Windows 서버에서 설치 및 구성

시작하기 전에

시간
첫 번째 동기화는 긴 시간이 걸릴 수 있습니다. 예를 들어, 500 ,000명의 사용자 및 그룹이 있는 Active Directory 서버는 2일이 걸릴 수 있습니다. 이 시간 동안 디렉토리 서버에 대한 변경사항은 Active Directory 서버에 의해 누적되고 초기 동기화 후에 적용됩니다. 결국 Verify 디렉토리는 거의 실시간으로 업데이트됩니다.
프로세스 메모리
초기 전달은 Active Directory 사용자 및 그룹 ID에서 해당 Verify-SCIM 사용자 및 그룹 ID로의 맵핑을 캐시합니다. 이 맵핑은 사용자당 512바이트를 필요로 하므로, 500,000명의 사용자는 메모리 사용량을 244MB만큼 늘립니다.
임시 파일 시스템 스토리지
IBM® Security Directory Server의 경우, IcbLdapSync.exe 애플리케이션은 디렉토리의 전체 사본 (관련 속성만 복사됨) 을 로컬 파일로 추출합니다. 예를 들어, 500,000명의 사용자 및 그룹이 있는 디렉토리에는 275MB의 임시 로컬 디스크 공간이 필요할 수 있습니다. 이 로컬 파일은 암호화되어 있습니다.
주: 이 프로그램을 실행하려면 관리자 권한이 있어야 합니다.

이 태스크에 대한 정보

  • 첫 번째 동기화가 완료되면 관리자가 모든 사용자 및 그룹이 Verify-SCIM 디렉토리에 작성되었음을 알 수 있도록 Windows 이벤트 로그가 생성됩니다.
  • 복제 상태는 cookie.bin 파일에 저장됩니다. 이 파일을 삭제하면 안됩니다. 이 파일을 삭제하면 전체 복제가 다시 발생합니다.
  • 기본 구성 파일은 다음과 함께 모든 사용자를 추가합니다.
    "realm":"cloudBridgeRealm"
"userCategory":"federated”
    이 구성은 필요에 따라 변경할 수 있습니다. 변경사항이 작성된 경우 구성 파일에서 “cloudBridgeRealm”에 대한 모든 참조가 업데이트되는지 확인하십시오.
  • -clean 옵션을 사용하여 Verify-SCIM 디렉토리에서 동기화된 모든 사용자 및 그룹을 제거하고 다른 항목은 그대로 둡니다. 이 옵션은 cookie.bin 를 제거하고 일반적으로 동기화되는 모든 사용자 및 그룹을 읽고 Verify 디렉토리에서 이를 삭제합니다.

프로시저

  1. App Exchange에서 최신 IBM Security Verify Bridge for Directory Sync 애플리케이션을 찾아 다운로드하십시오.
    이 애플리케이션은 설치 프로그램 실행 파일을 포함하는 .zip 파일과 IBM Security Verify Bridge for Directory Sync에 대한 변경사항을 나열하는 README.txt 파일로 구성됩니다.
    1. https://exchange.xforce.ibmcloud.com/hub로 이동하십시오.
    2. App Exchange에 로그인하십시오.
    3. IBM Security Bridge를 검색하십시오.
    4. IBM Security Verify Bridge for Directory Sync를 선택하십시오.
    5. 애플리케이션을 다운로드합니다.
  2. 대상 Windows 시스템에서 IBMSecurityVerifybridgeforDirectorySync_version.zip 파일을 추출하십시오.
    이 제품을 설치하기 전에 Windows Visual Studio 2017 64비트재배포 가능 패키지를 설치해야 합니다. 해당 패키지 없이 이 제품을 작동할 수 없습니다. 아직 설치되지 않은 경우 setup_dirsync.exe 파일을 실행할 때 설치됩니다.
  3. setup_dirsync.exe를 실행하십시오.
    1. setup_dirsync.exe를 두 번 클릭하십시오.
    2. 언어를 선택하십시오.
    3. 설치를 클릭하십시오.
      마법사를 사용하여 Windows Visual Studio 2017 64비트재배포 가능 파일을 설치한 경우 컴퓨터를 다시 시작하고 setup_dirsync.exe를 다시 실행해야 할 수 있습니다.
    4. InstallShield 마법사에서 다음을 누르십시오.
    5. 이용 약관에 동의하고 다음을 클릭하십시오.
    6. 설치 디렉토리를 선택하고 다음을 클릭하십시오.
    7. 설치를 클릭하십시오.
    8. 완료를 클릭하십시오.
  4. 설치 디렉토리에서 IcbLdapSync.json 를 설정하십시오.
    • ISDS LDAP에서 동기화하는 경우 현재 IcbLdapSync.json 파일 위에 IcbLdapSync.json.isds-sample을 복사하여 시작점을 제공하십시오.
    • Active Directory의 경우, IcbLdapSync.json.ad-sample 파일을 IcbLdapSync.json 파일에 복사하여 동기화를 위한 적절한 시작점을 제공하십시오.
    참고: IcbLdapSync.json 파일을 변경하고 디렉토리 동기화를 실행하기 전에 Verify에 동기화할 속성 및 값을 숙지하고 검토해야 합니다.
    1. “cloud-bridge” -”ldap”에서 ISDS 또는 AD 서버 LDAP 연결 설정을 설정하십시오.
      LDAP 서버에 대한 TLS 연결을 사용 중인 경우, LDAP 서버의 서명자 인증서가 신뢰할 수 있는 RootCertification 권한 > 컴퓨터 계정 > 로컬 컴퓨터아래의 Windows 인증서 저장소에 있는지 확인하십시오. LDAP 서버가 잘 알려진 CA에서 서명되지 않은 인증서를 사용하는 경우 “인증서” 스냅인과 함께 mmc 명령을 사용하십시오.
    2. ibm-auth-api에서 Verify 서버 연결 설정을 설정하십시오.
    3. 필요에 따라 ldap-search-filter 와 같은 다른 값을 조정하십시오.
      예제 AD 필터는 isCriticalSystemObject 속성 세트가 있는 모든 사용자 및 그룹을 건너뜁니다. 이러한 사용자 및 그룹은 일반적으로 컴퓨터 계정, 시스템 그룹, 게스트 계정, 관리자 계정입니다. 예제 ISDS 필터는 person 오브젝트 클래스가 있는 사용자 및 groupOfUniqueNames 오브젝트 클래스가 있는 그룹을 찾습니다.
      참고:
      • IcbLdapSync.exe 프로세스는 Active Directory LDAP DirSync 제어를 사용합니다. DirSync 제어를 사용할 수 있는 권한을 가지려면 IcbLdapSync.exe 를 실행하는 사용자 계정에 모니터 중인 파티션의 루트에 지정된 directory get changes 권한이 있어야 합니다. 기본적으로 이 권한은 도메인 컨트롤러의 LocalSystem 계정 및 관리자에 지정됩니다. 호출자에게는 또한 DS-Replication-Get-Changes 확장 제어 액세스 권한이 있어야 합니다. 자세한 정보는 https://docs.microsoft.com/en-us/windows/win32/ad/polling-for-changes-using-the-dirsync-control의 내용을 참조하십시오.

      • ISDS의 경우 액세스에 사용되는 계정에는 Paging 제어를 사용하기 위한 권한 및 changelog 항목을 읽기 위한 권한이 있어야 합니다.

      • 다음 권한은 구성된 API 클라이언트에 필요합니다.
        • Manage users and standard groups
        • Synchronize users and groups
      • 동기화가 시작된 후에는 동기화되는 구성된 속성에서 속성을 제거하거나 추가할 수 없습니다. 속성 구성 변경과 일치하도록 제품이 동기화된 사용자 및 그룹을 소급적으로 조정할 수 없습니다. 첫 번째 호출 전에 구성해야 하는 모든 속성을 확인하십시오.
  5. IcbLdapSync.json 구성 파일 시크릿 및 비밀번호에 난독화를 추가하십시오.
    일반적인 보안 관행에 따라, 구성 파일에 일반 텍스트 비밀번호와 클라이언트 시크릿을 배치하지 마십시오. 비밀번호 및 시크릿을 알아보기 어렵게 하려면 IBM 난독화 도구를 사용하십시오.
    예를 들면 다음과 같습니다.
    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myadminpassword
OfFE5gNch3u5cJbeTj10Mm2Mbd1yS4eQjzqihj0lz7jGIG9fK7vNqTS90EmebtaU

    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myclientsecret
tiWLbtgcT1k+PP0IwWyXlKsdGnTE3dDJ15ZCvHzj9YY=
    생성된 값을 IcbLdapSync.json 파일에 추가하십시오.
  6. Windows 서비스를 수동으로 시작하십시오.
    IBM Security Verify Bridge for Directory Sync 서비스는 IcbLdapSync.exe 프로세스를 실행합니다. 서비스가 올바르게 작동되면 서비스가 자동으로 시작하도록 변경할 수 있습니다. 사용자 및 그룹이 동기화되는 수에 따라 첫 번째 실행에 시간이 오래 걸릴 수 있습니다.