engineering/System Eng.
LDAP 서버 설치하기
theYoungman
2007. 2. 9. 09:33
LDAP 서버 설치는 선행 필수 패키지 설치(설치되어 있지 않을 경우), 서버 다운로드, 소프트웨어 압축해체, Makefile 설정과 서버 구축의 다섯 단계를 통해 이루어진다.
1. 선행 필수, Pre-Requirements
LDAP 버전 3을 완전히 따르기 위해 OpenLDAP 클라이언트와 서버는 약간의 부가적인 패키지의 설치를 필요로한다:
OpenSSL TLS libraries
어떤 운영체제가 이 라이브러리를 기본 시스템의 부분 또는 선택적인 소프트웨어 컴포넌트로 제공할 수 있지만, OpenSSL은 종종 별도의 설치를 필요로 한다. OpenSSL은 다음 사이트에서 구할 수 있다.
http://www.openssl.org/
Kerberos Authentication Services
OpenLDAP 클라이언트와 서버는 Kerberos에 기초한 인증 서비스를 지원하는데 특히 Heimdal 또는 MITKerberos V 패키지를 이용한 SASL/GSAPI 인증 기구를 지원한다. Kerberos에 기초한 SASL/GSSAPI인증을 사용하고 싶다면 Heimdal 또는 MIT Kerberos V를 설치해야 한다. Heimdal Kerbero는 http://www.pdc.kth.se/heimdal로부터 구할 수 있다.
MIT Kerberos는 http://web.mit.edu/kerberos/www로부터 구할 수 있다. Kerberos가 제공하는 것과 같은 강력한 인증 서비스의 사용을 강력히 추천한다.
Cyrus's Simple Authentication and Security Layer Libraries
어떤 운영체제가 이 라이브러리를 기본 시스템의 부분 또는 선택적인 소프트웨어 컴포넌트로 제공할 수 있지만, Cyrus SASL은 종종 별도의 설치를 필요로 한다. Cyrus SASL은 http://asg.web.cmu.edu/sasl/sasl-library.html로부터 구할 수 있다. Cyrus SASL은 OpenSSL과 Kerberos/GSSAPI 라이브러리가 미리 설치되어 있다면 이들을 사용할 것이다.
Database Software
OpenLDAP의 slapd 기본 데이터베이스 백엔드인 LDBM은 엔트리 저장을 위해 호환성 데이타베이스 패키지를 필요로 한다.LDBM은 Sleepycat 소프트웨어의 BerkeleyDB(추천) 또는 자유 소프트웨어 재단(FSF, Free SoftwareFoundation)의 GNU 데이타베이스 매니저(GDBM)와 호환된다. 이러한 패키지들을 설정시 이용할 수 없다면 기본데이타베이스 백엔드 지원을 하는 slapd 데몬을 구축할 수 없을 것이다.
운영체제가 기본 시스템내에서 또는 선택적인 소프트웨어 컴포넌트로써 두 패키지 중 하나를 제공할 수 있는데 이러한 소프트웨어를 구해서 설치할 필요가 있다.
BerkekeyDB 는 Sleepycat 소프트웨어의 다운로드 페이지 ttp://www.sleepycat.com/download.html로부터 구할 수 있다. 여러 버전을 이용할 수 있는데 이 문서를 작성하는 시점에는 최신 배포본 버전 3.1 이 추천된다.
GDBM은 FSF의 다운로드 사이트 ftp://ftp.gnu.org/pub/gnu/gdbm로부터 구할 수 있는데 이 문서를 작성하는 시점에는 버전 1.8 이 최신 배포본이다.
Threads
OpenLDAP는 쓰레드를 이용할 수 있도록 설계되어 있는데 POSIX pthreads, Mach CThreads와 많은다른 변형들을 지원한다. configure 스크립트가 적합한 쓰레드 하위 시스템을 찾을 수 없다면 에러 메세지를 출력하는데 이런경우 OpenLDAP FAQ의 소프트웨어 - 설치 - 플랫폼 힌트 절을 참조하길 바란다.
http://www.openldap.org/faq
TCP Wrappers
slapd는 TCP wrappers(IP 레벨 엑세스 제어 필터)가 이미 설치되어 있다면 이를 지원하는데 개인적인 비공개정보를 포함하는 서버 보안을 위해 TCP wrappers 또는 다른 IP 레벨 엑세스 필터(IP 레벨 방화벽이 제공하는 것과같은) 사용을 추천한다.
2. 패키지 다운로드 받기
LDAP 서버로는 Michigan 대학 LDAP 서버와 OpenLDAP 서버 두 종류의 자유로이 배포되는 LDAP 서버가있으며 또한 넷스케이프 디렉토리 서버도 어떤 조건하에서는 자유로이 사용할 수 있다(예를 들면 교육기관은 자유로이 얻을 수있다). OpenLDAP 서버는 Michigan 대학 LDAP 서버의 최신 버전에 기초하는데 그 버전에 대해 이용할 수 있는메일링 리스트와 부가적 문서가 있다. 이 문서는 OpenLDAP 서버의 사용을 가정한다.
최신 tar gzipped 버전은 다음 주소에서 구할 수 있다:
http://www.openldap.org/
Michigan 대학 LDAP 서버의 최신 버전은 다음 주소에서 구할 수 있다:
ftp://terminator.rs.itd.umich.edu/ldap
이 문서를 작성하기 위해 저자는 최신 안정 버전 1.2.11과 새로이 배포된 2.0.4 버전 두가지 OpenLDAP 패키지를 사용했다. 운영체제는 커널 2.2.13인 슬랙웨어 리눅스이다.
OpenLDAP 사이트에서 늘 OpenLDAP 서버의 최신 개발 및 안정 버전을 찾을 수 있다. 이 문서가 갱신되었던시점까지 최신 안정 버전과 최신 개발 버전은 각각 openldap-stable-20000704.tgz과openldap-2.0.4.tgz 였다.
3. 패키지 압축해제 하기
tar gzipped 패키지를 구한 후 압축해제한다.
우선 패키지를 원하는 디렉토리, 예를 들면 /usr/local, 로 복사하길 바란다.
그리고 다음의 명령을 사용하길 바란다:
tar xvzf openldap-stable.tgz
마찬가지로 다음 명령을 사용할 수도 있다:
gunzip openldap-stable.tgz | tar xvf -
4. 소프트웨어 설정하기
웹사이트에 최적의 소프트웨어를 설치할 수 있도록 개별화(customization)할 수 있는 여러 옵션들이 있다.
소프트웨어는 단지 두 단계에 의해 설정된다:
* 소프트웨어를 압축해제한 디렉토리 밑의 하위 디렉토리 include에 위치한 ldapconfig.h.edit 파일을 편집한다
* configure 스크립트를 실행시킨다 (호기심이 많다면 configure 스크립트를 실행시키는 대신 Make-common 파일을 편집할 수 있다)
include/ldapconfig.h.edit 파일안에서 slapd와 slurpd 데몬의 위치와 같은 옵션을 설정할 수있다. 파일자체가 잘 주석처리 되어 있고 default 설정은 대부분의 일반적인 관리자 선택을 반영하고 있는데 급하다면 이단계를 지나칠 수 있다:
vi include/ldapconfig.h.edit
OpenLDAP 서버 소스는 설치 디렉토리, 컴파일러와 링커 플래그와 같은 옵션 설정을 위한 설정 스크립트와 함께 배포되는데 소프트웨어를 압축해제한 디렉토리에서 다음 명령을 실행시킨다:
./configure --help
이 명령은 소프트웨어를 설치하기 전에 configure 스크립트를 갖고 개별화할 수 있는 모든 선택사항을 출력할 것이다.설치 디렉토리 설정에 관한 유용한 옵션은 --prefix=pref, --exe-prefix=eprefix 와--bindir=dir 가 있다. 일반적으로 옵션없이 configure를 실행시킨다면 스크립트가 적절한 설정을 자동적으로인지해서 default로 공통 위치에 설치하기 위해 준비할 것이다. 단지 다음과 같이 실행시킨다:
./configure
모든 것이 잘 진행되는지 보기 위해 화면에 출력되는 내용을 보길 바란다.
5. 서버 구축하기
소프트웨어를 설정한 후 구축을 시작하는데 우선 다음 명령을 이용하여 의존성을 구축한다:
make depend
다음 명령을 이용하여 서버를 구축한다:
make
모든 것이 잘 진행된다면 서버는 설정된대로 구축될 것이다. 그렇지 않다면 설정 사항을 검토하기 위해 이전 단계로 돌아가길바란다. 플랫폼에 관계되는 특수한 지시를 검사해야 하는데 소프트웨어를 압축해제한 디렉토리밑의 doc/install/hints 에있다.
바이너리와 man 페이지를 설치한다. 어디에 설치하느냐에 따라 슈퍼유저일 필요가 있다.
su
make install
설치가 완료되었으며 서버 바이너리와 여러 다른 유틸리티들이 생성되었을 것이다. LDAP 서버 작동 설정 방법을 보기 위해서는 다음으로 가길 바란다.
OpenLDAP 2.0 서버의 바이너리는 slapd이다. OpenLDAP 2.0은 공식적으로 8월 30일 발표되었는데 RFC 2251에 정의된 바와 같이 Ldap 프로토콜 v2을 포함하고 있다.
OpenLDAP 2.0 의 주된 특징은 다음과 같다:
* LDAPv2 and LDAPv3 Support (RFC2251-2256,2829-2831)
* Maintenance of interoperability with existing clients
* IPv4 and IPv6 support
* Strong Authentication (SASL) (RFC2829)
* Start TLS (RFC2830)
* Language Tags (RFC2596)
* DNS-based service location (RFC2247+"locate" I-D)
* Enhanced Standalone Server
* Named References/ManageDsaIT ("nameref" I-D)
* Enhanced Access Control subsystem
* Thread pooling
* Preemptive threading support
* Multiple listener support
* LDIFv1 (RFC2849)
* Improved platform/subsystem detection
Note: LDP(Linux Document Projext)에 LDAP Implementation HOWTO 문서가 있을것이다. 이 문서는 OpenLDAP 2.0 의 새로운 특징을 이용하길 원하는 사람들에게 많은 자료를 제공할 것이다. 배포 날짜는2000년 12월 즈음이다.
OpenLDAP 패키지 최신 버전에서는 구축된 바이너리를 시험하는 것 또한 가능 한데 다음 명령을 이용하여 시험 스크립트를 실행시킬 수 있다:
make test
어떤 것이 잘 되지 않는다면 Ctrl-C를 눌러 중간에 정지시킬 수 있다. 저자의 경우 스크립트가 완전히 끝나기 전에 중간에 멈추었는데 어쨌든 OpenLDAP 설정에 대한 성공적인 메시지를 볼 수 있었다.
<출처 사이트 - http://www.beonghan.pe.kr>
1. 선행 필수, Pre-Requirements
LDAP 버전 3을 완전히 따르기 위해 OpenLDAP 클라이언트와 서버는 약간의 부가적인 패키지의 설치를 필요로한다:
OpenSSL TLS libraries
어떤 운영체제가 이 라이브러리를 기본 시스템의 부분 또는 선택적인 소프트웨어 컴포넌트로 제공할 수 있지만, OpenSSL은 종종 별도의 설치를 필요로 한다. OpenSSL은 다음 사이트에서 구할 수 있다.
http://www.openssl.org/
Kerberos Authentication Services
OpenLDAP 클라이언트와 서버는 Kerberos에 기초한 인증 서비스를 지원하는데 특히 Heimdal 또는 MITKerberos V 패키지를 이용한 SASL/GSAPI 인증 기구를 지원한다. Kerberos에 기초한 SASL/GSSAPI인증을 사용하고 싶다면 Heimdal 또는 MIT Kerberos V를 설치해야 한다. Heimdal Kerbero는 http://www.pdc.kth.se/heimdal로부터 구할 수 있다.
MIT Kerberos는 http://web.mit.edu/kerberos/www로부터 구할 수 있다. Kerberos가 제공하는 것과 같은 강력한 인증 서비스의 사용을 강력히 추천한다.
Cyrus's Simple Authentication and Security Layer Libraries
어떤 운영체제가 이 라이브러리를 기본 시스템의 부분 또는 선택적인 소프트웨어 컴포넌트로 제공할 수 있지만, Cyrus SASL은 종종 별도의 설치를 필요로 한다. Cyrus SASL은 http://asg.web.cmu.edu/sasl/sasl-library.html로부터 구할 수 있다. Cyrus SASL은 OpenSSL과 Kerberos/GSSAPI 라이브러리가 미리 설치되어 있다면 이들을 사용할 것이다.
Database Software
OpenLDAP의 slapd 기본 데이터베이스 백엔드인 LDBM은 엔트리 저장을 위해 호환성 데이타베이스 패키지를 필요로 한다.LDBM은 Sleepycat 소프트웨어의 BerkeleyDB(추천) 또는 자유 소프트웨어 재단(FSF, Free SoftwareFoundation)의 GNU 데이타베이스 매니저(GDBM)와 호환된다. 이러한 패키지들을 설정시 이용할 수 없다면 기본데이타베이스 백엔드 지원을 하는 slapd 데몬을 구축할 수 없을 것이다.
운영체제가 기본 시스템내에서 또는 선택적인 소프트웨어 컴포넌트로써 두 패키지 중 하나를 제공할 수 있는데 이러한 소프트웨어를 구해서 설치할 필요가 있다.
BerkekeyDB 는 Sleepycat 소프트웨어의 다운로드 페이지 ttp://www.sleepycat.com/download.html로부터 구할 수 있다. 여러 버전을 이용할 수 있는데 이 문서를 작성하는 시점에는 최신 배포본 버전 3.1 이 추천된다.
GDBM은 FSF의 다운로드 사이트 ftp://ftp.gnu.org/pub/gnu/gdbm로부터 구할 수 있는데 이 문서를 작성하는 시점에는 버전 1.8 이 최신 배포본이다.
Threads
OpenLDAP는 쓰레드를 이용할 수 있도록 설계되어 있는데 POSIX pthreads, Mach CThreads와 많은다른 변형들을 지원한다. configure 스크립트가 적합한 쓰레드 하위 시스템을 찾을 수 없다면 에러 메세지를 출력하는데 이런경우 OpenLDAP FAQ의 소프트웨어 - 설치 - 플랫폼 힌트 절을 참조하길 바란다.
http://www.openldap.org/faq
TCP Wrappers
slapd는 TCP wrappers(IP 레벨 엑세스 제어 필터)가 이미 설치되어 있다면 이를 지원하는데 개인적인 비공개정보를 포함하는 서버 보안을 위해 TCP wrappers 또는 다른 IP 레벨 엑세스 필터(IP 레벨 방화벽이 제공하는 것과같은) 사용을 추천한다.
2. 패키지 다운로드 받기
LDAP 서버로는 Michigan 대학 LDAP 서버와 OpenLDAP 서버 두 종류의 자유로이 배포되는 LDAP 서버가있으며 또한 넷스케이프 디렉토리 서버도 어떤 조건하에서는 자유로이 사용할 수 있다(예를 들면 교육기관은 자유로이 얻을 수있다). OpenLDAP 서버는 Michigan 대학 LDAP 서버의 최신 버전에 기초하는데 그 버전에 대해 이용할 수 있는메일링 리스트와 부가적 문서가 있다. 이 문서는 OpenLDAP 서버의 사용을 가정한다.
최신 tar gzipped 버전은 다음 주소에서 구할 수 있다:
http://www.openldap.org/
Michigan 대학 LDAP 서버의 최신 버전은 다음 주소에서 구할 수 있다:
ftp://terminator.rs.itd.umich.edu/ldap
이 문서를 작성하기 위해 저자는 최신 안정 버전 1.2.11과 새로이 배포된 2.0.4 버전 두가지 OpenLDAP 패키지를 사용했다. 운영체제는 커널 2.2.13인 슬랙웨어 리눅스이다.
OpenLDAP 사이트에서 늘 OpenLDAP 서버의 최신 개발 및 안정 버전을 찾을 수 있다. 이 문서가 갱신되었던시점까지 최신 안정 버전과 최신 개발 버전은 각각 openldap-stable-20000704.tgz과openldap-2.0.4.tgz 였다.
3. 패키지 압축해제 하기
tar gzipped 패키지를 구한 후 압축해제한다.
우선 패키지를 원하는 디렉토리, 예를 들면 /usr/local, 로 복사하길 바란다.
그리고 다음의 명령을 사용하길 바란다:
tar xvzf openldap-stable.tgz
마찬가지로 다음 명령을 사용할 수도 있다:
gunzip openldap-stable.tgz | tar xvf -
4. 소프트웨어 설정하기
웹사이트에 최적의 소프트웨어를 설치할 수 있도록 개별화(customization)할 수 있는 여러 옵션들이 있다.
소프트웨어는 단지 두 단계에 의해 설정된다:
* 소프트웨어를 압축해제한 디렉토리 밑의 하위 디렉토리 include에 위치한 ldapconfig.h.edit 파일을 편집한다
* configure 스크립트를 실행시킨다 (호기심이 많다면 configure 스크립트를 실행시키는 대신 Make-common 파일을 편집할 수 있다)
include/ldapconfig.h.edit 파일안에서 slapd와 slurpd 데몬의 위치와 같은 옵션을 설정할 수있다. 파일자체가 잘 주석처리 되어 있고 default 설정은 대부분의 일반적인 관리자 선택을 반영하고 있는데 급하다면 이단계를 지나칠 수 있다:
vi include/ldapconfig.h.edit
OpenLDAP 서버 소스는 설치 디렉토리, 컴파일러와 링커 플래그와 같은 옵션 설정을 위한 설정 스크립트와 함께 배포되는데 소프트웨어를 압축해제한 디렉토리에서 다음 명령을 실행시킨다:
./configure --help
이 명령은 소프트웨어를 설치하기 전에 configure 스크립트를 갖고 개별화할 수 있는 모든 선택사항을 출력할 것이다.설치 디렉토리 설정에 관한 유용한 옵션은 --prefix=pref, --exe-prefix=eprefix 와--bindir=dir 가 있다. 일반적으로 옵션없이 configure를 실행시킨다면 스크립트가 적절한 설정을 자동적으로인지해서 default로 공통 위치에 설치하기 위해 준비할 것이다. 단지 다음과 같이 실행시킨다:
./configure
모든 것이 잘 진행되는지 보기 위해 화면에 출력되는 내용을 보길 바란다.
5. 서버 구축하기
소프트웨어를 설정한 후 구축을 시작하는데 우선 다음 명령을 이용하여 의존성을 구축한다:
make depend
다음 명령을 이용하여 서버를 구축한다:
make
모든 것이 잘 진행된다면 서버는 설정된대로 구축될 것이다. 그렇지 않다면 설정 사항을 검토하기 위해 이전 단계로 돌아가길바란다. 플랫폼에 관계되는 특수한 지시를 검사해야 하는데 소프트웨어를 압축해제한 디렉토리밑의 doc/install/hints 에있다.
바이너리와 man 페이지를 설치한다. 어디에 설치하느냐에 따라 슈퍼유저일 필요가 있다.
su
make install
설치가 완료되었으며 서버 바이너리와 여러 다른 유틸리티들이 생성되었을 것이다. LDAP 서버 작동 설정 방법을 보기 위해서는 다음으로 가길 바란다.
OpenLDAP 2.0 서버의 바이너리는 slapd이다. OpenLDAP 2.0은 공식적으로 8월 30일 발표되었는데 RFC 2251에 정의된 바와 같이 Ldap 프로토콜 v2을 포함하고 있다.
OpenLDAP 2.0 의 주된 특징은 다음과 같다:
* LDAPv2 and LDAPv3 Support (RFC2251-2256,2829-2831)
* Maintenance of interoperability with existing clients
* IPv4 and IPv6 support
* Strong Authentication (SASL) (RFC2829)
* Start TLS (RFC2830)
* Language Tags (RFC2596)
* DNS-based service location (RFC2247+"locate" I-D)
* Enhanced Standalone Server
* Named References/ManageDsaIT ("nameref" I-D)
* Enhanced Access Control subsystem
* Thread pooling
* Preemptive threading support
* Multiple listener support
* LDIFv1 (RFC2849)
* Improved platform/subsystem detection
Note: LDP(Linux Document Projext)에 LDAP Implementation HOWTO 문서가 있을것이다. 이 문서는 OpenLDAP 2.0 의 새로운 특징을 이용하길 원하는 사람들에게 많은 자료를 제공할 것이다. 배포 날짜는2000년 12월 즈음이다.
OpenLDAP 패키지 최신 버전에서는 구축된 바이너리를 시험하는 것 또한 가능 한데 다음 명령을 이용하여 시험 스크립트를 실행시킬 수 있다:
make test
어떤 것이 잘 되지 않는다면 Ctrl-C를 눌러 중간에 정지시킬 수 있다. 저자의 경우 스크립트가 완전히 끝나기 전에 중간에 멈추었는데 어쨌든 OpenLDAP 설정에 대한 성공적인 메시지를 볼 수 있었다.
<출처 사이트 - http://www.beonghan.pe.kr>