LDAP 인증 설정

LDAP 인증 화면에서는 LDAP(Lightweight Directory Access Protocol) 서버를 장치(다기능 주변 기기, 디지털 복사기, 디지털 전송 장치) 사용자 인증을 수행하도록 구성할 수 있습니다. 인증 관리자 화면에서 로그인 방법으로 LDAP 인증을 선택한 장치 기능이 하나 이상이면 장치 사용자는 인증서(사용자 이름과 암호)를 올바르게 입력해야 그러한 기능들을 사용할 수 있습니다.

두 단계를 거쳐 인증이 이루어집니다. 먼저, 사용자가 입력한 인증서가 올바른지 LDAP 서버에 확인 받습니다. 그리고, 장치 사용자가 입력한 인증서가 올바른 것으로 확인되어 인증이 완료되면, 사용자의 전자 우편 주소와 이름이 검색됩니다. 이 두 단계 중 하나라도 제대로 끝나지 않으면, 사용자는 LDAP 인증을 거쳐야 사용할 수 있도록 구성된 기능을 사용할 수 없게 됩니다.

또, LDAP 인증 화면을 사용하여 LDAP 서버 접속과 사용자 정보 검색에 필요한 매개 변수를 설정할 수 있습니다. 인증 관리자 화면에서 LDAP로그인 방법으로 선택해야 이 화면의 정보가 적용됩니다.

LDAP 서버 접속

LDAP 서버 바인딩 방법

LDAP 서버 바인딩 방법 설정으로 장치의 LDAP 서버 접속 방식을 지정할 수 있습니다. 어떤 방법이 가장 효과적인지는 LDAP 서버 운영자에게 문의하십시오.

LDAP 서버

LDAP 서버 설정은 장치 사용자 인증에 필요한 LDAP 서버의 호스트 이름 또는 IP 주소를 말합니다. SSL을 사용할 때는 여기에 입력한 호스트 이름이나 주소가 서버에서 보내는 인증서의 이름과 일치해야 합니다.

서버 주소 여러 개를 수직 막대줄('|', ASCII 0x7c) 문자로 구분하여 입력할 수 있습니다. 예를 들어, 기본 서버와 보조 서버를 지정할 수 있습니다. 네트워크 인터페이스는 CA 인증서 하나만 지원하므로 지정한 모든 LDAP 서버들에 같은 CA를 사용해야 합니다.

포트

포트 설정은 서버에서 LDAP 요청이 처리되는 TCP/IP 포트 번호를 말합니다. 주로 사용되는 포트 번호는 389(단순 바인딩)와 636(SSL을 통한 단순 접속 바인딩)입니다.

 

인증서 검색

LDAP 인증에 사용되는 사용자 인증 방법은 두 가지입니다.

첫 번째 방법인 장치 사용자의 인증서 이용의 경우 LDAP 디렉토리에 대해 인증(“바인딩”)할 용도로 사용자의 DN(고유 이름)을 “구성”합니다. 사용자가 제어판에서 입력하는 정보 앞에 DN 접두사를 붙이고, 이어서 이 문자열에 바인딩 및 검색 루트 문자열을 추가합니다. 예를 들어, 사용자가 입력한 문자열 john.doe@nasa.gov에 DN 접두사 “CN”을 붙인 다음, 바인딩 및 검색 루트 문자열 OU=Engineering,DC=NASA,DC=GOV를 합쳐서 사용자 DN으로 CN=john.doe@nasa.gov,OU=Engineering,DC=NASA,DC=GOV를 만드는 식입니다.

두 번째 방법인 운영자의 인증서 이용의 경우 사용자의 DN을 구성하는 대신 이를 검색합니다. 초기 바인딩에는 운영자의 인증서(DN 및 암호)를 사용하고, 그 다음에 인증을 원하는 사용자의 DN을 검색합니다. 이 사용자의 DN이 반환되면 검색된 DN 값과 사용자가 장치 제어판에서 입력한 암호로 인증을 시도합니다. 인증이 성공적으로 이루어지면 해당 사용자의 전자우편 주소가 검색되고 장치에 대한 이용 권한이 부여됩니다.

모든 사용자의 LDAP 디렉토리 컨테이너 위치가 동일하고 사용자 DN에서 맨 앞의 용어가 인증에 자주 사용되는 용어일 때 장치 사용자의 인증서 이용 방법을 이용해야 합니다. 바인딩 및 검색 루트는 “|” 문자로 구분하여 여러 개 입력할 수 있습니다. 그러면 입력된 바인딩 및 검색 루트 값을 하나씩 사용해서 사용자 인증이 반복 수행됩니다. LDAP 디렉토리에서 사용자가 몇 개의 컨테이너에 위치할 때 이 방법을 이용할 수 있습니다.

사용자들이 여러 개의 사용자 컨테이너에 분산되어 있고 사용자 DN에서 맨 앞의 용어가 사용자들에게 익숙한 용어가 아니거나 다른 시스템에서 인증할 때 사용하는 용어가 아닐 경우 운영자의 인증서 이용 방법을 이용해야 합니다. 이 방법을 사용할 경우 고유한 LDAP 속성을 입력하라는 메시지가 표시될 수 있습니다(예: SAMAccountName 또는 사용자의 전화 번호를 가리키는 TelephoneNumber 속성).

장치 사용자의 인증서 이용

이 방법에서는 바인딩 접두사, 사용자가 제어판에서 입력하는 문자열, 바인딩 및 검색 루트로 사용자 DN을 구성합니다. 구성된 사용자 DN은 사용자 인증에 사용됩니다.

바인딩 접두사

바인딩 접두사 설정은 사용자의 고유 이름(DN)을 인증을 위해 구성하는 데 사용되는 LDAP 속성입니다. 이 접두사는 제어판에서 입력한 사용자 이름과 합쳐져 상대적 고유 이름(RDN)이 됩니다. 주로 사용되는 접두사는 "CN"(Common Name 줄임말) 또는 "UID" (User IDentity 줄임말)입니다.

운영자 인증서 이용

운영자 DN

LDAP 디렉토리에 읽기 권한이 있는 사용자의 DN(고유 이름)입니다. 여기에 입력한 계정에는 디렉토리에 대한 운영 이용 권한이 없어도 됩니다. 읽기 권한으로 충분합니다.

운영자 암호

운영자 DN 필드에 사용자 DN을 입력한 사용자의 암호입니다.

LDAP 데이터베이스 검색

바인딩 및 검색 루트

장치 사용자의 인증서 이용 방법을 선택하면, 두 인증 단계를 거치면서 바인딩 및 검색 루트 값이 사용됩니다. 이 값은 인증서 검증 단계를 거치면서 RDN과 합쳐져 사용자의 완전한 고유 이름(DN)이 됩니다. 이 값은 사용자 정보 검색 단계를 거치면서 검색이 시작되는 LDAP 항목의 DN이 됩니다.

운영자 인증서 이용 방법을 선택하면 바인딩 및 검색 루트가 검색 루트로 사용됩니다. LDAP의 기본 디렉토리로 검색 루트를 지정하면, 장치 제어판에서 입력한 사용자 이름에 맞는 사용자 객체가 전체 LDAP 트리에서 검색됩니다. 

문자열은 쉼표로 구분하여 "속성=값"과 같이 입력하면 됩니다. 예를 들면 다음과 같습니다.

ou=engineering,o=Hewlett Packard,c=US

ou=marketing,o=Hewlett Packard,c=US

o=hp.com

ou=engineering,cn=users,dc=hp,dc=com

장치 사용자의 인증서 이용 방법 선택 시 이 필드에 바인딩 루트 여러 개를 수직 막대('|', ASCII 0x7c) 문자로 구분해서 입력할 수 있습니다. 예를 들어 대체 LDAP 도메인을 지정하려는 경우에 유용합니다. 이렇게 입력하면 장치에서 입력된 순서대로 하나씩 사용해서 LDAP 서버 바인딩을 시도합니다. 바인딩이 성공적으로 이루어지면 장치 사용자의 정보를 검색하는 데도 같은 루트가 이용됩니다.

로그인 ID와 일치하는 LDAP 속성

LDAP 데이터베이스에서 장치 사용자 정보 검색이 시작되면, 이 필드에서 지정한 속성 내용은 인증 단계를 거치면서 입력한 사용자 이름과 비교됩니다. 일반적으로, 이 속성은 바인딩 접두사와 같습니다.

장치 사용자의 다음 항목 불러오기

이 속성으로 전자 우편 주소

LDAP 데이터베이스에서 장치 사용자가 검색되면, 이 속성으로 전자 우편 주소 필드에 지정된 LDAP 속성을 사용하여 데이터베이스에서 사용자 전자 우편 주소를 불러옵니다.

및 이 속성으로 이름

사용자의 표시 이름은 이 속성으로 이름 필드에 지정된 LDAP 속성에서 불러옵니다.

테스트

테스트 기능을 사용하여 설정이 올바른지 테스트한 후 적용할 수 있습니다. 이 버튼을 누르면, 장치 제어판에서 로그인할 때처럼 사용자 인증서 입력 창이 표시됩니다. 입력한 인증서가 인증 단계를 거쳐 LDAP 데이터베이스에서 검색되면, 인증 성공을 알리는 메시지가 표시됩니다. 그렇지 않으면, 인증 실패를 알리는 오류 메시지가 표시됩니다.