Windows Server 및 클라이언트 시스템에서 LDAP 서명을 활성화하는 방법

LDAP 서명(LDAP signing) 은 디렉터리 서버의 보안을 향상시킬 수 있는 Windows Server 의 인증 방법입니다 . 활성화되면 서명을 요청하지 않거나 요청이 비 SSL/TLS 암호화를 사용하는 경우 모든 요청을 거부합니다. 이 게시물에서는 Windows Server 및 클라이언트 시스템 에서 LDAP 서명을 활성화하는 방법을 공유합니다. LDAP 는   LDAP( Lightweight Directory Access Protocol )를 나타냅니다.

Windows 컴퓨터 에서 LDAP 서명 을 활성화하는 방법

공격자가 위조된 LDAP(LDAP) 클라이언트를 사용하여 서버 구성 및 데이터를 변경하지 않도록 하려면 LDAP 서명 을 활성화하는 것이 필수적 입니다. 클라이언트 시스템에서 활성화하는 것도 마찬가지로 중요합니다.

  1. (Set)서버 LDAP 서명 요구 사항 설정
  2. (Set)로컬(Local) 컴퓨터 정책 을 사용하여 클라이언트 LDAP 서명 요구 사항 설정
  3. (Set)도메인 그룹 정책 개체(Domain Group Policy Object) 를 사용하여 클라이언트 LDAP 서명 요구 사항 설정
  4. (Set)레지스트리(Registry) 키 를 사용하여 클라이언트 LDAP 서명 요구 사항 설정
  5. 구성 변경을 확인하는 방법
  6. " 서명 필요" 옵션을 사용(Require) 하지 않는 클라이언트를 찾는 방법

마지막 섹션에서는 컴퓨터에서 서명 필요가 활성화되지 않은(do not have Require signing enabled) 클라이언트를 파악하는 데 도움이 됩니다. IT 관리자가 해당 컴퓨터를 격리하고 컴퓨터의 보안 설정을 활성화하는 데 유용한 도구입니다.

1] 서버 LDAP 서명 요구 사항 설정(Set)

Windows Server 및 클라이언트 시스템에서 LDAP 서명을 활성화하는 방법

  1. Microsoft 관리 콘솔(Microsoft Management Console) (mmc.exe)을 엽니 다.
  2. 파일 >  스냅인  추가 /제거 > (Add)그룹 정책 개체 편집기(Group Policy Object Editor) 를 선택한 다음  추가(Add) 를 선택 합니다.
  3. 그룹 정책 마법사(Group Policy Wizard) 가 열립니다 . 찾아보기(Browse) 버튼을  클릭(Click) 하고 로컬 컴퓨터 대신 기본 도메인 정책 을 선택합니다.(Default Domain Policy)
  4. (Click)확인 버튼을 클릭 한 다음 마침(Finish) 버튼을 클릭하고 닫습니다.
  5. 기본  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies 을 선택한 다음 보안 옵션을 선택합니다.
  6. 도메인 컨트롤러: LDAP 서버 서명 요구 사항(Domain controller: LDAP server signing requirements) 을 마우스 오른쪽 버튼으로 클릭  한 다음 속성을 선택합니다.
  7. 도메인(Domain) 컨트롤러: LDAP 서버 서명 요구 사항 속성(Properties)  대화 상자에서 이 정책 설정 정의를 사용  하도록 설정하고  (Define) 정책  설정 정의 목록에서 서명 필요(Require signing in the Define this policy setting list,) 를 선택한 다음 확인을 선택합니다.
  8. 설정을 다시 확인하고 적용하십시오.

2] 로컬 컴퓨터 정책을 사용하여 클라이언트 LDAP 서명 요구 사항 (LDAP)설정(Set)

Windows Server 및 클라이언트 시스템에서 LDAP 서명을 활성화하는 방법

  1. 실행(Run) 프롬프트를 열고 gpedit.msc를 입력하고 Enter 키를 누릅니다.
  2. 그룹 정책 편집기에서 Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies 으로 이동한 다음  보안 옵션을 선택합니다.(Security Options.)
  3. 네트워크 보안: LDAP 클라이언트 서명 요구 사항(Network security: LDAP client signing requirements) 을 마우스 오른쪽 버튼으로 클릭 한 다음 속성을 선택합니다.
  4. 네트워크(Network) 보안: LDAP 클라이언트 서명 요구 사항 속성(Properties)  대화 상자  의  목록에서 서명 필요 를 선택한 다음 확인을 선택합니다.(Require signing)
  5. 변경 사항을 확인하고 적용합니다.

3] 도메인 그룹 정책 개체(Group Policy Object) 를 사용하여 클라이언트 LDAP 서명 요구 사항 (LDAP)설정(Set)

  1. Microsoft 관리 콘솔(mmc.exe)을 엽니다.(Open Microsoft Management Console (mmc.exe))
  2. 파일(File)  >  Add/Remove Snap-in > 선택  하고 그룹 정책 개체 편집기(Group Policy Object Editor) 를 선택한 다음   추가  (Add) 선택 합니다.
  3. 그룹 정책 마법사(Group Policy Wizard) 가 열립니다 . 찾아보기(Browse) 버튼을  클릭(Click) 하고 로컬 컴퓨터 대신 기본 도메인 정책 을 선택합니다.(Default Domain Policy)
  4. (Click)확인 버튼을 클릭 한 다음 마침(Finish) 버튼을 클릭하고 닫습니다.
  5. 기본  도메인 정책(Default Domain Policy)  >  컴퓨터 구성(Computer Configuration)  >  Windows 설정(Windows Settings)  >  보안 설정(Security Settings)  >  로컬 정책(Local Policies) 을 선택한 다음  보안 옵션(Security Options) 을 선택 합니다.
  6. 네트워크 보안: LDAP 클라이언트 서명 요구 사항 속성 (Network security: LDAP client signing requirements Properties ) 대화 상자  의  목록에서  서명 필요  를 선택한 다음 (Require signing )확인(OK) 을 선택합니다 .
  7. 변경 사항을 확인(Confirm) 하고 설정을 적용합니다.

4] 레지스트리 키를 사용하여 클라이언트 LDAP 서명 요구 사항 (LDAP)설정(Set)

가장 먼저 할 일은 레지스트리를 백업하는 것입니다.

  • 레지스트리 편집기 열기
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters 로 이동합니다.
  • 오른쪽 창을 마우스 오른쪽 버튼으로 클릭(Right-click) 하고 이름이 LDAPServerIntegrity 인 새 (LDAPServerIntegrity)DWORD 를 만듭니다.
  • 기본값으로 두십시오.

<InstanceName >: 변경하려는 AD LDS 인스턴스의 이름입니다.(AD LDS)

5] 이제 구성 변경에 로그인이 필요한지 확인 하는 방법(How)

보안 정책이 작동하는지 확인하려면 무결성을 확인하는 방법이 있습니다.

  1. AD DS 관리 도구(AD DS Admin Tools) 가 설치된 컴퓨터에 로그인합니다 .
  2. 실행(Run) 프롬프트를 열고 ldp.exe를 입력하고 Enter 키를 누릅니다. Active Directory 네임스페이스 를 탐색하는 데 사용되는 UI입니다.
  3. 연결 > 연결을 선택합니다.
  4. 서버(Server)  및  포트(Port) 에  디렉터리 서버의 서버 이름과 비SSL/TLS 포트를 입력한 다음 확인을 선택합니다.
  5. 연결이 설정되면 연결 > 바인딩을 선택합니다.
  6. 바인딩(Bind) 유형에서  단순  바인딩(Simple) 을 선택 합니다.
  7. 사용자 이름과 암호를 입력한 다음 확인을 선택합니다.

Ldap_simple_bind_s() failed: Strong Authentication Required 라는 오류 메시지가 표시되면  디렉토리 서버를 성공적으로 구성한 것입니다.

6] " 서명 필요" 옵션을 사용(Require) 하지 않는 클라이언트를 찾는 방법(How)

클라이언트 시스템이 안전하지 않은 연결 프로토콜을 사용하여 서버에 연결할 때마다 이벤트 ID 2889(Event ID 2889) 가 생성됩니다 . 로그 항목에는 클라이언트의 IP 주소도 포함됩니다. 16  LDAP 인터페이스 이벤트(LDAP Interface Events)  진단 설정을  2(기본)(2 (Basic). ) 로 설정하여 이를 활성화해야 합니다 . Microsoft에서(here at Microsoft) AD 및 LDS 진단 이벤트 로깅 을 구성하는 방법을 알아보세요 .

LDAP 서명 은 중요하며 (LDAP Signing)Windows Server 및 클라이언트 시스템 에서 LDAP 서명을 활성화하는 방법을 명확하게 이해하는 데 도움이 되었기를 바랍니다 .



여진 민

About the author

저는 Windows 11 및 10을 모두 사용한 경험이 있는 웹 개발자입니다. 또한 수년간 Firefox 사용자였으며 완전히 새로운 Xbox One 게임 콘솔 사용에 능숙해졌습니다. 저의 주요 관심사는 소프트웨어 개발, 특히 웹 및 모바일 개발, 데이터 과학에 있습니다. 저는 다양한 컴퓨터 시스템과 그 사용법에 대해 잘 알고 있기 때문에 여러분이 사용할 수 있는 다양한 프로그램이나 서비스에 대해 편견 없는 피드백을 제공할 수 있습니다.


Related posts