Active Directory 또는 LDAP(Lightweight Directory Access Protocol) ID 저장소를 통해 유지되는 구성원의 수가 많은 기관의 경우, 더 이상 활성 상태가 아니거나 일치하는 도메인 사용자가 없는 계정을 파악하기 어려울 수 있습니다.ArcGIS Enterprise에는 모든 Active Directory 또는 LDAP 구성원을 검사하고 사용되지 않거나 더 이상 도메인 계정이 없는 구성원을 식별하는 Python 스크립트 도구인 AD_LDAP_Users.py가 포함되어 있습니다. 사용자를 찾으면 스크립트는 이러한 사용자와 함께 해당 사용자가 소유한 항목 및 그룹의 수와 마지막 로그인 날짜가 나와 있는 HTML 보고서를 생성합니다.
비고:
이 스크립트는 Active Directory 또는 LDAP ID 저장소의 구성원을 평가하기 위한 목적으로만 사용해야 합니다. SAML 또는 OpenID Connect의 구성원 평가에는 사용할 수 없습니다.관리자가 이러한 구성원을 제거하려는 경우 항목 또는 그룹을 먼저 이전해야 합니다. 이 프로세스에 도움이 되도록 스크립트는 2개의 .txt 파일을 생성합니다. 필요한 경우, 스크립트를 실행하는 데 사용되는 관리자 계정으로 모든 항목 및 그룹을 이전하는 TransferOwnership 명령줄 유틸리티와 함께 사용할 수 있는 AD_LDAP_Transfer.txt 파일이 생성됩니다. DeleteUsers 명령줄 유틸리티와 함께 사용하여 해당 사용자를 삭제할 수 있는 AD_LDAP_Delete.txt 파일도 생성됩니다.
AD_LDAP_Users.py 스크립트는 \tools\accountmanagement directory에 있습니다. 동일한 디렉터리에 있는 AD_LDAP_Users.sh를 사용하여 명령줄의 스크립트를 실행합니다. 스크립트를 실행할 때는 매개변수를 하나 이상 지정할 수 있습니다.
AD_LDAP_Users.py 매개변수
다음 테이블에는 AD_LDAP_Users.py 매개변수에 대한 설명이 나와 있습니다.
매개변수 | 설명 |
---|---|
-n | Portal for ArcGIS가 설치되어 있는 머신의 정규화된 도메인 이름입니다(즉, gisportal.domain.com). 기본값은 스크립트를 실행하는 머신의 호스트 이름입니다. |
-u | 관리자 계정의 사용자 이름입니다. |
-p | 관리자 계정의 비밀번호입니다. |
-o | 사용자 검사 보고서 및 해당 .txt 파일이 저장되는 디렉터리입니다. 기본 디렉터리는 스크립트를 실행하는 폴더입니다. |
-t | 사용자 이름과 비밀번호 대신 토큰을 생성하여 사용할 수 있습니다. 토큰을 생성할 때는 userScan을 Webapp URL 필드에 입력해야 합니다. 토큰을 제공하면 입력된 사용자 이름이나 비밀번호는 무시됩니다. |
--ignoressl | SSL 인증서 확인을 비활성화합니다. Python이 7443 포트에서 사용되는 인증서 발급자를 신뢰하지 않는다면 스크립트가 완료되지 않습니다. 필요한 경우 이 매개변수를 지정하여 모든 인증서를 무시할 수 있습니다. |
-h 또는 -? | 스크립트를 실행할 때 지정할 수 있는 매개변수 목록을 출력합니다. |
예시: python AD_LDAP_Users.sh -n portal.domain.com -u admin -p my.password -o C:\Temp
매개변수를 지정하지 않고 AD_LDAP_Users.py 스크립트를 실행하면 매개변수를 수동으로 입력하거나 기본값을 선택하라는 메시지가 표시됩니다. 토큰을 사용하려는 경우 스크립트를 실행할 때 매개변수로 제공해야 합니다.
식별된 구성원이 있으면 스크립트는 이러한 구성원과 함께 해당 구성원이 소유한 항목 및 그룹의 수와 마지막 로그인 날짜가 나와 있는 HTML 형식의 보고서를 생성합니다. 해당 사용자 이름이 나와 있는 .txt 파일과 항목 또는 그룹을 소유한 사용자가 나와 있는 두 번째 .txt 파일도 생성됩니다. .txt 파일은 다른 명령줄 유틸리티와 함께 사용하여 항목을 이전하고 사용자를 삭제하기 위한 것입니다.
기본 설정에 따라 보고서는 스크립트를 실행하는 폴더에 저장되며 이름은 AD_LDAP_Users_Scan_Report_[hostname]_[date].html입니다.
.txt 파일은 HTML 검사 보고서와 같은 폴더에 저장되며 이름은 AD_LDAP_Transfer.txt 및 AD_LDAP_Delete.txt입니다.