다음을 통해 공유

WebLogic Server에서 Azure로 Java 앱을 마이그레이션할 때 최종 사용자 권한 부여 및 인증 사용

  • 아티클

이 가이드는 Microsoft Entra ID를 사용하여 WebLogic Server에서 Java 앱에 대한 엔터프라이즈급 최종 사용자 인증 및 권한 부여를 사용하도록 설정하는 데 도움이 됩니다.

Java EE 개발자는 워크로드를 Azure로 이동하는 경우에도 표준 플랫폼 보안 메커니즘 이 예상대로 작동할 것으로 예상합니다. Oracle WLS(WebLogic Server) Azure 애플리케이션 을 사용하면 기본 제공 보안 영역을 Microsoft Entra Domain Services의 사용자로 채울 수 있습니다. Azure 애플리케이션의 Java EE에서 표준 <security-role> 요소를 사용하는 경우 사용자 정보는 Microsoft Entra Domain Services에서 LDAP(Lightweight Directory Access Protocol)를 통해 흐릅니다.

이 가이드는 두 부분으로 나뉩니다. 보안 LDAP가 노출된 Microsoft Entra Domain Services가 이미 있는 경우 WLS 구성 섹션으로 건너뛸 수 있습니다.

이 가이드에서는 다음 방법을 알아봅니다.

  • Microsoft Entra Domain Services 관리되는 도메인을 만들고 구성합니다.
  • Microsoft Entra Domain Services 관리되는 도메인에 대한 보안 LDAP(Lightweight Directory Access Protocol)를 구성합니다.
  • WebLogic Server가 기본 보안 영역으로 LDAP에 액세스하도록 설정합니다.

이 가이드는 기존 Microsoft Entra ID Domain Services 배포를 다시 구성하는 데 도움이 되지 않습니다. 그러나 이 가이드를 따라 건너뛸 수 있는 단계를 확인할 수 있습니다.

필수 구성 요소

마이그레이션 컨텍스트 고려

다음 목록에서는 온-프레미스 WLS 설치 및 Microsoft Entra ID 마이그레이션에 대해 고려해야 할 몇 가지 사항을 설명합니다.

  • LDAP를 통해 도메인 서비스가 노출되지 않은 Microsoft Entra ID 테넌트가 이미 있는 경우 이 가이드에서는 LDAP 기능을 노출하고 WLS와 통합하는 방법을 보여 줍니다.
  • 시나리오에 온-프레미스 Active Directory 포리스트가 포함된 경우 Microsoft Entra ID를 사용하여 하이브리드 ID 솔루션을 구현하는 것이 좋습니다. 자세한 내용은 하이브리드 ID 설명서를 참조 하세요.
  • AD DS(온-프레미스 Active Directory Domain Services) 배포가 이미 있는 경우 자체 관리형 Active Directory 도메인 Services, Microsoft Entra ID 및 관리되는 Microsoft Entra Domain Services 비교에서 마이그레이션 경로를 탐색합니다.
  • 클라우드에 최적화하는 경우 이 가이드에서는 Microsoft Entra ID Domain Services LDAP 및 WLS를 사용하여 처음부터 시작하는 방법을 보여 줍니다.
  • WebLogic Server를 Azure Virtual Machines로 마이그레이션하는 과정에 대한 포괄적인 설문 조사는 WebLogic Server 애플리케이션을 Azure Virtual Machines로 마이그레이션을 참조하세요.
  • Active Directory 및 Microsoft Entra ID에 대한 자세한 내용은 Active Directory와 Microsoft Entra ID 비교를 참조하세요.

Microsoft Entra Domain Services 관리되는 도메인 구성

이 섹션에서는 WLS와 통합된 Microsoft Entra Domain Services 관리되는 도메인을 구성하는 모든 단계를 안내합니다. Microsoft Entra ID는 LDAP(Lightweight Directory Access Protocol) 프로토콜 또는 보안 LDAP를 직접 지원하지 않습니다. 대신 Microsoft Entra ID 테넌트 내에서 Microsoft Entra Domain Services 관리되는 도메인 인스턴스를 통해 지원을 사용하도록 설정합니다.

참고 항목

이 가이드에서는 Microsoft Entra Domain Services의 "클라우드 전용" 사용자 계정 기능을 사용합니다. 다른 사용자 계정 유형은 지원되지만 이 가이드에서는 설명하지 않습니다.

Microsoft Entra Domain Services 관리되는 도메인 만들기 및 구성

이 문서에서는 별도의 자습서를 사용하여 Microsoft Entra Domain Services 관리되는 도메인을 유지합니다.

자습서 만들기를 완료하고 Domain Services에 대한 사용자 계정 사용 섹션을 포함하지 않고 Microsoft Entra Domain Services 관리되는 도메인을 구성합니다. 이 섹션은 다음 섹션에 설명된 대로 이 자습서의 컨텍스트에서 특별한 처리가 필요합니다. DNS 작업을 완전히 정상적으로 완료해야 합니다.

"관리되는 도메인의 DNS 도메인 이름 입력" 단계를 완료할 때 지정한 값을 적어둡니다. 이 문서의 뒷부분에서 사용합니다.

사용자 만들기 및 암호 재설정

다음 단계에서는 사용자가 LDAP를 통해 성공적으로 전파되도록 하는 데 필요한 사용자를 만들고 암호를 변경하는 방법을 보여 줍니다. 기존 Microsoft Entra Domain Services 관리되는 도메인이 있는 경우 이러한 단계가 필요하지 않을 수 있습니다.

  1. Azure Portal 내에서 Microsoft Entra ID 테넌트에 해당하는 구독이 현재 Active Directory인지 확인합니다. 올바른 디렉터리를 선택하는 방법을 알아보려면 Microsoft Entra 테넌트에 Azure 구독 연결 또는 추가를 참조하세요. 잘못된 디렉터리를 선택한 경우 사용자를 만들 수 없거나 잘못된 디렉터리에 사용자를 만듭니다.
  2. Azure Portal 맨 위에 있는 검색 상자에 사용자를 입력 합니다.
  3. 새 사용자를 선택합니다.
  4. 사용자 만들기가 선택되어 있는지 확인합니다.
  5. 사용자 이름, 이름, 이름 값을 입력합니다. 나머지 필드는 기본값으로 둡니다.
  6. 만들기를 실행합니다.
  7. 테이블에서 새로 만든 사용자를 선택합니다.
  8. 암호 다시 설정을 선택합니다.
  9. 표시되는 패널에서 암호 다시 설정을 선택합니다.
  10. 임시 암호를 적어둡니다.
  11. "incognito" 또는 프라이빗 브라우저 창에서 Azure Portal을 방문하여 사용자의 자격 증명 및 암호를 사용하여 로그인합니다.
  12. 메시지가 표시되면 암호를 변경합니다. 새 암호를 적어 둡니다. 나중에 사용합니다.
  13. 로그아웃하고 "incognito" 창을 닫습니다.

사용하려는 각 사용자에 대해 "새 사용자 선택"에서 "로그아웃 닫기"를 통해 단계를 반복합니다.

Microsoft Entra Domain Services 관리되는 도메인에 대한 보안 LDAP 구성

이 섹션에서는 WLS 구성에 사용할 값을 추출하는 별도의 자습서를 안내합니다.

먼저 자습서를 실행할 때 아래 변형을 확인할 수 있도록 별도의 브라우저 창에서 Microsoft Entra Domain Services 관리되는 도메인 에 대한 보안 LDAP 구성 자습서를 엽니다.

클라이언트 컴퓨터에 대한 인증서 내보내기 섹션에 도달하면 .cer 끝나는 인증서 파일을 저장한 위치를 기록해 두세요. 인증서를 WLS 구성에 대한 입력으로 사용합니다.

인터넷을 통해 보안 LDAP 액세스 잠금 섹션에 도달하면 Any를 원본으로 지정합니다. 이 가이드의 뒷부분에서 특정 IP 주소를 사용하여 보안 규칙을 강화합니다.

테스트 쿼리에서 관리되는 도메인대한 단계를 실행하기 전에 다음 단계를 사용하여 테스트가 성공하도록 설정합니다.

  1. Azure Portal에서 Microsoft Entra Domain Services 인스턴스에 대한 개요 페이지를 방문합니다.

  2. 설정 영역에서 속성을 선택합니다.

  3. 페이지의 오른쪽 창에서 관리자 그룹이 표시될 때까지 아래로 스크롤합니다. 이 제목 아래에는 AAD DC 관리자를 위한 링크가 있어야 합니다. 해당 링크를 선택합니다.

  4. 관리 섹션에서 멤버를 선택합니다.

  5. 구성원 추가를 선택합니다.

  6. 검색 텍스트 필드에 일부 문자를 입력하여 이전 단계에서 만든 사용자 중 하나를 찾습니다.

  7. 사용자를 선택한 다음 선택 단추를 활성화합니다.

    이 사용자는 관리되는 도메인 섹션에 대한 테스트 쿼리의 단계를 실행할 때 사용해야 하는 사용자입니다.

참고 항목

다음 목록에서는 WLS 구성에 필요한 일부 값을 수집하기 위해 수행해야 하는 LDAP 데이터 쿼리에 대한 몇 가지 팁을 제공합니다.

  • 이 자습서에서는 Windows 프로그램 LDP.exe 사용하는 것이 좋습니다. 이 프로그램은 Windows에서만 사용할 수 있습니다. Windows 외 사용자의 경우, 동일한 목적으로 Apache Directory Studio를 사용할 수도 있습니다.
  • LDP.exe 사용하여 LDAP에 로그인할 때 사용자 이름은 @의 일부일 뿐입니다. 예를 들어 사용자가 alice@contoso.onmicrosoft.com인 경우 LDP.exe 바인딩 작업에 대한 사용자 이름은 alice입니다. 또한 후속 단계에서 사용하기 위해 LDP.exe 실행하고 로그인한 상태로 둡니다.

외부 액세스를 위한 DNS 영역 구성 섹션에서 보안 LDAP 외부 IP 주소의 값을 적어둡니다. 나중에 사용합니다.

보안 LDAP 외부 IP 주소값이 쉽게 표시되지 않는 경우 다음 단계를 사용하여 IP 주소를 가져옵니다.

  1. Azure Portal에서 Microsoft Entra Domain Services 리소스가 포함된 리소스 그룹을 찾습니다.

  2. 다음 스크린샷과 같이 리소스 목록에서 Microsoft Entra Domain Services 리소스에 대한 공용 IP 주소 리소스를 선택합니다. 공용 IP 주소는 .로 aadds시작될 가능성이 높습니다.

    공용 IP 주소가 강조 표시된 리소스 그룹 페이지를 보여주는 Azure Portal의 스크린샷.

이 가이드에서 수행하도록 지시할 때까지 리소스 정리의 단계를 실행하지 마세요.

이러한 변형을 염두에 두고 Microsoft Entra Domain Services 관리되는 도메인에 대한 보안 LDAP 구성을 완료합니다. 이제 WLS 구성에 제공해야 하는 값을 수집할 수 있습니다.

참고 항목

다음 섹션으로 이동하기 전에 보안 LDAP 구성이 처리를 완료할 때까지 기다립니다.

약한 TLS v1 사용 안 함

기본적으로 Microsoft Entra Domain Services를 사용하면 약한 것으로 간주되고 WebLogic Server 14 이상에서 지원되지 않는 TLS v1을 사용할 수 있습니다.

이 섹션에서는 TLS v1 암호화를 사용하지 않도록 설정하는 방법을 보여줍니다.

먼저 LDAP를 사용하도록 설정하는 Microsoft Entra Domain Service 관리되는 도메인의 리소스 ID를 가져옵니다. 다음 명령은 리소스 aadds-rg그룹에 이름이 지정된 aaddscontoso.com Azure Domain Service 인스턴스의 ID를 가져옵니다.

AADDS_ID=$(az resource show \
    --resource-group aadds-rg \
    --resource-type "Microsoft.AAD/DomainServices" \
    --name aaddscontoso.com \
    --query "id" \
    --output tsv)

TLS v1을 사용하지 않도록 설정하려면 다음 명령을 사용합니다.

az resource update \
    --ids $AADDS_ID \
    --set properties.domainSecuritySettings.tlsV1=Disabled

출력은 다음 예제와 "tlsV1": "Disabled" 같이 에 대해 domainSecuritySettings표시됩니다.

"domainSecuritySettings": {
      "ntlmV1": "Enabled",
      "syncKerberosPasswords": "Enabled",
      "syncNtlmPasswords": "Enabled",
      "syncOnPremPasswords": "Enabled",
      "tlsV1": "Disabled"
}

자세한 내용은 Microsoft Entra Domain Services 관리되는 도메인 강화를 참조 하세요.

참고 항목

리소스 또는 리소스 그룹에 잠금을 추가하는 경우 관리되는 도메인을 업데이트하려고 할 때 다음과 같은 오류 메시지가 표시됩니다. Message: The scope '/subscriptions/xxxxx/resourceGroups/aadds-rg/providers/Microsoft.AAD/domainServices/aaddscontoso.com' cannot perform write operation because the following scope(s) are locked: '/subscriptions/xxxxx/resourceGroups/aadds-rg'. Please remove the lock and try again.

Microsoft Entra Domain Service 관리되는 도메인에 대한 다음 정보를 적어 씁니다. 이후 섹션에서 이 정보를 사용합니다.

속성 설명
서버 호스트 이 값은 Microsoft Entra ID Domain Services 관리되는 도메인 만들기 및 구성을 완료할 때 저장한 공용 DNS 이름입니다.
보안 LDAP 외부 IP 주소 이 값은 외부 액세스에 대한 DNS 영역 구성 섹션에 저장한 보안 LDAP 외부 IP 주소 값입니다.
주 서버 이 값을 가져오려면 LDP.exe 돌아가서 다음 단계를 사용하여 클라우드에서만 사용할 보안 주체의 값을 가져옵니다.
  1. 보기 메뉴에서 트리를 선택합니다.
  2. 트리 보기 대화 상자에서 BaseDN을 비워 두고 확인을 선택합니다.
  3. 오른쪽 창에서 마우스 오른쪽 단추를 클릭하고 출력 지우기를 선택합니다.
  4. 트리 보기를 확장하여 .로 OU=AADDC Users시작하는 항목을 선택합니다.
  5. 찾아보기 메뉴에서 검색을 선택합니다.
  6. 표시되는 대화 상자에서 기본값을 적용하고 실행을 선택합니다.
  7. 오른쪽 창에 출력이 나타나면 실행 옆에 있는 닫기를 선택합니다.
  8. 그룹에 추가한 사용자에 Dn 해당하는 항목의 출력을 검색합니다 AAD DC Administrators . Dn: CN=&lt;user name&gt;OU=AADDC Users으로 시작합니다.
사용자 기본 DN 및 그룹 기본 DN 이 자습서에서는 이러한 두 속성의 값이 동일합니다 OU=AADDC Users.
보안 주체 암호 이 값은 그룹에 추가된 사용자의 암호입니다 AAD DC Administrators .
Microsoft Entra Domain Service LDAPS 연결에 대한 공개 키 이 값은 클라이언트 컴퓨터에 대한 인증서 내보내기 섹션을 완료할 때 저장하라는 요청을 받은 .cer 파일입니다.

WLS 구성

이 섹션에서는 이전에 배포된 Microsoft Entra Domain Service 관리되는 도메인에서 매개 변수 값을 수집하는 데 도움이 됩니다.

Azure Virtual Machines에서 Oracle WebLogic Server를 실행하기 위한 솔루션이란?나열된 Azure 애플리케이션 배포하는 경우 단계에 따라 Microsoft Entra Domain Service 관리되는 도메인을 WLS와 통합할 수 있습니다.

Azure 애플리케이션 배포가 완료되면 다음 단계를 사용하여 WebLogic 관리 콘솔에 액세스할 URL을 찾습니다.

  1. Azure Portal을 열고 프로비전한 리소스 그룹으로 이동합니다.
  2. 탐색 창의 설정 섹션에서 배포를 선택합니다. 이 리소스 그룹에 대한 배포 순서가 지정된 목록이 표시되며, 가장 최근 배포가 먼저 표시됩니다.
  3. 이 목록에서 가장 오래된 항목으로 스크롤합니다. 이 항목은 이전 섹션에서 시작한 배포에 해당합니다. 이름이 다음과 유사한 것으로 시작하는 가장 오래된 배포를 oracle.선택합니다.
  4. 출력을 선택합니다. 이 옵션은 배포의 출력 목록을 보여 줍니다.
  5. adminConsole 값은 WLS 관리 콘솔에 대한 정규화된 공용 인터넷 표시 링크입니다. 필드 값 옆에 있는 복사 아이콘을 선택하여 클립보드에 대한 링크를 복사하고 파일에 저장합니다.

참고 항목

이 자습서에서는 TLS v1.2를 사용하여 Microsoft Entra Domain Service 관리되는 도메인 LDAP 서버에 연결하는 방법을 보여 줍니다. 호환성을 보장하려면 JDK 8의 배포에 TLS v1.2를 사용하도록 설정해야 합니다.

JDK 버전을 확인하려면 다음 단계를 사용합니다.

  1. adminConsole 값을 브라우저 주소 표시줄에 붙여넣은 다음, WLS 관리 콘솔에 로그인합니다.

  2. 도메인 구조에서 환경>서버>관리자>모니터링 일반>선택한 다음 Java 버전을 찾습니다.

    Java 버전 필드가 강조 표시된 WLS 관리 콘솔 모니터링 > 일반 탭의 스크린샷

Java 버전이 8인 경우 다음 단계를 사용하여 TLS v1.2를 사용하도록 설정합니다.

  1. 도메인 구조에서 환경>서버>관리자>구성>서버 시작을 선택합니다.

  2. 인수 섹션에서 값을 -Djdk.tls.client.protocols=TLSv1.2지정합니다.

  3. 저장을 선택하여 변경 내용을 저장합니다.

  4. 변경 센터에서 변경 내용 활성화를 선택하여 옵션을 사용하도록 설정합니다.

    WLS 관리 콘솔 구성 > 서버 시작 탭의 스크린샷

WLS와 Microsoft Entra Domain Service 관리되는 도메인 통합

WebLogic 관리 서버가 실행되고 Microsoft Entra Domain Service 관리되는 도메인이 배포되고 LDAP로 보호되므로 이제 구성을 시작할 수 있습니다.

공용 CA 업로드 및 가져오기

WLS는 SSL(Secure Sockets Layer) 또는 TLS(전송 계층 보안)를 통해 LDAP인 LDAPS(Secure LDAP)를 사용하여 관리되는 도메인과 통신합니다. 이 연결을 설정하려면 공용 CA(인증 기관) 인증서( .cer 파일)를 업로드하고 WLS 트러스트 키 저장소로 가져와야 합니다.

다음 단계를 사용하여 관리 서버를 실행하는 가상 머신에 인증서를 업로드하고 가져옵니다.

  1. 빠른 시작: Azure Virtual MachinesWebLogic Server 배포의 가상 머신에 연결 섹션의 지침에 따라 액세스를 adminVM 사용하도록 설정합니다.

  2. Bash 터미널을 열고 다음 명령을 사용하여 인증서를 업로드합니다. ADMIN_PUBLIC_IP 값을 Azure Portal에서 찾을 수 있는 실제 값으로 바꿉니다. 컴퓨터를 연결하는 데 사용한 암호를 입력해야 합니다.

    export CER_FILE_NAME=azure-ad-ds-client.cer
export ADMIN_PUBLIC_IP="<admin-public-ip>"
export ADMIN_VM_USER="weblogic"

cd <path-to-cert>
scp ${CER_FILE_NAME} "$ADMIN_VM_USER@$ADMIN_PUBLIC_IP":/home/${ADMIN_VM_USER}/${CER_FILE_NAME}

  3. 인증서를 업로드한 후 다음 명령을 사용하여 WLS 도메인 폴더 /u01/domainsoracle:oracle 이동하고 소유권을 변경해야 합니다.

    export RESOURCE_GROUP_NAME=contoso-rg
export ADMIN_VM_NAME=adminVM
export CA_PATH=/u01/domains/${CER_FILE_NAME}

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "mv /home/${ADMIN_VM_USER}/${CER_FILE_NAME} /u01/domains; chown oracle:oracle ${CA_PATH}"

  4. 인증서를 키 저장소로 가져옵니다. Azure 애플리케이션은 기본 신뢰 저장소를 사용하여 WLS를 프로비전합니다 <jvm-path-to-security>/cacerts. 특정 경로는 JDK 버전에 따라 달라질 수 있습니다. 다음 단계를 사용하여 Microsoft Entra Domain Service 관리되는 도메인 공용 CA를 가져올 수 있습니다.

    1. 도메인 환경 변수를 설정하는 데 사용한 스크립트를 쿼리합니다.

      export DOMIAN_FILE_PATH=$(az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "find /u01/domains -name setDomainEnv.sh" \
    --query value[*].message \
    --output tsv \
    | sed -n '/\[stdout\]/!b; n; p')

echo $DOMIAN_FILE_PATH

    2. 다음 명령을 사용하여 CA를 가져옵니다. 이전 섹션에서 확인한 Java 버전에 주의하세요.

      az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts ". ${DOMIAN_FILE_PATH};export JVM_CER_PATH=\${JAVA_HOME}/lib/security/cacerts;\${JAVA_HOME}/bin/keytool -noprompt -import -alias aadtrust -file ${CA_PATH} -keystore \${JVM_CER_PATH} -storepass changeit"

    다음 예제와 비슷한 내용이 출력됩니다.

    {
"value": [
  {
    "code": "ProvisioningState/succeeded",
    "displayStatus": "Provisioning succeeded",
    "level": "Info",
    "message": "Enable succeeded: \n[stdout]\n\n[stderr]\nCertificate was added to keystore\n",
    "time": null
  }
 ]
}

참고 항목

트러스트 저장소를 사용자 지정하는 경우 Entra Domain Service 관리되는 도메인 공용 CA를 트러스트 키 저장소로 가져와야 합니다. 인증서를 WLS 관리되는 서버로 가져올 필요가 없습니다. 자세한 내용은 LDAP를 사용하도록 WebLogic 구성을 참조하세요.

WLS 호스트 이름 확인 구성

Microsoft Entra Domain Services 관리되는 도메인에 대한 보안 LDAP 구성은 인증서의 호스트 이름에 대한 와일드카드 *.aaddscontoso.com 를 사용하므로 적절한 호스트 이름 확인을 사용하여 WLS 관리 서버를 구성해야 합니다. 다음 단계를 사용하여 확인을 사용하지 않도록 설정합니다. WLS 14 이상에서는 와일드카드 호스트 이름 확인을 대신 선택할 수 있습니다.

  1. adminConsole 값을 브라우저에 붙여넣고 WLS 관리 콘솔에 로그인합니다.
  2. 변경 센터에서 잠금 및 편집을 선택합니다.
  3. 환경>서버>관리자>SSL>고급을 선택합니다.
  4. 호스트 이름 확인 옆에 있는 없음을 선택합니다.
  5. 변경 내용 저장활성화를 선택하여 구성을 저장합니다.

보안 LDAP 액세스를 위한 트래픽 확인

인터넷을 통해 보안 LDAP 액세스를 사용하도록 설정하면 클라이언트 컴퓨터가 이 관리되는 도메인을 찾을 수 있도록 DNS 영역을 업데이트할 수 있습니다. 보안 LDAP 외부 IP 주소 값은 관리되는 도메인의 속성 탭에 나열됩니다. 자세한 내용은 외부 액세스를 위한 DNS 영역 구성을 참조 하세요.

등록된 DNS 영역이 없는 경우 호스트 파일에 항목을 adminVM 추가하여 외부 IP 주소에 대한 ldaps.<managed-domain-dns-name> 트래픽을 확인할 수 있습니다 ldaps.aaddscontoso.com. 다음 명령을 실행하기 전에 사용자 값을 변경합니다.

export LDAPS_DNS=ldaps.aaddscontoso.com
export LDAPS_EXTERNAL_IP=<entra-domain-services-manged-domain-external-ip>

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "echo \"${LDAPS_EXTERNAL_IP} ${LDAPS_DNS}\" >> /etc/hosts"

다음 명령을 실행하여 관리 서버를 다시 시작하여 구성을 로드합니다.

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl stop wls_admin"

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl start wls_admin"

LDAP 인증 공급자 만들기 및 구성

인증서를 가져오고 보안 LDAP 액세스 트래픽을 확인하면 다음 단계를 사용하여 WLS 콘솔에서 LDAP 공급자를 구성할 수 있습니다.

  1. adminConsole 값을 브라우저 주소 표시줄에 붙여넣고 WLS 관리 콘솔에 로그인합니다.

  2. 변경 센터에서 잠금 및 편집을 선택합니다.

  3. 도메인 구조에서 보안 영역>myrealm>공급자 새로 만들기를>선택하고 다음 값을 사용하여 새 인증 공급자를 만듭니다.

    • 이름에 을 입력합니다.AzureEntraIDLDAPProvider
    • 형식에 대해 .를 선택합니다ActiveDirectoryAuthenticator.

  4. 확인을 선택하여 변경 내용을 저장합니다.

  5. 공급자 목록에서 AzureEntraIDLDAPProvider를 선택합니다.

  6. 구성>공통>컨트롤 플래그의 경우 SUFFICIENT를 선택합니다.

  7. 저장을 선택하여 변경 내용을 저장합니다.

  8. 구성>공급자 특정의 경우 이전에 얻은 Microsoft Entra Domain Services 관리되는 도메인 연결 정보를 입력합니다. 값을 가져오는 단계는 Microsoft Entra Domain Services 관리되는 도메인에 대한 보안 LDAP 구성의 표에 나와 있습니다.

  9. 다음 필수 필드를 입력하여 다른 필드를 기본값으로 유지합니다.

    항목 샘플 값
    호스트 관리되는 도메인 LDAP 심각도 DNS, ldaps.<managed-domain-dns-name> ldaps.aaddscontoso.com
    포트 636 636
    주 서버 클라우드 전용 사용자의 보안 주체 CN=WLSTest,OU=AADDC Users,DC=aaddscontoso,DC=com
    자격 증명 클라우드 전용 사용자의 자격 증명 -
    SSLEnabled Selected -
    사용자 기본 DN 사용자 기반 DN(고유 이름) OU=AADDC Users,DC=aaddscontoso,DC=com
    이름 필터에서 사용자 (&(sAMAccountName=%u)(objectclass=user)) (&(sAMAccountName=%u)(objectclass=user))
    사용자 이름 특성 sAMAccountName sAMAccountName
    User 개체 클래스 user user
    그룹 기본 DN 그룹 기본 DN. OU=AADDC Users,DC=aaddscontoso,DC=com
    그룹 멤버 자격 검색 limit limit
    최대 그룹 멤버 자격 검색 수준 1 1
    그룹 멤버 자격 조회에 토큰 그룹 사용 Selected -
    연결 풀 크기 5 5
    Connect Timeout 120 120
    연결 다시 시도 제한 5 5
    결과 시간 제한 300 300
    활성 유지 사용 Selected -
    캐시 사용 Selected -
    캐시 크기 4000 4000
    캐시 TTL 300 300

  10. 저장을 선택하여 공급자를 저장합니다.

  11. 구성 옆에 있는 성능을 선택합니다.

  12. 그룹 멤버 자격 조회 계층 구조 캐싱 사용을 선택합니다.

  13. SID를 사용하여 그룹 조회 캐싱을 선택합니다.

  14. 저장을 선택하여 구성을 저장합니다.

  15. 변경 내용 활성화를 선택하여 변경 내용을 호출합니다.

참고 항목

LDAP 서버의 호스트 이름에 주의하세요. ldaps.<managed-domain-dns-name> 형식이어야 합니다. 이 예제에서 값은 .입니다 ldaps.aaddscontoso.com.

다음과 같은 [Security:090834]No LDAP connection could be established. ldap://dscontoso.com:636 Cannot contact LDAP server오류가 발생하면 다시 시작하여 adminVM 문제를 해결해 보세요.

변경 내용을 적용하려면 WLS 관리 서버를 다시 시작해야 합니다. 다음 명령을 실행하여 관리 서버를 다시 시작합니다.

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl stop wls_admin"

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl start wls_admin"

참고 항목

Microsoft Entra ID의 사용자로 클러스터에서 애플리케이션을 인증하는 경우 관리되는 서버를 다시 시작하여 공급자를 활성화해야 합니다. 서버를 호스팅하는 가상 머신을 다시 시작하여 이 작업을 수행할 수 있습니다.

유효성 검사

관리 서버를 다시 시작한 후 다음 단계를 사용하여 통합이 성공했는지 확인합니다.

  1. WLS 관리 콘솔을 방문합니다.
  2. 탐색 창에서 트리를 확장하고 보안 영역>myrealm>공급자를 선택합니다.
  3. 통합에 성공한 경우 Microsoft Entra ID 공급자(예: AzureEntraIDLDAPProvider)를 찾을 수 있습니다.
  4. 탐색 창에서 트리를 확장하고 보안 영역>myrealm>사용자 및 그룹을 선택합니다.
  5. 통합에 성공하면 Microsoft Entra ID 공급자에서 사용자를 찾을 수 있습니다.

참고 항목

사용자 및 그룹에 처음 액세스할 때 사용자를 로드하는 데 몇 분 정도 걸립니다. WLS는 사용자를 캐시하고 다음 액세스에서 더 빠릅니다.

인터넷을 통해 LDAP 액세스 잠금 및 보호

이전 단계에서 보안 LDAP를 유지하면서 네트워크 보안 그룹의 규칙에 대한 원본을 AllowLDAPS Any설정합니다. 이제 WLS 관리 서버가 배포되고 LDAP에 연결되었으므로 Azure Portal을 사용하여 공용 IP 주소를 가져옵니다. 인터넷을 통해 보안 LDAP 액세스 잠금을 다시 확인하고 Any를 WLS 관리 서버의 특정 IP 주소로 변경합니다.

리소스 정리

이제 Microsoft Entra Domain Services 관리되는 도메인대한 보안 LDAP 구성의 리소스 정리 섹션에 있는 단계를 수행해야 합니다.

다음 단계

WebLogic Server 앱을 Azure로 마이그레이션하는 다른 측면을 살펴봅니다.

WebLogic Server 애플리케이션을 Azure Virtual Machines로 마이그레이션