8장. 구성 파일 참조

구성하는 대부분의 Directory Server 기능은 디렉터리의 cn=config 항목에 있습니다. 그러나 특정 기능의 경우 Directory Server는 구성 파일에서 설정을 읽습니다. 이 장에서는 이러한 파일 및 해당 설정을 설명합니다.

8.1. certmap.conf

인증서 기반 인증을 설정하면 /etc/dirsrv/slapd-instance_name/certmap.conf 파일이 Directory Server에서 인증서를 사용자 항목에 동적으로 매핑하는 방법을 관리합니다.

/etc/dirsrv/slapd-instance_name/certmap.conf 파일은 다음 형식을 사용합니다. 

certmap alias_name            certificate_issuer_DN
alias_name:parameter_name     value

다른 CAN(Certificate issuer Distinguished Names)에 대해 개별 설정을 지정할 수 있습니다. 별도의 구성이 없는 발행자 DN의 경우 기본 항목의 설정이 사용됩니다. 다음은 기본 항목에 필요한 최소 구성입니다. 

certmap default     default

또한 기본 항목에 사용 가능한 모든 매개변수를 설정할 수 있습니다. Directory Server는 발급자 DN에 대한 개별 구성에 지정되지 않은 경우 이를 사용합니다.

예 8.1. 기본 항목 및 특정 문제 DN 구성

다음 구성은 o=Example Inc.,c=US issuer DN이 설정된 인증서에 대한 개별 설정을 설정합니다. 다른 인증서는 기본 항목의 설정을 사용합니다. 

certmap default         default
default:DNComps         dc
default:FilterComps     mail, cn
default:VerifyCert      on

certmap example         o=Example Inc.,c=US
example:DNComps

다음 매개변수를 설정할 수 있습니다.

DNComps

DNComps 매개 변수는 Directory Server가 디렉터리에서 사용자를 검색하는 데 사용되는 기본 DN을 생성하는 방법을 결정합니다.

  • 인증서의 subject 필드에 있는 속성이 기본 DN과 일치하는 경우 DNComps 매개변수를 이러한 속성으로 설정합니다. 여러 특성을 쉼표로 구분합니다. 그러나 DNComps 매개변수의 속성 순서는 인증서 주체의 순서와 일치해야 합니다.

    예를 들어 인증서의 주체가 e=user_name@example.com,cn= user_name ,c=US ., Directory Server가 cn=user_name,o=Example Inc.,c=US 를 검색할 때 기본 DN으로 설정하고 , DNComps 매개변수가 cn=user_name,o=Example Inc.,c=US 를 기본 DN으로 설정하려면 cn= user_name ,o=Example Inc.,c =US를 선택합니다.

    중요

    DNComps 매개변수에 설정된 속성 값은 데이터베이스에서 고유해야 합니다.

  • 기본 DN을 인증서의 subject 필드에서 생성할 수 없는 경우 매개 변수를 빈 값으로 설정합니다. 이 경우 Directory Server는 FilterComps 매개 변수의 설정에서 생성된 필터를 사용하여 전체 디렉터리에서 사용자를 검색합니다.

    예를 들어 인증서의 주체가 e=user_name@example.com,cn=user_name,c=US 이지만 Directory Server가 dc= example,dc=com 항목에 해당 데이터를 저장하는 경우, 필요한 구성 요소는 필수 구성 요소가 주체의 일부가 아니므로 디렉터리 서버에서 유효한 기본 DN을 생성할 수 없습니다. 이 경우 DNComps 를 빈 문자열로 설정하여 전체 디렉터리에서 사용자를 검색합니다.

  • 인증서의 subject 필드가 Directory Server에서 사용자의 DN과 정확히 일치하거나 CmapLdapAttr 매개변수의 설정을 사용하려는 경우 이 매개변수를 주석 처리하지 마십시오.

    또는 cn=config 항목에서 nsslapd-certmap-basedn 매개변수를 설정하여 하드 코딩된 기본 DN을 사용합니다.

FilterComps

이 매개변수는 인증서 Directory Server의 subject 필드에서 사용자를 찾기 위해 검색 필터를 생성하는 데 사용하는 속성을 설정합니다.

  • 이 매개 변수를 인증서 주체에 사용되는 쉼표로 구분된 속성 목록으로 설정합니다. Directory Server는 필터의 AND 작업에서 이러한 속성을 사용합니다.

    참고

    인증서 주체는 기본 디렉터리 서버 스키마에 존재하지 않는 이메일 주소에 대해 e 속성을 사용합니다. 이러한 이유로 Directory Server는 이 속성을 mail 속성에 자동으로 매핑합니다. 즉, FilterComps 매개변수에서 mail 속성을 사용하는 경우 Directory Server는 인증서 주체에서 e 속성 값을 읽습니다.

    예를 들어 인증서 제목이 e=user_name@example.com,cn=user_name,dc=example,dc=com, o= example Inc.,c=US인 경우 (&(mail= username@domain)) 필터를 동적으로 생성하려는 경우 FilterComps 매개 변수를 mail, cn=name매개 변수 cn=cn =name ) 로 설정합니다.

  • 매개변수가 주석 처리되거나 빈 값으로 설정된 경우 (objectclass=*) 필터가 사용됩니다.
verifycert

Directory Server는 신뢰할 수 있는 CA(인증 기관)에서 발급한 인증서가 있는지 항상 확인합니다. 그러나 또한 verifycert 매개변수를 의 로 설정하면 Directory Server는 인증서가 사용자의 userCertificate 바이너리 속성에 저장된 Distinguish Encoding Rules (DER) 형식의 인증서와 일치하는지 추가로 확인합니다.

이 매개변수를 설정하지 않으면 cert가 비활성화되어 있는지 확인합니다.

CmapLdapAttr
사용자 항목에 사용자 인증서의 주체 DN을 저장하는 속성이 포함된 경우 CmapLdapAttr 을 이 특성 이름으로 설정합니다. Directory Server는 이 속성과 제목 DN을 사용하여 사용자를 찾습니다. 이 경우 FilterComps 매개 변수의 특성을 기반으로 필터가 생성되지 않습니다.
라이브러리
경로 이름을 공유 라이브러리 또는DLL(동적 링크 라이브러리) 파일로 설정합니다.Sets the path name to a shared library or Dynamic Link Library (DLL) file. 인증서 API를 사용하여 자체 속성을 생성하는 경우에만 이 설정을 사용합니다. 이 매개변수는 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.
InitFn
사용자 정의 라이브러리를 사용하는 경우 init 함수의 이름을 설정합니다. 인증서 API를 사용하여 자체 속성을 생성하는 경우에만 이 설정을 사용합니다. 이 매개변수는 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.
중요

Directory Server가 일치하는 사용자를 검색하는 경우 검색에서 정확히 하나의 항목을 반환해야 합니다. 검색에서 여러 항목을 반환하면 Directory Server에서 여러 일치 오류가 발생하고 인증이 실패합니다.

자세한 내용은 디렉터리 서버 관리 가이드의 해당 섹션을 참조하십시오.