LDAP이란 ?

LDAP이란 ?

• LDAP(Lightweight Directory Access Protocol)는 사용자가 조직, 구성원 등에 대한 데이터를 찾는 데 도움이되는 프로토콜이다.
• LDAP는 LDAP 디렉터리에 데이터를 저장하고 사용자가 디렉터리에 액세스 할 수 있도록 인증하기 위해 주로 사용된다.
• LDAP은 디렉터리 서비스의 표준인 X.500의 DAP를 기반으로 한 경량화 버전이다.
  • X.500의 DAP은 OSI 7계층의 전체 프로토콜 스택을 지원하는데 너무 무거운 프로토콜이다. 따라서 DAP의 복잡성을 줄이고 TCP/IP 레이어에서 가볍게 조작할 수 있는 프로토콜, 저장소로서 특정화된 데이터베이스이며 write 작업보다는 read 작업에 적합한 것으로 탄생한 것이 LDAP이다.

 

 

LDAP의 용도

• 사용자, 시스템, 네트워크, 서비스, 애플리케이션 등의 정보를 트리 구조로 저장하여 조회하거나 관리한다.
• 트리 구조를 사용해 검색하고 편집하기 편한 데이터들을 LDAP 서비스로 관리한다.
• 주소록 관리에 사용되거나 스마트폰 내에서도 LDAP 클라이언트가 포함되어 있다.
• 특정 데이터를 중앙에서 일괄 관리하는 일반적인 경우에 사용된다.

 

 

LDAP 디렉토리 구조

LDAP 서버에는 여러 디렉토리 정보(entry)가 계층적 트리 구조(hierarchical tree)로 구성되어 있다.

• DIT(Directory Information Tree)를 사용하면 다양한 수준의 LDAP 디렉토리를 빠르게 탐색해 검색 결과의 범위를 좁히고 쿼리에 대한 응답을 제공할 수 있다. 
  • DIT는 루트 디렉토리에서 시작하고 국가가 뒤따르며 두 하위 클래스인 도메인 구성요소(dc)와 조직 이름(o)로 분기된다. 
• Entry 정보 참조는 RDN(Relative Distinguished Name)이나 DN(Distinguished Name)을 사용해서 정보를 얻어올 수 있다.
• 각각의 엔트리는 DN(Distinguished Name)이라는 고유한 값으로 지정되며 다수의 속성을 갖는다.
• 각 속성은 이름, 값의 형태를 가지며 하나의 이름에 여러개의 값이 바인딩 될 수 있다.

dc (Domain Component)	도메인의 요소 ex) www.google.com 의 dc는 www, google, com 이다.
ou (Organization Unit)	그룹
uid	user id
cn (Common Name)	Sohui Shin과 같은 일반적인 이름
sn (Sir Name)	성(Last Name)에 해당
dn (Distinguished Name)	고유의 이름
o	organization
c	country

 

 

Active Directory(AD) vs LDAP

LDAP

• 서버의 정보를 조회하는데 사용되는 디렉토리 서비스 프로토콜
• 저장된 정보의 업데이트가 잦지 않고 빠른 검색이 필수일 때 적합
• 거의 모든 OS를 지원

 

AD

• LDAP과 Kerberos 기반 인증, DNS 기반 서비스 등 다양한 프로토콜을 사용한 디렉토리 서비스
• 정책 할당, SW 배포 및 업데이트 등에 적합
• 모든 규모의 네트워크에 모두 적합하나 Windows 환경에서만 작동

 

 

클라우드 환경에서의 AD 서비스

• AWS Simple AD : Samba 4 Active Directory 호환 서버를 기반으로 하는 독립 관리형 디렉터리

https://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/directory_simple_ad.html

• Microsoft Entra ID(Azure Active Directory에서 변경) 

https://www.microsoft.com/ko-kr/security/business/identity-access/microsoft-entra-id

• AWS AD Connector : 클라우드에 정보를 캐시하지 않고 디렉터리 요청을 온-프레미스 Microsoft Active Directory로 리디렉션할 수 있는 디렉터리 게이트웨이이다.

https://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/directory_ad_connector.html

 

 

 

 

참고

https://www.redhat.com/ko/topics/security/what-is-ldap-authentication

https://hec-ker.tistory.com/319

https://yongho1037.tistory.com/796#recentComments

https://goddoeun.tistory.com/6