이 문서는 LDAP 쿼리 언어를 사용하여 필터와 그룹을 만드는 방법에 대한 정보를 제공합니다.
Cato에서는 LDAP 쿼리 언어를 사용하여 관련된 사용자만 LDAP 디렉토리에서 가져와 사용자 관리를 간소화할 수 있습니다. LDAP 디렉토리 필터를 통해 어떤 사용자가 Cato에 동기화되는지 제어하는 정밀한 LDAP 쿼리를 정의할 수 있습니다. 추가로, LDAP 쿼리를 사용하여 CMA에서 관리자를 위한 동적 그룹을 구성할 수 있습니다. LDAP 속성을 사용하여 관리자 그룹의 하위 그룹 또는 모든 사용자 그룹을 생성할 수 있습니다.
디렉토리 서비스 페이지를 사용하여 조직의 LDAP 디렉토리를 Cato와 통합하고 사용자 가져오기 설정을 구성할 수 있습니다.
ABC 회사는 정직원과 계약직원, 인턴과 함께 일하고 있습니다. 사용자를 CMA로 가져올 때 관리자로서 정직원만을 가져오고 싶습니다. Azure LDAP 인스턴스를 위해 다음 쿼리 필터를 작성하여 관련 직원만 가져옵니다:
(&(objectCategory=person)(objectClass=user)(employeeType=full-time))
ABC 회사에는 전국에 영업 사원이 있고 모두 영업 부서에 속해 있습니다. employeeType 속성을 사용하여 영업 부서의 모든 관리자에게 해당하는 영업 사원의 하위 그룹을 생성합니다. 사용자가 승진하여 Manager로 설정되고 부서가 Sales로 지정되면 자동으로 관리자 그룹에 포함됩니다.
LDAP 디렉토리 필터 또는 관리자 그룹을 구성하기 전에 다음 사항을 확인하세요:
- CMA에서 구성된 기존 LDAP 디렉토리 통합이 있습니다.
- 디렉토리 서비스 설정을 수정할 권한이 있는 Cato 관리자입니다.
기존의 그룹 선택 또는 새로운 LDAP 쿼리 필터를 사용하여 사용자를 가져올 수 있습니다. 디렉토리의 속성을 기반으로 자동으로 사용자를 그룹화하는 관리자 그룹을 정의할 수도 있습니다.
참고
참고: LDAP 쿼리 언어는 Cato에서 개발하거나 유지 관리되지 않습니다. 조직의 요구 사항에 맞는 쿼리 작성 및 검증은 당신의 책임입니다.
LDAP 디렉토리 필터를 구성하려면:
- 네비게이션 메뉴에서 클라우드 액세스 > 디렉토리 서비스를 선택합니다.
- 기존의 LDAP 구성을 선택하거나 새로 만들기를 클릭하여 하나를 생성합니다.
- 필터 아래 필터 방법 필드에서 LDAP 쿼리를 선택합니다.
-
쿼리 필드에 공급업체의 디렉토리 접두어 및 LDAP 속성을 사용하여 LDAP 쿼리를 입력합니다. 쿼리는 유효한 공급업체별 접두어로 시작해야 합니다.
- Azure: (&(objectCategory=person)(objectClass=user))
- OKTA + OpenLDAP: (&(objectClass=inetOrgPerson))
- JumpCloud + OneLogin: (&(objectClass=person))
아래는 몇 가지 쿼리 필터 예시입니다.
- 저장을 클릭합니다.
다음은 사용할 수 있는 다양한 필터 예시입니다. LDAP 공급업체 문서를 참조하여 추가 정보를 확인하세요.
다음 예시는 memberOf 속성을 사용하여 특정 그룹에서 사용자를 가져오며, Azure에 맞게 형식이 지정되었습니다.
(&(objectCategory=person)(objectClass=user)(memberOf=CN=Developers,OU=Groups,DC=catonetworks,DC=com))다음 예시는 두 그룹의 모든 사용자를 가져오며, Okta에 맞게 형식이 지정되었습니다.
(&(objectClass=inetOrgPerson)(memberOf=CN=Admins,OU=Groups,DC=catonetworks,DC=com)(memberOf=CN=VPNUsers,OU=Groups,DC=catonetworks,DC=com))사용자 그룹 선택 또는 LDAP 필터로 사용자를 가져온 후 LDAP 속성을 기반으로 관리자 그룹을 생성할 수 있습니다.
관리자 그룹을 구성하려면:
- 네비게이션 메뉴에서 클라우드 액세스 > 디렉토리 서비스를 선택합니다.
- 기존의 LDAP 구성을 선택하거나 새로 만들기를 클릭하여 하나를 생성합니다.
-
관리자 그룹: 아래에 그룹 이름을 입력하고 쿼리를 정의합니다.
- 관리자 그룹에는 접두어가 필요 없습니다.
- LDAP 쿼리 필터를 정의했다면 해당 필터의 하위 그룹이 관리자 그룹입니다. 그렇지 않으면 모든 사용자의 하위 그룹이 관리자 그룹입니다.
- 저장을 클릭합니다.
다음은 가능한 오류 메시지와 그 설명입니다.
-
관리자 DN 필터 또는 LDAP 쿼리 필터를 정의할 수 있습니다.
관리자 그룹 필터와 LDAP 쿼리 필터가 모두 정의되어 있을 때 나타납니다. 하나 또는 아무것도 정의할 수는 있지만, 둘 다 정의할 수는 없습니다.
-
LDAP 쿼리 필터가 잘못되었습니다. 오류는 '<ERROR MESSAGE FROM SDK>'입니다.
여러 가지 이유로 발생하며 개별 오류 메시지가 추가 정보를 제공합니다. 예를 들어, 문자열 '(&(objectClass=group)(cn=*)'을 분석할 수 없습니다. 닫는 괄호가 누락되었을 때 이 메시지가 나타납니다.
공급업체별 LDAP 문서를 참조하여 추가 정보를 확인하세요.
-
LDAP 쿼리 필터에 필수 사용자 객체 필터가 누락되어 있습니다.
필수 속성이 포함되어 있지 않았을 때 나타납니다.
-
LDAP 쿼리 필터에 지원되지 않는 객체 필터가 포함되어 있습니다.
지원되지 않는 속성에 대한 필터가 포함된 경우 나타납니다. 예를 들어, 사용자 대신 그룹.
-
관리자 그룹에서 너무 많은 추가 LDAP 속성을 요구합니다 (기본 속성 외 최대 10개 허용)
요청된 모든 속성의 합이 기본적으로 가져오는 속성 외에 10개 이상의 추가 속성이 되는 경우 나타납니다.
-
관리자 그룹이 너무 많은 경우 (최대 50 허용)
계정에서 관리자 그룹이 최대 50개를 초과했을 때 나타납니다
-
관리자 그룹 이름 '<GROUP_NAME>'이(가) 이미 존재합니다
그룹 이름이 고유하지 않을 때 나타납니다.
-
관리자 그룹 '<GROUP_NAME>'에 잘못된 LDAP 쿼리 구문이 포함되어 있습니다
관리자 그룹의 LDAP 구문이 잘못되었을 때 나타납니다. 공급업체별 LDAP 문서를 참조하여 추가 정보를 확인하세요.
-
관리자 그룹 '<GROUP_NAME>'에 이미 자동으로 적용되어야 하므로 관리자 그룹 쿼리에 포함되지 않아야 하는 사용자 객체 속성이 포함되어 있습니다.
기본적으로 Cato에 의해 적용된 속성이 LDAP 쿼리 구문에 포함된 때 나타납니다.
댓글 0개
이 문서에는 댓글을 달 수 없습니다.