[OS] LDAP과 Active Directory란?

[LDAP 이란?]
LDAP(Lightweight Directory Access Protocol)은 분산 디렉토리 서비스에서 사용자, 시스템, 네트워크, 서비스, 앱 등의 정보를 공유하기 위한 오픈 프로토콜 입니다.

이는 Client - Server 구조를 기반으로 하고있습니다.

Client Server 모델

기존의 디렉토리 프로토콜 X.500은 OSI Layer이기 때문에 구조가 복잡하고, LDAP의 경우는 TCP/IP Layer 기반이기에 더욱 경량화 되어있습니다. (통신 네트워크 대역폭 상의 가벼움을 의미함.)

X.500 과 LDAP

LDAP은 네트워크 상에서 사용자, 시스템, 네트워크, 서비스, 애플리케이션 등의 정보를 쉽게 찾아볼 수 있게하는 소프트웨어 프로토콜이라고 생각하면 됩니다.

LDAP 디렉토리 서비스 / LDAP 프로토콜은 다른 의미이며, 디렉토리 서비스의 경우는 프로토콜의 구현체입니다.
HTTP가 HTML 문서를 주고받는 표준인 것 처럼, LDAP은 디렉토리 서비스를 위한 표준이라고 생각하면 편합니다.

LDAP의 요청의 99%는 검색(Lookup)에 대한 요청이라고 합니다.
예) aaa의 전화번호를 달라.

종종 어떤 회사에서는 구성원의 조직도나 팀별 이메일 주소 등을 LDAP 서비스로 관리를 하고는 하는데, 특정 영역에서 계정명과 패스워드를 확인하여 인증하는 용도(중앙 사용자 인증 관리)로도 사용이 됩니다. (보안 취약의 이유로 요즘은 기업에선 잘 사용하지 않음. )



[LDAP 디렉토리 구조]
LDAP 서버에는 여러 엔트리가 트리구조로 들어있으며, 각각의 엔트리는 다수의 속성(이름 등)을 갖습니다.
각 엔트리는 DN(Distinguished Name)이라는 고유값으로 정의됩니다.

일반적으로 LDAP은 다음과 같이 구성됩니다.

• cn (Common Name) : GilDong Hong 와 같은 일반적인 이름
• sn (Sir Name) : 우리나라 성에 해당
• ou (Organization Unit) : 그룹에 해당
• dc (Domain Component) : 도메인의 요소
  • www.google.com 의 dc 는 dc=www,dc=google,dc=com
• dn (Distinguished Name) : 고유의 이름
• o : organization
• c : country
• uid : user id

LDAP 구조

LDAP의 설명을 여기까지 했지만, 요즘은 스팸에 취약하다는 이유로 기업들은 해당 기능만을 사용하고 있지 않습니다.

[AD 란?]
1:1로 이루어지던 컴퓨터 등의 관리를 DC(Domain Controller) - 관리용 컴퓨터로 통합관리하는 솔루션입니다.
회사 직원들의 계정 정보, 컴퓨터에 대한 정보, 회사에서 강제하고자 하는 정책 등에 대한 정보를 저장하고 있는 데이터베이스라고 생각하면 됩니다.

Active Directory 사용자 및 컴퓨터 관리 콘솔에서 사용자 계정 생성, 패스워드 리셋, 로그인 차단 등의 사용자 관리가 가능합니다.

Active Directory 사용자 추가

Active Directory 패스워드 설정

[결론]
LDAP, AD 다 인증과 관련되어있는 서비스라고 볼 수 있으며, AD는 LDAP기반 인증을 지원하고 있습니다.
해당 서비스들이 중요한 이유는 통합적으로 회사에서 어떻게 접근을 제어하고 있는지에 중점을 두고 있으며,
기본적으로 확인이 되어야 할 사항은 패스워드 설정 값입니다.

AD의 경우 대부분의 기업이 사용하는 서비스이고, 회사의 모든 Application, OS, DB 등에 접근하기 위해서 필수적으로 접근해야하는 곳이기 때문에 설정 값이 적정해야만 합니다.