Windows Server에서 LDAP 서명 사용

by


4 월 업데이트 2024: 우리의 최적화 도구를 사용하여 오류 메시지를 받지 않고 시스템 속도를 늦추십시오. 지금 다운로드 이 링크
  1. 다운로드 및 설치 여기에 수리 도구.
  2. 컴퓨터를 스캔하도록 합니다.
  3. 그러면 도구가 컴퓨터 수리.

LDAP (Lightweight Directory Access Protocol)는 Windows Server AD (Active Directory)에서 디렉터리 서비스를 유지 관리하는 데 사용하는 표준 응용 프로그램 프로토콜입니다. 클라이언트 장치 및 응용 프로그램은 LDAP "바인딩"작업을 사용하여 AD에 인증합니다. 단순 LDAP 바인딩에는 네트워크를 통해 일반 텍스트로 사용자 자격 증명을 보내는 작업이 포함됩니다. 이는 사용자 이름과 암호가 암호화되지 않음을 의미합니다. DA는 단순 바인딩을 지원하지만 권장되는 접근 방식은 아닙니다.

간단한 LDAP 바인딩을 사용하는 응용 프로그램은 문자 및 봉인 (확인 / 무결성 및 암호화)을 지원하는 SASL (Simple Authentication and Security Layer) 바인딩을 사용하도록 업그레이드해야합니다. 업그레이드 할 수없는 응용 프로그램은 LDAPS라고하는 TLS를 통한 LDAP를 사용할 수 있지만 구현 및 유지 관리가 더 복잡합니다.

좋은 소식은 현재 지원되는 모든 Windows 버전이 기본적으로 서명 된 LDAP 연결을 협상한다는 것입니다. 그러나 Active Directory는 LDAP 서명이 "필수"로 설정되지 않은 경우 간단한 LDAP 연결을 허용합니다. 도메인에서 LDAP가 "필수"로 설정된 경우 단순 LDAP 바인딩이 실패합니다. 따라서 단순 LDAP 바인딩이 사용되지 않도록하려면 LDAP 서명을 요구하도록 AD를 구성해야합니다. 보안 변경과 마찬가지로 도메인에서 LDAP 서명을 사용하도록 허용하기 전에 철저한 테스트를 수행하여 단순 LDAP 바인딩에 의존하는 응용 프로그램이 없는지 확인해야합니다.

LDAP 서명 수준

SASL이 Active Directory에서 데이터를 서명하는 데 사용할 수있는 세 가지 수준이 있습니다

  • 필요하지 않음 (수준 0)
  • 양 당사자가 능력이 있는지 서명하십시오 (수준 1)
  • 항상 서명 (수준 2)

도메인 컨트롤러에서 필요한 서명 수준은 레지스트리 키의 LdapServerIntegrity (REG_DWORD) 값 아래에있는 HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ NTDS \ 매개 변수에 정의되어 있습니다. 도메인 컨트롤러 : Ldap 서버 서명 요구 사항의 컴퓨터 구성 \ Windows 설정 \ 로컬 정책 \ 보안 옵션에있는 그룹 정책으로 값을 재정의 할 수 있습니다.

관리자는 LdapServerIntegrity의 값을 190023에서 1로 늘려 ADV2에 설명 된 강화 된 내용을 변경하는 것이 좋습니다.

Client

클라이언트 서명 레벨은 HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LDAP 레지스트리 키에 LdapClientIntegrity 값으로 정의됩니다. 네트워크 보안 : LDAP 클라이언트 서명 요구 사항의 컴퓨터 구성 \ Windows 설정 \ 로컬 정책 \ 보안 옵션에있는 그룹 정책을 사용하여 값을 변경할 수 있습니다.

LDAP 서명 지원이 Windows 7 (서비스 팩 1)에 추가되었으며 윈도우 서버 2008 R2. 클라이언트와 서버가 모두 지원하고 값이 1 이상이면 협상하여 사용합니다.

스크립트가 LDAP 서명을 요청하지 않으면 일부 이전 PowerShell 또는 Visual Basic 스크립트는 일반 텍스트 자격 증명으로 LDAP 연결을 열려고 시도 할 수 있습니다. DC에 대한 일반 텍스트 LDAP 링크 식별을 참조하십시오.

그룹 정책을 사용하여 LDAP 서명 활성화



2024년 XNUMX월 업데이트:

이제 이 도구를 사용하여 파일 손실 및 맬웨어로부터 보호하는 등 PC 문제를 방지할 수 있습니다. 또한 최대 성능을 위해 컴퓨터를 최적화하는 좋은 방법입니다. 이 프로그램은 Windows 시스템에서 발생할 수 있는 일반적인 오류를 쉽게 수정합니다. 손끝에 완벽한 솔루션이 있으면 몇 시간 동안 문제를 해결할 필요가 없습니다.

  • 1 단계 : PC 수리 및 최적화 도구 다운로드 (Windows 10, 8, 7, XP, Vista - Microsoft Gold 인증).
  • 2 단계 : "스캔 시작"PC 문제를 일으킬 수있는 Windows 레지스트리 문제를 찾으십시오.
  • 3 단계 : "모두 고쳐주세요"모든 문제를 해결합니다.

다운로드



LDAP 서버 서명 요구 사항을 지정하는 방법

  • 시작> 실행을 선택하고 mmc.exe를 입력 한 다음 확인을 선택하십시오.
  • 파일> 스냅 샷 추가 / 제거를 선택하고 그룹 정책 관리 편집기를 선택한 다음 추가를 선택하십시오.
  • 그룹 정책 개체 선택> 찾아보기를 선택하십시오.
  • 그룹 정책 개체 찾기 대화 상자의 도메인, OR 및 관련 그룹 정책 개체 영역에서 기본 도메인 컨트롤러 정책을 선택하고 확인을 선택합니다.
  • 완료를 선택하십시오.
  • OK를 선택합니다.
  • 기본 도메인 컨트롤러 정책> 컴퓨터 구성> 정책> Windows 설정> 보안 설정> 로컬 정책을 선택하고 보안 옵션을 선택하십시오.
  • 도메인 컨트롤러 : LDAP 서버 서명 요구 사항을 마우스 오른쪽 단추로 클릭하고 특성을 선택하십시오.
  • 도메인 컨트롤러 : LDAP 서버 서명 요구 사항 특성에서이 정책 설정을 사용으로 설정하고이 정책 설정 정의 목록에서 서명 요구 사항을 선택한 후 확인을 선택하십시오.
  • 설정 변경 확인 대화 상자에서 예를 선택하십시오.

로컬 그룹 정책을 사용하여 고객의 LDAP 서명 요청을 정의하려면

시작> 실행을 선택하고 mmc.exe를 입력 한 다음 확인을 선택하십시오.
파일> 스냅 샷 추가 / 제거를 선택합니다.
스냅 샷 추가 또는 제거 대화 상자에서 그룹 정책 개체 편집기를 선택한 다음 추가를 선택합니다.
Finish를 선택하십시오.
확인을 선택하십시오.
로컬 컴퓨터 정책> 컴퓨터 구성> 정책> Windows 설정> 보안 설정> 로컬 정책을 선택하고 보안 옵션을 선택합니다.
네트워크 보안 : LDAP 클라이언트 서명 요구 사항을 마우스 오른쪽 단추로 클릭하고 특성을 선택하십시오.
네트워크 보안 : LDAP 클라이언트 서명 요구 사항 특성 아래의 목록에서 서명 요구 사항을 선택하고 확인을 선택하십시오.
설정 변경 확인 대화 상자에서 예를 선택하십시오.

https://support.microsoft.com/en-us/help/935834/how-to-enable-ldap-signing-in-windows-server



전문가 팁 : 이 복구 도구는 리포지토리를 검색하고 이러한 방법이 효과가 없는 경우 손상되거나 누락된 파일을 교체합니다. 문제가 시스템 손상으로 인한 대부분의 경우에 잘 작동합니다. 또한 이 도구는 시스템을 최적화하여 성능을 최대화합니다. 그것은에 의해 다운로드 할 수 있습니다 여기를 클릭

게시물 조회수 : 1,960
관련 게시물:
  1. 이 사용자가 로그인하지 못하게하는 계정 제한 문제를 해결하는 방법
  2. Windows Server에서 손상된 기본 도메인 그룹 정책을 수정하는 방법
  3. 그룹 정책 설정 참조 가이드 Windows 10 / 8.1 / 7 / Server
  4. 폴더 리디렉션 수정이 새 서버로 업데이트되지 않음