'LDAP 서버'에 해당되는 글 1건

  1. 2008.05.25 Lockout Guard, 서비스 거부 공격 예방 - #3. LDAP 서버 구성

목차

  1. 개요
  2. 설치
  3. LDAP 구성
  4. 그룹 정책 설정
  5. 웹 리스너 및 락아웃가드 구성

       

    #3. LDAP 서버 구성 

    앞 강좌에서 락아웃가드를 설치하는 방법에 대해 설명했는데 보기보다 아주 쉽습니다. 하지만, 이 번에 소개하는 LDAP 구성 부분은 가장 핵심적이면서도 중요한 부분이라는 점을 먼저 밝혀 둡니다.

    ISA 방화벽에서 LDAP 서버 설정을 하는 가장 큰 이유는 바로 LDAP 인증을 이용하기 위해서입니다. ISA 서버 도메인 멤버 서버라 할지라도 LDAP 설정을 해야 합니다. 그 이유는 현재 인증을 시도하는 사용자가 비밀번호를 틀리게 입력하는 회수 등을 필터가 알아 채야 하기 때문으로 LDAP 조회(lookup)이 필요한 이유입니다.

    ISA 콘솔에서 Configuration - General 노드로 이동합니다. 아래 그림과 같이 Specify RADIUS and LDAP servers 링크를 클릭합니다.

     

    Authentication Servers 대화상자에서 LDAP Servers 탭을 클릭합니다. 아래 그림에서 하나 추가한 것을 볼 수 있으며, 새로운 LDAP 서버를 추가하려면 Add 버튼을 클릭합니다.

     

    가장 먼저 설정한 작업이 바로 LDAP 서버를 추가하는 것입니다. LDAP 서버는 보통 도메인 컨트롤러로 ISA 방화벽에 인증을 하는 도메인 사용자의 정보를 가지고 있습니다. Add 버튼을 눌러 LDAP 서버를 추가합니다. 위의 예에서는 win2008rc0-dc.msfirewall.org 서버를 추가하였습니다. LDAP 서버에서는 자체적으로 인증서를 가지고 있어야 하므로 이름을 지정할 때에 주의해야 합니다. 입력한 이름이 인증서의 이름/주체와 일치하지 않는 경우에는 LDAP 인증을 할 수 없습니다.

    게다가, ISA 방화벽은 도메인 컨트롤러에서 설치된 인증서를 발급하는 서버 인증서 발급의 CA 인증서를 가지고 있어야 합니다. CA 인증서는 ISA 방화벽의 Trusted Root Certification Authorities 인증서 저장소에 설치되어야 합니다. ISA 방화벽에 CA 인증서를 설치하지 않는 경우에는 DC가 제시하는 서버 인증서를 신뢰할 수 없기 때문에 LDAP 연결을 할 수 없습니다.

    또한 가능하다면 하나 이상의 도메인 컨트롤러를 추가하는 것이 좋습니다. 이는 결함허용을 위한 것으로 첫 번째 DC에 장애가 있더라도 두 번째 DC가 동작할 수 있는 여지를 줄 수 있기 때문입니다.

    Type the Active Directory domain name 입력 상자에서 도메인의 이름을 입력합니다. 입력할 때에는 FQDN을 입력하지 않고 도메인 이름만을 입력합니다. Connect LDAP servers over a secure connection에 체크합니다. 아주 중요한 부분으로 안전한 방식이 아닌 DC로의 연결을 하지 못하게 합니다.

    마지막으로 ISA 방화벽에서 LDAP 서버에 연결할 때 사용할 사용자 이름을 입력합니다. 사용자 이름은 도메인 관리자나 엔터프라이즈 관리자 권한을 가질 필요가 없으며 일반 사용자 계정이면 충분합니다. 하지만, 외부에서 액세스할 수 있는 계정인지 확인해야 하는데 ISA는 미리 입력한 사용자 이름/비밀번호 정보를 간직하기 때문입니다. LDAP 사용자는 여기서 입력한 값으로 절대 계정이 잠기지 않게 됩니다.(ISA가 LDAP에 연결할 때에 비밀번호를 틀리게 입력하는 회수를 모두 0으로 초기화함)

     

    마지막으로 수행할 작업은 로그인 방식(Login Expression)을 구성하는 것입니다. New 버튼을 클릭하고 *를 입력하고 앞서 생성했던 LDAP 서버를 선택합니다.

     

    지금까지 ISA 방화벽에서 LDAP 서버를 설정하는 방법에 대해 알아 봤습니다. 다음 강좌에서는 그룹 정책에 대해서 설명할 예정입니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory