기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AD Connector를 사용하여 클라이언트 측 LDAPS 활성화
클라이언트 측 LDAPS는 Microsoft Active Directory (AD)와 AWS 애플리케이션 간의 암호화 통신을 지원합니다. 이러한 애플리케이션의 예로는 WorkSpaces, AWS IAM Identity Center, Amazon QuickSight, Amazon Chime 등이 있습니다. 이 암호화를 통해 조직의 자격 증명 데이터에 대한 보안을 강화하고 보안 요구 사항을 충족할 수 있습니다.
클라이언트 측 LDAPS의 등록을 취소하고 비활성화할 수도 있습니다.
사전 조건
클라이언트 측 LDAPS를 활성화하려면 먼저 다음 요구 사항을 충족해야 합니다.
Active Directory에 서버 인증서 배포
클라이언트 측 LDAPS를 활성화하려면 Active Directory의 각 도메인 컨트롤러에 대한 서버 인증서를 가져와 설치해야 합니다. LDAP 서비스에서는 이러한 인증서를 사용하여 LDAP 클라이언트로부터의 SSL 연결을 수신하고 자동으로 수락합니다. 사내 Active Directory 인증서 서비스(ADCS) 배포에서 발급하거나 상업용 발급자로부터 구매한 SSL 인증서를 사용할 수 있습니다. Active Directory 서버 인증서 요구 사항에 대한 자세한 내용은 Microsoft 웹 사이트의 LDAP over SSL (LDAPS) Certificate
CA 인증서 요구 사항
클라이언트 측 LDAPS 작업에는 서버 인증서의 발급자를 나타내는 인증 기관(CA) 인증서가 필요합니다. CA 인증서는 LDAP 통신을 암호화하기 위해 Active Directory 도메인 컨트롤러에서 제공하는 서버 인증서와 일치합니다. 다음 CA 인증서 요구 사항에 유의하세요.
-
인증서를 등록하려면 만료일까지 90일 이상 남아 있어야 합니다.
-
인증서는 PEM(Privacy-Enhanced Mail) 형식이어야 합니다. Active Directory 내부에서 CA 인증서를 내보내는 경우 내보내기 파일 형식으로 base64로 인코딩된 X.509(.CER)를 선택합니다.
-
AD Connector 디렉터리당 최대 5개의 CA 인증서를 저장할 수 있습니다.
-
RSASSA-PSS 서명 알고리즘을 사용하는 인증서는 지원되지 않습니다.
네트워킹 요구 사항
AWS 애플리케이션 LDAP 트래픽은 LDAP 포트 389로 돌아가지 않고 TCP 포트 636에서만 실행됩니다. 그러나 복제, 신뢰 등을 지원하는 Windows LDAP 통신은 Windows 기본 보안과 함께 LDAP 포트 389를 계속 사용합니다. AD Connector(아웃바운드) 및 자체 관리형 Active Directory(인바운드)의 포트 636에서 TCP 통신을 허용하도록 AWS 보안 그룹과 네트워크 방화벽을 구성합니다.
클라이언트 측 LDAPS 활성화
클라이언트 측 LDAPS를 활성화하려면 인증 기관(CA) 인증서를 AD Connector로 가져온 다음 디렉터리에서 LDAPS를 활성화합니다. 활성화하면 AWS 애플리케이션과 자체 관리형 Active Directory 간의 모든 LDAP 트래픽이 Secure Sockets Layer(SSL) 채널 암호화를 통해 흐릅니다.
두 가지 방법을 사용하여 디렉터리에 대해 클라이언트 측 LDAPS를 활성화할 수 있습니다. AWS Management Console 메서드 또는 AWS CLI 메서드를 사용할 수 있습니다.
AWS Directory Service에 인증서 등록
다음 방법 중 하나를 사용하여 AWS Directory Service에서 인증서를 등록합니다.
방법 1: AWS Directory Service(AWS Management Console)에서 인증서를 등록하려면
-
AWS Directory Service콘솔
탐색 창에서 디렉터리를 선택합니다. -
디렉터리에 대한 디렉터리 ID 링크를 선택합니다.
-
디렉터리 세부 정보 페이지에서 네트워킹 및 보안 탭을 선택합니다.
-
클라이언트 측 LDAPS 섹션에서 작업 메뉴를 선택한 다음 인증서 등록을 선택합니다.
-
CA 인증서 등록 대화 상자에서 찾아보기를 선택한 다음 인증서를 선택하고 열기를 선택합니다.
-
인증서 등록을 선택합니다.
방법 2: AWS Directory Service(AWS CLI)에서 인증서를 등록하려면
-
다음 명령을 실행합니다. 인증서 데이터의 경우 CA 인증서 파일의 위치를 가리킵니다. 응답에 인증서 ID가 제공됩니다.
aws ds register-certificate --directory-id
your_directory_id
--certificate-data file://your_file_path
등록 상태 확인
인증서 등록 상태 또는 등록된 인증서 목록을 보려면 다음 명령을 사용합니다.
방법 1: AWS Directory Service(AWS Management Console)에서 인증서 등록 상태를 확인하려면
-
Directory details(디렉터리 세부 정보) 페이지의 클라이언트측 LDAPS 섹션으로 이동합니다.
-
등록 상태 열 아래 표시되는 현재 인증서 등록 상태를 검토합니다. 등록 상태 값이 등록됨으로 변경되면 인증서가 성공적으로 등록된 것입니다.
방법 2: AWS Directory Service(AWS CLI)에서 인증서 등록 상태를 확인하려면
-
다음 명령을 실행합니다. 상태 값이
Registered
를 반환하면 인증서가 성공적으로 등록된 것입니다.aws ds list-certificates --directory-id
your_directory_id
클라이언트 측 LDAPS 활성화
다음 방법 중 하나를 사용하여 AWS Directory Service에서 클라이언트 측 LDAPS를 활성화합니다.
참고
클라이언트 측 LDAPS를 활성화하려면 인증서를 하나 이상 등록해야 합니다.
방법 1: AWS Directory Service(AWS Management Console)에서 클라이언트 측 LDAPS를 활성화하려면
-
Directory details(디렉터리 세부 정보) 페이지의 클라이언트측 LDAPS 섹션으로 이동합니다.
-
활성화를 선택합니다. 이 옵션을 사용할 수 없는 경우, 유효한 인증서가 성공적으로 등록되었는지 확인한 다음 다시 시도하세요.
-
클라이언트 측 LDAPS 활성화 대화 상자에서 활성화를 선택합니다.
방법 2: AWS Directory Service(AWS CLI)에서 클라이언트 측 LDAPS를 활성화하려면
-
다음 명령을 실행합니다.
aws ds enable-ldaps --directory-id
your_directory_id
--type Client
LDAPS 상태 확인
다음 방법 중 하나를 사용하여 AWS Directory Service에서 LDAPS 상태를 확인합니다.
방법 1: AWS Directory Service(AWS Management Console)에서 LDAPS 상태를 확인하려면
-
Directory details(디렉터리 세부 정보) 페이지의 클라이언트측 LDAPS 섹션으로 이동합니다.
-
상태 값이 활성화됨으로 표시되면 LDAPS가 성공적으로 구성된 것입니다.
방법 2: AWS Directory Service(AWS CLI)에서 LDAPS 상태를 확인하려면
-
다음 명령을 실행합니다. 상태 값이
Enabled
을 반환하면 LDAPS가 성공적으로 구성된 것입니다.aws ds describe-ldaps-settings –directory-id
your_directory_id
클라이언트 측 LDAPS 인증서 보기, LDAPS 인증서 등록 취소 또는 비활성화에 대한 자세한 내용은 클라이언트 측 LDAPS 관리을 참조하세요.