Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

7장. 인증서 기반 인증 구성

Directory Server는 LDAP 클라이언트의 인증서 기반 인증 및 복제 토폴로지와 같은 서버 간 연결을 지원합니다.

구성에 따라 클라이언트는 인증서를 사용하여 인증할 수도 있고 인증해야 합니다. 인증서의 subject 필드에 있는 속성을 기반으로 인증서를 확인한 후 서버는 디렉터리에서 사용자를 검색합니다. 검색에서 정확히 하나의 사용자 항목을 반환하는 경우 Directory Server는 이 사용자를 모든 추가 작업에 사용합니다. 선택적으로 인증에 사용되는 인증서가 사용자 항목의 userCertificate 속성에 저장된 DER(DER) 포맷된 인증서와 일치해야 함을 구성할 수 있습니다.

인증서 기반 인증 사용의 이점:

  • 효율성 향상: 인증서 데이터베이스 암호로 인증된 다음 이후의 모든 바인딩 또는 인증 작업에 해당 인증서를 사용하는 것이 바인딩 고유 이름(DN) 및 암호를 반복적으로 제공하는 것보다 효율적입니다.
  • 개선된 보안: 인증서 기반 인증은 인증서 기반 인증에서 공개 키 암호화를 사용하므로 비인증서 바인딩 작업보다 안전합니다. 공격자는 네트워크 전반에 걸쳐 바인딩 자격 증명을 인터셉트할 수 없습니다. 인증서 또는 장치가 손실되면 4.6.1이 없으면 소독되므로 피싱 공격과 같은 타사의 중단에 영향을 미칩니다.

7.1. 인증서 기반 인증 설정
링크 복사

사전 요구 사항

  • Directory Server에서 TLS 암호화를 활성화했습니다.
  • NSS(네트워크 보안 서비스) 데이터베이스에서 CA(인증 기관) 인증서에 대해ECDHE 플래그를 설정합니다.

절차

  1. /etc/dirsrv/slapd-instance_name/certmap.conf 파일을 생성하여 인증서의 정보를 Directory Server 사용자로 매핑합니다. 

    certmap default         default
default:DNComps         dc
default:FilterComps     mail,cn
default:VerifyCert      on

certmap example         cn=Example CA
example:DNComps

    이 구성을 사용하면 cn=ECDHE CA 에서 발급한 인증서의 경우 DNComps 매개변수가 이 발급자에게 비어 있게 설정되어 있으므로 Directory Server는 인증서 제목에서 기본 DN을 생성하지 않습니다. 또한 FilterCompsVerifyCert 에 대한 설정은 기본 항목에서 상속됩니다.

    cn=ECDHE CA 와 다른 발행자 DN이 있는 인증서는 기본 항목의 설정을 사용하고 인증서 제목의 cn 특성을 기반으로 기본 DN을 생성합니다. 이를 통해 Directory Server는 전체 디렉터리를 검색하지 않고도 특정 DN에서 검색을 시작할 수 있습니다.

    모든 인증서의 경우 Directory Server는 인증서의 제목에서 mailcn 특성을 사용하여 검색 필터를 생성합니다. 그러나 메일 속성이 주체에 없는 경우 Directory Server는 제목에서 인증서의 e 속성 값을 자동으로 사용합니다.

  2. 인증서 기반 인증을 활성화합니다. 예를 들어 인증서 기반 인증을 선택 사항으로 구성하려면 다음을 입력합니다. 

    # dsconf -D "cn=Directory Manager" ldap://server.example.com security set --tls-client-auth="allowed"

    --tls-client-auth=required 옵션을 사용하여 인증서 기반 인증을 필수로 구성합니다.

  3. 선택 사항: 인증서 기반 인증을 필요에 따라 구성한 경우 nsslapd-require-secure-binds 매개변수를 활성화합니다. 

    # dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-require-secure-binds=on

    이 설정을 사용하면 암호화되지 않은 연결을 사용하여 인증서 기반 인증을 바이패스할 수 없습니다.

  4. 선택 사항: Directory Server에서 바인딩 요청의 자격 증명 대신 인증서의 ID를 사용해야 하는 경우 EXTERNAL 단순 인증 및 보안 계층(ECDHEL) 메커니즘을 사용하도록 Directory Server를 구성합니다. 

    # dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-force-sasl-external=on

    이 설정을 사용하여 Directory Server는 인증서의 ID보다 다른 바인딩 메서드를 무시합니다.

  5. 인스턴스를 다시 시작합니다. 

    # dsctl instance_name restart

다음 단계:

  • 인증 인증서가 사용자의 userCertificate 속성에 저장된 것과 일치해야하도록 Directory Server를 구성한 경우 사용자 항목에 인증서를 추가합니다. 자세한 내용은 다음을 참조하십시오. 7.2절. “사용자에게 인증서 추가”
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동