필수 조건

클라이언트 측 LDAPS를 활성화하려면 먼저 다음 요구 사항을 충족해야 합니다.

Active Directory에 서버 인증서 배포

클라이언트 측 LDAPS를 활성화하려면 Active Directory의 각 도메인 컨트롤러에 대한 서버 인증서를 가져와 설치해야 합니다. LDAP 서비스에서는 이러한 인증서를 사용하여 LDAP 클라이언트로부터의 SSL 연결을 수신하고 자동으로 수락합니다. 사내 Active Directory 인증서 서비스(ADCS) 배포에서 발급하거나 상업용 발급자로부터 구매한 SSL 인증서를 사용할 수 있습니다. Active Directory 서버 인증서 요구 사항에 대한 자세한 내용은 Microsoft 웹 사이트의 LDAP over SSL (LDAPS) Certificate를 참조하세요.

CA 인증서 요구 사항

클라이언트 측 LDAPS 작업에는 서버 인증서의 발급자를 나타내는 인증 기관(CA) 인증서가 필요합니다. CA 인증서는 LDAP 통신을 암호화하기 위해 Active Directory 도메인 컨트롤러에서 제공하는 서버 인증서와 일치합니다. 다음 CA 인증서 요구 사항에 유의하세요.

• 인증서를 등록하려면 만료일까지 90일 이상 남아 있어야 합니다.

• 인증서는 PEM(Privacy-Enhanced Mail) 형식이어야 합니다. Active Directory 내부에서 CA 인증서를 내보내는 경우 내보내기 파일 형식으로 base64로 인코딩된 X.509(.CER)를 선택합니다.

• AD Connector 디렉터리당 최대 5개의 CA 인증서를 저장할 수 있습니다.

• RSASSA-PSS 서명 알고리즘을 사용하는 인증서는 지원되지 않습니다.

네트워킹 요구 사항

AWS 애플리케이션 LDAP 트래픽은 LDAP 포트 389로 돌아가지 않고 TCP 포트 636에서만 실행됩니다. 그러나 복제, 신뢰 등을 지원하는 Windows LDAP 통신은 Windows 기본 보안과 함께 LDAP 포트 389를 계속 사용합니다. AD Connector(아웃바운드) 및 자체 관리형 Active Directory(인바운드)의 포트 636에서 TCP 통신을 허용하도록 AWS 보안 그룹과 네트워크 방화벽을 구성합니다.