Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.2. Active Directory 및 Identity Identity Management numerous;Management

IdM 도메인 내에서 데이터 마스터(서버와 복제본) 간에 정보를 안정적이고 예측 가능한 방식으로 복사하여 서버와 복제본 간에 정보를 공유할 수 있습니다. 이 프로세스는 복제 입니다.
비슷한 프로세스를 사용하여 IdM 도메인과 Microsoft Active Directory 도메인 간의 데이터를 공유할 수 있습니다. synchronization 입니다.
동기화는 사용자 데이터를 Active Directory와 IdentityIdentity Management}};Management 간에 복사하는 프로세스입니다. 사용자가 ActiveActive Directory QCOW;Directory 및 IdentityIdentity ManagementProvision;Management 간에 동기화되는 경우, 디렉터리 동기화(DirSync) LDAP 서버 확장 컨트롤은 변경된 오브젝트의 디렉터리를 검색하는 데 사용됩니다.

그림 6.1. ActiveActive Directory explain;Directory 및 IdM Synchronization

ActiveActive Directory explain;Directory 및 IdM Synchronization
동기화는 anan IdMprovide;IdM 서버와 ActiveActive Directory qcow;Directory 도메인 컨트롤러 간의 계약에 정의되어 있습니다. 계약에서는 동기화할 하위 트리와 같이 동기화될 수 있는 사용자 항목을 식별하는 데 필요한 모든 정보와 계정 특성을 처리하는 방법을 정의합니다. 동기화 계약은 특정 도메인의 요구 사항을 충족하기 위해 조정할 수 있는 기본값을 사용하여 생성됩니다. 두 서버가 동기화에 참여하면 피어 라고 합니다.

표 6.1. 동기화 계약의 정보

Windows 정보 IdM 정보
  • 사용자 하위 트리(cn=Users,$SUFFIX)
  • 연결 정보
    • ActiveActive Directory HAT;Directory 사용자 이름 및 암호
    • 암호 동기화 서비스 암호
    • CA 인증서
  • 사용자 하위 트리 (ou=People, $SUFFIX)
동기화는 가장 일반적으로 양방향 입니다. IdM 서버와 복제본에서 정보를 공유하는 방법과 매우 유사한 프로세스의 IdM과 Windows 도메인 간에 정보가 다시 전송됩니다. 예외는 새 사용자 항목으로, Windows 도메인에서 IdM 도메인에만 추가됩니다. 한 가지 방법만 동기화하도록 동기화를 구성할 수 있습니다. 이는 단방향 동기화입니다.
데이터 충돌 위험을 방지하려면 하나의 디렉토리만 사용자 항목을 시작하거나 제거해야 합니다. 일반적으로 IT 환경의 주요 ID 저장소인 Windows 디렉터리이며, 새 계정 또는 계정 삭제가 IdentityIdentity ManagementProvision;Management 피어와 동기화됩니다. 두 디렉토리 모두 항목을 수정할 수 있습니다.
그런 다음, 하나의 IdentityIdentity Management pxe;Management 서버와 ActiveActive Directory qcow;Directory 도메인 컨트롤러 한 개 간에 동기화가 구성됩니다. IdentityIdentity Management {{;Management 서버는 IdM 도메인 전체에서 전파되지만 도메인 컨트롤러는 Windows 도메인 전체에서 변경 사항을 전파합니다.

그림 6.2. 동기화 토폴로지

동기화 토폴로지
IdM 동기화의 몇 가지 주요 기능이 있습니다.
  • 동기화 작업은 5분마다 실행됩니다. 빈도를 수정하려면 Active Directory 피어 DN에서 winSyncInterval 속성을 설정합니다. 
    cn=meTowinserver.ad.example.com,cn=replica,cn=dc\3Didm\,dc\3Dexample\,dc\3Dcom,cn=mapping tree,cn=config
  • 동기화는 하나의 ActiveActive Directory HAT;Directory 도메인으로만 구성할 수 있습니다.
  • 동기화는 하나의 ActiveActive Directory HAT;Directory 도메인 컨트롤러로만 구성할 수 있습니다.
  • 사용자 정보만 동기화되고 그룹 정보는 동기화되지 않습니다.
  • 사용자 속성 및 암호 모두 동기화될 수 있습니다.
  • 수정 사항은 양방향(ActiveActive Directory gain;Directory에서 IdM으로, IdM에서 ActiveActive Directory QCOW;Directory)에 대한 변경 사항이지만, 계정을 생성하는 것은 ActiveActive Directory(Directory)에서 IdentityIdentity Management(IdentityIdentity Management Tech;Management)에 이르기까지 무의 직접적인 계정일 뿐입니다. ActiveActive Directory illustrated;Directory에서 생성된 새 계정은 IdM과 자동으로 동기화됩니다. 그러나 IdM에서 생성된 사용자 계정도 ActiveActive Directory Long;Directory에서 생성해야 동기화됩니다. 이 경우 동기화 프로세스는 ActiveActive Directory qcow;Directory의 sAMAccountName 속성과 IdM에서 uid 속성에 대해 동일한 값을 가진 일치하는 계정을 찾습니다. 일치하는 항목이 있는 경우 IdM ntUserDomainId 속성이 ActiveActive Directory qcow;Directory objectGUID 값으로 설정됩니다. 이러한 속성은 전역적으로 고유하고 변경할 수 없으며, 이동되거나 이름이 변경된 경우에도 항목이 동기화 상태를 유지합니다.
  • 계정 잠금 정보는 기본적으로 동기화되므로 한 도메인에서 비활성화된 사용자 계정이 다른 도메인에서 비활성화됩니다.
  • 암호 동기화 변경 사항이 즉시 적용됩니다. 한 피어에서 사용자 암호를 추가하거나 변경하면 해당 변경 사항이 다른 피어 서버로 즉시 전파됩니다.
    암호 동기화 클라이언트는 새 암호 또는 암호 업데이트를 동기화합니다.
    IdM 및 ActiveActive Directory}};Directory에서 해시된 양식에 저장된 기존 암호는 암호 동기화 클라이언트를 설치할 때 암호를 해독하거나 동기화할 수 없으므로 기존 암호가 동기화되지 않습니다. 피어 서버 간 동기화를 시작하려면 사용자 암호를 변경해야 합니다.
  • 하나의 계약만 있을 수 있지만 모든 ActiveActive Directory-2020:;Directory 서버에 PassSync 서비스가 설치되어 있어야 합니다.
ActiveActive Directory QCOW;Directory 사용자가 IdM과 동기화되면 특정 속성(Kerberos 및 POSIX 속성 포함)에 IPA 속성이 사용자 항목에 자동으로 추가됩니다. 이러한 속성은 IdM에서 도메인 내에서 사용합니다. 해당 ActiveActive Directory qcow;Directory 사용자 항목을 통해 다시 동기화되지 않습니다.
동기화의 일부 데이터는 동기화 프로세스의 일부로 수정할 수 있습니다. 예를 들어, 특정 속성을 IdM 도메인에 동기화할 때 ActiveActive Directory 6.7;Directory 사용자 계정에 자동으로 추가할 수 있습니다. 이러한 특성 변경 사항은 동기화 계약의 일부로 정의되며 6.5.2절. “사용자 계정 특성 동기화를 위한 동작 변경” 에 설명되어 있습니다.