Windows Server 및 클라이언트 시스템에서 LDAP 서명을 활성화하는 방법

LDAP 서명 디렉터리 서버의 보안을 향상시킬 수 있는 Windows Server의 인증 방법입니다. 활성화되면 서명을 요청하지 않거나 요청이 비 SSL/TLS 암호화를 사용하는 경우 모든 요청을 거부합니다. 이 게시물에서는 Windows Server 및 클라이언트 시스템에서 LDAP 서명을 활성화하는 방법을 공유합니다. LDAP는  Lightweight Directory Access Protocol을 나타냅니다. (LDAP).

Windows 컴퓨터에서 LDAP 서명을 활성화하는 방법

공격자가 위조된 LDAP 클라이언트를 사용하여 서버 구성 및 데이터를 변경하지 않도록 하려면 LDAP 서명을 활성화하는 것이 필수적입니다. 클라이언트 컴퓨터에서 활성화하는 것도 마찬가지로 중요합니다.

1. 서버 LDAP 서명 요구 사항 설정
2. 로컬 컴퓨터 정책을 사용하여 클라이언트 LDAP 서명 요구 사항 설정
3. 도메인 그룹 정책 개체를 사용하여 클라이언트 LDAP 서명 요구 사항 설정
4. 레지스트리 키를 사용하여 클라이언트 LDAP 서명 요구 사항 설정
5. 구성 변경을 확인하는 방법
6. '서명 필요' 옵션을 사용하지 않는 클라이언트를 찾는 방법

마지막 섹션은 서명 필요가 활성화되지 않은 클라이언트를 파악하는 데 도움이 됩니다. 컴퓨터에서. IT 관리자가 해당 컴퓨터를 격리하고 컴퓨터의 보안 설정을 활성화하는 데 유용한 도구입니다.

1] 서버 LDAP 서명 요구 사항 설정

1. Microsoft 관리 콘솔(mmc.exe) 열기
2. 파일 선택> 스냅인 추가/제거> 그룹 정책 개체 편집기를 선택한 다음 추가를 선택합니다.
3. 그룹 정책 마법사가 열립니다. 찾아보기 버튼을 클릭하고 기본 도메인 정책을 선택합니다. 로컬 컴퓨터 대신
4. 확인 버튼을 클릭한 다음 마침 버튼을 클릭하고 닫습니다.
5. 기본 도메인 정책 > 컴퓨터 구성 > Windows 설정 > 보안 설정 > 로컬 정책 선택 을 클릭한 다음 보안 옵션을 선택합니다.
6. 도메인 컨트롤러:LDAP 서버 서명 요구사항을 마우스 오른쪽 버튼으로 클릭합니다. 을 클릭한 다음 속성을 선택합니다.
7. 도메인 컨트롤러:LDAP 서버 서명 요구 사항 속성 대화 상자에서 이 정책 설정 정의를 활성화하고, 이 정책 설정 정의 목록에서 서명 필요를 선택하고, 그런 다음 확인을 선택합니다.
8. 설정을 다시 확인하고 적용합니다.

2] 로컬 컴퓨터 정책을 사용하여 클라이언트 LDAP 서명 요구 사항 설정

1. 실행 프롬프트를 열고 gpedit.msc를 입력하고 Enter 키를 누릅니다.
2. 그룹 정책 편집기에서 로컬 컴퓨터 정책 > 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책으로 이동합니다. 을 클릭한 다음 보안 옵션을 선택합니다.
3. 네트워크 보안:LDAP 클라이언트 서명 요구 사항을 마우스 오른쪽 버튼으로 클릭합니다. 을 클릭한 다음 속성을 선택합니다.
4. 네트워크 보안:LDAP 클라이언트 서명 요구 사항 속성 대화 상자에서 서명 필요를 선택합니다. 목록에서 확인한 다음 확인을 선택합니다.
5. 변경 사항을 확인하고 적용합니다.

3] 도메인 그룹 정책 개체를 사용하여 클라이언트 LDAP 서명 요구 사항 설정

1. Microsoft 관리 콘솔(mmc.exe) 열기
2. 파일 선택> 스냅인 추가/제거> 그룹 정책 개체 편집기 선택 을 클릭한 다음 추가를 선택합니다. .
3. 그룹 정책 마법사가 열립니다. 찾아보기 버튼을 클릭하고 기본 도메인 정책을 선택합니다. 로컬 컴퓨터 대신
4. 확인 버튼을 클릭한 다음 마침 버튼을 클릭하고 닫습니다.
5. 기본 도메인 정책 선택> 컴퓨터 구성> Windows 설정> 보안 설정> 로컬 정책 , 보안 옵션을 선택합니다. .
6. 네트워크 보안:LDAP 클라이언트 서명 요구 사항 속성에서 대화 상자에서 서명 필요 를 선택합니다. 목록에서 확인을 선택합니다. .
7. 변경 사항을 확인하고 설정을 적용합니다.

4] 레지스트리 키를 사용하여 클라이언트 LDAP 서명 요구 사항 설정

가장 먼저 할 일은 레지스트리를 백업하는 것입니다.

• 레지스트리 편집기 열기
• HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ \Parameters로 이동합니다.
• 오른쪽 창을 마우스 오른쪽 버튼으로 클릭하고 이름이 LDAPServerIntegrity인 새 DWORD를 만듭니다.
• 기본값으로 둡니다.

<인스턴스 이름>:변경하려는 AD LDS 인스턴스의 이름입니다.

5] 구성 변경에 로그인이 필요한지 확인하는 방법

보안 정책이 작동하는지 확인하려면 무결성을 확인하는 방법이 있습니다.

1. AD DS 관리 도구가 설치된 컴퓨터에 로그인합니다.
2. 실행 프롬프트를 열고 ldp.exe를 입력한 다음 Enter 키를 누릅니다. Active Directory 네임스페이스를 탐색하는 데 사용되는 UI입니다.
3. 연결 > 연결을 선택합니다.
4. 서버 및 포트에 디렉터리 서버의 서버 이름과 비 SSL/TLS 포트를 입력한 다음 확인을 선택합니다.
5. 연결이 설정되면 연결 > 바인드를 선택합니다.
6. 바인드 유형에서 단순 바인딩을 선택합니다.
7. 사용자 이름과 비밀번호를 입력한 다음 확인을 선택합니다.

Ldap_simple_bind_s() 실패:강력한 인증 필요라는 오류 메시지가 표시되는 경우 , 디렉토리 서버를 성공적으로 구성한 것입니다.

6] "서명 필요" 옵션을 사용하지 않는 클라이언트를 찾는 방법

클라이언트 컴퓨터가 안전하지 않은 연결 프로토콜을 사용하여 서버에 연결할 때마다 이벤트 ID 2889가 생성됩니다. 로그 항목에는 클라이언트의 IP 주소도 포함됩니다. 16 을 설정하여 이 기능을 사용 설정해야 합니다. LDAP 인터페이스 이벤트 진단 설정을 2(기본)로 설정합니다. Microsoft에서 AD 및 LDS 진단 이벤트 로깅을 구성하는 방법을 알아보세요.

LDAP 서명은 매우 중요하며 Windows Server 및 클라이언트 컴퓨터에서 LDAP 서명을 활성화하는 방법을 명확하게 이해하는 데 도움이 되었기를 바랍니다.