LDAP(Lightweight Directory Access Protocol)는 다양한 컴퓨터 시스템과 애플리케이션의 정보에 대한 접근 권한을 제공하는 인터넷 표준입니다. LDAP에서는 프로토콜 집합을 사용하여 정보 디렉터리에 접근하고 정보를 검색합니다. 디렉터리는 데이터베이스와 유사하지만 특성을 기반으로 하는 더 사세한 정보를 보유하고 있습니다. 디렉터리의 정보는 일반적으로 작성 또는 수정하는 경우보다 읽는 경우가 많습니다. LDAP를 사용하면 학교의 컴퓨터 플랫폼에서 실행되고 있는 애플리케이션에서 사용자명 및 비밀번호와 같은 정보를 가져갈 수 있습니다.
이러한 유형의 정보를 중앙 집중화하면 한곳에서 관리할 수 있게 되어 작업이 간소화됩니다. 사용자 정보가 한곳에서 제공되므로 중복된 정보가 저장되는 일이 줄어들며, 결과적으로 유지 관리해야 할 필요성이 줄어듭니다. 또한 사용자는 LDAP 인증을 통해 단일 로그인 및 비밀번호로 여러 애플리케이션에 접근할 수 있습니다.
StartTLS를 사용하는 LDAPS 및 LDAP 정보
이전 버전의 Learn에서는 암호화 없이('NoSSL') 일반 LDAP를 추가할 수 있었습니다. 3900.84부터는 새로운 'NoSSL' 제공자를 생성할 수 없으며 기존 제공자는 계속 작동하지만 LDAPS/StartTLS를 사용하도록 업데이트한 경우 다시 NoSSL로 변경할 수 없습니다. Anthology는 아직까지 NoSSL을 사용하는 고객에게 보안 구성으로 즉시 마이그레이션할 것을 권장합니다.
최초의 LDAP 버전은 1980년대로 거슬러 올라가며 연결 보안을 지원하지 않았습니다. LDAPS는 당시 'SSL'(현재: TLS)로 알려진 기술을 도입하기 위한 최초의 시도였습니다. LDAPS는 특수한 보안 전용 포트를 사용합니다. 연결을 설정하려면 보안 연결인지 또는 비보안 연결인지에 따라 올바른 포트를 사용해야 합니다. 이는 시간이 지남에 따라 비보안 연결의 사용이 감소하면서 관련성이 낮아졌습니다.
LDAPS는 공식적으로 표준화된 적이 없습니다. IETF는 StartTLS를 사용하는 완전히 다른 접근 방식을 통해 RFC 2830에서 '암호화가 포함된 LDAP'를 표준화했습니다. 이 방식에서 LDAP 서버는 하나의 포트만 수신합니다. LDAP 클라이언트가 보안 없이 연결한 다음 "STARTLS" 명령을 보내면 LDAP 서버와 클라이언트가 TLS를 협상합니다.
각 교육기관의 요구 사항과 디렉터리 서버에서 지원하는 항목 또는 기타 아키텍처 고려 사항에 따라 LDAPS 또는 StartTLS를 선택해야 합니다. 두 옵션 중 하나를 선택할 수 있는 경우, 일반적으로 StartTLS가 IETF에 의해 표준화되었고 더 최신이기 때문에 선호됩니다. 일부 보안 전문가들은 LDAPS가 구식이며 RFC 2830의 보급으로 암묵적으로 더 이상 사용되지 않는다고 생각하지만 통일된 합의가 이루어지지는 않았습니다.
보안 전제 조건
Java 11 기본 'CACerts' 키 저장소에서 신뢰하는 인증 기관에 대한 완전한 신뢰 체인이 있는 상업적으로 서명된 인증서가 필요하며, 그렇지 않으면 연결되지 않습니다. 추가 인증서는 키 저장소에 설치되지 않을 수 있습니다. 자체 서명된 인증서는 지원되지 않습니다.
CA(인증 기관)는 일반적으로 신뢰도가 높은 루트 인증서가 아닌 이 루트에서 서명한 중간 인증서를 사용하여 인증서에 서명합니다. 이 중간 인증서는 신뢰할 수 있는 루트에 대한 확인 체인을 완료하는 데 필요하기 때문에 서버 인증서와 함께 전송해야 합니다. 일반적으로, 이 작업은 서버 인증서에 중간 인증서를 추가하는 방식으로 수행됩니다. 자세한 내용은 LDAP 디렉터리 서버 설명서 및 인증서 발급자의 설명서를 참조하십시오.
- LDAP 디렉터리 서버 및 모든 미들박스는 Java 11 이상에서 허용하는 암호 그룹을 지원해야 합니다. 예: TLS 1.0은 더 이상 지원되지 않습니다.
- LDAP 디렉터리 서버와 모든 미들박스는 해당 지역의 SaaS 송신 IP에서 들어오는 연결을 수락해야 합니다. 이 정보에 대해서는 Blackboard 지원 팀에 문의하십시오.
LDAP 제공자 구성
- LDAP 서버 URL(예: LDAPS의 경우 ldaps://directory.example.edu:636 또는 StartTLS를 사용하는 LDAP의 경우 ldap://directory.example.edu:389)을 입력합니다.
- SSL 버전을 StartTLS 또는 LDAPS로 설정합니다.
Learn 사용자를 검색하기 위해 LDAP 디렉터리 구조의 시작 지점인 기본 검색 DN을 입력합니다. 하위 트리 검색이 여기에서 수행됩니다(예: dc=people,dc=example,dc=edu). 동일한 물리적 LDAP 서버를 가리키는 다른 기본 검색 DN을 사용하여 완전히 별개인 두 LDAP 제공자를 생성하고 구성할 수 있습니다. 이 작업은 education.blackboard.com에 대한 '브랜딩'을 수행한 다음 LDAP 제공자가 전체 트리 대신 dc=people,dc=education, dc=example,dc=edu만 검색하도록 설정하여 LDAP 서버의 로드를 줄이려는 경우 수행할 수 있습니다.
다른 물리적 서버를 가리키는 동일한 기본 검색 DN을 사용하여 여러 LDAP 제공자를 추가할 수 있습니다. 한 LDAP 서버가 응답이 없으면 프레임워크에서는 다음 서버를 쿼리합니다. 제공자 순서에 대해 자세히 알아보기
제공자 생성 단계에서 Learn 사용자명 또는 배치 UID 집합에 매핑되어 있는 값을 포함하는 LDAP 특성인 검색 특성을 입력합니다. 이 속성은 도메인별로 다릅니다. AD(Active Directory)의 경우 사용되는 속성은 일반적으로 sAMAccountName이며 Novell의 경우에는 일반적으로 uid입니다. Active Directory의 경우 통합 중인 대부분의 고객이 sAMAccountName을 검색 속성으로 사용합니다. 이는 기존 스타일(Windows 2000 이전)의 로그인 이름(최대 20자)에 매핑됩니다. AD 도메인 관리자는 이 속성이 올바른지 또는 userPrincipalName을 사용할 수 있는지 또는 사용해야 하는지를 확인할 수 있습니다.
Active Directory와 같은 일부 LDAP 서버에는 디렉터리에 연결하기 위해 권한이 있는 사용자가 필요합니다. LDAP 제공자에게는 사용자의 DN(고유 이름) 및 비밀번호가 필요합니다. 권한 있는 사용자를 사용하여 연결하기 위한 옵션으로는 일반적으로 다음과 같은 두 가지가 있습니다.
- 디렉터리 내에서 새 사용자를 생성합니다. 이 사용자에게 읽기 전용 권한을 할당합니다. 이 사용자 계정을 권한 있는 사용자로 사용합니다.
- 기존 디렉터리 사용자를 권한 있는 사용자로 사용합니다.
이 계정은 Blackboard에 로그인을 시도하는 각 사용자가 LDAP 서버에 접근하는 데 필요합니다. 가장 좋은 방법은 사용자가 비밀번호를 변경할 수 없음 및 비밀번호가 만료되지 않음 옵션을 선택하는 것입니다.
이는 서비스 계정이라고 하는데 LDAP 관리자는 디렉터리에 이러한 유형의 계정을 위한 특별한 위치를 갖고 있을 수 있습니다.
계정을 처음 설정할 때는 기본 비밀번호를 사용하고, 구성이 작동하는지 확인한 후에는 더 강력한 비밀번호로 변경하십시오. # 및 @ 등의 특수 문자를 함께 사용하면 문제가 발생할 수 있습니다.
- 다음을 설정합니다(선택 사항).
- 권한 있는 사용자를 사용하여 검색을 예로 설정합니다. 기본값은 아니요입니다. 인증을 위해 사용자의 FDN을 검색하는 경우 LDAP 제공자는 LDAP 서버에 권한 있는(지정된) 사용자로 바인딩됩니다.
- 권한 있는 사용자 DN을 입력합니다. 권한 있는 사용자를 사용하여 검색이 예로 설정되어 있는 경우 이를 설정해야 합니다. 예: cn=BlackboardLDAP,ou=Special Users, dc= example,dc=edu or BlackboardLDAP@example.edu
- 권한 있는 사용자 비밀번호를 입력합니다. 권한 있는 사용자를 사용하여 검색이 예로 설정되어 있는 경우 이를 설정해야 합니다. 이는 권한 있는 사용자 DN에서 사용자의 비밀번호를 나타냅니다.
- 고급 설정을 설정합니다(선택 사항).
- 연결 시간 제한은 15,000밀리초 이상이어야 합니다. 이는 LDAP 요청을 취소하기 전에 대기하는 시간(밀리초)을 나타냅니다.
- 별칭 역참조를 항상, 찾는 중 또는 검색 중으로 설정합니다. 기본값은 안 함입니다. 이 속성은 검색 작업 시 별칭이 역참조되는 방식을 정의합니다.
- 안 함: 별칭을 역참조하지 않습니다.
- 항상: 별칭을 항상 역참조합니다.
- 찾는 중: 이름 확인 중(대상 항목을 찾는 동안)에만 별칭을 역참조합니다.
- 검색 중: 이름 확인이 완료되면(대상 항목을 찾은 후) 별칭을 역참조합니다.
- 추천을 따르기 또는 예외로 설정합니다. 기본값은 무시입니다. 이 속성은 제공자가 추천을 어떻게 처리해야 하는지를 지정합니다.
- 무시: 추천이 결과에 나타나는 경우 이를 무시합니다.
- 따르기: 모든 추천을 자동으로 따릅니다.
- 예외: 각 추천에 대해 Java ReferralException을 발생시킵니다. 이 결과는 오류로 이어집니다.
- 추천 제한을 기본값인 5로 설정합니다. 이 속성은 따라야 할 최대 추천 수를 지정합니다. 0은 유효하지 않은 값입니다. 추천 속성이 따르기 또는 예외로 설정되어 있는 경우에만 이 속성을 설정할 수 있습니다.
제출을 선택하여 구성을 저장합니다.
새 인증 제공자를 활성으로 설정하기 전에 상황에 맞는 메뉴에서 테스트 연결 설정을 선택하여 구성이 올바르게 작동하는지 확인하십시오.