LDAP로 시작하기
등록일: 2002년 03월 25일
--------------------------------------------------------------------------------
저자: 루크 카니스, 역 서성용
이 기사는 필자가 예상했던 것보다 훨씬 어려웠다. 처음에는 프로토콜로서의 LDAP 대한 깊이있는 설명으로 시작했으나, 여기서의 실제 목표는 50페이지의 추상적인 설명을 읽은 후가 아닌 바로 당장 LDAP를 이용해 작업을 할 수 있는 것임을 깨달았다.
그래서 그 목표를 염두에 두고, 실제 환경과 유사한 작업 환경에서 LDAP를 이용해 작업을 시작하도록 해보자. 여기서는 특별히, 기본적인 LDAP 디렉토리를 설치하여 유닉스 사용자 계정을 저장할 것인데, 그러한 계정을 유닉스 시스템으로 끌어내는 스크립트와 함께 작업할 것이다(이 작업은 여러분이 LDAP를 이용해 할 수 있으며 해야만 하는 것 중의 하나임). 이것은 만약 유닉스 버전이 직접 LDAP를 통해 인증할 수 없더라도, 여전히 LDAP 에 사용자를 저장하고 이렇게 함으로써 얻어지는 모든 장점을 얻을 수 있음을 증명하는데 유용할 것이다.
목표
필자가 이전에 언급했었던 것처럼 LDAP 는 접근(access), 인증(authentication), 인가(authorization), AAA 정보(혹은 트리플 A 정보)를 통합하기 위한 방법으로 개발되었다. 이것은 여러 장소가 아니라 한곳에 모든 정보를 유지하기 때문에 그 자체만으로도 유용하다. 그렇지만 기존 데이터베이스를 이용해서도 같은 일을 할 수는 있었다. LDAP를 당신의 AAA 정보를 저장하기에 적합하도록 만드는 것은, 애플리케이션이 문맥을 공급하거나 해석하는 것이 아니라, 모든 LDAP 조작이 AAA 정보의 문맥에서 일어난다는 것이다. 애플리케이션이 작업에 포함된 규칙을 이해할 필요가 없이 작업은 실패하거나 성공한다.
만약 당신이 같은 AAA 정보 모두를 하나의 데이터베이스에 넣기로 했다면(이것은 정보 저장을 위해 모든 기준을 정의해야 하므로 다소 어려울 수 있다. 그러나 LDAP 는 이것이 이미 정의되어 있다.), 모든 애플리케이션은 각각 그 정보를 분석하여 각각의 AAA 작업에 대해 그 정보를 고려해 넣게된다. 하지만 LDAP를 이용한다면, 아직 RFC 정의는 아니지만 이미 AAA 정보의 저장을 위한 방법이 존재하기 때문에 애플리케이션이 아니라 LDAP 서버가 모든 AAA 규칙을 적용한다. 따라서 이것은 애플리케이션 개발자들을 도와줄 뿐만 아니라, 사악한 애플리케이션이나 사용자가 AAA 규칙을 무시하고 직접 접근하여 디렉토리의 내용을 수정할 기회를 제거한다. 물론 기존 보안 절충안은 제외하고서 그렇다.
따라서 여기서 우리의 목적은 핵심에 LDAP와 함께 그러한 AAA 기본 구조를 구축하는 것이다. 우리가 가진 인증 정보의 대다수는 사용자 계정의 형태로 이미 존재하므로 이 기사의 목적을 위해, 그러한 사용자 계정은 이미 유닉스 머신에 있다고 가정할 것이다. 그 이후 우리의 목표는 그 사용자 계정 정보를 LDAP 에 넣고, LDAP에서 그 정보를 완전히 관리하고, 그 후에는 다른 애플리케이션에서 AAA 작업의 루트로 그것을 이용하는 것이다. 일단 인증 정보를 제 위치에 넣어 놓았다면, 접근과 인가 정보를 추가해야 한다.
러닝 리눅스 3판
이 기사에서는 우선 첫 번째 작업부터 다룰 것이며 유닉스 계정을 유지하는 표준 메소드를 LDAP를 사용하는 메소드로 바꿀 것이다. 나중에는 아마도 웹 기반 LDAP 자료관리에 대한 예제와 이와 같이 새롭게 중앙집중화된 추가적인 자료의 장점을 이용하는 몇몇 애플리케이션을 제공할 수 있을 것이다.
도구
이전 기사에서 언급했던 것처럼 거의 모든 최근 언어들은 LDAP API를 가지고 있다. 이러한 사항을 고려해 본다면 도구는 거의 무한대로 사용할 수 있다. 다행스럽게도 프로토콜의 단순성으로 인해 대부분의 API는 아주 비슷하게 동작한다. 즉각적으로 시작하기 위해 명령라인 도구를 이용할 것인데(여러 버전이 존재하는), 왜냐하면 이것은 직관적이면서 어디에나 존재하기 때문이다.
LDAP 작업에는 세 가지 기본 유형만이 있고, 각각의 기본 유형에는 몇 개의 하위 유형이 있다. 질의(검색, 비교), 갱신(추가, 수정, 이름 바꾸기, 삭제), 바인딩/제어(바인드, 언바인드, 포기) 등이 이러한 하위 유형의 예이다. '읽기' 작업이 없다는 점에 주목해라. 만약 한 엔트리를 읽고 싶다면, 검색 작업을 사용해야 한다.
유닉스 계정을 LDAP 로 이전하기 위해서는 그것들을 LDAP 서버가 이해할 수 있는 형식으로 바꿔줘야 한다. passwd 파일에서 LDIF(아래를 보라)로 간단하게 변환할 수 있으므로 변환 과정은 독자들을 위해 장황하게 설명하지는 않겠다. 그대신 이미 변환된 사용자 계정으로 시작해서 LDAP로 추가할 것이다.
$ ldapadd -D "cn=Directory Manager" -h
server
password: ********
dn: uid=luke,ou=People,dc=domain,dc=com
objectclass: top
objectclass: posixAccount
uid: luke
cn: Luke A. Kanies
cn: Luke Kanies
cn: Kanies, Luke
uidNumber: 100
gidNumber: 14
homeDirectory: /home/luke
userPassword: {crypt}8SYYCOBH.aIII
gecos: Luke A. Kanies
^D
adding new entry uid=luke,ou=People,dc=domain,dc=com
$
이 작업은 기본적인 세 가지의 LDAP 작업 중에서 암묵적인 언바인드도 포함된 갱신 작업과 바인딩 작업, 두 가지를 사용한다. 디렉토리를 수정하기 위해서는 권한이 있는 사용자로 바인드해야 한다(이 예제는 모든 iPlanet 디렉토리 서버들이 가지고 있는 특별한 사용자를 사용함).
이제는 우리가 추가하고 싶어하는 엔트리에 대한 자료를 제공해야 하는데, 이것은 LDAP Date Interchage Format (LDIF) 형식으로 이는 LDAP 자료에 대한 표준 텍스트 형식을 의미한다. 각각의 라인에는 속성 이름이 있고, 그 뒤에는 콜론, 공백, 그리고 속성 값이 있다. LDAP 검색 작업을 이런 형식으로 반환하는 것은 아주 확실한 방법으로 LDAP 서버로 즉시 피드백을 줄 수 있다. 하지만 몇몇 도구(솔라리스에 내장된 것들을 포함)는 표준 LDIF를 출력하지 않고, 황당하게도 우리가 직접 변환하기를 요구한다.
LDAP 엔트리 요소
이제 LDAP 엔트리가 어떻게 생겼는지를 알았으므로, LDAP 엔트리를 이해하기 위해 이와 관련된 다양한 부분을 살펴보자.
식별 이름(Distinguished Names)
첫 번째 라인은 '식별 이름(Distinguished Names)' 또는 dn이라고 한다. 이것은 우리가 작업하고 있는 객체가 무엇인지 서버에게 알려주는 역할을 하기 때문에, dn라인이 가장 먼저 명시되어야 한다.
dn은 하나의 엔트리가 LDAP 서버에서 유일하게 참조되는 방법으로 절대 경로 이름이나 완전한 자격을 가진 도메인 이름(fully qualified domain name)과 비슷하다. dn은 가장 구체적인 정보가 처음에 오는 DNS 이름과 유사하게 표현되며, 가장 추상적인 정보가 처음에 오는 경로 이름과는 반대임을 주목하자. 보이는 것과는 반대로, 이 LDAP 트리의 루트는 'naming context' 라고도 불리는데, dc=com이 아니라 dc=domain, dc=com이다.
LDAP 트리의 루트 이름을 어떻게 만들지에 대해서는 요구조건이 없지만 두 가지 표준은 있다. 필자가 여기서 따를 표준은 하나의 도메인을 다양한 도메인 구성 요소로 쪼개는 것, 조직이 최고 레벨에서 참조되는 것, 이 두가지 (예를 들어, o=domain.com). 어떠한 것을 따라야 하는가에 대한 대답은 이러한 질문을 하는 사람마다 다를 것이고, 왜 그것을 따라야 하는지에 대한 것도 다를 것이다. 필자는 도메인 구성 요소 표준을 따르기로 했는데, 왜냐하면 요즘들어 도메인 구성 요소 표준의 인지도가 상승하고 있기 때문이다(썬과 마이크로소프트 둘 다 그것을 추천하고/요구하기 시작했다). 가장 쉬워 보이면서 데이터를 사용하는데 세운 계획에 가장 잘 맞는 것을 선택하라.
dn의 나머지는 트리에서의 가지인, ou=People과 유일하게 엔트리를 식별하는 속성-값 쌍인 uid=luke로 구성된다. 이 속성-값 쌍이 dn에서 분리되었을 때, '상대적 식별 이름(Relative Distinguished Name)'이나 rdn으로 불리고, 트리의 이 레벨에서 이 객체를 유일하게 확인한다.
경로 이름과 DNS 이름이 질문에서 언제나 객체의 이름을 참조하므로, 그들이 명시해야 하는 전부는 그 값이지만, LDAP 는 하나의 rdn을 생성하기 위해서 어떠한 속성이든 사용할 수 있으며 그 결과로서 속성과 객체 값이 모두 명시되어야 한다. 이 엔트리에 대한 dn은 ou=People 안에 cn 값으로 "Luke A. Kanies"을 가진 다른 것이 없는 한 cn=Luke A. Kanies, ou=People, dc=domain, dc=com이 될 수 있다.
우리는 여기에서 ui를 선택하는데, 왜냐하면 그것이 각각의 엔트리에 대해 유일성을 언제나 보장하기 때문이다. 기타 다른 것들은 유닉스 시스템에서 제대로 동작하지 않을 것이고, 관습적으로 iPlanet 의 Directory Server는 중복된 uid 값(또는 다른 어떤 속성)을 허용하지 않도록 설정될 수 있다. 마이크로소프트 액티브 디렉토리는 명백하게 cn 이 rdn을 생성하는데 이용되기를 요구하고 있는데, cn 이 사용자의 완전한 이름인 한 그 값이 항상 유일하게 보장되지 않기 때문에 짜증스럽다.
객체 클래스(object class)
엔트리에서 다음에 나오는 것은 두 개의 objectclass 속성이다. 이와 같은 속성은 그 엔트리가 어느 유형의 객체인지를 정의한다. 그러나 LDAP에서 객체의 개념은 극도로 단순하다. 그것은 한 엔트리가 어떤 속성을 가져야 하는 지와 어떠한 속성을 가지도록 허가되었는지를 단순히 정의할 뿐이다. 모든 객체 클래스는 그들의 부모 객체 클래스로부터 요구사항을 상속 받고 자신의 것을 추가한다. 그렇지만, objectclass 속성은 특별한 속성이 아니다. 그것은 모든 LDAP 작업에서 다른 LDAP 속성과 정확하게 똑같이 취급된다. 하지만 객체 클래스를 수정하는 것은 그 작업 이후에 객체가 서버에 받아들여질지 아닐지를 결정한다.
위에서의 LDAP 객체 정의는 중요하다. 왜냐하면 이 정의가 실제로 얼마나 단순한가를 자신도 납득하기 어렵기 때문이다. 다시 말해 한 객체는 단순히 어떤 속성이 엔트리에 저장되어야 하거나 저장될 수 있음을 정의할 뿐이다. 필자는 posixAccount 객체 클래스와 printer 객체 클래스를 모두 가지는 객체를 생성할 수 있다. 이 조합은 독자와 필자 모두에게 너무나 모순되게 보일 수 있는데, LDAP의 측면에서 보면, 자료는 단지 자료일 뿐이고 그 자체로는 아무 의미가 없다. LDAP를 대단하도록 만드는 것 중의 하나가 사람에게는 속성들이 무엇인가를 의미한다는 것이다. 그렇지만 객체 클래스와 속성에 지능적으로 이름을 붙여서 실제로 뜻이 통하는 객체를 생성해냄으로써 그 의미를 유지하는 것은 자료를 가지고 작업하는 사람에게 달려있다. 이것은 듣는 것보다는 실제로 훨씬 어렵고, 이 모두를 어떻게 할 것인가를 결정하는 것은 LDAP를 이용하는 첫 번째 과정이다. 다행스럽게도 여러분에게 필요한 객체 클래스의 대부분은 LDAP 명세(posixAccount가 최근 RFC 의 일부분이기는 하지만)의 일부분이고, 그래서 적어도 처음에는 이에 대해 너무 많이 걱정할 필요는 없다.
단지 강제로 객체 클래스를 설정하고 이것을 객체에 추가할 수는 없다는 점에 유의해라. schema라 불리는 안에서, 서버는 이를 위해 정의된 각각의 객체 클래스를 가지고 있어야 한다. 만약 정의되지 않은 객체 클래스를 가지고 엔트리에 추가하려고 한다면, 스키마 위반이 되어 작업은 실패할 것이다. 서버에 대해 객체 클래스를 정의하는 것은 서버마다 다르지만, 서버들은 대부분 이것들을 아주 잘 문서화하고 있다.
이와 같은 경우, 엔트리는 top과 posixAccount 유형이 될 것이라고 선언해왔다. top 객체 클래스는 단지 objectclass 속성이 존재하기만을 요구하고, 이는 정의에 의하면 다른 모든 LDAP 객체 클래스에 대한 부모 객체 클래스이다. 이와 같은 사실에 근거를 두고 생각해 보면, 객체들은 항상 객체 클래스 목록을 출력하며, 부모 객체 클래스를 따라서 그것들은 모두 하나의 인스턴스이며, LDAP 데이터베이스 안에 있는 모든 객체는 객체 클래스로서 top을 리스트할 것이다. posixAccount 객체 클래스는 루크 하워드(Luke Howard)가 RFC 에서 정의했다. 참고로 루크 하워드는 LDAP 가 유닉스 계정을 저장하고 LDAP안에 있는 passwd 파일로부터 모든 정보를 저장할 수 있는 방법과 관련하여 주목할만한 일을 해왔다.
속성
짐작한 바와 같이 속성은 여러 개의 값을 가질 수 있다. 이와 같은 특성은 속성의 정의에 진술되어 있으며 대부분을 지원한다.
예전에 언급한대로 top 객체 클래스는 obejctclass가 존재하기를 요구하고, objectclass가 존재하기도 한다. 따래서 top의 존재는 이 엔트리에 다른 영향을 미치지 못한다. posixAccount 객체 클래스는 cn, uid, uidNumber, gidNumber, homeDirectory를 요구하며, userPassword, loginShell, gecos, description을 허용한다. 유효한 로그인 계정은 description을 제외한 모든 정보를 가져야 하므로 이것들 모두를 우리의 엔트리에 포함했다.
속성값 전부는 userPassword 값을 제외하고는 자체 설명적이다. 대부분의(모든?) 유닉스 머신들이 crypt 형태로 암호를 저장하고, LDAP 엔트리를 passwd 파일로 덤프할 것이기 때문에, LDAP 암호 역시 crypt 형식으로 저장해야 한다. 많은 LDAP 서버들은 다중 암호 형식을 지원하고, 우리는 형식을 지정 법을 설명한 예제를 포함했다. 다중 형식을 지원하는 서버들은 기본 형식의 명세를 허가해야 한다. 또한 LDAP 서버를 유닉스 계정을 저장하는데 사용할 계획이라면 기본 형식을 crypt로 지정할 것을 추천한다. 이에 대한 유일한 예외는 유닉스 머신 전부가 LDAP 서버로부터 직접 떨어져 인증할 수 있고 crypt 이외의 형식을 이해할 수 있을 경우이다.
자료 사용하기
지금까지 LDAP 서버에서의 엔트리를 갖게 되었고, 엔트리 자체에 대해 기본적인 이해를 했다. 이제는 자료를 사용할 시간이다. 이전에 언급한대로 엔트리를 읽어들이고 싶다면 검색부터 해야 한다. 따라서 엔트리가 존재한다는 것을 확인하기 위해서 그렇게 할 것이다.
모든 LDAP 검색에는 총 여덟 가지 서로 다른 옵션이 있지만 대부분은 적절한 기본값을 가지고 있고 기본값들도 거의 적절하다. 시작부터 이와 같은 옵션을 아주 많이 사용하지는 않기 때문에 단순하게 유지할 수 있을 것이다.
검색 예제는 다음과 같다.
$ ldapsearch -h server -b "dc=domain,dc=com" "(uid=luke)"
uid=luke,ou=People,dc=madstop,dc=com
objectclass=top
objectclass=posixAccount
uid=luke
cn=Luke A. Kanies
uidnumber=100
gidnumber=14
homedirectory=/home/luke
gecos=Luke A. Kanies
$
이것은 솔라리스 박스에서 실행한 것이다(몸서리 치도록 싫다). 결과가 LDIF 형식이 아님에 주목하라(등호는 콜론과 스페이스 대신에 사용되었다). 놀랍지만 사실이다. 암호 또한 출력되지 않은 것에 주목하라. 이것은 보안상의 이유 때문인데 /etc/shadow 가 오로지 권한이 있는 사용자들에 의해서만 읽을 수 있는 것과 같은 방식이다.
검색한 바와같이, 두 개의 플래그와 한 개의 인자를 포함했다. 서버를 지정했기 때문에 첫 번째 플래그는 명백하다. 두 번째 플래그는 검색에 대한 베이스를 지정했는데, find 명령을 이용하여 검색 시작 지점을 설정하는 것과 비슷하다. 우리는 객체 자신을 포함한 어떠한 브랜치라도 명시할 수 있었다. 검색에 대한 인자는 필터로 불리며 그것은 우리가 원하는 특정한 엔트리나 엔트리들을 명시하는 방법이다. 필터를 만족시키는 모든 엔트리들은 반환될 것이다. 다행히도 필터 형식이 다소 복잡하게 되어있기 때문에 원하는 것을 정확하게 찾아내기 위해 복잡한 검색을 하느라 어려움을 겪지는 않을 것지만 필자는 작업을 위해서 기본적인 필터만을 사용할 것이다. 보다 자세한 정보가 필요하면 다른 레퍼런스를 참조해라.
엔트리 dn을 알고 있으므로 다음과 같이 검색할 수 있다.
$ ldapsearch -s base -h server -b "uid=luke,ou=People,dc=domain,dc=com" "(objectclass=*)"
dn을 알기 때문에 dn을 검색 base로 설정할 수 있다. 그렇지만 그렇게 한다면 검색 범위를 변경할 수 있다. 기본값으로 LDAP 질의는 검색 base에서 시작하여 계층의 어느 곳에서든지 객체를 검색한다. 또한 'one'의 범위를 지정할 수도 있는데 계층의 다음 하위 레벨만을 검색하고, base는 베이스 자신만을 검색한다. 필자는 iPlanet Directory Server 4.x를 사용할 때 몇몇 모순점을 발견했다. 대개 검색 베이스가 필터를 만족시키면 그것이 반환되는데, 그렇지 않은 경우에도 인스턴스가 보였다. 위에서의 방법은 엔트리의 dn을 알고 있다면 선호되는 검색 방법으로 빠르면서도 서버로부터 적은 작업을 요구하기 때문이다.
필터가 바뀌었음을 주목하자. 이전에 특정 uid 값을 검색했으나 엔트리의 dn을 그것을 직접 얻어오기 위해 검색 base로 사용하고 있기 때문에 우리는 existence 필터라는 것을 사용한다. 속성이 * 값으로 검색될 때, LDAP 서버는 그 속성에 대해 어떠한 값이라도 가진 모든 엔트리를 반환한다. 모든 엔트리들은 objectclass에 대해 값을 가지고 있기 때문에 objectclass=* 필터를 사용하는 것은 주어진 base와 범위를 만족시키는 모든 엔트리를 반환하기 위한 표준적인 방법이다. existence 필터를 보다 구체적인 필터에 비해 선호하는 이유는 specific 필터는 LDAP 서버가 어렵게 작업하도록 만들고, existence 필터를 사용하는 것은 서버에 적은 작업을 시키지만 같은 결과를 제공하기 때문이다.
유닉스 계정 만들기
이것은 모두 멋지고 좋다. 우리는 LDAP 서버에 자료를 가지고 있고 볼 수 있지만, 어떻게 유닉스 계정으로 변환할 것인가?
이 엔트리와 다른 희망하던 엔트리 모두를 LDAP 서버에 추가했다면 이 자료를 passwd와 shadow 파일로 변환하는데 필요한 것은 간단한 셸 스크립트이다.
#!/usr/bin/bash
#
# LDAP에서 passwd/shadow 파일로 변환하는 셸 스크립트
IFS='
' # 내부 파일 분리자를 캐리지 리턴으로 설정하고,
# 속성들이 스페이스나 탭을 그들 안에 가지고 있을 경우에
# posixAccount objectclass를 가지고 있는 모든 엔트리를 찾는다
# 암호를 읽어들이기 위해서는 권한있는 사용자로 인증해야 한다
# password
for entry in $(ldapsearch -h server -D \
"uid=sysadmin,ou=People,dc=domain,dc=com" -w password \
-b dc=domain,dc=com "(objectclass=posixAccount)"); do
# 이것은 이전의 엔트리에 대해서 passwd 엔트리를 출력하는 로직인데
# 우리가 DN 행을 히트할때마다
echo $line | grep "dc=madstop,dc=com" > /dev/null
if [ $? == 0 -a ! -z "$uid" ]; then
echo $uid:+:$uidnumber:$gidnumber:$gecos:$homedirectory:$usershell \
>> newpasswd
echo $userpassword >> newshadow
fi
# 이것은 어떤 트릭을 사용해 셸이 ldapsearch 결과를 변수 할당으로
# 해석하도록 한다; 이것은 ldapsearch 명령 출력에 따라 수정될 필요가
# 있을 수도 있다.
# 그러나 이것은 Solaris 8에 제공되는 ldapsearch와 잘 동작한다.
newline=$(echo $line | sed "s/'/'\''/g
s/=/='/
s/$/'/")
eval $newline
done
# 이 echo 행은 마지막 엔트리를 파일에 집어넣는데,
# 왜냐하면 엔트리를 덤핑하는 방법은 다음 엔트리에 의해 촉발된다.
# 그리고 마지막 엔트리에 대해서는 다음 엔트리가 없다.
echo $uid:+:$uidnumber:$gidnumber:$gecos:$homedirectory:$usershell \
>> newpasswd
echo $userpassword >> newshadow
# passwd 와 shadow 파일을 백업하고, 새로운 파일을 제자리에 둔다
for file in passwd shadow; do
cp $file $file.bak
cp new$file $file
done
괜찮은 방법으로 보이는가? 실제로 그렇지는 않다. 펄에서 하는 게 더 나았을까? 그렇다, 하지만 아직까지는 펄 API(s)로 하고 싶지는 않다. 그것과 상관없이 이 스크립트는 LDAP 엔트리를 가지고 솔라리스를 위해 유효한 passwd와 shadow 파일을 생성할 것이다. 다른 유닉스들을 위해서는 수정이 필요할 수도 있다. 만약 여러분이 두 세대 정도의 유닉스 머신을 운영한다면 아주 흥미롭거나 유용한 정보는 아니지만 서로 다른 버전의 유닉스를 실행하는 머신이 200대 정도 있다면 그때는 이야기가 달라진다. 왜냐하면 각각의 유닉스 버전에 대해(필요하다면) 이 스크립트의 버전을 쉽게 만들 수 있고 이것은 모든 당신의 정보를 하나의 자료 저장소에 통합하기 때문이다.
한가지 우리가 여기서 무시한 것은 암호 관리 정보이다. 패스워드 에이징 및 관리에 연관되어있는 모든 정보는 shadowAccount 객체 클래스에 저장된다. 그것은 직관적으로 사용되고 이 기사를 복잡하게 만든 것이 그것 뿐이었기 때문에 우리는 명확한-텍스트 인증을 LDAP 서버에 사용하고 모든 통신은 클리어-텍스트로 하고 있다. 앞으로 소개할 기사에서는 어떻게 인크립션을 디렉토리 서비스에 통합할 수 있는 방법에 대해 설명할 것이다. SSL 인증은 단순한 인증보다 훨씬 어려운 절차는 아니다.
결론
희망적이게도 유닉스 계정 정보를 LDAP에 추가했으며 정보를 다시 끄집어내어 passwd와 shadow 파일을 다시 만들어내는 방법을 소개했다. 역시 중요한 그룹 파일을 무시하기는 했지만 모든 계정은 모든 머신에 존재한다는 가정 하에 모든 과정을 진행했다. 다행히도 LDAP에 그룹 정보를 추가하는 것은 엄청난 도약이 아니고 오직 특정 클래스의 사용자들을 다양한 클래스 머신에 집어넣는 것은 상대적으로 쉽다 예를 들어 개발자와 시스템 관리자 계정만을 웹 서버에 추가하고, 시스템 관리자와 DBA 계정만을 데이터베이스 서버에 추가할 경우, 사실 LDAP를 더 많이 사용하게 되면 다른 많은 자동화/집중화 과정과 마찬가지로, 가장 어려운 작업은 위에서의 분류를 어떻게 할 것인가 결정한다. 대부분의 기업들은 만약 사용자가 어딘가에 계정을 얻거나, 암호 변경 주기를 결정하는 것과 같은 것들을 시스템 관리자 admin에게 전적으로 의지한다. 만약 명확한 규칙이 있다고 하더라도 그러한 규칙들은 그들이 사용하는 툴이 아니라 오로지 시스템 관리자들에 의해서 지배된다.
LDAP의 장점을 완벽히 취하기 위해서는, 그러한 규칙들 모두가 LDAP 에 들어와야 하고, 그래서 이러한 모든 결정이 사람이 아닌 자동화된 도구에 의해서 이루어질 수 있다. 그것은 미래의 적은 일을 위한 한번의 투자이다. 다행히도, 이러한 규칙의 개발과 문서화는 당신의 사업에 매우 좋은데, LDAP를 사용하려고 계획하고 있지 않더라도, 그리고 그렇게 하는 것이 그 안에서와 그 자체로 이익이 되는 과정임을 알게 될 것이다.
이 연재물 기사에서, 간단한 예제 조직을 위해서 LDAP 아키텍쳐를 개발할 것이다. 그 과정의 국면중의 하나는 이러한 LDAP 규칙들을 만들어내는 것인데, 이 규칙은 어느 서비스와 정보에 누가 접근 권한을 가지고 있는지를 결정하는 것이고, 누가 어느 머신에 계정을 가지고 있는지를 포함한다.
다음 기사에는
우리는 LDAP 안에서 어떻게 인증이 다루어지는지에 대한 몇몇 국면을 살펴보았고, 어떻게 존재하는 인증 정보를 LDAP 로 이주할 수 있는지를 보았다. 이 연재물의 다음 기사에서, 웹 인터페이스를 통한 이 자료의 관리를 탐색할 것인데, 기본적인 AAA 제어와 함께 볼 것이고, 이것은 마음에 들만한 관리를 위해서 필요하다. 만약 필자가 나중에 그것을 통합할 수 있다면, 그 혼합물에 SSL도 역시 통합할 수 있을 것이다.
루크 카니스(Luke A. Kanies)는 운영체제에서 완성되는 것보다 운영체제 자체에 좀 더 흥미가 있는 유닉스 시스템 관리자이다. 그는 현재 계약직 연구원으로 일하고 있으며 좀 더 나은 시스템 관리를 만들기 위해 노력하고 있다.
|