Windows Server: Active Directory 도메인 컨트롤러에서 LDAPS(Secure Lightweight Directory Access Protocol)를 활성화하는 방법

LDAP(Lightweight Directory Access Protocol)는 Active Directory Domain Services의 핵심 프로토콜 중 하나입니다. 보안 LDAP(LDAPS 또는 SSL 또는 TLS를 통한 LDAP)는 암호화를 통해 LDAP 통신을 보호하는 수단을 제공합니다.
 
DC에서 LDAPS를 사용하려면 적절한 인증서를 생성하고 DC에 설치해야 합니다. 다음은 인증서 요청에 대한 템플릿으로 사용할 수 있습니다.

 

;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=<DC_fqdn>" ; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Larger key sizes (2048, 4096, 8192, or 16384)
; can also be used. They are more secure but larger
; sizes have a greater performance impact.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

;-----------------------------------------------

LDAPS 인증서를 생성하려면 위의 텍스트를 메모장에 복사합니다. 제목 줄의 DC_fqdn> 인증서가 설치된 DC의 정규화된 도메인 이름(예: dc1.ad.domain.com)으로 변경합니다<.

CA(인증 기관)에 따라 다음 정보의 일부 또는 전부가 필요할 수도 있습니다.

• 이메일 주소(E)
• OU(Organizational Unit)
• 조직(O)
• 도시 또는 지역(L)
• 시/도
• 국가 또는 지역(C)

이 모든 정보는 다음 예와 같이 제목 줄에 추가할 수 있습니다.

Subject="E=user@domain.com, CN=dc1.ad.domain.com, OU=Information Technology, O=Company, L=Anywhere, S=Kansas, C=US"

텍스트 파일을 request.inf로 저장하고 실행합니다. certreq -new request.inf request.req 명령 프롬프트에서. 이렇게 하면 텍스트 파일에 제공된 정보를 사용하여 request.req 라는 인증서 요청이 생성됩니다.

요청이 생성되면 CA에 제출해야 합니다. 제출 절차는 CA에 따라 다르므로 여기에 문서화할 수 없습니다.

CA는 DC에 다운로드해야 하는 인증서를 생성합니다. 다운로드 절차도 다양 하지만 인증서를 base64로 인코딩해야 합니다.

DC에 인증서를 ldaps.cer 로 저장하고 다음을 실행합니다. certreq -accept ldaps.cer 보류 중인 요청을 완료하고 인증서를 설치합니다. 기본적으로 인증서는 DC의 개인 저장소에 설치됩니다. 인증서 MMC 스냅인을 사용하여 이를 확인할 수 있습니다.

이제 DC를 재부팅해야 합니다. DC가 Windows로 다시 부팅되면 LDAPS가 LDAP 통신에 자동으로 사용됩니다. 추가 구성이 필요하지 않습니다.

실행 netstat DC의 명령은 위의 절차를 따랐는지 여부에 관계없이 lsass.exe 프로세스가 TCP 포트 389 및 636에서 수신 대기함을 보여줍니다. 그러나 적절한 인증서가 설치될 때까지 LDAPS를 사용할 수 없습니다.

ADSI 편집 툴을 사용하여 LDAPS가 사용 중인지 확인할 수 있습니다.

1. ADSI Edit(adsiedit.msc)를 다시 로드합니다.
2. 왼쪽 창에서 ADSI 편집을 마우스 오른쪽 단추로 클릭하고 연결 대상...을 선택합니다. 에 관한 자세한 내용을 참조하십시오.
3. 드롭다운 메뉴에서 명명 컨텍스트를 선택합니다.
4. Use SSL-based encryption을 선택합니다.
5. 고급...을 클릭합니다.
6. 포트 번호로 636 을 입력하고 OK를 클릭합니다.
7. 포트 636이 창 위쪽의 경로 필드에 나타나야 합니다. OK(확인)를 클릭하여 연결합니다.
8. 연결에 성공하면 LDAPS가 사용 중인 것입니다.

PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360 , PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ... View More View Less