Data Domain: LDAP 가이드

Summary: LDAP(Lightweight Directory Access Protocol) 인증: Data Domain 및 PowerProtect 시스템은 CLI 또는 UI를 통해 로그인하는 사용자에 대해 LDAP 인증을 사용할 수 있습니다. 지원되는 LDAP 서버는 OpenLDAP, Oracle 및 Microsoft Active Directory입니다. 그러나 Active Directory가 이 모드로 구성된 경우 Active Directory 사용자 및 그룹에 대한 CIFS(Common Internet File System) 데이터 액세스가 비활성화됩니다. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

이 가이드의 정보 및 단계는 DD OS 7.9 이상에서 작동합니다


LDAP 인증 정보 보기

LDAP Authentication 패널에는 LDAP 구성 매개변수와 LDAP 인증 설정 여부가 표시됩니다.
LDAP**를 활성화하면 기존 OpenLDAP 서버 또는 배포를 **시스템 수준 사용자 인증**, **NFSv4 ID 매핑** 및 **LDAP를 사용하는 NFSv3 또는 NFSv4 Kerberos에 사용할 수 있습니다.

단계

  1. Administration > Access > Authentication을 선택합니다. Authentication 보기가 나타납니다.
  2. LDAP Authentication 패널을 확장합니다.

LDAP 인증 활성화 및 비활성화 LDAP 인증 패널을 사용하여 LDAP 인증을 활성화, 비활성화 또는 재설정합니다.

 

참고: LDAP 인증을 활성화하려면 먼저 LDAP 서버가 있어야 합니다.


단계

  1. Administration > Access > Authentication을 선택합니다. Authentication 보기가 나타납니다.
  2. LDAP authentication 패널을 확장합니다.
  3. LDAP Status(LDAP 상태) 옆의 Enable(활성화 )을 클릭하여 LDAP 인증을 활성화하거나 Disable(비활성화)을 클릭하여 LDAP 인증을 비활성화합니다.
    Enable or Disable LDAP authentication 대화 상자가 나타납니다.
  4. OK를 클릭합니다.

LDAP 인증을 재설정 중입니다.

Reset 버튼은 LDAP 인증을 비활성화하고 LDAP 구성 정보를 지웁니다.

LDAP 인증 구성

LDAP authentication 패널을 사용하여 LDAP 인증을 구성합니다.

단계

  1. Administration > Access > Authentication을 선택합니다. Authentication 보기가 나타납니다.
  2. LDAP Authentication 패널을 확장합니다.
  3. Configure를 클릭합니다. Configure LDAP Authentication 대화 상자가 나타납니다.
  4. Base Suffix 필드에 기본 접미사를 지정합니다.
  5. Bind DN 필드에 LDAP 서버와 연결할 계정 이름을 지정합니다.
  6. Bind Password 필드에 Bind DN 계정의 암호를 지정합니다.
  7. 필요에 따라 Enable SSL을 선택합니다.
  8. 필요에 따라 Demand server certificate 를 선택하여 보호 시스템이 LDAP 서버에서 CA 인증서를 가져오도록 요구합니다.
  9. OK를 클릭합니다.
  10. 나중에 필요한 경우 Reset 을 클릭하여 LDAP 구성을 기본값으로 되돌립니다.

LDAP 인증 서버 지정

이 태스크
정보LDAP 인증 패널을 사용하여 LDAP 인증 서버를 지정합니다.
사전 요구 사항: LDAP 서버를 구성하기 전에 LDAP 인증을 비활성화해야 합니다.
 

참고: LDAP로 로그인할 때 시스템과 LDAP 서버 간의 홉 수가 증가함에 따라 DDSM(Data Domain System Manager) 성능이 저하됩니다.

 

단계

  1. Administration > Access > Authentication을 선택합니다. Authentication 보기가 나타납니다.
  2. LDAP authentication 패널을 확장합니다.
  3. + 버튼을 클릭하여 서버를 추가합니다.
  4. 다음 형식 중 하나로 LDAP 서버를 지정합니다.
    • IPv4 주소: nn.nn.nn.nn
    • IPv6 주소: [FF::XXXX:XXXX:XXXX:XXXX]
    • 호스트 이름: myldapserver.FQDN
  5. OK를 클릭합니다.

LDAP 그룹 구성

LDAP 인증 패널을 사용하여 LDAP 그룹을 구성합니다.

이 태스크
정보LDAP 그룹 구성은 보호 시스템에서 사용자 인증에 LDAP를 사용하는 경우에만 적용됩니다.

단계

  1. Administration > Access > Authentication을 선택합니다. Authentication 보기가 나타납니다.
  2. LDAP authentication 패널을 확장합니다.
  3. LDAP 그룹 테이블에서 LDAP 그룹을 구성합니다.
    • LDAP 그룹을 추가하려면 추가 (+) 단추를 클릭하고 LDAP 그룹 이름과 역할을 입력한 다음 확인을 클릭합니다.
    • LDAP 그룹을 수정하려면 LDAP 그룹 목록에서 그룹 이름의 확인란을 선택하고 Edit (연필 모양)를 클릭합니다. LDAP 그룹 이름을 변경하고 OK를 클릭합니다.
    • LDAP 그룹을 제거하려면 목록에서 LDAP 그룹을 선택하고 Delete (X)를 클릭합니다.

CLI를 사용하여 LDAP 인증 구성

LDAP**를 활성화하면 **시스템 수준 사용자 인증**, **NFSv4 ID 매핑** 및 **LDAP를 사용한 NFSv3 또는 NFSv4 Kerberos에 대해 **기존 OpenLDAP 서버 또는 배포를 구성**할 수 있습니다.

Active Directory에 대해 LDAP 인증이 이미 구성된 경우에는 이를 구성할 수 없습니다.

Active Directory에 대한 LDAP 인증 구성

DDOS는 Active Directory에 대한 LDAP 인증 사용을 지원합니다.
Active Directory**를 사용한 LDAP 인증은 Active Directory 사용자 및 그룹의 CIFS 데이터 액세스를 제한하여 로컬 사용자만 시스템의 CIFS 공유에 액세스할 수 있도록 합니다.
이 구성을 사용하는 Active Directory 사용자는 CLI 및 UI 로그인만 허용됩니다.

필수 구성 요소
환경이 Active Directory에 대한 LDAP 인증을 구성하기 위한 다음 요구 사항을 충족하는지 확인합니다.

  • TLS/SSL이 LDAP 통신에 대해 활성화되어 있습니다.
  • 보호 시스템에 액세스하는 Active Directory 사용자는 유효한 UID 및 GID 번호가 있어야 합니다.
  • 보호 시스템에 액세스하는 Active Directory 그룹에는 유효한 GID 번호가 있어야 합니다.
참고:
  • 를 지정합니다. username 형식으로 <username>, 도메인 이름을 지정하지 않습니다.
  • 를 지정합니다. groupname 형식으로 <groupname>, 도메인 이름을 지정하지 않습니다.
  • 사용자 및 그룹 이름은 대/소문자를 구분하지 않습니다.

Active Directory용 LDAP에는 다음과 같은 제한 사항이 적용됩니다.

  • Microsoft Active Directory는 지원되는 유일한 Active Directory 공급자입니다.
  • Active Directory LDS(Lightweight Directory Services)는 지원되지 않습니다.
  • 에 대한 Active Directory 기본 스키마 uidNumbergidNumber population은 유일하게 지원되는 스키마입니다. Active Directory와 통합된 타사 툴은 지원되지 않습니다.

이 태스크
정보Active Directory에 대한 LDAP 인증은 CIFS에 대한 Active Directory 또는 Kerberos 인증과 함께 사용할 수 없습니다.
이 옵션을 구성하는 유일한 방법은 CLI입니다.

단계
인증 LDAP base set base name type active-directory 명령을 실행하여 Active Directory에 대한 LDAP 인증을 활성화합니다.


참고: CIFS 인증이 이미 Active Directory로 구성된 경우 명령이 실패합니다. 
# authentication ldap base set "dc=anvil,dc=team" type active-directory


LDAP 서버를 구성합니다.

하나 이상의 LDAP 서버를 동시에 구성할 수 있습니다. 레이턴시를 최소화하기 위해 보호 시스템에 가장 가까운 사이트에서 서버를 구성합니다.

이 작업에 대한 정보


참고: 구성을 변경할 때 LDAP를 비활성화해야 합니다.
 

다음 형식 중 하나로 LDAP 서버를 지정합니다.

  • IPv4 address—10.<A>.<B>.<C>
  • IPv4 address with port number—10.<A>.<B>.<C>:400
  • IPv6 address—[::ffff:9.53.96.21]
  • IPv6 address with port number—[::ffff:9.53.96.21]:400
  • Hostname—myldapserver
  • Hostname with port number—myldapserver:400

여러 서버를 구성하는 경우:

  • 각 서버를 공백으로 구분합니다.
  • 인증 LDAP servers add 명령을 사용할 때 나열된 첫 번째 서버가 주 서버가 됩니다.
  • 서버 중 하나라도 구성할 수 없으면 나열된 모든 서버에서 명령이 실패합니다.

단계

  1. "를 사용하여 하나 이상의 LDAP 서버를 추가합니다.authentication ldap servers add" 명령과 함께 사용할 수 있는 일반 옵션:
# authentication ldap servers add 10.A.B.C 10.X.Y.Z:400
LDAP server(s) added
LDAP Server(s): 2
# IP Address/Hostname
--- ---------------------
1. 10.A.B.C (primary)
2. 10.X.Y.Z:400
--- ---------------------
  1. "를 사용하여 하나 이상의 LDAP 서버를 제거합니다.authentication ldapservers del" 명령과 함께 사용할 수 있는 일반 옵션:
# authentication ldap servers del 10.X.Y.Z:400
LDAP server(s) deleted.
LDAP Servers: 1
# Server
- ------------ ---------
1 10.A.B.C (primary)
- ------------ ---------
3. Remove all LDAP servers by using the authentication ldap servers reset command:
# authentication ldap servers reset
LDAP server list reset to empty.

LDAP 기본 접미사를 구성합니다.
기본 접미사는 검색을 위한 기본 DN이며 LDAP 디렉토리가 검색을 시작하는 위치입니다.

이 태스크
정보OpenLDAP 또는 Active Directory의 기본 접미사를 설정합니다.


참고: OpenLDAP 및 Active Directory 둘 다에 대해 기본 접미사를 설정할 수 없습니다.


사용자 로그인은 주 Active Directory 도메인에서만 허용됩니다. 신뢰할 수 있는 Active Directory 도메인의 사용자 및 그룹은 지원되지 않습니다.
OpenLDAP의 기본 접미사를 설정합니다.

단계
LDAP 기본 접미사를 "authentication ldap base set" 명령과 함께 사용할 수 있는 일반 옵션:

# authentication ldap base set "dc=anvil,dc=team"
LDAP base-suffix set to "dc=anvil,dc=team".

단계

  1. LDAP 기본 접미사를 "authentication ldap base set" 명령과 함께 사용할 수 있는 일반 옵션:
# authentication ldap base set "dc=anvil,dc=team" type active-directory
LDAP base-suffix set to "dc=anvil,dc=team".

참고: 이 예에서는 dd-admins LDAP group 보호 시스템에 대한 관리자 권한이 있어야 합니다. 
# authentication ldap groups add dd-admins role admin
LDAP Group Role
---------- -----
dd-admins admin
---------- -----
Reset the LDAP base suffix

단계
LDAP 기본 접미사를 재설정하려면 "authentication ldap base reset" 명령과 함께 사용할 수 있는 일반 옵션:

# authentication ldap base reset

LDAP 기본 접미사가 공백으로 재설정되었습니다.

LDAP 클라이언트 인증을 구성합니다.
LDAP 서버를 인증하고 쿼리하는 데 사용되는 계정(Bind DN) 및 비밀번호(Bind PW)를 구성합니다.

이 태스크
정보항상 바인딩 DN 및 암호를 구성해야 합니다. 이 과정에서 LDAP 서버에는 기본적으로 인증된 바인드가 필요합니다. 만약 client-auth 이 설정되지 않으면 이름이나 암호를 제공하지 않고 익명 액세스가 요청됩니다.

"의 출력authentication ldap show" 명령은 다음과 같습니다.

# authentication ldap show

LDAP configuration
 Enabled: yes (*)
 Base-suffix: dc=u2,dc=team
 Binddn: (anonymous)
 Server(s): 1
# Server
- ------------- ---------
1 10.207.86.160 (primary)
- ------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

(*) 구성을 적용하려면 파일 시스템을 재시작해야 합니다.

binddn 를 사용하여 설정됩니다. client-auth CLI와 비슷하지만, bindpw 이(가) 제공되지 않은 경우 인증되지 않은 액세스가 요청됩니다.

# authentication ldap client-auth set binddn "cn=Manager,dc=u2,dc=team"

Enter bindpw:
** Bindpw 이(가) 제공되지 않습니다. 인증되지 않은 액세스가 요청됩니다.
LDAP 클라이언트 인증 binddn "로 설정cn=Manager,dc=u2,dc=team"입니다.

단계

  1. "를 사용하여 바인딩 DN 및 암호를 설정합니다.authentication ldap client-auth set binddn" 명령과 함께 사용할 수 있는 일반 옵션:
# authentication ldap client-auth set binddn "cn=Administrator,cn=Users,dc=anvil,dc=team"

Enter bindpw:
LDAP 클라이언트 인증 binddn 다음과 같이 설정됩니다."로 설정됩니다.
cn=Administrator,cn=Users,dc=anvil,dc=team"

  1. "를 사용하여 바인딩 DN 및 암호를 재설정합니다.authentication ldap client-auth reset" 명령과 함께 사용할 수 있는 일반 옵션:
# authentication ldap client-auth reset

LDAP 클라이언트 인증 구성이 비어 있는 상태로 재설정되었습니다.

LDAP를 활성화합니다.

필수 구성 요소
LDAP를 활성화하려면 먼저 LDAP 구성이 있어야 합니다.
또한 NIS를 비활성화하고 LDAP 서버에 연결할 수 있는지 확인하고 LDAP 서버의 루트 DSE를 쿼리할 수 있어야 합니다.

단계

  1. LDAP를 활성화하려면 "authentication ldap enable" 명령과 함께 사용할 수 있는 일반 옵션:
# authentication ldap enable

계속하기 전에 확인을 위해 LDAP 구성에 대한 세부 정보가 표시됩니다. 계속하려면 Yes 를 입력하고 LDAP 구성이 적용되도록 파일 시스템을 재시작합니다.

"를 사용하여 현재 LDAP 구성을 확인합니다.authentication ldap show" 명령과 함께 사용할 수 있는 일반 옵션:


참고: 시스템이 Active Directory용 LDAP를 사용하도록 구성된 경우 명령 출력에 Active Directory 서버에 연결되어 있음을 나타내는 Server Type 필드가 포함됩니다. 
# authentication ldap show
LDAP configuration
 Enabled: no
 Base-suffix: dc=anvil,dc=team
 Binddn: cn=Administrator,cn=Users,dc=anvil,dc=team
 Server(s): 2
# Server
- ---------------- ---------
1 10.26.16.250 (primary)
2 10.26.16.251:400
- ---------------- ---------
Secure LDAP configuration
 SSL Enabled: no
 SSL Method: off
 tls_reqcert: demand

기본 LDAP 및 보안 LDAP 구성 세부 정보가 표시됩니다.

3. View the current LDAP status by using the authentication ldap status command:
# authentication ldap status
The LDAP status is displayed. If the LDAP status is not good, the problem is identified in the output.
For example:
# authentication ldap status
Status:invalid credentials
or
# authentication ldap status
Status: invalid DN syntax
4. Disable LDAP by using the authentication ldap disable command:
# authentication ldap disable LDAP is disabled.

보안 LDAP를 활성화합니다.

SSL을 활성화하여 보안 LDAP를 사용하도록 DDR을 구성할 수 있습니다.
Active Directory용 LDAP의 경우 SSL/TLS 옵션으로 보안 LDAP를 구성합니다.
사전 요구 사항 LDAP CA 인증서가 없고 tls_reqcert 가 demand로 설정된 경우 작업이 실패합니다.
LDAP CA 인증서를 가져와서 다시 시도하십시오. 만약 tls_reqcert 이 never로 설정된 경우 LDAP CA 인증서가 필요하지 않습니다.

단계

  1. "를 사용하여 SSL을 활성화합니다.authentication ldap ssl enable" 명령과 함께 사용할 수 있는 일반 옵션:
# authentication ldap ssl enable

보안 LDAP는ldaps" 메서드를 사용합니다.

기본 방법은 보안 LDAP 또는 LDAP입니다. TLS와 같은 다른 메서드를 지정할 수 있습니다.

# authentication ldap ssl enable method start_tls

보안 LDAP는start_tls" 메서드를 사용합니다.

  1. "를 사용하여 SSL을 비활성화합니다.authentication ldap ssl disable" 명령과 함께 사용할 수 있는 일반 옵션:
# authentication ldap ssl disable Secure LDAP is disabled.

가져온 CA 인증서로 LDAP 서버 인증서 확인을 구성합니다.

TLS 요청 인증서 동작을 변경할 수 있습니다.

단계

  1. TLS 요청 인증서 동작을 변경하려면 "authentication ldap ssl set tls_reqcert" 명령을 사용합니다.

인증서를 확인하지 않습니다.

# authentication ldap ssl set tls_reqcert never “tls_reqcert” set to "never".

LDAP 서버 인증서가 확인되지 않았습니다.

 
참고: LDAP가 Active Directory에 대해 구성된 경우 TLS 요청 인증서 동작을 never로 설정할 수 없습니다.

인증서를 확인합니다.

# authentication ldap ssl set tls_reqcert demand

"tls_reqcert"를 "demand"로 설정합니다. LDAP 서버 인증서가 확인되었습니다.

  1. TLS 요청 인증서 동작을 재설정하려면 "authentication ldap ssl reset tls_reqcert" 명령을 사용합니다.

기본 동작은 demand입니다.

# authentication ldap ssl reset tls_reqcert

"tls_reqcert"가 "demand"로 설정되었습니다. 가져온 CA 인증서로 LDAP 서버 인증서를 확인합니다. 사용 "adminaccess"CLI를 사용하여 CA 인증서를 가져옵니다.

LDAP에 대한 CA 인증서를 관리합니다.

인증서를 가져오거나 삭제하고 현재 인증서 정보를 표시할 수 있습니다.

단계

  1. LDAP 서버 인증서 확인을 위해 "adminaccess certificate import" 명령을 사용합니다.

CA 애플리케이션의 LDAP를 지정합니다.

# adminaccess certificate import {host application {all | aws-federal | ddboost | https | keysecure | dsm | ciphertrust | gklm | } | ca application {all | cloud | ddboost | ldap | login-auth | keysecure | dsm | rsa-securid | ciphertrust | gklm | }} [file ]
  1. LDAP 서버 인증서 확인을 위해 "adminaccess" 인증서 삭제 명령. 애플리케이션에 대해 LDAP를 지정합니다.
# adminaccess certificate delete {subject | fingerprint } [application {all | aws-federal | cloud | ddboost | ldap | login-auth | https | keysecure | dsm | ciphertrust | gklm | support | }]
  1. LDAP 서버 인증서 확인을 위한 현재 CA 인증서 정보를 표시합니다.adminaccess certificate show" 명령과 함께 사용할 수 있는 일반 옵션:
# adminaccess certificate show imported-ca application ldap

Additional Information

Active Directory용 포트

포트 프로토콜 포트 구성 가능 설명
53 TCP/UDP 열림(Open) DNS(AD가 DNS인 경우)
88 TCP/UDP 열림(Open) Kerberos
139 TCP 열림(Open) NetBios - NetLogon
389 TCP/UDP 열림(Open) LDAP
445 TCP/UDP No 사용자 인증 및 AD와의 기타 통신
3268 TCP 열림(Open) 글로벌 카탈로그 질의
636 TCP  열림(Open)  LDAPS - SSL/TLS를 통한 보안 LDAP
3269 TCP 열림(Open)  글로벌 카탈로그에 대한 LDAPS(LDAP over SSL) - 포리스트의 도메인 전반에서 보안 디렉토리 쿼리에 사용됩니다.

LDAP

FIPS(Federal Information Processing Standard)가 활성화된 경우 시스템 또는 DDVE에서 실행되는 LDAP 클라이언트는 TLS를 사용해야 합니다.

# authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails.

새로 설치 및 업그레이드 시 LDAP SSL 암호가 명시적으로 설정되지 않습니다.
FIPS 규정 준수 모드가 활성화된 경우 LDAP SSL 암호는 다음과 같이 설정됩니다.

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • AES256-GCM-SHA384
  • AES256-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • AES128-GCM-SHA256
  • AES128-SHA256

구성된 암호 목록은 다음과 같아야 합니다. ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256

FIPS가 비활성화된 경우 빈 문자열인 ""로 설정됩니다.

관리자 액세스 권한을 부여하기 전에 인증 서버를 사용하여 사용자를 인증합니다.

DD는 LDAP, NIS 및 AD와 같은 여러 이름 서버 프로토콜을 지원합니다. DD는 FIPS가 활성화된 OpenLDAP를 사용할 것을 권장합니다. DD는 로컬 계정만 관리합니다. DD는 UI 또는 CLI를 사용하여 LDAP를 구성하는 것이 좋습니다.

  • UI: 관리 >접근 >인증
  • CLI: 인증 LDAP 명령

Active Directory는 FIPS가 활성화된 사용자 로그인에 대해서도 구성할 수 있습니다. 그러나 AD 사용자에 대한 CIFS 데이터 액세스는 해당 구성에서 더 이상 지원되지 않습니다.

NFS(Network File System) ID 매핑을 위한 LDAP

Data Domain 및 PowerProtect 시스템은 NFSv4 ID 매핑에 LDAP를 사용하고 LDAP와 함께 NFSv3 또는 NFSv4 Kerberos를 사용할 수 있습니다. 사용자는 LDAPS 또는 "를 사용하여 보안 LDAP를 구성할 수도 있습니다.start_TLS" 메서드를 사용합니다. LDAP 클라이언트 인증은 바인드 DN 또는 바인드 PW를 사용할 수 있지만 시스템은 인증서 기반 LDAP 클라이언트 인증을 지원하지 않습니다.


참고: 로컬 사용자 ID는 숫자 500으로 시작합니다. LDAP를 설정할 때 유사한 사용자 ID 범위(500-1000)를 사용할 수 없거나 사용자 ID 충돌이 발생합니다. 사용자 ID 충돌이 있는 경우 이름 LDAP 서비스 사용자가 소유한 파일은 구성 오류로 인해 다른 사용자가 액세스할 수 있습니다.

Affected Products

Data Domain
Article Properties
Article Number: 000204241
Article Type: How To
Last Modified: 29 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.