다음을 통해 공유

일반 LDAP 커넥터 기술 참조

이 문서에서는 제네릭 LDAP 커넥터에 대해 설명합니다. 이 문서는 다음 제품에 적용됩니다.

MIM2016의 경우, 커넥터는 Microsoft 다운로드 센터 에서 다운로드할 수 있습니다.

IETF RFC를 참조할 때 이 문서에서는 형식(RFC [RFC 번호]/[RFC 문서의 섹션])을 사용합니다(예: RFC 4512/4.3). 정보는 https://tools.ietf.org/에서 찾을 수 있습니다. 왼쪽 패널에서 Doc fetch 대화 상자에 RFC 번호를 입력하고 유효한지 테스트합니다.

비고

Microsoft Entra ID MIM 동기화 배포 없이 사용자를 LDAPv3 서버로 프로비전하기 위한 간단한 에이전트 기반 솔루션을 제공합니다. 아웃바운드 사용자 프로비저닝에 사용하는 것이 좋습니다. 자세히알아보세요.

일반 LDAP 커넥터 개요

일반 LDAP 커넥터를 사용하면 동기화 서비스를 LDAP v3 서버와 통합할 수 있습니다.

델타 가져오기를 수행하는 데 필요한 것과 같은 특정 작업 및 스키마 요소는 IETF RFC에 지정되지 않습니다. 이러한 작업의 경우 명시적으로 지정된 LDAP 디렉터리만 지원됩니다.

디렉터리에 연결하기 위해 루트/관리자 계정을 사용하여 테스트합니다. 다른 계정을 사용하여 보다 세부적인 권한을 적용하려면 LDAP 디렉터리 팀과 함께 검토해야 할 수 있습니다.

커넥터의 현재 릴리스는 다음 기능을 지원합니다.

특징 지원
연결된 데이터 원본 커넥터는 지원되지 않는 것으로 호출되는 경우를 제외하고 모든 LDAP v3 서버(RFC 4510 규격)에서 지원됩니다. 다음 디렉터리 서버에서 테스트되었습니다.
  • Microsoft Active Directory 경량 디렉터리 서비스(AD LDS)
  • Microsoft Active Directory 글로벌 카탈로그 (AD GC)
  • 389 디렉터리 서버
  • Apache 디렉터리 서버
  • IBM Tivoli DS
  • Isode 디렉터리
  • NetIQ eDirectory
  • Novell eDirectory
  • DJ 열기
  • DS 열기
  • LDAP 열기(openldap.org)
  • Oracle(이전의 Sun) 디렉터리 서버 Enterprise Edition
  • RadiantOne 가상 디렉터리 서버(VDS)
  • Sun One 디렉터리 서버
  • Microsoft AD DS(Active Directory Domain Services)
    • 대부분의 시나리오에서는 일부 기능이 작동하지 않을 수 있으므로 기본 제공 Active Directory 커넥터를 대신 사용해야 합니다.
    주목할 만한 알려진 디렉터리 또는 지원되지 않는 기능:
  • Microsoft AD DS(Active Directory Domain Services)
    • PCNS(암호 변경 알림 서비스)
    • Exchange 프로비저닝
    • 활성 동기화 디바이스 삭제
    • nTDescurityDescriptor 지원
  • Oracle 인터넷 디렉토리 (OID)
    		•
    시나리오
  • 개체 수명 주기 관리
  • 그룹 관리
  • 암호 관리
    		•
    운영 다음 작업은 모든 LDAP 디렉터리에서 지원됩니다.
  • 전체 가져오기
  • 수출
    • 다음 작업은 지정된 디렉터리에서만 지원됩니다.
  • 델타 가져오기
  • 암호 설정, 암호 변경
    		•
    스키마
  • 스키마가 LDAP 스키마에서 검색됨(RFC3673 및 RFC4512/4.2)
  • 구조적 클래스, 보조 클래스 및 extensibleObject 개체 클래스(RFC4512/4.3)를 지원합니다.
    		•

    델타 가져오기 및 암호 관리 지원

    델타 가져오기 및 암호 관리에 지원되는 디렉터리:

    • Microsoft Active Directory 경량 디렉터리 서비스 (Lightweight Directory Services, AD LDS)
      • 델타 가져오기에 대한 모든 작업을 지원합니다.
      • 암호 설정 지원
    • Microsoft 액티브 디렉터리 전역 카탈로그 (AD GC)
      • 델타 가져오기에 대한 모든 작업을 지원합니다.
      • 암호 설정 지원
    • 389 디렉터리 서버
      • 델타 가져오기에 대한 모든 작업을 지원합니다.
      • 암호 설정 및 암호 변경 지원
    • Apache 디렉터리 서버
      • 이 디렉터리에 영구 변경 로그가 없으므로 델타 가져오기를 지원하지 않습니다.
      • 암호 설정 지원
    • IBM Tivoli DS
      • 델타 가져오기에 대한 모든 작업을 지원합니다.
      • 암호 설정 및 암호 변경 지원
    • Isode 디렉터리
      • 델타 가져오기에 대한 모든 작업을 지원합니다.
      • 암호 설정 및 암호 변경 지원
    • Novell eDirectory 및 NetIQ eDirectory
      • 델타 가져오기에 대한 추가, 업데이트 및 이름 바꾸기 작업을 지원합니다.
      • 델타 가져오기에 대한 삭제 작업을 지원하지 않습니다.
      • 암호 설정 및 암호 변경 지원
    • DJ 열기
      • 델타 가져오기에 대한 모든 작업을 지원합니다.
      • 암호 설정 및 암호 변경 지원
    • DS 열기
      • 델타 가져오기에 대한 모든 작업을 지원합니다.
      • 암호 설정 및 암호 변경 지원
    • LDAP 열기(openldap.org)
      • 델타 가져오기에 대한 모든 작업을 지원합니다.
      • 암호 설정 지원
      • 암호 변경을 지원하지 않음
    • Oracle(이전의 Sun) 디렉터리 서버 Enterprise Edition
      • 델타 가져오기에 대한 모든 작업을 지원합니다.
      • 암호 설정 및 암호 변경 지원
    • RadiantOne VDS(가상 디렉터리 서버)
      • 버전 7.1.1 이상을 사용해야 합니다.
      • 델타 가져오기에 대한 모든 작업을 지원합니다.
      • 암호 설정 및 암호 변경 지원
    • Sun One 디렉터리 서버
      • 델타 가져오기에 대한 모든 작업을 지원합니다.
      • 암호 설정 및 암호 변경 지원

    필수 조건

    커넥터를 사용하기 전에 동기화 서버에 다음이 있는지 확인합니다.

    • Microsoft .NET 4.6.2 프레임워크 이상

    이 커넥터를 배포하려면 디렉터리 서버의 구성을 변경하고 MIM의 구성을 변경해야 할 수 있습니다. 프로덕션 환경에서 타사 디렉터리 서버와 MIM을 통합하는 배포의 경우 고객은 디렉터리 서버 공급업체 또는 배포 파트너와 협력하여 이 통합에 대한 도움말, 지침 및 지원을 수행하는 것이 좋습니다.

    LDAP 서버 검색

    커넥터는 다양한 기술을 사용하여 LDAP 서버를 감지하고 식별합니다. 커넥터는 루트 DSE, 공급업체 이름/버전을 사용하며 스키마를 검사하여 특정 LDAP 서버에 존재하는 것으로 알려진 고유한 개체 및 특성을 찾습니다. 이 데이터가 발견되면 커넥터의 구성 옵션을 미리 채우는 데 사용됩니다.

    연결된 데이터 원본 권한

    연결된 디렉터리의 개체에 대한 가져오기 및 내보내기 작업을 수행하려면 커넥터 계정에 충분한 권한이 있어야 합니다. 커넥터는 내보낼 수 있는 쓰기 권한과 가져올 수 있는 읽기 권한이 필요합니다. 권한 구성은 대상 디렉터리 자체의 관리 환경 내에서 수행됩니다.

    포트 및 프로토콜

    커넥터는 구성에 지정된 포트 번호를 사용하며, 기본적으로 LDAP의 경우 389, LDAPS의 경우 636입니다.

    LDAPS의 경우 SSL 3.0 또는 TLS를 사용해야 합니다. SSL 2.0은 지원되지 않으며 활성화할 수 없습니다.

    필수 컨트롤 및 기능

    커넥터가 제대로 작동하려면 LDAP 서버에서 다음 LDAP 컨트롤/기능을 사용할 수 있어야 합니다.
    1.3.6.1.4.1.4203.1.5.3 참/거짓 필터

    True/False 필터는 종종 LDAP 디렉터리에서 지원으로 보고되지 않으며 전역 페이지필수 기능 없음항목에 표시될 수 있습니다. 여러 개체 형식을 가져올 때와 같이 LDAP 쿼리에서 OR 필터를 만드는 데 사용됩니다. 둘 이상의 개체 형식을 가져올 수 있는 경우 LDAP 서버에서 이 기능을 지원합니다.

    고유 식별자가 앵커인 디렉터리를 사용하는 경우 다음 기능도 사용할 수 있어야 합니다(자세한 내용은 앵커 구성 섹션 참조).
    모든 작업 특성 1.3.6.1.4.1.4203.1.5.1

    디렉터리에 디렉터리에 대한 한 번의 호출에 들어갈 수 있는 개체보다 많은 개체가 있는 경우 페이징을 사용하는 것이 좋습니다. 페이징이 작동하려면 다음 옵션 중 하나가 필요합니다.

    옵션 1:
    1.2.840.113556.1.4.319 페이징결과제어

    옵션 2:
    2.16.840.1.113730.3.4.9 VLVControl
    1.2.840.113556.1.4.473 sortControl

    커넥터 구성에서 두 옵션을 모두 사용하도록 설정하면 pagedResultsControl이 사용됩니다.

    1.2.840.113556.1.4.417 삭제된 컨트롤 표시

    ShowDeletedControl은 삭제된 개체를 볼 수 있도록 USNChanged 델타 가져오기 메서드와 함께만 사용됩니다.

    커넥터가 서버에 있는 옵션을 검색하려고 합니다. 옵션을 검색할 수 없는 경우 커넥터 속성의 전역 페이지에 경고가 표시됩니다. 모든 LDAP 서버가 지원하는 모든 컨트롤/기능을 제공하는 것은 아니며 이 경고가 있더라도 커넥터는 문제 없이 작동할 수 있습니다.

    델타 가져오기

    델타 가져오기는 이를 지원하는 디렉터리가 검색된 경우에만 사용할 수 있습니다. 현재 사용되는 메서드는 다음과 같습니다.

    지원되지 않음

    다음 LDAP 기능은 지원되지 않습니다.

    • 서버 간 LDAP 조회(RFC 4511/4.1.10)

    새 커넥터 만들기

    일반 LDAP 커넥터를 만들려면 동기화 서비스 에서 관리 에이전트 을 선택하고 만들기를 클릭하세요. 일반 LDAP(Microsoft) 커넥터를 선택합니다.

    새로운 커넥터를 만들기 위해 MIM 동기화 UI 사용하기

    연결성

    연결 페이지에서 호스트, 포트 및 바인딩 정보를 지정해야 합니다. 선택한 바인딩에 따라 다음 섹션에서 추가 정보를 제공할 수 있습니다.

    MIM 동기화 커넥터 구성 연결 페이지

    • 연결 제한 시간 설정은 스키마를 검색할 때 서버에 대한 첫 번째 연결에만 사용됩니다.
    • 바인딩이 익명인 경우 사용자 이름/암호 또는 인증서가 사용되지 않습니다.
    • 다른 바인딩의 경우 사용자 이름/암호에 정보를 입력하거나 인증서를 선택합니다.
    • Kerberos를 사용하여 인증하는 경우 사용자의 영역/도메인도 제공합니다.

    특성 별칭 텍스트 상자는 RFC4522 구문을 사용하여 스키마에 정의된 특성에 사용됩니다. 이러한 특성은 스키마 검색 중에 검색할 수 없으며 커넥터는 이러한 특성을 별도로 구성해야 합니다. 예를 들어 userCertificate 특성을 이진 특성으로 올바르게 식별하려면 특성 별칭 상자에 다음 문자열을 입력해야 합니다.

    userCertificate;binary

    다음 표는 이 구성의 모양에 대한 예제입니다.

    MIM 동기화 커넥터 구성 연결 페이지 특성

    스키마 에서 서버에서 만든 속성을 포함하려면 운영 속성을 포함할 확인란을 선택합니다. 여기에는 개체를 만든 시기 및 마지막 업데이트 시간과 같은 특성이 포함됩니다.

    확장 가능한 개체(RFC4512/4.3)가 사용되는 경우 스키마 확장 가능한 특성 포함 선택하고 이 옵션을 사용하면 모든 개체에서 모든 특성을 사용할 수 있습니다. 이 옵션을 선택하면 스키마가 매우 커지므로 연결된 디렉터리가 이 기능을 사용하지 않는 한 옵션을 선택하지 않는 것이 좋습니다.

    전역 매개 변수

    전역 매개 변수 페이지에서 델타 변경 로그 및 추가 LDAP 기능에 대한 DN을 구성합니다. 페이지는 LDAP 서버에서 제공하는 정보로 미리 채워집니다.

    MIM 동기화 커넥터 구성 전역 매개 변수 페이지

    맨 위 섹션에는 서버 자체에서 제공하는 정보(예: 서버 이름)가 표시됩니다. 또한 커넥터는 필수 컨트롤이 루트 DSE에 있는지 확인합니다. 이러한 컨트롤이 나열되지 않으면 경고가 표시됩니다. 일부 LDAP 디렉터리에는 루트 DSE의 모든 기능이 나열되지 않으며 경고가 있더라도 커넥터가 문제 없이 작동할 수 있습니다.

    지원되는 컨트롤 확인란은 특정 작업에 대한 동작을 제어합니다.

    • 트리 삭제를 선택하면 계층 구조가 하나의 LDAP 호출로 삭제됩니다. 트리 삭제를 선택 취소하면 필요한 경우 커넥터가 재귀 삭제를 수행합니다.
    • 페이징된 결과를 선택하면 커넥터는 실행 단계에서 지정된 크기로 페이징된 가져오기를 수행합니다.
    • VLVControl 및 SortControl은 pagedResultsControl 대신 LDAP 디렉터리에서 데이터를 읽습니다.
    • 세 가지 옵션(pagedResultsControl, VLVControl 및 SortControl)이 모두 선택되지 않은 경우 커넥터는 하나의 작업에서 모든 개체를 가져오며, 큰 디렉터리인 경우 실패할 수 있습니다.
    • ShowDeletedControl은 델타 가져오기 메서드가 USNChanged인 경우에만 사용됩니다.

    변경 로그 DN은 델타 변경 로그에서 사용하는 명명 컨텍스트입니다. 예: cn=changelog. 델타 가져오기를 수행하려면 이 값을 지정해야 합니다.

    다음 표는 기본 변경 로그 DN 목록입니다.

    디렉터리 델타 변경 로그
    Microsoft AD LDS 및 AD GC 자동으로 검색됩니다. 미국 시스템 번호 변경됨.
    Apache 디렉터리 서버 사용할 수 없음.
    디렉터리 389 로그를 변경합니다. 사용할 기본값: cn=changelog
    IBM Tivoli DS 로그를 변경합니다. 사용할 기본값: cn=changelog
    Isode 디렉터리 로그를 변경합니다. 사용할 기본값: cn=changelog
    Novell/NetIQ eDirectory 사용할 수 없음. 타임 스탬프. 커넥터는 마지막으로 업데이트된 날짜/시간을 사용하여 추가 및 업데이트된 레코드를 가져옵니다.
    DJ/DS 열기 로그를 변경합니다. 사용할 기본값: cn=changelog
    LDAP 열기 액세스 로그. 사용할 기본값: cn=accesslog
    Oracle DSEE 로그를 변경합니다. 사용할 기본값: cn=changelog
    RadiantOne VDS 가상 디렉터리. VDS에 연결된 디렉터리에 따라 달라집니다.
    Sun One 디렉터리 서버 로그를 변경합니다. 사용할 기본값: cn=changelog

    암호 특성은 커넥터가 암호 변경 및 암호 설정 작업에서 암호를 설정하는 데 사용해야 하는 특성의 이름입니다. 이 값은 기본적으로 userPassword 설정되지만 특정 LDAP 시스템에 필요한 경우 변경할 수 있습니다.

    추가 파티션 목록에서 자동으로 검색되지 않는 추가 네임스페이스를 추가할 수 있습니다. 예를 들어 이 설정은 여러 서버가 논리 클러스터를 구성하는 경우 사용될 수 있으며 이는 동시에 모두 가져와야 합니다. Active Directory가 하나의 포리스트에서 여러 도메인을 가질 수 있지만 모든 도메인이 하나의 스키마를 공유하는 것처럼 동일하게 이 상자에 추가 네임스페이스를 입력하여 시뮬레이션할 수 있습니다. 각 네임스페이스는 서로 다른 서버에서 가져올 수 있으며 파티션 및 계층 구성 페이지에서 추가로 구성됩니다. Ctrl+Enter를 사용하여 새 줄을 가져옵니다.

    프로비저닝 계층 구조 구성

    이 페이지는 DN 구성 요소(예: OU)를 프로비전해야 하는 개체 유형(예: organizationalUnit)에 매핑하는 데 사용됩니다.

    프로비전 계층 구조

    프로비전 계층 구조를 구성하여 필요할 때 자동으로 구조를 만들도록 커넥터를 구성할 수 있습니다. 예를 들어 네임스페이스 dc=contoso,dc=com 및 새 개체 cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com이 프로비전된 경우 커넥터는 미국에 대한 국가 유형의 개체를 만들고 디렉터리에 아직 없는 경우 Seattle용 organizationalUnit을 만들 수 있습니다.

    파티션 및 계층 구조 구성

    파티션 및 계층 페이지에서 가져오고 내보낼 개체가 있는 모든 네임스페이스를 선택합니다.

    MIM 동기화 커넥터 구성 파티션 페이지MIM Sync connector configuration Partitions pageMIM Sync connector configuration Partitions page

    각 네임스페이스에 대해 연결 화면에 지정된 값을 재정의하는 연결 설정을 구성할 수도 있습니다. 이러한 값이 기본 빈 값으로 남아 있으면 연결 화면의 정보가 사용됩니다.

    커넥터에서 가져와서 내보내야 하는 컨테이너 및 OU를 선택할 수도 있습니다.

    검색을 수행할 때 파티션의 모든 컨테이너에서 이 작업을 수행합니다. 컨테이너 수가 많은 경우 이 동작으로 인해 성능이 저하됩니다.

    비고

    제네릭 LDAP 커넥터 검색에 대한 2017년 3월 업데이트부터 범위에서 선택한 컨테이너로만 제한할 수 있습니다. 이 작업은 아래 이미지와 같이 '선택한 컨테이너에서만 검색' 확인란을 선택하여 수행할 수 있습니다.

    선택한 컨테이너만 검색

    앵커 구성

    이 페이지에는 항상 미리 구성된 값이 있으며 변경할 수 없습니다. 서버 공급업체가 식별된 경우 앵커는 변경할 수 없는 특성(예: 개체의 GUID)으로 채워질 수 있습니다. 검색되지 않았거나 변경할 수 없는 특성이 없는 것으로 알려진 경우 커넥터는 dn(고유 이름)을 앵커로 사용합니다.

    MIM 동기화 커넥터 구성 앵커 페이지

    다음 표는 사용 중인 LDAP 서버 및 앵커 목록입니다.

    디렉터리 앵커 속성
    Microsoft AD LDS 및 AD GC objectGUID
    389 디렉터리 서버 dn
    Apache 디렉터리 dn
    IBM Tivoli DS dn
    Isode 디렉터리 dn
    Novell/NetIQ eDirectory GUID
    DJ/DS 열기 dn
    LDAP 열기 dn
    Oracle ODSEE dn
    RadiantOne VDS dn
    Sun One 디렉터리 서버 dn

    기타 참고 사항

    이 섹션에서는 이 커넥터와 관련된 측면의 정보를 제공하거나 다른 이유로 알고 있는 것이 중요합니다.

    델타 임포트

    Open LDAP의 델타 워터마크는 UTC 날짜/시간입니다. 이러한 이유로 FIM 동기화 서비스와 Open LDAP 사이의 클록을 동기화해야 합니다. 그렇지 않은 경우 델타 변경 로그의 일부 항목이 생략될 수 있습니다.

    Novell eDirectory의 경우 델타 가져오기는 개체 삭제를 검색하지 않습니다. 이러한 이유로 전체 가져오기를 주기적으로 실행하여 삭제된 모든 개체를 찾아야 합니다.

    날짜/시간을 기반으로 하는 델타 변경 로그가 있는 디렉터리에서는 정기적으로 전체 가져오기를 실행하는 것이 좋습니다. 이 프로세스를 통해 동기화 엔진은 LDAP 서버와 커넥터 공간에 현재 있는 서버 간에 서로 다른 항목을 찾아서 구분할 수 있습니다.

    문제 해결

    • 커넥터 문제를 해결하기 위해 로깅을 사용하도록 설정하는 방법에 대한 자세한 내용은 커넥터ETW 추적을 사용하도록 설정하는 방법을 참조하세요.