OpenLDAP 설치 및 구성

Windows에 OpenLDAP 설치

OpenLDAP 는 Windows™용 공식 설치 프로그램을 제공하지 않습니다.

Windows에서 최소 Linux 배포판을 실행하는 Windows™ Subsystem for Linux™ (WSL)🡥를 통해 OpenLDAP 를 실행하거나 써드파티 제공자에서 OpenLDAP 의 Windows 빌드를 설치할 수 있습니다.

Linux에 OpenLDAP 설치 의 지시사항에 따라 WSL 배포에 따라 WSL에 OpenLDAP 를 설치하십시오.

Linux 에 OpenLDAP 설치

분배의 패키지 관리자에서 ldap 를 검색하십시오. OpenLDAP 의 일부 공통 패키지는 대부분의 Linux 배포판에서 slapd 또는 openldap 입니다.

Red Hat® Enterprise Linux 8 (RHEL 8) 이상을 사용하는 경우 배포에서는 더 이상 OpenLDAP 패키지를 제공하지 않습니다. 공식 LDAP 지원을 위해 Red Hat Directory Server 사용을 고려하십시오. Red Hat Directory Server를 설치하고 구성하려면 Red Hat Directory Server🡥설치 를 참조하십시오.

Ubuntu 22.04 LTS의 경우 터미널에서 다음 명령을 실행하십시오.

sudo apt-get install ldap-utils slapd

관리자 비밀번호를 설정하도록 프롬프트가 표시됩니다. 새 비밀번호를 입력한 후 비밀번호를 확인하십시오.

그런 다음 기본 항목을 다시 구성하십시오.

sudo dpkg-reconfigure slapd

1. OpenLDAP 서버 구성을 생략하려면 선택하십시오. 이 예제에서는 아니오를 선택하십시오.
2. DNS 도메인 이름을 입력하십시오. 도메인 자체를 소유하지 않는 경우에도 LDAP 서버가 사용할 도메인 이름 또는 서버에 대한 완전한 도메인 이름일 수 있습니다.
   중요:DNS 도메인 이름은 기본 식별 이름 (기본 DN) 이 됩니다. rpa.ibm.com와 같은 도메인 이름을 입력하면 LDAP 항목에서 dc=rpa,dc=ibm,dc=com 식별 이름으로 변환됩니다.
3. LDAP 서버를 설치 제거하는 경우 데이터베이스 파일을 제거하려면 선택하십시오. 이 예제에서는 예를 선택하십시오.
4. 서버 구성이 중단되지 않도록 기존 LDAP 파일을 이동하려면 선택하십시오. 이 예제에서는 예를 선택하십시오.

CentOS에서 먼저 EPEL 저장소를 사용으로 설정하여 OpenLDAP를 설치해야 합니다.

sudo dnf install epel-release

그런 다음 OpenLDAP 서버 및 클라이언트를 설치하십시오.

sudo dnf -y install openldap openldap-servers openldap-clients

sudo dnf install --enablerepo=epel openldap-clients

sudo dnf install openldap-servers

서비스 시작

OpenLDAP 서비스를 시작하십시오.

sudo systemctl start slapd.service

OpenLDAP 서비스를 사용으로 설정하여 운영 체제로 초기화하십시오.

sudo systemctl enable slapd.service

외부 연결 허용

방화벽에 예외를 추가하여 Ubuntu에서 OpenLDAP 에 대한 외부 연결을 사용으로 설정하십시오.

sudo ufw allow ldap

CentOS에서 방화벽에 대한 연결을 허용하고 애플리케이션이 SELinux를 통해 OpenLDAP 에 액세스할 수 있도록 허용해야 합니다.

sudo firewall-cmd --permanent --add-port=389/tcp --add-port=389/udp
sudo firewall-cmd --reload
sudo setsebool -P allow_ypbind=1 authlogin_nsswitch_use_ldap=1
sudo setsebool -P httpd_can_connect_ldap on

기본 구성 편집

OpenLDAP 서버를 사용하기 전에 서버가 올바르게 구성되었는지 확인하십시오. ldap.conf 파일에 작성된 기본 구성을 확인하십시오.

1. 선택한 텍스트 편집기를 사용하여 ldap.conf 파일을 여십시오. 두 Linux 배포판 모두에서 nano 텍스트 편집기가 기본적으로 설치되며 터미널에서 다음 명령을 사용하여 파일을 편집할 수 있습니다.

   Ubuntu

   sudo nano /etc/ldap/ldap.conf
   

   CentOS

   sudo nano /etc/openldap/ldap.conf
   

2. 다음 컨텐츠를 주석 해제하십시오.

   BASE     dc=example,dc=com
   URI      ldap://ldap.example.com ldap://ldap-master.example.com:666
   

3. 이러한 항목을 편집하여 BASE 를 식별 이름 (기본 DN) 으로 대체하고 URI 를 LDAP 서버에 대한 완전한 도메인 이름 또는 IP 주소로 대체하십시오. 예를 들어,

   BASE     dc=rpa,dc=ibm,dc=com
   URI      ldap://rpa.ibm.com
   

   중요: 기본 DN은 완전한 도메인 이름 (FQDN) 과 반드시 일치하지는 않으며, 원하는 경우 FQDN과 유사한 기본 DN을 입력할 수 있습니다. 그러나 URI는 서버에 연결할 수 있는 유효한 주소만 허용합니다. LDAP 서버에 연결할 올바른 IP 주소 또는 FQDN을 제공하십시오.

4. Ctrl+X를 누르고 Y 를 입력하여 nano에서 파일을 저장하고 닫으십시오.

루트 사용자 구성

LDAP에서 관리 태스크를 수행하려면 LDAP의 루트 사용자를 변경해야 합니다. LDAP 항목에서 이 사용자를 olcRootDN라고 합니다.

OpenLDAP의 내용을 변경하려면 LDAP 서버에서 변경할 내용에 대한 정보를 포함하는 LDIF 파일을 작성해야 합니다. /etc/ldap/slapd.d 또는 /etc/openldap/slapd.d 디렉토리의 LDIF 파일을 수동으로 편집하지 마십시오.

사용자가 선택한 폴더 (가능하면 사용자 폴더) 에 LDIF 파일을 작성하고 모든 컨텐츠를 해당 파일에 넣어야 합니다. 그런 다음 ldapadd 도구를 실행하여 서버에 LDIF 파일을 적용합니다.

다음 프로시저에서는 서버의 모든 항목을 관리할 수 있도록 LDAP의 기본 루트 사용자를 변경합니다.

1. 루트 사용자의 비밀번호를 작성하십시오.

   slappasswd
   

   비밀번호를 입력하고 확인하십시오. 이 명령은 {SSHA}yh/GrT7AsObYUoHu89ynjzOljpBP10sp와 같은 비밀번호 해시를 출력합니다. 출력을 복사하여 텍스트 파일에 저장하십시오.

2. 선택한 텍스트 편집기를 사용하여 rootpw.ldif 파일을 작성하십시오.

   nano rootpw.ldif
   

3. 다음 컨텐츠를 입력하십시오.

   dn: olcDatabase={0}config,cn=config
   changetype: modify
   add: olcRootPW
   olcRootPW: {SSHA}yh/GrT7AsObYUoHu89ynjzOljpBP10sp
   

   {SSHA}yh/GrT7AsObYUoHu89ynjzOljpBP10sp 를 slappasswd 명령에서 확보한 해시로 대체하십시오.

4. 변경사항을 적용하십시오.

   ldapadd -Y EXTERNAL -H ldapi:/// -f rootpw.ldif
   

5. 다음 명령을 사용하여 기본 LDAP 스키마를 가져오십시오.

   Ubuntu

   ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/openldap.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/dyngroup.ldif
   

   CentOS

   ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif
   

6. LDAP 서버에 대한 액세스를 구성하고 서버에 대한 관리자 사용자를 구성하십시오. manager.ldif 파일을 작성하십시오.

   nano manager.ldif
   

7. 다음 컨텐츠를 입력하십시오.

   dn: olcDatabase={2}mdb,cn=config
   changetype: modify
   replace: olcSuffix
   olcSuffix: dc=rpa,dc=ibm,dc=com
   
   dn: olcDatabase={2}mdb,cn=config
   changetype: modify
   replace: olcRootDN
   olcRootDN: cn=Manager,dc=rpa,dc=ibm,dc=com
   
   dn: olcDatabase={2}mdb,cn=config
   changetype: modify
   add: olcRootPW
   olcRootPW: {SSHA}yh/GrT7AsObYUoHu89ynjzOljpBP10sp
   

   • olcRootPW 를 slappasswd 도구를 사용하여 얻은 비밀번호 해시로 대체하십시오.
   • dc=rpa,dc=ibm,dc=com 를 사용자 고유의 기본 DN으로 대체하십시오.
   팁: Ubuntu에서는 olcDatabase={2}mdb 를 olcDatabase={1}mdb로 변경해야 합니다.
   명령의 출력을 사용하여 파일의 이름을 확인하십시오.

   ls /etc/ldap/slapd.d/cn\=config/
   

8. 컨텐츠를 적용하십시오.

   ldapmodify -Y EXTERNAL -H ldapi:/// -f manager.ldif
   

9. LDIF 파일을 작성하여 조직 그룹을 작성하십시오.

   nano org.ldif
   

10. 다음 컨텐츠를 입력하십시오.

dn: dc=rpa,dc=ibm,dc=com
objectClass: top
objectClass: dcObject
objectclass: organization
o: IBM RPA Server
dc: rpa

dn: cn=Manager,dc=rpa,dc=ibm,dc=com
objectClass: organizationalRole
cn: Manager
description: LDAP Manager

dn: ou=rpausers,dc=rpa,dc=ibm,dc=com
objectClass: organizationalUnit
ou: rpaUsers

• dc=rpa,dc=ibm,dc=com 를 기본 DN으로 바꾸십시오.
• rpa 및 rpaUsers 그룹의 이름을 변경할 수 있습니다. IBM RPA 에는 사용자 그룹의 특정 이름이 필요하지 않습니다.

11. 관리자 사용자로 컨텐츠를 적용하십시오.

ldapadd -x -D cn=Manager,dc=rpa,dc=ibm,dc=com -W -f org.ldif

LDAP 비밀번호를 입력하라는 프롬프트가 표시됩니다. LDAP 루트 사용자에 대해 정의한 일반 텍스트 비밀번호를 입력하십시오.

새 사용자 등록

LDAP 항목은 DIT (Directory Information Tree) 라는 트리와 유사한 구조로 배열됩니다. 이 트리의 각 항목은 식별 이름 (DN) 으로 식별됩니다. DN은 DIT에 있는 항목의 스펙에 의해 작성됩니다. 예를 들어, rpa.ibm.com 도메인의 john 사용자는 다음으로 식별됩니다.

cn=john,dc=rpa,dc=ibm,dc=com

cn 필드는 트리 내의 개별 오브젝트를 표시하는 데 가장 많이 사용되는 공통 이름입니다. dc 필드는 LDAP 식별 이름의 컴포넌트를 식별하는 데 사용되는 도메인 컴포넌트입니다.

john 가 rpausers 그룹의 일부인 경우 다음 코드 블록은 LDAP 항목입니다.

cn=john,ou=rpausers,dc=rpa,dc=ibm,dc=com

ou 필드는 LDAP 서버의 다른 항목을 그룹화하는 데 사용되는 조직 단위입니다.

이러한 오브젝트 ID에 대한 자세한 정보는 LDAP OID 참조 안내서🡥를 참조하십시오.

사용자에게는 LDAP 항목에 등록할 수 있는 속성이 있습니다. 이러한 속성은 사용자의 이메일, 비밀번호, 위치 등에 해당할 수 있습니다. IBM RPA 를 사용하려면 플랫폼의 사용자가 이메일 주소, 사용자 이름 및 비밀번호를 포함해야 합니다.

LDAP 서버에서 새 사용자를 등록하려면 모든 속성으로 LDIF 파일을 작성하고 ldapmodify 도구를 실행하여 사용자를 등록해야 합니다. 다음 프로시저는 플랫폼에서 각 사용자가 보유해야 하는 전체 프로세스 및 속성을 자세히 설명합니다.

1. LDIF 파일을 작성하십시오.

   nano addUserName.ldif
   

   addUserName 을 추가할 사용자의 이름으로 바꾸십시오.

2. 사용자에 대해 다음 컨텐츠를 입력하십시오.

   dn: cn=User Name,dc=rpa,dc=ibm,dc=com
   changetype: add
   objectClass: inetOrgPerson
   objectClass: organizationalPerson
   objectClass: person
   objectClass: top
   uid: username
   cn: User Name
   sn: Name
   displayName: User Name
   mail: username@example.com
   userPassword: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
   

   • dc=rpa,dc=ibm,dc=com 를 기본 DN으로 바꾸십시오.
   • sn 에 사용자의 성을 입력하십시오.
   • uid에서 사용자의 사용자 이름을 입력하십시오.
   • displayName에 사용자의 표시 이름을 입력하십시오.
   • mail에 사용자의 이메일 주소를 입력하십시오.
   • userPassword에서 slappasswd 명령으로 얻은 사용자 비밀번호의 해시를 입력하십시오.

3. 다음 명령을 입력하여 사용자를 등록하십시오.

   ldapadd -D "cn=Manager,dc=rpa,dc=ibm,dc=com" -W -f addUserName.ldif