Users,DC=website,DC=com",
"SCOPE_SUBTREE",
"(cn=%(user)s)"
]

첫 번째 줄은 LDAP 트리에서 사용자를 검색할 위치를 지정합니다. 위의 예제에서는 ``DC=website,DC=com``부터 재귀적으로 사용자를 검색합니다.

두 번째 줄은 사용자를 검색할 범위를 지정합니다.

• SCOPE_BASE: 이 값은 기본 DN의 항목만 검색하는 데 사용되며 해당 항목만 반환됩니다.

• SCOPE_ONELEVEL: 이 값은 기본 DN보다 한 수준 아래의 모든 항목을 검색하는 데 사용되지만, 기본 DN은 포함하지 않으며 기본 DN보다 두 수준 이상 아래의 항목도 모두 포함하지 않습니다.

• SCOPE_SUBTREE: 이 값은 전체 하위 수준에서 모든 항목을 검색하는 데 사용되며 지정된 기본 DN을 포함합니다.

세 번째 줄은 사용자 이름이 저장된 키 이름을 지정합니다.

[
  [
  "OU=Users,DC=northamerica,DC=acme,DC=com",
  "SCOPE_SUBTREE",
  "(sAMAccountName=%(user)s)"
  ],
  [
  "OU=Users,DC=apac,DC=corp,DC=com",
  "SCOPE_SUBTREE",
  "(sAMAccountName=%(user)s)"
  ],
  [
  "OU=Users,DC=emea,DC=corp,DC=com",
  "SCOPE_SUBTREE",
  "(sAMAccountName=%(user)s)"
  ]
]

13. LDAP 그룹 검색 텍스트 필드에서 검색할 그룹과 검색 방법을 지정합니다. 이 예제에서는 다음을 사용합니다.

 [
"dc=example,dc=com",
"SCOPE_SUBTREE",
"(objectClass=group)"
 ]

• 첫 번째 줄은 그룹을 검색할 기본 DN을 지정합니다.

• 두 번째 줄은 범위를 지정하며 사용자 지시문 범위와 같습니다.

• 세 번째 줄은 사용 중인 LDAP에 있는 그룹 오브젝트의 ``objectclass``를 지정합니다.

14. LDAP 사용자 속성 맵 텍스트 필드에 사용자 속성을 입력합니다. 이 예제에서는 다음을 사용합니다.

{
"first_name": "givenName",
"last_name": "sn",
"email": "mail"
}

위의 예제에서는 sn 키에서 사용자를 성으로 검색합니다. 사용자에게 동일한 LDAP 쿼리를 사용하여 사용자가 저장된 키를 확인할 수 있습니다.

15. 그룹별 LDAP 사용자 플래그 텍스트 필드에 사용자 프로필 플래그를 입력합니다. 이 예제에서는 다음 구문을 사용하여 LDAP 사용자를 《Superusers》 및 《Auditors》로 설정합니다.

{
"is_superuser": "cn=superusers,ou=groups,dc=website,dc=com",
"is_system_auditor": "cn=auditors,ou=groups,dc=website,dc=com"
}

위의 예제에서는 프로필에 슈퍼유저 또는 감사자로 플래그가 지정된 사용자를 검색합니다.

16. 매핑 필드를 작성하는 방법에 대한 자세한 내용은 :ref:`ag_ldap_org_team_maps`을 참조하십시오.

17. 완료되면 **저장**을 클릭합니다.

이 양식에 이러한 값을 입력하면 이제 LDAP를 사용하여 성공적으로 인증할 수 있습니다.

AUTH_LDAP_GLOBAL_OPTIONS = {
    ldap.OPT_REFERRALS: False,
}

21.2. LDAP에 로깅 활성화¶

LDAP에 로깅을 활성화하려면 설정 구성 창에서 수준을 ``DEBUG``로 설정해야 합니다.

1. 왼쪽 탐색 창에서 **설정**을 클릭하고 시스템 옵션 목록에서 **로깅 설정**을 클릭하여 선택합니다.

2. **편집**을 클릭합니다.

3. 로깅 수집기 수준 임계값 필드를 **디버그**로 설정합니다.

4. **저장**을 클릭하여 변경 사항을 저장합니다.

{
"LDAP Organization": {
  "admins": "cn=engineering_admins,ou=groups,dc=example,dc=com",
  "remove_admins": false,
  "users": [
    "cn=engineering,ou=groups,dc=example,dc=com",
    "cn=sales,ou=groups,dc=example,dc=com",
    "cn=it,ou=groups,dc=example,dc=com"
  ],
  "remove_users": false
},
"LDAP Organization 2": {
  "admins": [
    "cn=Administrators,cn=Builtin,dc=example,dc=com"
  ],
  "remove_admins": false,
  "users": true,
  "remove_users": false
}
}

{
"LDAP Engineering": {
  "organization": "LDAP Organization",
  "users": "cn=engineering,ou=groups,dc=example,dc=com",
  "remove": true
},
"LDAP IT": {
  "organization": "LDAP Organization",
  "users": "cn=it,ou=groups,dc=example,dc=com",
  "remove": true
},
"LDAP Sales": {
  "organization": "LDAP Organization",
  "users": "cn=sales,ou=groups,dc=example,dc=com",
  "remove": true
}
}