관리형 AWS Microsoft AD를 사용하여 서버측 LDAPS를 활성화합니다.

서버측 경량 디렉터리 액세스 프로토콜 SSL (보안 소켓 계층) /TLS (전송 계층 보안) (LDAPS) 지원은 상용 또는 자체 개발된 LDAP 인식 응용 프로그램과 관리형 Microsoft AD 디렉터리 간의 LDAP 통신을 암호화합니다. AWS 이렇게 하면 Secure Sockets Layer(SSL) 암호화 프로토콜을 사용하여 유선 보안을 개선하고 규정 준수 요구 사항을 충족할 수 있습니다.

서버 측 LDAPS 활성화

서버측 LDAPS 및 CA (인증 기관) 서버를 설정하고 구성하는 방법에 대한 자세한 지침은 보안 블로그의 AWS 관리형 Microsoft AD 디렉터리에 대해 서버측 LDAPS를 활성화하는 방법을 참조하십시오. AWS

대부분의 설정은 AWS Managed Microsoft AD 도메인 컨트롤러를 관리하는 데 사용하는 Amazon EC2 인스턴스로부터 수행해야 합니다. 다음 단계는 클라우드에서 도메인의 LDAPS를 활성화하는 방법을 안내합니다. AWS

자동화를 사용하여 PKI 인프라를 설정하려면 Microsoft 공개 키 인프라 on AWS QuickStart Guide를 사용할 수 있습니다. 특히 안내서의 지침에 따라 AWS의 기존 VPC에 Microsoft PKI 배포를 위한 템플릿을 로드하는 것이 좋습니다. 템플릿을 로드한 후에는 Active Directory 도메인 서비스 유형 옵션으로 이동하면 AWSManaged를 선택해야 합니다. QuickStart 가이드를 사용한 경우 바로 이동할 3단계: 인증서 템플릿 생성 수 있습니다.

1단계: LDAPS를 활성화할 수 있는 사용자 위임

서버측 LDAPS를 활성화하려면 관리형 AWS Microsoft AD 디렉터리의 관리자 또는 AWS 위임된 엔터프라이즈 인증 기관 관리자 그룹의 구성원이어야 합니다. 또는 기본 관리 사용자(관리자 계정)여야 합니다. 원하는 경우 관리자 계정 설정 LDAPS 이외의 사용자가 있을 수 있습니다. 이 경우 관리형 AWS Microsoft AD 디렉터리의 관리자 또는 AWS 위임된 엔터프라이즈 인증 기관 관리자 그룹에 해당 사용자를 추가하세요.

2단계: 인증 기관 설정

서버 측 LDAPS를 활성화하려면 먼저 인증서를 만들어야 합니다. 이 인증서는 AWS 관리형 Microsoft AD 도메인에 가입된 Microsoft 엔터프라이즈 CA 서버에서 발급해야 합니다. 생성된 인증서는 해당 도메인의 각 도메인 컨트롤러에 설치해야 합니다. 이 인증서는 도메인 컨트롤러 상의 LDAP 서비스가 LDAP 클라이언트로부터의 SSL 연결을 수신 대기하고 자동으로 수락할 수 있게 허용합니다.

참고

관리형 AWS Microsoft AD를 사용하는 서버측 LDAPS는 독립 실행형 CA에서 발급한 인증서를 지원하지 않습니다. 타사 인증 기관에서 발급한 인증서도 지원하지 않습니다.

비즈니스 필요에 따라 다음과 같이 도메인에서 CA를 설정 또는 연결할 수 있는 옵션이 있습니다.

• 하위 Microsoft 엔터프라이즈 CA 생성 - (권장) 이 옵션을 사용하면 클라우드에 하위 Microsoft 엔터프라이즈 CA 서버를 배포할 수 있습니다. AWS 서버에서는 Amazon EC2를 사용하여 기존 루트 Microsoft CA로 작업할 수 있습니다. 하위 Microsoft 엔터프라이즈 CA를 설정하는 방법에 대한 자세한 내용은 관리되는 AWS Microsoft AD 디렉터리의 서버측 LDAPS를 활성화하는 방법에서 4단계: AWS Microsoft AD 디렉터리에 Microsoft 엔터프라이즈 CA 추가를 참조하십시오.

• 루트 Microsoft 엔터프라이즈 CA 생성 — 이 옵션을 사용하면 Amazon EC2를 사용하여 AWS 클라우드에서 루트 Microsoft 엔터프라이즈 CA를 생성하고 관리형 AWS Microsoft AD 도메인에 가입할 수 있습니다. 이 루트 CA는 도메인 컨트롤러에 인증서를 발급합니다. 새 루트 CA 설정에 대한 자세한 내용은 관리되는 AWS Microsoft AD 디렉터리의 서버측 LDAPS를 사용하도록 설정하는 방법에서 3단계: 오프라인 CA 설치 및 구성을 참조하십시오.

EC2 인스턴스를 도메인에 조인하는 방법에 대한 자세한 내용은 Amazon EC2 인스턴스를 관리형 AWS 마이크로소프트 AD에 연결 Active Directory 단원을 참조하세요.

3단계: 인증서 템플릿 생성

엔터프라이즈 CA를 설정한 후 Kerberos 인증 인증서 템플릿을 구성할 수 있습니다.

인증서 템플릿을 생성하려면

1. Microsoft Windows Server Manager를 시작합니다. 도구 > 인증 기관을 선택합니다.

2. 인증 기관 창에서 왼쪽 창의 인증 기관 트리를 확장합니다. Certificate Templates를 마우스 오른쪽 버튼으로 클릭하고 Manage를 선택합니다.

3. Certificate Templates Console 창에서 Kerberos Authentication을 마우스 오른쪽 버튼으로 클릭하고 Duplicate Template을 선택합니다.

4. 새 템플릿의 속성 창이 나타납니다.

5. 새 템플릿 속성 창에서 호환성 탭으로 이동한 후 다음을 수행합니다.

   1. 인증 기관을 CA와 일치하는 OS로 변경합니다.

   2. 변경 결과 창이 나타나면 확인을 선택합니다.

   3. 인증 수신자를 Windows 10/ Windows Server 2016으로 변경하십시오.

      참고

      AWS 매니지드 마이크로소프트 AD는 윈도우 서버 2019에 의해 구동됩니다.

   4. 변경 결과 창이 나타나면 확인을 선택합니다.

6. 일반 탭을 클릭하고 템플릿 표시 이름을 LDApoverssl 또는 원하는 다른 이름으로 변경합니다.

7. 보안 탭을 클릭하고 그룹 또는 사용자 이름 섹션에서 도메인 컨트롤러를 선택합니다. 도메인 컨트롤러에 대한 권한 섹션에서 읽기, 등록, 자동 등록에 대한 허용 확인란이 선택되어 있는지 확인합니다.

8. 확인을 선택하여 LDApoverSSL(또는 앞서 지정한 이름) 인증서 템플릿을 생성합니다. 인증서 템플릿 콘솔 창을 닫습니다.

9. Certificate Authority 창에서 Certificate Templates를 마우스 오른쪽 버튼으로 클릭하고 New > Certificate Template to Issue를 선택합니다.

10. 인증서 템플릿 사용 창에서 LDApoverSL(또는 앞서 지정한 이름)을 선택한 다음 확인을 선택합니다.

4단계: 보안 그룹 규칙 추가

마지막 단계에서 Amazon EC2 콘솔을 열고 보안 그룹 규칙을 추가해야 합니다. 이러한 규칙을 사용하면 도메인 컨트롤러가 엔터프라이즈 CA에 연결하여 인증서를 요청할 수 있습니다. 이렇게 하려면 엔터프라이즈 CA가 도메인 컨트롤러로부터 수신 트래픽을 수락할 수 있도록 인바운드 규칙을 추가합니다. 그런 다음 도메인 컨트롤러에서 엔터프라이즈 CA로 가는 트래픽을 허용하도록 아웃바운드 규칙을 추가합니다.

두 규칙이 모두 구성되면 도메인 컨트롤러가 자동으로 엔터프라이즈 CA에 인증서를 요청하고 디렉터리에 대해 LDAPS를 활성화합니다. 이제 도메인 컨트롤러의 LDAP 서비스가 LDAPS 연결을 수락할 준비가 되었습니다.

보안 그룹 규칙을 구성하려면

1. Amazon EC2 콘솔 https://console.aws.amazon.com/ec2로 이동하여 관리자 보안 인증 정보로 로그인합니다.

2. 탐색 창의 Network & Security에서 Security Groups를 선택합니다.

3. 기본 창에서 CA의 AWS 보안 그룹을 선택합니다.

4. 인바운드(Inbound) 탭을 선택한 후 편집(Edit)을 선택합니다.

5. [Edit inbound rules] 대화 상자에서 다음을 수행합니다.

   • 규칙 추가(Add Rule)를 선택합니다.

   • 유형에서 모든 트래픽을 선택하고 소스로 사용자 지정을 선택합니다.

   • 소스 옆의 상자에 디렉터리의 AWS 보안 그룹 (예: sg-123456789) 을 입력합니다.

   • 저장을 선택합니다.

6. 이제 AWS 관리형 Microsoft AD 디렉터리의 AWS 보안 그룹을 선택합니다. [Outbound] 탭을 선택하고 [Edit]를 선택합니다.

7. [Edit outbound rules] 대화 상자에서 다음을 수행합니다.

   • 규칙 추가(Add Rule)를 선택합니다.

   • 유형에서 모든 트래픽을 선택하고 대상에서 사용자 지정을 선택합니다.

   • 대상 옆의 상자에 CA의 AWS 보안 그룹을 입력합니다.

   • 저장을 선택합니다.

LDP 도구를 사용하여 AWS 관리형 Microsoft AD 디렉터리에 대한 LDAPS 연결을 테스트할 수 있습니다. LDP 도구는 Active Directory 관리 도구에 포함되어 있습니다. 자세한 정보는 AWS 관리형 Microsoft AD용 액티브 디렉터리 관리 도구 설치을 참조하세요.

참고

LDAPS 연결을 테스트하기 전에 하위 CA가 도메인 컨트롤러에 인증서를 발급할 때까지 최대 30분간 기다려야 합니다.

서버측 LDAPS에 대한 자세한 내용과 설정 방법에 대한 예제 사용 사례를 보려면 보안 블로그의 AWS 관리형 Microsoft AD 디렉터리에 대해 서버측 LDAPS를 활성화하는 방법을 참조하십시오. AWS