Google Cloud 디렉터리 동기화(GCDS)에서는 LDAP 검색 규칙을 사용하여 LDAP 디렉터리 서버에서 조직의 Google 계정으로 데이터를 동기화할 수 있습니다. 검색 규칙을 추가하면 다음 동기화 중에 검색 규칙과 일치하는 데이터는 동기화되고 일치하지 않는 데이터는 삭제됩니다.
중요: Google에서는 LDAP 쿼리를 디버깅하거나 지원을 제공하지 않습니다.
기본 LDAP 쿼리 구문
RFC 2254를 준수하도록 하여 원하는 맞춤 LDAP 검색 쿼리를 작성할 수 있습니다.
연산자 | 문자 | 사용 |
---|---|---|
동일 | = | 특정 값을 가진 필드를 검색하는 필터를 생성합니다. |
모든 문자 | * | 필드 값이 NULL이 아닌 경우를 표시합니다. |
괄호 | ( ) | 다른 논리 연산자가 작동하도록 필터를 구분합니다. |
그리고 | & | 필터를 함께 결합합니다. 모든 조건이 참이어야 합니다. |
또는 | | | 필터를 함께 결합합니다. 여러 조건 중에 적어도 1개의 조건이 참이어야 합니다. |
제외 | ! | 필터 조건에 맞는 모든 개체를 제외합니다. |
LDAP 검색 규칙 추가하기
모든 유형의 검색 규칙에 이 단계를 적용할 수 있습니다.
- 구성 관리자에서 사용자 계정검색 규칙으로 이동합니다.
- 검색 규칙 추가를 클릭합니다.
- 메뉴에서 옵션을 선택하여 검색 규칙 범위를 선택합니다.
- 하위 트리: 기본 DN 개체 및 모든 하위 개체에 검색 규칙을 적용합니다.
- 한 레벨: 기본 DN 개체의 바로 하위 요소에 검색 규칙을 적용하지만 기본 DN 자체에는 검색 규칙을 적용하지 않습니다.
- 개체:기본 DN 개체에만 검색 규칙을 적용합니다.
- 규칙에서 LDAP 검색 쿼리 구문을 사용하여 검색 규칙을 입력합니다.
아래 예를 참고하세요.
- 기본 DN에서 다음 옵션 중 하나를 선택합니다.
- 기본 DN을 입력합니다.
- LDAP 연결 페이지에 지정된 기본 DN을 사용하려면 입력란을 비워 둡니다.
- LDAP 쿼리 테스트를 클릭하여 쿼리 결과를 확인합니다.
찾은 개체 수와 처음 5개의 결과를 검토할 수 있습니다. 이메일 주소가 없는 사용자는 결과에 포함되지 않습니다. - 확인을 클릭합니다.
- (선택사항) 다른 검색 규칙을 추가하려면 단계를 반복합니다.
검색 규칙에서 데이터 제외하기
제외 규칙
제외 규칙을 사용하면 조직의 Google 계정에 동기화하지 않으려는 LDAP 디렉터리 서버의 데이터를 제외할 수 있습니다. 예를 들어 LDAP 검색 규칙을 사용하여 모든 이메일 주소를 동기화하도록 지정할 수 있습니다. 그런 다음 제외 규칙을 사용하여 특정 문자열로 시작하는 이메일 주소를 무시할 수 있습니다.
사용자 검색어
GCDS에서는 사용자 검색어를 사용하여 Google 계정에서 쿼리 결과와 일치하는 사용자를 식별합니다. Google 사용자가 결과와 일치하지 않으면 GCDS에서는 해당 사용자가 존재하지 않는 것처럼 동기화를 수행합니다.
사용자 검색어를 사용하는 경우 Google에 존재하지만 쿼리 결과에 포함되지 않은 사용자를 LDAP 검색 규칙이 반환하지 않도록 해야 합니다. 그렇지 않으면 GCDS에서 동기화할 때마다 사용자를 만들려고 시도하게 됩니다.
예를 들어 yuri@altostrat.com이 Google 계정에 존재하며 LDAP 검색 규칙에서도 반환됩니다. 사용자 검색어로 email:m*을 사용하는 경우 yuri@altostrat.com이 문자 m으로 시작하지 않기 때문에 동기화할 때마다 GCDS에서 yuri@altostrat.com을 만들려고 시도합니다.
자세한 내용은 제외 규칙 및 쿼리로 데이터 제외하기를 참고하세요.
LDAP 쿼리 및 검색 규칙 예시
다음은 일반적인 예로 현재 환경에 적용되지 않을 수 있습니다. 모든 줄바꿈은 페이지 서식용으로만 사용됩니다.
기본 LDAP 쿼리- 모든 개체(로드 문제가 발생할 수 있음)
objectClass=*
- 'person'으로 지정된 모든 사용자 개체
(&(objectClass=user)(objectCategory=person))
- 메일링 리스트만
(objectCategory=group)
- 공개 폴더만
(objectCategory=publicfolder)
- 기본 이메일 주소가 'test'로 시작하는 개체를 제외한 모든 사용자 개체
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- 기본 이메일 주소가 'test'로 끝나는 개체를 제외한 모든 사용자 개체
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- 기본 이메일 주소에 'test'라는 단어가 포함된 개체를 제외한 모든 사용자 개체
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
- 'person'으로 지정되고 그룹 또는 배포 목록에 속하는 모든 사용자 및 별칭 개체
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- 'person'으로 지정된 모든 사용자 개체, 모든 그룹 개체, 모든 연락처를 반환하되, 값이 'extensionAttribute9'로 정의된 개체 제외
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- 'CN=Group,OU=Users,DC=Domain,DC=com'의 값을 가진 DN으로 식별되는 그룹의 멤버인 모든 사용자
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- 모든 사용자 반환
- Active Directory의 경우: (&(objectCategory=person)(objectClass=user))
- OpenLDAP의 경우: (objectClass=inetOrgPerson)
- HCL Domino의 경우: (objectClass=dominoPerson)
- Domino LDAP 디렉터리에서 메일 주소가 'person' 또는 'group'으로 지정된 모든 개체
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- Active Directory에 이메일 주소가 있는 모든 활성 상태의(사용 중지되지 않은) 사용자
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- 그룹 DN으로 정의된 Group_1 또는 Group_2의 회원인 모든 사용자
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
- extensionAttribute1 값이 'Engineering' 또는 'Sales'인 모든 사용자
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- Active Directory의 지정된 그룹에 중첩된 그룹 회원을 반복적으로 검색
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.11356.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- Active Directory에서 ObjectGUID를 사용한 그룹 멤버십 쿼리. 그룹의 ObjectGUID 속성의 16진수 값은 4e542fe785b1bb274e542fe785b1bb27입니다.
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
검색 규칙 최적화하기
검색 규칙을 최적화하여 동기화 성능을 개선할 수 있습니다.
예 1: 이메일 주소가 있는 사용자 반환 | 사용 사례 |
---|---|
사용자 검색 규칙: (&(objectClass=user)(objectCategory=person)(mail=*)) | 기본 규칙을 사용하여 모든 사용자를 반환하는 대신 mail= 쿼리를 사용하여 규칙을 최적화합니다.
이메일 주소가 없어서 삭제될 항목을 LDAP 서버 및 GCDS에서 처리할 필요가 없으므로 동기화가 더 효율적으로 수행됩니다. |
예 2: 이메일 주소가 일치하는 사용자 반환 | 사용 사례 |
---|---|
사용자 검색 규칙: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | 기본 규칙과 제외 규칙을 사용하여 이메일 주소에 sales가 없는 모든 사용자를 반환하는 대신 일치하는 문자열을 검색하는 최적화된 규칙을 사용합니다.
따라서 이메일 주소에 sales가 포함되어 삭제될 항목을 LDAP 서버와 GCDS에서 처리할 필요가 없으며 제외 규칙을 설정하거나 우선순위 수준을 고려할 필요가 없습니다. |
관련 주제
Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.