소개
이 문서에서는 ESA(Email Security Appliance)에서 LDAP 그룹 쿼리가 작동하지 않는 이유에 대해 설명합니다.
LDAP 그룹 쿼리가 Active Directory에서 작동하지 않는 이유는 무엇입니까?
LDAP 그룹 쿼리가 지정된 그룹의 구성원인 사용자와 함께 테스트할 때 예상되는 결과를 생성하지 않는 이유는 무엇입니까?
Microsoft Active Directory를 사용하는 그룹 쿼리를 사용하면 그룹의 CN(Common Name)이 아니라 DN(Distinguished Name)을 사용해야 합니다. 다음은 이러한 두 항목의 예입니다.
일반 이름(CN):
관리자
피닉스 사용자
DN(고유 이름):
CN=관리자, DC=예, DC=Com
CN=Phoenix-Users, OU=Phoenix, DC=Cisco, DC=Com
DN이 무엇인지 잘 모르는 경우 Active Directory 사용자 및 컴퓨터에서 찾을 수 있습니다.
- 'View'(보기) 메뉴로 이동하여 'Advanced Features'(고급 기능)를 선택합니다.
- 원하는 그룹 개체의 속성에서 'Attribute Editor'를 클릭합니다.
- 'distinguishedName' 특성으로 스크롤하고 특성을 두 번 클릭합니다.
- 전체 문자열을 강조 표시해야 합니다. 마우스 오른쪽 단추를 클릭하고 클립보드에 복사
그룹의 DN이 있으면 그룹의 이름을 지정할 때마다 이 그룹을 사용할 수 있습니다. 여기에는 테스트 쿼리, 콘텐츠 및 메시지 필터, 메일 정책도 포함됩니다.
또 다른 방법은 다음 두 프로그램 중 하나를 사용하여 DN을 찾는 것입니다.
ADE탐색기:
http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx
Softerra LDAP 브라우저:
http://www.ldapadministrator.com/download.htm
이러한 툴 중 하나를 이러한 용도로 사용하는 일반적인 프로세스는 다음과 같습니다.
- LDAP 검색 도구를 사용하여 도메인 컨트롤러에 연결
- 그룹의 멤버인 사용자 객체 찾기
- 사용자 개체의 'memberOf' 특성을 찾습니다.
- 대상으로 지정하려는 그룹에 해당하는 DN을 찾습니다.
- 이 특성에서 대상 그룹의 DN을 복사합니다.
피드백