Windows 서버에 설치 및 구성

온라인에서 편집하기

시작하기 전에

시간
첫 번째 동기화는 긴 시간이 걸릴 수 있습니다. 예를 들어, 50만 명의 사용자와 그룹이 있는 서버의 Active Directory 경우 2일이 소요될 수 있습니다. 이 기간 동안 디렉터리 서버에 가해진 모든 변경 사항은 서버에 Active Directory 누적되어 초기 동기화 후에 적용됩니다. 결국 해당 Verify 디렉터리는 거의 실시간으로 업데이트됩니다.
프로세스 메모리
초기 처리 단계에서 사용자 및 그룹 ID를 Active Directory 해당 VerifySCIM 사용자 및 그룹 ID로 매핑하는 정보를 캐시에 저장합니다. 이 맵핑은 사용자당 512바이트를 필요로 하므로, 500,000명의 사용자는 메모리 사용량을 244MB만큼 늘립니다.
임시 파일 시스템 스토리지
IBM® ( Security Directory Server )의 경우, 이 IcbLdapSync.exe 애플리케이션은 디렉터리의 전체 사본(관련 속성만 복사됨)을 로컬 파일로 추출합니다. 예를 들어, 500,000명의 사용자 및 그룹이 있는 디렉토리에는 275MB의 임시 로컬 디스크 공간이 필요할 수 있습니다. 이 로컬 파일은 암호화되어 있습니다.
참고: 이 프로그램을 실행하려면 관리자 권한이 필요합니다.

이 태스크에 대한 정보

  • Verify첫 번째 동기화가 완료되면, 관리자가 -SCIM 디렉터리에 모든 사용자와 그룹이 생성되었음을 확인할 수 있도록 Windows™ 이벤트 로그가 생성됩니다.
  • 복제 상태는 cookie.bin 파일에 저장됩니다. 이 파일을 삭제하면 안됩니다. 이 파일을 삭제하면 전체 복제가 다시 발생합니다.
  • 기본 구성 파일은 다음과 함께 모든 사용자를 추가합니다.
    "realm":"cloudBridgeRealm"
"userCategory":"federated”
    이 구성은 필요에 따라 변경할 수 있습니다. 변경사항이 작성된 경우 구성 파일에서 “cloudBridgeRealm”에 대한 모든 참조가 업데이트되는지 확인하십시오.
  • Verify-clean 옵션을 사용하면 -SCIM 디렉터리에서 동기화된 모든 사용자와 그룹을 제거하되, 다른 항목들은 그대로 유지합니다. 이 옵션은 일반적으로 동기화되는 모든 사용자와 그룹을 제거하고 cookie.bin 읽은 다음, 해당 Verify 디렉터리에서 삭제합니다.

프로시저

  1. App Exchange에서 최신 IBM Verify Bridge for Directory Sync 애플리케이션을 찾아 다운로드하세요.
    이 애플리케이션은 설치 프로그램 실행 파일이 .zip 포함된 파일과 Bridge for Directory Sync의 IBM Verify 변경 사항을 나열한 파일로 README.txt 구성되어 있습니다.
    1. https://exchange.xforce.ibmcloud.com/hub 으로 이동하세요.
    2. App Exchange에 로그인하십시오.
    3. IBM Security Bridge를 검색하십시오.
    4. 디렉터리 동기화를 위해 ‘ IBM ’의 ‘ Security Verify ’ 브릿지를 선택하십시오.
    5. 애플리케이션을 다운로드합니다.
  2. 대상 Windows 시스템에서 파일을 IBMSecurityVerifybridgeforDirectorySync_version.zip 압축 해제하십시오.
    이 제품을 설치하기 전에 Windows Visual Studio 2017 64비트 재배포 가능 패키지를 설치해야 합니다. 해당 패키지 없이 이 제품을 작동할 수 없습니다. 아직 설치되지 않은 경우 setup_dirsync.exe 파일을 실행할 때 설치됩니다.
  3. setup_dirsync.exe실행하세요.
    1. setup_dirsync.exe더블 클릭하세요.
    2. 언어를 선택하십시오.
    3. ‘설치’를 클릭하세요.
      setup_dirsync.exe마법사를 통해 Windows Visual Studio 2017 64비트 재배포 가능 패키지가 설치된 경우, 컴퓨터를 다시 시작한 후 다시 실행해야 할 수 있습니다.
    4. ‘ InstallShield ’ 마법자에서 ‘다음’을 클릭합니다.
    5. 약관에 동의하고 ‘다음’을 클릭하세요.
    6. 설치 디렉터리를 선택한 다음 ‘다음’을 클릭합니다.
    7. ‘설치’를 클릭하세요.
    8. ‘마침’을 클릭합니다.
  4. 설치 디렉터리에 설정합니다 IcbLdapSync.json .
    • ISDS LDAP에서 동기화하는 경우 현재 IcbLdapSync.json 파일 위에 IcbLdapSync.json.isds-sample을 복사하여 시작점을 제공하십시오.
    • Active Directory의 경우, IcbLdapSync.json.ad-sample 파일을 IcbLdapSync.json 파일에 복사하여 동기화를 위한 적절한 시작점을 제공하십시오.
    Verify참고: 파일을 IcbLdapSync.json 수정하고 디렉터리 동기화를 실행하기 전에, 에 동기화될 속성과 값을 숙지하고 확인하시기 바랍니다.
    1. “cloud-bridge” -”ldap”ISDS 또는 AD 서버 LDAP 의 연결 설정을 다음 위치에서 설정하십시오.
      LDAP 서버에 TLS 연결을 사용하는 경우, LDAP 서버의 서명자 인증서가 Windows 인증서 저장소의 ‘신뢰할 수 있는 RootCertification 인증 기관 > 컴퓨터 계정 > 로컬 컴퓨터’ 경로에 있는지 확인하십시오. LDAP 서버가 잘 알려진 CA에서 서명되지 않은 인증서를 사용하는 경우 “인증서” 스냅인과 함께 mmc 명령을 사용하십시오.
    2. ibm-auth-api에서 서버 연결 설정을 Verify 지정하십시오.
    3. 필요에 따라 와 같은 ldap-search-filter 다른 값들을 조정하십시오.
      예제 AD 필터는 isCriticalSystemObject 속성 세트가 있는 모든 사용자 및 그룹을 건너뜁니다. 이러한 사용자 및 그룹은 일반적으로 컴퓨터 계정, 시스템 그룹, 게스트 계정, 관리자 계정입니다. 예제 ISDS 필터는 person 오브젝트 클래스가 있는 사용자 및 groupOfUniqueNames 오브젝트 클래스가 있는 그룹을 찾습니다.
      참고:
      • IcbLdapSync.exe 프로세스는 Active Directory LDAP DirSync 제어를 사용합니다. 이 DirSync 컨트롤을 사용하려면, 해당 컨트롤을 실행하는 IcbLdapSync.exe 사용자 계정에 모니터링 대상 파티션의 루트에 대한 권한이 directory get changes 부여되어 있어야 합니다. 기본적으로 이 권한은 도메인 컨트롤러의 LocalSystem 계정 및 관리자에 지정됩니다. 호출자에게는 또한 DS-Replication-Get-Changes 확장 제어 액세스 권한이 있어야 합니다. 자세한 내용은 https://docs.microsoft.com/en-us/windows/win32/ad/polling-for-changes-using-the-dirsync-control 을 참조하십시오.

      • ISDS의 경우 액세스에 사용되는 계정에는 Paging 제어를 사용하기 위한 권한 및 changelog 항목을 읽기 위한 권한이 있어야 합니다.

      • 다음 권한은 구성된 API 클라이언트에 필요합니다.
        • Manage users and standard groups
        • Synchronize users and groups
      • 동기화가 시작된 후에는 동기화되는 구성된 속성에서 속성을 제거하거나 추가할 수 없습니다. 속성 구성 변경과 일치하도록 제품이 동기화된 사용자 및 그룹을 소급적으로 조정할 수 없습니다. 첫 번째 호출 전에 구성해야 하는 모든 속성을 확인하십시오.
  5. 구성 파일의 IcbLdapSync.json 비밀 정보와 비밀번호에 난독화 처리를 적용합니다.
    일반적인 보안 관행에 따라, 구성 파일에 일반 텍스트 비밀번호와 클라이언트 시크릿을 배치하지 마십시오. 비밀번호 및 시크릿을 알아보기 어렵게 하려면 IBM 난독화 도구를 사용하십시오.
    예를 들면 다음과 같습니다.
    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myadminpassword
OfFE5gNch3u5cJbeTj10Mm2Mbd1yS4eQjzqihj0lz7jGIG9fK7vNqTS90EmebtaU

    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myclientsecret
tiWLbtgcT1k+PP0IwWyXlKsdGnTE3dDJ15ZCvHzj9YY=
    생성된 값을 IcbLdapSync.json 파일에 추가하십시오.
  6. Windows 서비스를 수동으로 시작하십시오.
    IBM Verify Bridge for Directory Sync 서비스는 해당 IcbLdapSync.exe 프로세스를 실행합니다. 서비스가 올바르게 작동되면 서비스가 자동으로 시작하도록 변경할 수 있습니다. 사용자 및 그룹이 동기화되는 수에 따라 첫 번째 실행에 시간이 오래 걸릴 수 있습니다.