사용자와 LDAP 동기화

이 기사에서는 Cato 계정을 Active Directory (LDAP 통합)와 함께 사용하도록 구성하는 방법을 설명하고 시연합니다. 이 기능은 사용자를 가져와 자동으로 Cato 관리 애플리케이션에 추가할 수 있도록 합니다. 이는 AD 서버에 인증하지 않습니다.

sAMAccountName 특성은 Cato 관리 애플리케이션에서 사용자 그룹의 이름에 사용됩니다.

동기화에는 두 가지 주요 옵션이 있습니다:

1. 로컬 AD 서버와 동기화

2. 외부 AD 서버와 동기화

사용자 동기화 설정 이해

도메인 컨트롤러에서의 LDAP 사용자 변경은 Cato 관리 애플리케이션에서 많은 사용자 수정을 트리거할 수 있습니다. 오류의 위험을 줄이기 위해, 각 동기화에서 수행되는 변경 사항의 수를 제한하는 것을 선택할 수 있습니다:

제한을 초과하면 다음 LDAP 동기화가 실패하고 디렉토리 서비스 하위 유형의 이벤트가 생성됩니다.

참고

참고: 10,000명 이상의 구성원이 있는 단일 그룹은 동기화될 수 없습니다. 

로컬 AD 서버 동기화

LDAP 동기화가 올바르게 작동하지 않는 경우, LDAP 동기화 및 프로비저닝 문제 해결을 참조하십시오.

로컬 AD 서버 동기화 방법 (Cato 사이트 뒤에 있는 서버):

  1. 사이트의 호스트 페이지에 AD 서버를 추가합니다.

    1. 네비게이션 메뉴에서 네트워크 > 사이트를 선택하고 사이트를 선택하십시오.
    2. 네비게이션 메뉴에서 사이트 설정 > 호스트을 선택합니다.
    3. 새로 만들기를 클릭하고 AD 서버의 설정을 입력하십시오.
    4. 적용을 클릭한 다음 저장을 클릭하십시오.
    Hosts.png
  2. 계정의 LDAP 서비스에 새 도메인을 추가하십시오.
    1. 네비게이션 메뉴에서 액세스 > 디렉토리 서비스를 클릭하고 LDAP 탭 또는 섹션을 선택하십시오.

    2. 새로 만들기를 클릭하고 AD 도메인의 설정을 구성하십시오.

      New_DirectorySevice.png

      • 로그인 DN 및 기본 DN - AD의 고유 문자열 (가져온 사용자에 대한 인증)
      • 비밀번호 - Active Directory DN에 접근하는 비밀번호
      • 암호화 - 연결을 보안하기 위해 SSL 사용을 선택하십시오, 모든 서버에서 지원되지 않습니다
      • SDP 사용자 동기화 설정 - LDAP 동기화에 추가할 제한을 선택하십시오
    3. 저장을 클릭하십시오.
  3. AD 서버(1단계에서) 도메인 컨트롤러 (DC)로 도메인에 추가하십시오.
    1. 패널 내비게이션 섹션에서 도메인 컨트롤러를 클릭합니다.

    2. 상단 드롭다운 메뉴에서 호스트를 선택하고, 다음 드롭다운 메뉴에서 1단계에서 선택한 호스트를 선택합니다.

      AD_host.png
    3. 저장을 클릭합니다.

  4. 동기화할 AD 그룹을 선택하십시오.

    참고

    참고:

    • 선택된 그룹이 없으면 사용자 인식을 위해 모든 AD 그룹이 가져와집니다.
    • 상위 그룹을 선택하면 하위 그룹도 동기화됩니다
    • 사용자 인식 식별을 위해 사용자 계정 이름(UPN) AD 매개변수가 설정되어야 합니다
    1. 패널 내비게이션 섹션에서 사용자 그룹을 클릭합니다.

    2. 동기화할 AD 그룹을 선택합니다.

      Edit_User_Groups.png

      참고

      참고: Active Directory에서 조직 단위를 가져올 때 대소문자가 중요합니다. ExampleGroupEXAMPLEGROUP과 다르게 취급됩니다.

      Active Directory에서 OU의 이름을 변경하면 CMA 내에서 선택된 OU도 변경해야 합니다.

    3. 매일 그룹 및 사용자를 자동으로 동기화하려면 SDP 사용자 그룹 일일 동기화를 선택합니다.
    4. 저장 및 닫기를 클릭합니다.
  5. 디렉토리 서비스 화면에서 지금 동기화를 클릭합니다.

사용자가 동기화된 후에 그들에게 SDP 라이선스를 할당할 수 있습니다.

사용자 인식을 위해 사용자는 AD 쿼리 또는 아이덴티티 에이전트를 통해 식별 가능합니다.

외부 AD 서버 동기화

외부 AD 서버를 동기화해야 하는 경우, 위에서 설명한 것과 동일한 절차를 수행할 수 있습니다.

  • LDAP 사용자의 사용자 계정 이름(UPN) 및/또는 이메일 주소가 AD에서 변경된 경우, CMA에서 해당 LDAP 사용자의 상태는 변경되지 않습니다.
  • Azure AD를 동기화할 때, 구성원게스트 사용자 유형이 모두 동기화됩니다.
  • AD 사용자의 성과 이름이 설정되어 있는지 확인해야 합니다. 그렇지 않으면 이름이나 성이 없는 사용자는 Cato 계정에 동기화되지 않습니다.

로컬 AD 서버 동기화

도메인 컨트롤러가 IPsec 연결 뒤에 있거나 일부 서브넷만 소켓으로 라우팅하는 경우, VPN 터널 라우팅 구성에 CMA의 IP 주소를 포함해야 합니다. 이 IP로부터의 트래픽과 IP로의 트래픽은 Cato 터널을 통해 라우팅되어야 합니다.

CMA의 IP 주소에 대한 더 많은 정보는 LDAP 동기화 문제 해결 (이 문서를 보기 위해서는 Cato 지식 베이스 계정에 로그인해야 합니다).

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개