요청하신 자료를 사용할 수 없습니다. 이 버전의 제품에 적용되지 않거나 이 버전의 문서에서 관련 정보가 다르게 구성되어 있습니다. 제안 작업: 검색, 찾아보기 또는 다른 버전으로 돌아가기.

본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

LDAP 관리

11/12/2025 기여자

PDF

SolidFire 저장소에 대한 안전한 디렉토리 기반 로그인 기능을 활성화하기 위해 LDAP(Lightweight Directory Access Protocol)를 설정할 수 있습니다. 클러스터 수준에서 LDAP를 구성하고 LDAP 사용자와 그룹에 권한을 부여할 수 있습니다.

LDAP 관리에는 기존 Microsoft Active Directory 환경을 사용하여 SolidFire 클러스터에 대한 LDAP 인증을 설정하고 구성을 테스트하는 작업이 포함됩니다.

IPv4와 IPv6 주소를 모두 사용할 수 있습니다.

LDAP를 활성화하려면 다음과 같은 상위 단계가 필요하며, 각 단계에 대해 자세히 설명합니다.

LDAP 지원을 위한 사전 구성 단계를 완료합니다. LDAP 인증을 구성하는 데 필요한 모든 세부 정보가 있는지 확인하세요.
LDAP 인증을 활성화합니다. Element UI나 Element API를 사용하세요.
LDAP 구성을 검증합니다. 선택적으로 GetLdapConfiguration API 메서드를 실행하거나 Element UI를 사용하여 LCAP 구성을 확인하여 클러스터가 올바른 값으로 구성되었는지 확인합니다.
LDAP 인증 테스트 ( readonly 사용자). TestLdapAuthentication API 메서드를 실행하거나 Element UI를 사용하여 LDAP 구성이 올바른지 테스트합니다. 이 초기 테스트에서는 사용자 이름 "`sAMAccountName`"을 사용합니다. readonly 사용자. 이렇게 하면 클러스터가 LDAP 인증을 위해 올바르게 구성되었는지 확인하고 다음 사항도 확인합니다. readonly 자격 증명과 액세스 권한이 정확합니다. 이 단계가 실패하면 1~3단계를 반복합니다.
LDAP 인증을 테스트합니다 (추가하려는 사용자 계정으로). Element 클러스터 관리자로 추가하려는 사용자 계정으로 4단계를 반복합니다. 복사하다 distinguished 이름(DN) 또는 사용자(또는 그룹). 이 DN은 6단계에서 사용됩니다.
LDAP 클러스터 관리자 추가 (LDAP 인증 테스트 단계에서 DN을 복사하여 붙여넣습니다). Element UI 또는 AddLdapClusterAdmin API 메서드를 사용하여 적절한 액세스 수준을 가진 새로운 클러스터 관리자 사용자를 만듭니다. 사용자 이름에는 5단계에서 복사한 전체 DN을 붙여넣습니다. 이렇게 하면 DN이 올바르게 형식화됩니다.
클러스터 관리자 액세스를 테스트합니다. 새로 생성된 LDAP 클러스터 관리자 사용자를 사용하여 클러스터에 로그인합니다. LDAP 그룹을 추가한 경우 해당 그룹의 모든 사용자로 로그인할 수 있습니다.

LDAP 지원을 위한 사전 구성 단계 완료

Element에서 LDAP 지원을 활성화하기 전에 Windows Active Directory 서버를 설정하고 다른 사전 구성 작업을 수행해야 합니다.

단계

Windows Active Directory 서버를 설정합니다.
선택 사항: LDAPS 지원을 활성화합니다.
사용자와 그룹을 생성합니다.
LDAP 디렉토리를 검색하는 데 사용할 읽기 전용 서비스 계정(예: “sfreadonly”)을 만듭니다.

Element 사용자 인터페이스를 사용하여 LDAP 인증 활성화

기존 LDAP 서버와 스토리지 시스템 통합을 구성할 수 있습니다. 이를 통해 LDAP 관리자는 사용자의 스토리지 시스템 액세스를 중앙에서 관리할 수 있습니다.

Element 사용자 인터페이스나 Element API를 사용하여 LDAP를 구성할 수 있습니다. 이 절차에서는 Element UI를 사용하여 LDAP를 구성하는 방법을 설명합니다.

이 예제에서는 SolidFire 에서 LDAP 인증을 구성하는 방법을 보여줍니다. SearchAndBind 인증 유형으로. 이 예제에서는 단일 Windows Server 2012 R2 Active Directory 서버를 사용합니다.

단계

클러스터 > *LDAP*를 클릭합니다.
LDAP 인증을 활성화하려면 *예*를 클릭하세요.
*서버 추가*를 클릭합니다.
*호스트 이름/IP 주소*를 입력하세요.

선택적으로 사용자 정의 포트 번호를 입력할 수도 있습니다.

예를 들어, 사용자 정의 포트 번호를 추가하려면 <호스트 이름 또는 IP 주소>:<포트 번호>를 입력합니다.
선택 사항: *LDAPS 프로토콜 사용*을 선택합니다.
*일반 설정*에 필요한 정보를 입력하세요.
*LDAP 사용*을 클릭합니다.
사용자의 서버 액세스를 테스트하려면 *사용자 인증 테스트*를 클릭하세요.
나중에 클러스터 관리자를 생성할 때 사용할 고유 이름과 사용자 그룹 정보를 복사합니다.
새로운 설정을 저장하려면 *변경 사항 저장*을 클릭하세요.
누구나 로그인할 수 있도록 이 그룹에 사용자를 만들려면 다음을 완료하세요.
1. 사용자 > *보기*를 클릭합니다.
2. 새 사용자의 경우 사용자 유형에서 *LDAP*를 클릭하고 복사한 그룹을 고유 이름 필드에 붙여넣습니다.
3. 일반적으로 모든 권한을 선택합니다.
4. 최종 사용자 라이선스 계약으로 스크롤하여 *동의합니다*를 클릭하세요.
5. *클러스터 관리자 만들기*를 클릭합니다.
  
  이제 Active Directory 그룹 값을 가진 사용자가 생겼습니다.

이를 테스트하려면 Element UI에서 로그아웃한 다음 해당 그룹의 사용자로 다시 로그인하세요.

Element API를 사용하여 LDAP 인증 활성화

Element 사용자 인터페이스나 Element API를 사용하여 LDAP를 구성할 수 있습니다. 이 절차에서는 Element API를 사용하여 LDAP를 구성하는 방법을 설명합니다.

SolidFire 클러스터에서 LDAP 인증을 활용하려면 먼저 클러스터에서 LDAP 인증을 활성화해야 합니다. EnableLdapAuthentication API 방식.

단계

클러스터에서 LDAP 인증을 먼저 활성화합니다. EnableLdapAuthentication API 방식.

필요한 정보를 입력하세요.

{
     "method":"EnableLdapAuthentication",
     "params":{
          "authType": "SearchAndBind",
          "groupSearchBaseDN": "dc=prodtest,dc=solidfire,dc=net",
          "groupSearchType": "ActiveDirectory",
          "searchBindDN": "SFReadOnly@prodtest.solidfire.net",
          "searchBindPassword": "ReadOnlyPW",
          "userSearchBaseDN": "dc=prodtest,dc=solidfire,dc=net ",
          "userSearchFilter": "(&(objectClass=person)(sAMAccountName=%USERNAME%))"
          "serverURIs": [
               "ldap://172.27.1.189",
          [
     },
  "id":"1"
}

다음 매개변수의 값을 변경합니다.

사용된 매개변수	설명
인증 유형: 검색 및 바인딩	클러스터가 읽기 전용 서비스 계정을 사용하여 먼저 인증되는 사용자를 검색한 다음, 해당 사용자를 찾아 인증하면 해당 사용자를 바인딩하도록 지정합니다.
groupSearchBaseDN: dc=prodtest,dc=solidfire,dc=net	LDAP 트리에서 그룹 검색을 시작할 위치를 지정합니다. 이 예에서는 트리의 루트를 사용했습니다. LDAP 트리가 매우 큰 경우 검색 시간을 줄이기 위해 이를 더 세부적인 하위 트리로 설정할 수 있습니다.
userSearchBaseDN: dc=prodtest,dc=solidfire,dc=net	LDAP 트리에서 사용자 검색을 시작할 위치를 지정합니다. 이 예에서는 트리의 루트를 사용했습니다. LDAP 트리가 매우 큰 경우 검색 시간을 줄이기 위해 이를 더 세부적인 하위 트리로 설정할 수 있습니다.
groupSearchType: ActiveDirectory	Windows Active Directory 서버를 LDAP 서버로 사용합니다.
userSearchFilter: “(&(objectClass=person)(sAMAccountName=%USERNAME%))” userPrincipalName(로그인용 이메일 주소)을 사용하려면 userSearchFilter를 다음과 같이 변경할 수 있습니다. “(&(objectClass=person)(userPrincipalName=%USERNAME%))” 또는 userPrincipalName과 sAMAccountName을 모두 검색하려면 다음 userSearchFilter를 사용할 수 있습니다. “(&(objectClass=person)(	(sAMAccountName=%USERNAME%)(userPrincipalName=%USERNAME%)))” ----
SolidFire 클러스터에 로그인하기 위해 sAMAccountName을 사용자 이름으로 활용합니다. 이러한 설정은 LDAP가 sAMAccountName 속성에서 로그인 시 지정된 사용자 이름을 검색하도록 지시하고 objectClass 속성에 “person” 값이 있는 항목으로 검색을 제한합니다.	검색BindDN
이는 LDAP 디렉토리를 검색하는 데 사용되는 읽기 전용 사용자의 고유 이름입니다. Active Directory의 경우 일반적으로 사용자의 userPrincipalName(이메일 주소 형식)을 사용하는 것이 가장 쉽습니다.	검색바인드패스워드

사용된 매개변수

설명

인증 유형: 검색 및 바인딩

클러스터가 읽기 전용 서비스 계정을 사용하여 먼저 인증되는 사용자를 검색한 다음, 해당 사용자를 찾아 인증하면 해당 사용자를 바인딩하도록 지정합니다.

groupSearchBaseDN: dc=prodtest,dc=solidfire,dc=net

LDAP 트리에서 그룹 검색을 시작할 위치를 지정합니다. 이 예에서는 트리의 루트를 사용했습니다. LDAP 트리가 매우 큰 경우 검색 시간을 줄이기 위해 이를 더 세부적인 하위 트리로 설정할 수 있습니다.

userSearchBaseDN: dc=prodtest,dc=solidfire,dc=net

LDAP 트리에서 사용자 검색을 시작할 위치를 지정합니다. 이 예에서는 트리의 루트를 사용했습니다. LDAP 트리가 매우 큰 경우 검색 시간을 줄이기 위해 이를 더 세부적인 하위 트리로 설정할 수 있습니다.

groupSearchType: ActiveDirectory

Windows Active Directory 서버를 LDAP 서버로 사용합니다.

userSearchFilter:
“(&(objectClass=person)(sAMAccountName=%USERNAME%))”

userPrincipalName(로그인용 이메일 주소)을 사용하려면 userSearchFilter를 다음과 같이 변경할 수 있습니다.

“(&(objectClass=person)(userPrincipalName=%USERNAME%))”

또는 userPrincipalName과 sAMAccountName을 모두 검색하려면 다음 userSearchFilter를 사용할 수 있습니다.

“(&(objectClass=person)(

(sAMAccountName=%USERNAME%)(userPrincipalName=%USERNAME%)))” ----

SolidFire 클러스터에 로그인하기 위해 sAMAccountName을 사용자 이름으로 활용합니다. 이러한 설정은 LDAP가 sAMAccountName 속성에서 로그인 시 지정된 사용자 이름을 검색하도록 지시하고 objectClass 속성에 “person” 값이 있는 항목으로 검색을 제한합니다.

검색BindDN

이는 LDAP 디렉토리를 검색하는 데 사용되는 읽기 전용 사용자의 고유 이름입니다. Active Directory의 경우 일반적으로 사용자의 userPrincipalName(이메일 주소 형식)을 사용하는 것이 가장 쉽습니다.

검색바인드패스워드

이를 테스트하려면 Element UI에서 로그아웃한 다음 해당 그룹의 사용자로 다시 로그인하세요.

LDAP 세부 정보 보기

클러스터 탭의 LDAP 페이지에서 LDAP 정보를 확인하세요.

이러한 LDAP 구성 설정을 보려면 LDAP를 활성화해야 합니다.

Element UI로 LDAP 세부 정보를 보려면 클러스터 > *LDAP*를 클릭하세요.
- 호스트 이름/IP 주소: LDAP 또는 LDAPS 디렉토리 서버의 주소입니다.
- 인증 유형: 사용자 인증 방법입니다. 가능한 값:
  - 직접 바인딩
  - 검색 및 바인딩
- 검색 바인드 DN: 사용자에 대한 LDAP 검색을 수행하기 위해 로그인하는 데 사용되는 완전히 적격한 DN(LDAP 디렉토리에 대한 바인드 수준 액세스 필요).
- 검색 바인드 비밀번호: LDAP 서버에 대한 액세스를 인증하는 데 사용되는 비밀번호입니다.
- 사용자 검색 기본 DN: 사용자 검색을 시작하는 데 사용되는 트리의 기본 DN입니다. 시스템은 지정된 위치의 서브트리를 검색합니다.
- 사용자 검색 필터: 도메인 이름을 사용하여 다음을 입력하세요.
  
  (&(objectClass=person)(|(sAMAccountName=%USERNAME%)(userPrincipalName=%USERNAME%)))
- 그룹 검색 유형: 기본적으로 사용되는 그룹 검색 필터를 제어하는 검색 유형입니다. 가능한 값:
  - Active Directory: 사용자의 모든 LDAP 그룹에 대한 중첩된 멤버십.
  - 그룹 없음: 그룹 지원이 없습니다.
  - 멤버 DN: 멤버 DN 스타일 그룹(단일 레벨).
- 그룹 검색 기본 DN: 그룹 검색을 시작하는 데 사용되는 트리의 기본 DN입니다. 시스템은 지정된 위치의 서브트리를 검색합니다.
- 사용자 인증 테스트: LDAP가 구성된 후 이를 사용하여 LDAP 서버의 사용자 이름과 비밀번호 인증을 테스트합니다. 테스트하려면 이미 존재하는 계정을 입력하세요. 고유 이름과 사용자 그룹 정보가 표시되며, 나중에 클러스터 관리자를 만들 때 복사하여 사용할 수 있습니다.

LDAP 구성 테스트

LDAP를 구성한 후 Element UI 또는 Element API를 사용하여 테스트해야 합니다. TestLdapAuthentication 방법.

단계

Element UI로 LDAP 구성을 테스트하려면 다음을 수행하세요.

클러스터 > *LDAP*를 클릭합니다.
*LDAP 인증 테스트*를 클릭합니다.

아래 표의 정보를 사용하여 문제를 해결하세요.

오류 메시지 설명

오류 메시지	설명
xLDAPUserNotFound	테스트 중인 사용자는 구성된 곳에서 찾을 수 없습니다. `userSearchBaseDN` 서브트리. 그만큼 `userSearchFilter` 잘못 구성되었습니다.
xLDAPBindFailed (Error: Invalid credentials)	테스트 중인 사용자 이름은 유효한 LDAP 사용자이지만 제공된 비밀번호가 올바르지 않습니다. 테스트 중인 사용자 이름은 유효한 LDAP 사용자이지만, 해당 계정은 현재 비활성화되어 있습니다.
xLDAPSearchBindFailed (Error: Can't contact LDAP server)	LDAP 서버 URI가 올바르지 않습니다.
xLDAPSearchBindFailed (Error: Invalid credentials)	읽기 전용 사용자 이름 또는 비밀번호가 잘못 구성되었습니다.
xLDAPSearchFailed (Error: No such object)	그만큼 `userSearchBaseDN` LDAP 트리 내의 유효한 위치가 아닙니다.
xLDAPSearchFailed (Error: Referral)	그만큼 `userSearchBaseDN` LDAP 트리 내의 유효한 위치가 아닙니다. 그만큼 `userSearchBaseDN` 그리고 `groupSearchBaseDN` 중첩된 OU에 있습니다. 이로 인해 권한 문제가 발생할 수 있습니다. 해결 방법은 사용자 및 그룹 기반 DN 항목에 OU를 포함하는 것입니다(예: `ou=storage, cn=company, cn=com` )

xLDAPUserNotFound

테스트 중인 사용자는 구성된 곳에서 찾을 수 없습니다. userSearchBaseDN 서브트리.
그만큼 userSearchFilter 잘못 구성되었습니다.

xLDAPBindFailed (Error: Invalid credentials)

테스트 중인 사용자 이름은 유효한 LDAP 사용자이지만 제공된 비밀번호가 올바르지 않습니다.
테스트 중인 사용자 이름은 유효한 LDAP 사용자이지만, 해당 계정은 현재 비활성화되어 있습니다.

xLDAPSearchBindFailed (Error: Can't contact LDAP server)

LDAP 서버 URI가 올바르지 않습니다.

xLDAPSearchBindFailed (Error: Invalid credentials)

읽기 전용 사용자 이름 또는 비밀번호가 잘못 구성되었습니다.

xLDAPSearchFailed (Error: No such object)

그만큼 userSearchBaseDN LDAP 트리 내의 유효한 위치가 아닙니다.

xLDAPSearchFailed (Error: Referral)

그만큼 userSearchBaseDN LDAP 트리 내의 유효한 위치가 아닙니다.
그만큼 userSearchBaseDN 그리고 groupSearchBaseDN 중첩된 OU에 있습니다. 이로 인해 권한 문제가 발생할 수 있습니다. 해결 방법은 사용자 및 그룹 기반 DN 항목에 OU를 포함하는 것입니다(예: ou=storage, cn=company, cn=com )

Element API로 LDAP 구성을 테스트하려면 다음을 수행하세요.

TestLdapAuthentication 메서드를 호출합니다.

{
  "method":"TestLdapAuthentication",
     "params":{
        "username":"admin1",
        "password":"admin1PASS
      },
      "id": 1
}

결과를 검토하세요. API 호출이 성공하면 결과에는 지정된 사용자의 고유 이름과 사용자가 구성원인 그룹 목록이 포함됩니다.

{
"id": 1
     "result": {
         "groups": [
              "CN=StorageMgmt,OU=PTUsers,DC=prodtest,DC=solidfire,DC=net"
         ],
         "userDN": "CN=Admin1 Jones,OU=PTUsers,DC=prodtest,DC=solidfire,DC=net"
     }
}

LDAP 비활성화

Element UI를 사용하여 LDAP 통합을 비활성화할 수 있습니다.

시작하기 전에 모든 구성 설정을 기록해 두어야 합니다. LDAP를 비활성화하면 모든 설정이 지워지기 때문입니다.

단계

클러스터 > *LDAP*를 클릭합니다.
*아니요*를 클릭하세요.
*LDAP 비활성화*를 클릭합니다.