LDAP(Lightweight Directory Access Protocol)는 다양한 컴퓨터 시스템과 애플리케이션의 정보에 대한 접근 권한을 제공하는 인터넷 표준입니다. LDAP에서는 프로토콜 집합을 사용하여 정보 디렉터리에 접근하고 정보를 검색합니다. 디렉터리는 데이터베이스와 유사하지만 특성을 기반으로 하는 더 사세한 정보를 보유하고 있습니다. 디렉터리의 정보는 일반적으로 작성 또는 수정하는 경우보다 읽는 경우가 많습니다. LDAP를 사용하면 학교의 컴퓨터 플랫폼에서 실행되고 있는 애플리케이션에서 사용자명 및 비밀번호와 같은 정보를 가져갈 수 있습니다.
이러한 유형의 정보를 중앙 집중화하면 한곳에서 관리할 수 있게 되어 작업이 간소화됩니다. 사용자 정보가 한곳에서 제공되므로 중복된 정보가 저장되는 일이 줄어들며, 결과적으로 유지 관리해야 할 필요성이 줄어듭니다. 또한 사용자는 LDAP 인증을 통해 단일 로그인 및 비밀번호로 여러 애플리케이션에 접근할 수 있습니다.
LDAPS(보안 LDAP)를 사용하는 이유
이 방법은 일반적으로 암호화되지 않은 LDAP를 통해 개선된 보안을 제공하며, 일부 네트워크 관리자 또는 일부 LDAP 서버 기술에 필요하거나 LDAP 서버가 비공개 연결 없이 원격 사이트에 있을 때 필요할 수 있습니다.
일반적으로 LDAPS를 사용하거나 Learn 애플리케이션에 LDAP 서버에 대해 라우팅되지 않은 비공개 연결이 있는지 확인하는 것이 좋습니다. 이 경우에는 누군가가 서버 간에 암호화되지 않은 LDAP 트래픽을 가로챌 가능성이 매우 낮으며, 암호화가 필요하지 않습니다.
LDAPS 필수 조건
LDAP 서버가 SSL(LDAPS)을 사용 중인 경우 상용 서명 인증서가 필요하며, 이 인증서가 없는 경우에는 인증에 실패할 수 있습니다.
Blackboard Learn SaaS 배포는 셀프 서명 인증서를 지원하지 않으므로 상용 서명 인증서를 사용해야 합니다.
이 인증서를 사용하면 LDAP 고객(Learn 애플리케이션)이 처음으로 LDAPS 연결 설정을 시도할 때 LDAP 서버에서 제공한 서버 인증서의 유효성을 설정할 수 있습니다. 그렇지 않으면 TLS 핸드셰이크가 실패하고, LDAP 바인딩이 발생하지 않으며, 인증에 실패합니다.
LDAP 제공자 구성
- LDAP 서버 URL(예: ldaps://directory.example.edu:636.)을 입력합니다. LDAP 서버가 SSL(LDAPS)을 사용 중인 경우 상용 서명 인증서가 필요하며, 이 인증서가 없는 경우에는 인증에 실패할 수 있습니다.
- SSL 사용을 아니요로 설정합니다(선택 사항). 기본값은 예입니다. 일반적으로 LDAPS를 사용하거나 Learn 애플리케이션에 LDAP 서버에 대해 라우팅되지 않은 비공개 연결이 있는지 확인하는 것이 좋습니다. 이 경우에는 누군가가 서버 간에 암호화되지 않은 LDAP 트래픽을 가로챌 가능성이 매우 낮으며, 암호화가 필요하지 않습니다.
- Learn 사용자를 검색하기 위해 LDAP 디렉터리 구조의 시작 지점인 기본 검색 DN을 입력합니다. 하위 트리 검색이 여기에서 수행됩니다(예: dc=people,dc=example,dc=edu). 동일한 물리적 LDAP 서버를 가리키는 다른 기본 검색 DN을 사용하여 완전히 별개인 두 LDAP 제공자를 생성하고 구성할 수 있습니다. 이 작업은 education.blackboard.com에 대한 '브랜딩'을 수행한 다음 LDAP 제공자가 전체 트리 대신 dc=people,dc=education, dc=example,dc=edu만 검색하도록 설정하여 LDAP 서버의 로드를 줄이려는 경우 수행할 수 있습니다.
다른 물리적 서버를 가리키는 동일한 기본 검색 DN을 사용하여 여러 LDAP 제공자를 추가할 수 있습니다. 한 LDAP 서버가 응답이 없으면 프레임워크에서는 다음 서버를 쿼리합니다. 제공자 순서에 대해 자세히 알아보기
- 제공자 생성 단계에서 Learn 사용자명 또는 배치 UID 집합에 매핑되어 있는 값을 포함하는 LDAP 특성인 검색 특성을 입력합니다. 이 속성은 도메인별로 다릅니다. AD(Active Directory)의 경우 사용되는 속성은 일반적으로 sAMAccountName이며 Novell의 경우에는 일반적으로 uid입니다. Active Directory의 경우 통합 중인 대부분의 고객이 sAMAccountName을 검색 속성으로 사용합니다. 이는 기존 스타일(Windows 2000 이전)의 로그인 이름(최대 20자)에 매핑됩니다. AD 도메인 관리자는 이 속성이 올바른지 또는 userPrincipalName을 사용할 수 있는지 또는 사용해야 하는지를 확인할 수 있습니다.
Active Directory와 같은 일부 LDAP 서버에는 디렉터리에 연결하기 위해 권한이 있는 사용자가 필요합니다. LDAP 제공자에게는 사용자의 DN(고유 이름) 및 비밀번호가 필요합니다. 권한 있는 사용자를 사용하여 연결하기 위한 옵션으로는 일반적으로 다음과 같은 두 가지가 있습니다.
- 디렉터리 내에서 새 사용자를 생성합니다. 이 사용자에게 읽기 전용 권한을 할당합니다. 이 사용자 계정을 권한 있는 사용자로 사용합니다.
- 기존 디렉터리 사용자를 권한 있는 사용자로 사용합니다.
이 계정은 Blackboard에 로그인을 시도하는 각 사용자가 LDAP 서버에 접근하는 데 필요합니다. 가장 좋은 방법은 사용자가 비밀번호를 변경할 수 없음 및 비밀번호가 만료되지 않음 옵션을 선택하는 것입니다.
이는 서비스 계정이라고 하는데 LDAP 관리자는 디렉터리에 이러한 유형의 계정을 위한 특별한 위치를 갖고 있을 수 있습니다.
계정을 처음 설정할 때는 기본 비밀번호를 사용하고, 구성이 작동하는지 확인한 후에는 더 강력한 비밀번호로 변경하십시오. # 및 @ 등의 특수 문자를 함께 사용하면 문제가 발생할 수 있습니다.
- 다음을 설정합니다(선택 사항).
- 권한 있는 사용자를 사용하여 검색을 예로 설정합니다. 기본값은 아니요입니다. 인증을 위해 사용자의 FDN을 검색하는 경우 LDAP 제공자는 LDAP 서버에 권한 있는(지정된) 사용자로 바인딩됩니다.
- 권한 있는 사용자 DN을 입력합니다. 권한 있는 사용자를 사용하여 검색이 예로 설정되어 있는 경우 이를 설정해야 합니다. 예: cn=BlackboardLDAP,ou=Special Users, dc= example,dc=edu or BlackboardLDAP@example.edu
- 권한 있는 사용자 비밀번호를 입력합니다. 권한 있는 사용자를 사용하여 검색이 예로 설정되어 있는 경우 이를 설정해야 합니다. 이는 권한 있는 사용자 DN에서 사용자의 비밀번호를 나타냅니다.
- 고급 설정을 설정합니다(선택 사항).
- 연결 시간 제한은 15,000밀리초 이상이어야 합니다. 이는 LDAP 요청을 취소하기 전에 대기하는 시간(밀리초)을 나타냅니다.
- 별칭 역참조를 항상, 찾는 중 또는 검색 중으로 설정합니다. 기본값은 안 함입니다. 이 속성은 검색 작업 시 별칭이 역참조되는 방식을 정의합니다.
- 안 함: 별칭을 역참조하지 않습니다.
- 항상: 별칭을 항상 역참조합니다.
- 찾는 중: 이름 확인 중(대상 항목을 찾는 동안)에만 별칭을 역참조합니다.
- 검색 중: 이름 확인이 완료되면(대상 항목을 찾은 후) 별칭을 역참조합니다.
- 추천을 따르기 또는 예외로 설정합니다. 기본값은 무시입니다. 이 속성은 제공자가 추천을 어떻게 처리해야 하는지를 지정합니다.
- 무시: 추천이 결과에 나타나는 경우 이를 무시합니다.
- 따르기: 모든 추천을 자동으로 따릅니다.
- 예외: 각 추천에 대해 Java ReferralException을 발생시킵니다. 이 결과는 오류로 이어집니다.
- 추천 제한을 기본값인 5로 설정합니다. 이 속성은 따라야 할 최대 추천 수를 지정합니다. 0은 유효하지 않은 값입니다. 추천 속성이 따르기 또는 예외로 설정되어 있는 경우에만 이 속성을 설정할 수 있습니다.
- 제출을 선택하여 구성을 저장합니다.
새 인증 제공자를 활성으로 설정하기 전에 상황에 맞는 메뉴에서 테스트 연결 설정을 선택하여 구성이 올바르게 작동하는지 확인하십시오.
