일반적인 답변

tag-icon tag-icon windows active-directory windows-server-2012-r2 ad-certificate-services
일반적인 답변

이 기사를 읽고:https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc

첫 번째 방법이 가장 쉽습니다. 도메인 컨트롤러에 엔터프라이즈 루트 CA를 설치하면 LDAPS가 자동으로 활성화됩니다. AD-CS 역할을 설치하고 DC에서 설정 유형을 "엔터프라이즈"로 지정하면 포리스트의 모든 DC가 자동으로 LDAPS를 허용하도록 구성됩니다.

그게 사실인가요? 단일 DC에 인증서 서비스를 설치하면 도메인의 모든 DC가 LDAPS를 허용합니까? 모두 자동으로 인증서를 등록합니까, 아니면 모든 LDAPS 요청이 루트 CA가 설치된 DC로 다시 전달됩니까? DC에서 루트 CA를 제거하면 어떻게 되나요?

LDAP를 활성화해야 합니다. DC에 루트 CA를 설치하면 끝인가요?

보안에 미치는 영향을 이해하지만 소규모 환경에서는 이것이 더 나은 경로가 될 것입니다.

답변1

일반적인 답변

일반적으로 말하면 그렇습니다. LDAPS 프로토콜(:636)과 LDAP 프로토콜(:389)에 대한 방화벽 액세스와 같은 네트워킹 관련 구성은 제외됩니다.

표준 Active Directory 통합 인증 기관 설치에서는 서버 인증 OID를 의도된 목적으로 포함하는 도메인 컨트롤러 인증서 템플릿을 기반으로 하는 인증서가 도메인 컨트롤러에 발급됩니다. 이 OID가 포함된 유효한 인증서는 Schannel 서비스에 의해 자동으로 선택되어 LDAPS(:636)에 바인딩됩니다.

이 인증서를 제거하거나 적절한 서버 인증 인증서가 없으면 경고 이벤트가 Schannel 원본 아래의 이벤트 뷰어의 보안 로그에 매초 기록됩니다.

주체 대체 이름 지원

일반적인 주의 사항은 LDAPS 인증서에 대한 적절한 주체 대체 이름 지원이 필요하다는 것입니다. 기본 도메인 컨트롤러 인증서 템플릿에는 인증서 SAN 이름이 포함되지 않습니다. 당신이 가지고 있다면domain.com이름이 지정된 도메인 컨트롤러 사용dc1.domain.com그리고dc2.domain.com, LDAPS(:636)가 다음을 호출합니다.domain.com응답 도메인 컨트롤러의 인증서를 사용하여 반환됩니다(dc1.domain.com또는dc2.domain.com). 많은 애플리케이션과 프로토콜은 이를 보안 위협 및 오류 발생으로 간주합니다.

LDAPS에 대한 SAN 지원 활성화

  1. 도메인 컨트롤러에서 표준 발급된 도메인 컨트롤러 인증서를 취소하고 제거합니다.
  2. 읽기 권한을 허용하되 도메인 컨트롤러, 엔터프라이즈 도메인 컨트롤러 및 읽기 전용 도메인 컨트롤러에 대한 등록 및/또는 자동 등록 권한을 제거하도록 도메인 컨트롤러 템플릿의 보안이 표시되어 있는지 확인합니다.
  3. 서버 인증 OID가 포함된 Kerberos 인증 템플릿을 복제합니다.
    • 이 템플릿이 키 내보내기를 허용하고 주체 이름이 Active Directory에서 생성되지 않았지만 요청 내에서 제공되도록 표시되어 있는지 확인하세요.
    • 인증서 템플릿의 보안이 도메인 컨트롤러, 엔터프라이즈 도메인 컨트롤러 및 읽기 전용 도메인 컨트롤러가 읽기 및 등록을 모두 허용하는지 확인하세요.
  4. 새로 생성된 인증서 템플릿을 게시합니다.
  5. 각 도메인 컨트롤러에 로그온하고 템플릿에서 새 인증서를 요청한 후 다음을 이름 지정 정보로 설정합니다(예:dc1.domain.com):
    • 일반 이름:dc1.domain.com
    • SAN:dc1.domain.com,dc1,domain.com, 그리고도메인.
  6. 각 도메인 컨트롤러를 다시 시작하고(항상 필요한 것은 아니지만 좋은 측정을 위해) 이벤트 뷰어의 보안 채널이 더 이상 적합한 인증서를 찾을 수 없다는 경고를 표시하지 않는지 확인합니다.

보너스 정보

내부적으로 LDAPS 연결을 어떻게 빠르게 확인할 수 있습니까?

  1. 도메인 컨트롤러에 로그온합니다.
  2. LDP.exe를 실행합니다.
  3. 도메인 컨트롤러 이름, IP 주소 또는 도메인 이름 자체에 대한 새 연결을 엽니다.
    • 포트: 636
    • SSL: 확인
  4. 결과를 통해 연결 여부와 도메인 컨트롤러의 컨텍스트를 알 수 있습니다.

현재 Schannel/LDAPS 인증서를 빠르게 보려면 어떻게 해야 합니까?

  1. OpenSSL을 다운로드하거나 액세스하세요.
  2. openssl.exe -s_client domain.com:636
  3. 연결이 성공적으로 열리면 로그의 시작 부분에 연결 세부 정보가 표시됩니다.
  4. 전체 -----BEGIN CERTIFICATE...통과 ...END CERTIFICATE-----섹션을 복사합니다.
  5. 이것을 메모장에 붙여넣고 다른 이름으로 저장하세요.인증서.cer.
  6. 열려 있는인증서.cerSchannel/LDAPS가 제공하는 인증서를 확인합니다.

LDAPS(:636)를 사용하는 경우 모든 LDAP(:389) 트래픽을 차단할 수 있습니까?

예, 아니오. 예; 모든 North-South 트래픽(내부 및 외부 간)에서 LDAP(:389)를 차단할 수 있습니다. 아니요; East-West 트래픽(내부와 내부 간)에서는 LDAP(:389)를 차단할 수 없습니다. LDAP(:389)는 Active Directory의 특정 복제 기능에 중요합니다. 이러한 활동은 Kerberos의 서명 및 봉인을 통해 보호됩니다.

정확한 단계나 스크린샷이 부족한 점 사과드립니다. 나는 지금 이 순간 그것을 공급할 수 있는 환경에 있지 않습니다.

관련 정보