소개
이 문서에서는 LDAP 그룹 쿼리가 ESA(Email Security Appliance)에서 작동하지 않을 수 있는 이유를 설명합니다.
LDAP 그룹 쿼리가 Active Directory에서 작동하지 않는 이유는 무엇입니까?
LDAP 그룹 쿼리가 반드시 지정된 그룹의 멤버인 사용자를 대상으로 테스트할 때 예상 결과를 생성하지 않는 이유는 무엇입니까?
Microsoft Active Directory를 사용하는 그룹 쿼리의 경우 그룹의 일반 이름(CN)이 아니라 DN(고유 이름)을 사용해야 합니다. 다음은 이 두 항목의 몇 가지 예입니다.
공용 이름(CN):
관리자
피닉스 유저스
DN(고유 이름):
CN=Administrators, DC=Example, DC=Com
CN=Phoenix-Users, OU=Phoenix, DC=Cisco, DC=Com
DN이 무엇인지 확실하지 않은 경우 Active Directory 사용자 및 컴퓨터에서 찾을 수 있습니다.
- 'View'(보기) 메뉴로 이동하여 'Advanced Features'(고급 기능)를 선택합니다
- 원하는 그룹 객체의 등록 정보에서 '속성 편집기'를 클릭합니다.
- 'distinguishedName' 특성으로 스크롤하여 해당 특성을 두 번 클릭합니다
- 전체 문자열을 강조 표시해야 합니다. 마우스 오른쪽 단추를 클릭하여 클립보드로 복사합니다.
그룹의 DN이 있으면 그룹 이름을 지정할 때마다 사용할 수 있습니다. 여기에는 테스트 쿼리, 콘텐츠 및 메시지 필터, 메일 정책도 포함됩니다.
또 다른 접근 방식은 다음 두 프로그램 중 하나를 사용하여 DN을 찾는 것입니다.
ADExplorer:
http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx
소프트웨어 LDAP 브라우저:
http://www.ldapadministrator.com/download.htm
이러한 목적을 위해 이러한 툴 중 하나를 사용하는 일반적인 프로세스는 다음과 같습니다.
- LDAP 검색 도구를 사용하여 도메인 컨트롤러에 연결
- 그룹의 멤버인 사용자 객체를 찾습니다
- 사용자 개체의 'memberOf' 특성 찾기
- 대상으로 지정하려는 그룹에 해당하는 DN을 찾습니다
- 이 특성에서 대상 그룹의 DN 복사