LDAPS 사용 설정

이 페이지에서는 Microsoft Active Directory용 관리형 서비스(관리형 Microsoft AD)에 SSL/TLS(LDAPS)를 통해 LDAP를 사용 설정하여 LDAP 트래픽을 기밀로 유지하고 안전하게 보호하는 방법을 설명합니다. 기본적으로 관리형 Microsoft AD와 클라이언트 애플리케이션 간의 통신은 간단한 LDAP 바인딩을 위해 암호화되지 않습니다.

LDAPS를 사용 설정하려면 인증서가 있어야 합니다. 또한 이 페이지에서는 필요한 인증서의 사양과 함께 인증서를 확인하고 모니터링하는 방법도 설명합니다.

인증서 요청

Public Certificate Authority(CA), Enterprise CA, Google Cloud Certificate Authority Service에서 인증서를 요청하거나 자체 서명된 인증서를 사용할 수 있습니다. 자체 서명 인증서를 사용하는 경우 다음 섹션의 PowerShell 명령어에 연결된 Microsoft 문서를 따르세요.

Windows, OpenSSL 또는 MakeCert에서 New-SelfSignedCertificate 명령어를 사용하여 자체 서명 인증서를 만들 수 있습니다.

인증서 요구사항

인증서는 다음 요구사항을 충족해야 합니다.

  • 다음 표에는 자체 서명 인증서를 만들기 위한 요구사항이 설명되어 있으며 New-SelfSignedCertificate 명령어에 사용되는 관련 매개변수가 나와 있습니다. 매개변수 또는 필드 이름은 인증서를 만드는 방법에 따라 다를 수 있습니다.
매개변수 설명
Subject(주체 제목) 업그레이드 또는 복원 프로세스 중에 서비스를 계속 사용하려면 와일드 카드 프리픽스가 추가된 관리형 Microsoft AD 도메인 이름이어야 합니다. 이는 도메인 컨트롤러에서 업그레이드 또는 복원 프로세스 중에 변경되는 무작위 이름을 사용하기 때문입니다. 예를 들어 도메인 이름이 ad.mycompany.com이면 주체 이름은 CN=*.ad.mycompany.com이어야 합니다.
DnsName(DNS 이름 또는 주체 대체 이름) 다음 항목만 포함되어야 합니다.
  • 관리형 Microsoft AD 도메인의 와일드 카드 이름
  • 관리형 Microsoft AD 도메인 이름
    • 예를 들면 "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"입니다.
    KeySpec 디지털 서명과 키 교환 모두에 사용할 수 있음을 나타내는 1로 설정해야 합니다.
    KeyLength 최소 키 크기는 암호화 알고리즘에 따라 다릅니다.
  • RSA: 최소 2,048비트
  • ECDSA: 최소 256비트
  • ED25519: 512비트(고정 길이)
    		•
    KeyUsage '디지털 서명' 및 '키 암호화'를 포함해야 합니다.
    TextExtension 또는 EnhancedKeyUsageExtension 서버 인증을 위해 OID=1.3.6.1.5.5.7.3.1이 있어야 합니다.
    NotBefore 인증서가 유효한 시간입니다. LDAPS를 사용 설정할 때 인증서가 유효해야 합니다.
    NotAfter 이 기간이 지나면 인증서가 유효하지 않습니다. LDAPS를 사용 설정할 때 인증서가 유효해야 합니다.
    KeyAlgorithm(서명 알고리즘) SHA-1, MD2, MD5와 같은 취약한 서명 알고리즘은 지원되지 않습니다.

    • 발급 체인: 전체 인증서 체인이 업로드되고 유효해야 합니다. 체인은 선형이어야 하며 체인을 여러 개 포함할 수 없습니다.

    • 인증서 형식: 형식은 공개 키 암호화 표준(PKCS) #12를 충족해야 합니다. PFX 파일을 사용해야 합니다.

    Public CA 또는 Enterprise CA에서 요청

    Public CA 또는 Enterprise CA에서 인증서를 요청하려면 이 단계를 따르세요.

    요청이 생성된 동일한 VM에서 인증서를 수락합니다.

    PKCS #12 형식으로 인증서 내보내기

    PKCS #12 형식(PFX 파일)으로 인증서를 내보내려면 다음 단계를 완료합니다.

    1. Windows의 경우 Microsoft Management Console(MMC)에서 인증서로 이동합니다.

    2. 로컬 컴퓨터 인증서를 펼친 다음 개인 > 인증서로 이동합니다.

    3. 생성된 인증서를 마우스 오른쪽 버튼으로 클릭하여 LDAPS를 사용 설정한 다음 모든 작업 > 내보내기를 선택합니다.

    4. 인증서 내보내기 마법사 대화상자가 나타나면 다음을 클릭합니다.

    5. 비공개 키 내보내기 페이지에서 를 선택하여 비공개 키를 내보냅니다.

    6. 파일 형식 내보내기 페이지에서 개인정보 교환 - PKCS #12(.PFX)인증 경로에 모든 인증서 포함 체크박스를 선택합니다. 다음을 클릭합니다.

    7. 보안 페이지에서 비밀번호 체크박스를 선택한 후 인증서가 보호되도록 안전한 비밀번호를 입력합니다. 다음을 클릭합니다. 이 비밀번호는 관리형 Microsoft AD 도메인에서 LDAPS를 구성할 때 필요합니다.

    8. 내보낼 파일 페이지에서 내보낼 PFX 파일의 대상 이름과 경로를 입력합니다. 다음을 클릭합니다.

    9. 마침을 클릭합니다.

    PKCS #12 형식의 비공개 키가 포함된 자체 서명 인증서를 PFX 파일로 내보내려면 Export-PfxCertificate 명령어를 사용하고 자체 서명된 인증서를 PEM 파일로 내보내려면 Export-Certificate 명령어를 사용합니다.

    발급기관 체인을 클라이언트 컴퓨터로 배포

    LDAPS가 작동하려면 모든 클라이언트 컴퓨터에서 LDAPS 인증서 발급자를 신뢰해야 합니다. 잘 알려진 Public CA의 경우 클라이언트 컴퓨터가 이미 발급기관 체인을 신뢰할 수 있습니다. 체인을 신뢰할 수 없으면 다음 단계를 완료하여 발급기관 체인을 내보냅니다.

    1. Windows의 경우 Microsoft Management Console(MMC)에서 인증서로 이동합니다.

    2. 로컬 컴퓨터 인증서를 펼친 다음 개인 > 인증서로 이동합니다. LDAPS 인증서를 더블클릭합니다.

    3. 인증서 창에서 인증 경로 탭을 클릭합니다.

    4. 인증 경로 탭에서 경로의 루트 인증서를 선택합니다.

    5. 인증서 보기를 클릭합니다.

    6. 세부정보 탭을 클릭한 후 파일로 복사를 클릭합니다.

    7. 인증서 내보내기 마법사 대화상자가 나타나면 Base-64 인코딩 X.509를 선택하고 다음을 선택합니다.

    8. 인증서 체인의 파일 이름과 위치를 선택하고 마침을 클릭합니다.

    9. LDAPS 연결을 설정하는 클라이언트 컴퓨터에 인증서를 복사하려면 인증서 가져오기 마법사 대화상자를 사용하여 '로컬 머신' 저장소의 인증서를 가져옵니다. 또는 Windows의 그룹 정책을 사용하여 클라이언트 컴퓨터에 인증 기관의 인증서 체인을 배포할 수도 있습니다.

    자체 서명 인증서를 로컬 머신의 신뢰할 수 있는 루트 저장소로 가져오려면 Import-Certificate 명령어를 사용합니다.

    관리형 Microsoft AD 도메인에서 LDAPS 사용 설정

    관리형 Microsoft AD 도메인에서 LDAPS를 사용 설정하기 전 다음을 수행합니다.

    1. 다음 IAM 역할 중 하나가 있는지 확인합니다.

      • Google Cloud 관리형 ID 관리자(roles/managedidentities.admin)
      • Google Cloud 관리형 ID 도메인 관리자(roles/managedidentities.domainAdmin)

      관리형 Microsoft AD IAM 역할에 대한 자세한 내용은 액세스 제어를 참조하세요.

    관리형 Microsoft AD 도메인에서 LDAPS를 사용 설정하려면 다음 단계를 완료합니다.

    콘솔

    1. Google Cloud 콘솔의 관리형 Microsoft AD 페이지로 이동합니다.
      관리형 Microsoft AD로 이동
    2. 도메인 페이지의 인스턴스 목록에서 LDAPS를 사용 설정할 도메인을 선택합니다.
    3. 도메인 세부정보 페이지의 LDAPS 섹션에서 LDAPS 구성을 클릭합니다.
    4. LDAPS 구성 창에서 PFX 파일 위치와 PKCS #12 형식으로 인증서를 내보내기 위해 사용한 비밀번호를 입력한 후 LDAPS 구성을 클릭합니다.

    gcloud

    다음 gcloud CLI 명령어를 실행합니다.

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    다음을 바꿉니다.

    • DOMAIN_NAME: 관리형 Microsoft AD 도메인의 전체 리소스 이름입니다. 전체 리소스 이름 형식: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
    • PFX_FILENAME: LDAPS 구성을 위해 사용된 인증서 체인을 지정하는 PKCS #12 형식의 PFX 파일입니다.
    • PASSWORD: PKCS #12 인증서를 암호화하기 위해 사용된 비밀번호입니다. 비밀번호를 지정하지 않으면 명령어를 실행하는 동안 비밀번호를 묻는 메시지가 표시됩니다.

    이 작업은 완료하는 데 최대 20분이 걸릴 수 있습니다. 인증서를 업데이트하려면 업데이트된 PFX 파일을 사용하여 이 단계를 반복합니다.

    LDAPS 확인

    LDAPS 바인딩 수행을 시도하여 LDAPS가 사용 설정되었는지 확인할 수 있습니다. 이 프로세스에서는 VM을 도메인에 조인할 때 설치하는 RSAT 도구 중 하나인 LDP.exe가 사용됩니다.

    도메인에 조인된 Google Cloud Windows VM의 경우 PowerShell에서 다음 단계를 완료하세요.

    1. PowerShell에서 LDP.exe를 시작하고 연결 > 연결로 이동합니다.

    2. 연결 대화상자에서 다음 단계를 완료합니다.

      1. 서버 필드에 도메인 이름을 입력합니다.
      2. 포트 입력란에 636을 입력합니다.
      3. SSL 체크박스를 선택합니다.
      4. 확인을 클릭합니다.

      LDAPS가 올바르게 사용 설정되면 연결이 성공합니다.

    인증서 모니터링

    Cloud Monitoring에서 인증서 체인의 TTL(수명)을 볼 수 있습니다. cert_ttl 측정항목에서는 가장 먼저 만료되는 체인의 인증서에 남아있는 유효 일 수를 보여줍니다.

    콘솔

    측정항목 탐색기를 사용하여 모니터링 리소스의 측정항목을 확인하려면 다음을 수행하세요.

    1. Google Cloud 콘솔에서  측정항목 탐색기 페이지로 이동합니다.

      측정항목 탐색기로 이동

      검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Monitoring인 결과를 선택합니다.

    2. 측정항목 요소에서 측정항목 선택 메뉴를 펼치고 필터 표시줄에 LDAPS Certificate TTL을 입력한 후 하위 메뉴를 사용하여 특정 리소스 유형과 측정항목을 선택합니다.
      1. 활성 리소스 메뉴에서 Microsoft Active Directory 도메인을 선택합니다.
      2. 활성 측정항목 카테고리 메뉴에서 Microsoft_ad를 선택합니다.
      3. 활성 측정항목 메뉴에서 LDAPS 인증서 TTL을 선택합니다.
      4. 적용을 클릭합니다.

    3. 디스플레이에서 시계열을 삭제하려면 필터 요소를 사용합니다.

    4. 시계열을 조합하려면 집계 요소의 메뉴를 사용합니다. 예를 들어 VM의 CPU 사용률을 영역에 따라 표시하려면 첫 번째 메뉴를 평균으로, 두 번째 메뉴를 영역으로 설정합니다.

      집계 요소의 첫 번째 메뉴가 집계되지 않음으로 설정되면 모든 시계열이 표시됩니다. 집계 요소 기본 설정은 선택한 측정항목 유형에 따라 결정됩니다.

    5. 하루에 샘플 하나를 보고하는 할당량과 기타 측정항목의 경우 다음을 수행합니다.
      1. 표시 창에서 위젯 유형누적 막대 그래프로 설정합니다.
      2. 기간을 최소 1주일로 설정합니다.

    또한 도메인 세부정보 페이지의 LDAPS 섹션에서 Monitoring을 클릭하여 측정항목 탐색기로 이동할 수 있습니다.

    쿼리 편집기를 사용하여 이러한 측정항목을 찾을 수도 있습니다.

    1. 측정항목 탭에서 쿼리 편집기를 선택합니다.

    2. 쿼리 편집기 텍스트 필드에 다음 MQL 쿼리를 입력한 후 쿼리 실행을 선택합니다.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    LDAPS 사용 중지

    LDAPS를 중지하려면 다음 단계를 완료합니다.

    콘솔

    1. Google Cloud 콘솔의 관리형 Microsoft AD 페이지로 이동합니다.
      관리형 Microsoft AD로 이동
    2. 도메인 페이지의 인스턴스 목록에서 인증서를 사용 중지하려는 도메인을 선택합니다.
    3. 도메인 세부정보 페이지의 LDAPS 섹션에서 사용 중지를 클릭합니다.

    gcloud

    다음 gcloud CLI 명령어를 실행합니다.

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    DOMAIN_NAME을 관리형 Microsoft AD 도메인의 전체 리소스 이름으로 바꿉니다. 전체 리소스 이름 형식: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

    이 작업은 완료하는 데 최대 20분이 걸릴 수 있습니다. LDAPS를 다시 사용 설정하려면 인증서를 다시 업로드해야 합니다.

    다음 단계