이 문서에서는 외부 인증을 위해 의 인증 객체를 구성하기 위해 AD(Active Directory) LDAP 객체 특성을 식별하는 방법에 대해 설명합니다.
외부 인증을 위해 FireSIGHT Management Center에서 인증 객체를 구성하기 전에 외부 인증이 의도한 대로 작동하려면 사용자 및 보안 그룹의 AD LDAP 특성을 식별해야 합니다.이를 위해 Microsoft에서 제공하는 GUI 기반 LDAP 클라이언트, Ldp.exe 또는 타사 LDAP 브라우저를 사용할 수 있습니다.이 문서에서는 ldp.exe를 사용하여 로컬 또는 원격으로 AD 서버를 연결, 바인딩 및 찾아보고 특성을 식별합니다.
1단계:ldp.exe 응용 프로그램을 시작합니다.시작 메뉴로 이동하여 실행을 클릭합니다.ldp.exe를 입력하고 확인 단추를 누릅니다.
2단계:서버에 연결합니다.Connection(연결)을 선택하고 Connect(연결)를 클릭합니다.
다음 스크린샷은 Windows 호스트의 원격 연결을 보여줍니다.
다음 스크린샷은 AD DC의 로컬 연결을 보여줍니다.
3단계. AD DC에 바인딩합니다.Connection(연결) > Bind(바인딩)로 이동합니다.사용자, 비밀번호 및 도메인을 입력합니다.확인을 클릭합니다.
연결 시도가 성공하면 다음과 같은 출력이 표시됩니다.
또한 ldp.exe의 왼쪽 창에 있는 출력에는 AD DC에 대한 바인딩이 성공적으로 표시됩니다.
4단계:디렉토리 트리를 찾습니다.View > Tree를 클릭하고 드롭다운 목록에서 도메인 BaseDN을 선택한 다음 OK를 클릭합니다.이 기본 DN은 인증 객체에서 사용되는 DN입니다.
5단계:ldp.exe의 왼쪽 창에서 AD 개체를 두 번 클릭하여 컨테이너를 리프 개체 수준으로 확장하고 사용자가 속한 AD 보안 그룹으로 이동합니다.그룹을 찾은 후 그룹을 마우스 오른쪽 버튼으로 클릭한 다음 Copy DN(DN 복사)을 선택합니다.
그룹이 어떤 OU(Organizational Unit)에 있는지 확실하지 않으면 Base DN 또는 Domain을 마우스 오른쪽 버튼으로 클릭하고 Search를 선택합니다.프롬프트가 표시되면 cn=<group name>을 필터로 입력하고 Subtree를 범위로 입력합니다.결과를 얻은 다음 그룹의 DN 특성을 복사할 수 있습니다.cn=*admin*과 같은 와일드카드 검색을 수행할 수도 있습니다.
인증 객체의 기본 필터는 다음과 같아야 합니다.
다음 예에서는 AD 사용자에게 기본 필터와 일치하는 memberOf 특성이 있습니다.앞의 memberOf 특성 수는 사용자가 구성원으로 속해 있는 그룹 수를 나타냅니다.사용자는 하나의 보안 그룹인 secadmins의 멤버입니다.
6단계:인증 객체에서 가장 계정으로 사용할 사용자 계정으로 이동하고 사용자 계정을 마우스 오른쪽 버튼으로 클릭하여 DN을 복사합니다.
인증 객체의 사용자 이름에 이 DN을 사용합니다.예를 들어
사용자 이름:CN=sfdc1,CN=서비스 계정,DC=VirtualLab,DC=local
그룹 검색과 마찬가지로 CN 또는 name=sfdc1과 같은 특정 특성을 가진 사용자를 검색할 수도 있습니다.