LDAP 서명 디렉터리 서버의 보안을 향상시킬 수 있는 Windows Server의 인증 방법입니다. 활성화되면 서명을 요청하지 않거나 요청이 비 SSL/TLS 암호화를 사용하는 경우 모든 요청을 거부합니다. 이 게시물에서는 Windows Server 및 클라이언트 시스템에서 LDAP 서명을 활성화하는 방법을 공유합니다. LDAP는 Lightweight Directory Access Protocol을 나타냅니다. (LDAP).
Windows 컴퓨터에서 LDAP 서명을 활성화하는 방법
공격자가 위조된 LDAP 클라이언트를 사용하여 서버 구성 및 데이터를 변경하지 않도록 하려면 LDAP 서명을 활성화하는 것이 필수적입니다. 클라이언트 컴퓨터에서 활성화하는 것도 마찬가지로 중요합니다.
- 서버 LDAP 서명 요구 사항 설정
- 로컬 컴퓨터 정책을 사용하여 클라이언트 LDAP 서명 요구 사항 설정
- 도메인 그룹 정책 개체를 사용하여 클라이언트 LDAP 서명 요구 사항 설정
- 레지스트리 키를 사용하여 클라이언트 LDAP 서명 요구 사항 설정
- 구성 변경을 확인하는 방법
- '서명 필요' 옵션을 사용하지 않는 클라이언트를 찾는 방법
마지막 섹션은 서명 필요가 활성화되지 않은 클라이언트를 파악하는 데 도움이 됩니다. 컴퓨터에서. IT 관리자가 해당 컴퓨터를 격리하고 컴퓨터의 보안 설정을 활성화하는 데 유용한 도구입니다.
1] 서버 LDAP 서명 요구 사항 설정
- Microsoft 관리 콘솔(mmc.exe) 열기
- 파일 선택> 스냅인 추가/제거> 그룹 정책 개체 편집기를 선택한 다음 추가를 선택합니다.
- 그룹 정책 마법사가 열립니다. 찾아보기 버튼을 클릭하고 기본 도메인 정책을 선택합니다. 로컬 컴퓨터 대신
- 확인 버튼을 클릭한 다음 마침 버튼을 클릭하고 닫습니다.
- 기본 도메인 정책 > 컴퓨터 구성 > Windows 설정 > 보안 설정 > 로컬 정책 선택 을 클릭한 다음 보안 옵션을 선택합니다.
- 도메인 컨트롤러:LDAP 서버 서명 요구사항을 마우스 오른쪽 버튼으로 클릭합니다. 을 클릭한 다음 속성을 선택합니다.
- 도메인 컨트롤러:LDAP 서버 서명 요구 사항 속성 대화 상자에서 이 정책 설정 정의를 활성화하고, 이 정책 설정 정의 목록에서 서명 필요를 선택하고, 그런 다음 확인을 선택합니다.
- 설정을 다시 확인하고 적용합니다.
2] 로컬 컴퓨터 정책을 사용하여 클라이언트 LDAP 서명 요구 사항 설정
- 실행 프롬프트를 열고 gpedit.msc를 입력하고 Enter 키를 누릅니다.
- 그룹 정책 편집기에서 로컬 컴퓨터 정책 > 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책으로 이동합니다. 을 클릭한 다음 보안 옵션을 선택합니다.
- 네트워크 보안:LDAP 클라이언트 서명 요구 사항을 마우스 오른쪽 버튼으로 클릭합니다. 을 클릭한 다음 속성을 선택합니다.
- 네트워크 보안:LDAP 클라이언트 서명 요구 사항 속성 대화 상자에서 서명 필요를 선택합니다. 목록에서 확인한 다음 확인을 선택합니다.
- 변경 사항을 확인하고 적용합니다.
3] 도메인 그룹 정책 개체를 사용하여 클라이언트 LDAP 서명 요구 사항 설정
- Microsoft 관리 콘솔(mmc.exe) 열기
- 파일 선택> 스냅인 추가/제거> 그룹 정책 개체 편집기 선택 을 클릭한 다음 추가를 선택합니다. .
- 그룹 정책 마법사가 열립니다. 찾아보기 버튼을 클릭하고 기본 도메인 정책을 선택합니다. 로컬 컴퓨터 대신
- 확인 버튼을 클릭한 다음 마침 버튼을 클릭하고 닫습니다.
- 기본 도메인 정책 선택> 컴퓨터 구성> Windows 설정> 보안 설정> 로컬 정책 , 보안 옵션을 선택합니다. .
- 네트워크 보안:LDAP 클라이언트 서명 요구 사항 속성에서 대화 상자에서 서명 필요 를 선택합니다. 목록에서 확인을 선택합니다. .
- 변경 사항을 확인하고 설정을 적용합니다.
4] 레지스트리 키를 사용하여 클라이언트 LDAP 서명 요구 사항 설정
가장 먼저 할 일은 레지스트리를 백업하는 것입니다.
- 레지스트리 편집기 열기
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \
\Parameters 로 이동합니다. - 오른쪽 창을 마우스 오른쪽 버튼으로 클릭하고 이름이 LDAPServerIntegrity인 새 DWORD를 만듭니다.
- 기본값으로 둡니다.
<인스턴스 이름>:변경하려는 AD LDS 인스턴스의 이름입니다.
5] 구성 변경에 로그인이 필요한지 확인하는 방법
보안 정책이 작동하는지 확인하려면 무결성을 확인하는 방법이 있습니다.
- AD DS 관리 도구가 설치된 컴퓨터에 로그인합니다.
- 실행 프롬프트를 열고 ldp.exe를 입력한 다음 Enter 키를 누릅니다. Active Directory 네임스페이스를 탐색하는 데 사용되는 UI입니다.
- 연결 > 연결을 선택합니다.
- 서버 및 포트에 디렉터리 서버의 서버 이름과 비 SSL/TLS 포트를 입력한 다음 확인을 선택합니다.
- 연결이 설정되면 연결 > 바인드를 선택합니다.
- 바인드 유형에서 단순 바인딩을 선택합니다.
- 사용자 이름과 비밀번호를 입력한 다음 확인을 선택합니다.
Ldap_simple_bind_s() 실패:강력한 인증 필요라는 오류 메시지가 표시되는 경우 , 디렉토리 서버를 성공적으로 구성한 것입니다.
6] "서명 필요" 옵션을 사용하지 않는 클라이언트를 찾는 방법
클라이언트 컴퓨터가 안전하지 않은 연결 프로토콜을 사용하여 서버에 연결할 때마다 이벤트 ID 2889가 생성됩니다. 로그 항목에는 클라이언트의 IP 주소도 포함됩니다. 16 을 설정하여 이 기능을 사용 설정해야 합니다. LDAP 인터페이스 이벤트 진단 설정을 2(기본)로 설정합니다. Microsoft에서 AD 및 LDS 진단 이벤트 로깅을 구성하는 방법을 알아보세요.
LDAP 서명은 매우 중요하며 Windows Server 및 클라이언트 컴퓨터에서 LDAP 서명을 활성화하는 방법을 명확하게 이해하는 데 도움이 되었기를 바랍니다.