Skip to main content

LDAP 인증 제공자 유형

LDAP(Lightweight Directory Access Protocol)은 다양한 컴퓨터 시스템 및 응용 프로그램의 정보에 접근을 제공하는 인터넷 표준입니다. LDAP는 정보 디렉터리에 접근하고 정보를 검색하는 일련의 프로토콜을 사용합니다. 디렉토리는 데이터베이스와 유사하지만 더 설명적이며 속성 기반 정보를 포함하고 있습니다. 디렉터리 정보는 일반적으로 쓰거나 수정하는 것보다 더 자주 읽힙니다. LDAP를 사용하면 학교 컴퓨터 플랫폼에서 실행되는 응용 프로그램이 사용자 이름 및 비밀번호와 같은 정보를 획득할 수 있습니다.

정보를 중앙 집중화하면 작업을 단순화할 수 있는 단일 관리 지점을 제공합니다. 사용자 정보를 한 곳에서 제공하므로 중복 정보 저장이 감소합니다. 그 결과, 유지보수 필요성이 줄어듭니다. LDAP 인증을 통해 사용자는 단일 로그인과 비밀번호로 다양한 애플리케이션에 접근할 수 있습니다.

작은 정보

인증 공급자 생성에 관한 자세한 정보

LDAP 정보는 LDAPS 및 StartTLS를 사용합니다.

참고

이전 버전의 Blackboard에서는 암호화 없이 일반 LDAP('NoSSL')를 추가할 수 있었습니다. 3900.84부터는 새로운 'NoSSL' 공급자를 만들 수 없으며, 기존 공급자는 계속 작동하지만 LDAPS/StartTLS로 업데이트하면 NoSSL로 다시 변경할 수 없습니다. Anthology는 NoSSL을 사용하는 고객에게 즉시 보안 구성으로 마이그레이션할 것을 권장합니다.

LDAP의 원래 버전은 1980년대에 개발되었으며 연결 보안을 지원하지 않았습니다. LDAPS는 당시 'SSL'(현재: TLS)로 알려진 것을 강화하려는 첫 번째 시도였습니다. LDAPS는 특수한 보안 전용 포트를 사용합니다. 연결 설정 시 보안 포트 또는 비보안 포트에 따라 적절한 포트를 사용해야 합니다. 이는 시간이 지남에 따라 안전하지 않은 연결 사용이 감소함에 따라 관련성이 떨어졌습니다.

LDAPS는 공식적으로 표준화된 적이 없습니다. IETF는 StartTLS를 사용하여 "암호화된 LDAP"을 RFC 2830에서 완전히 다른 접근 방식으로 표준화했습니다. 이 배열에서 LDAP 서버는 단일 포트에서만 수신합니다. LDAP 클라이언트는 보안 연결 없이 "STARTLS" 명령을 보내고, LDAP 서버와 클라이언트는 TLS를 협상합니다.

LDAPS나 StartTLS 선택은 각 교육 기관의 요구 사항, 디렉토리 서버의 지원 내용, 기타 아키텍처 고려 사항에 따라 결정되어야 합니다. 두 옵션 중 하나를 선택해야 할 때 StartTLS는 IETF에서 표준화되었고 최신 기술이기 때문에 일반적으로 선호됩니다. 일부 보안 전문가들은 LDAPS가 구식이고 RFC 2830의 배포로 인해 암시적으로 더 이상 사용되지 않는다고 생각하지만, 통일된 합의는 없다.

보안 사전 요구 사항

Java 11 기본 "CACerts" 키 저장소에는 상업적으로 서명된 인증서에 대한 완전한 신뢰 체인이 포함되어 있어야 하며, 그렇지 않을 경우 연결이 실패합니다. 키 저장소에 추가 인증서가 설치되지 않을 수도 있습니다. 자체 서명된 인증서는 지원되지 않습니다.

인증 기관(CA)은 일반적으로 매우 신뢰할 수 있는 루트 인증서 자체가 아닌 이 루트에서 서명한 중간 인증서를 사용하여 인증서에 서명합니다. 이 중간 인증서는 신뢰 루트를 확인하는 체인을 완성하기 위해 필요하므로 서버 인증서와 함께 전송되어야 합니다. 이 작업은 일반적으로 서버 인증서에 중간 인증서를 추가함으로써 수행됩니다. LDAP 디렉터리 서버 및 인증서 발급자에 대한 자세한 내용은 관련 문서를 참조하십시오.

  • LDAP 디렉토리 서버 및 모든 미들웨어는 Java 11 이상에서 지원하는 암호화 스위트를 지원해야 합니다. TLS 1.0은 더 이상 지원되지 않습니다.

  • LDAP 디렉터리 서버 및 모든 미들웨어는 해당 지역 SaaS 송신 IP로부터 들어오는 연결을 수락해야 합니다. 블랙보드 지원에 문의하십시오.

LDAP 공급자를 구성하는 중

  1. LDAP 서버 URL을 제공하세요(예: LDAPS의 경우 ldaps://directory.example.edu:636, StartTLS를 사용하는 LDAP의 경우 ldap://directory.example.edu:389).

  2. StartTLS나 LDAPS로 SSL 버전을 설정합니다.

  3. 기본 검색 DN은 LDAP 디렉토리 구조에서 Blackboard 사용자 검색을 시작하는 지점입니다. 하위 트리 검색은 여기에서 수행됩니다(예: dc=people,dc=example,dc=edu). 물리적 LDAP 서버를 가리키지만 서로 다른 기본 검색 DN을 사용하는 완전히 분리된 두 LDAP 공급자를 만들고 구성할 수 있습니다. education.blackboard.com에서 '브랜딩'을 한 후 LDAP 공급자를 설정하여 전체 트리 대신 dc=people,dc=education,dc=example,dc=edu만 검색하도록 하여 LDAP 서버의 부하를 줄일 수 있습니다.

    작은 정보

    여러 LDAP 공급자를 추가할 수 있는데, 이들은 동일한 기본 검색 DN을 사용하지만 서로 다른 물리적 서버를 가리킵니다. LDAP 서버가 응답하지 않을 경우, 프레임워크는 다음 서버에 쿼리합니다. 공급자 순서에 대한 자세한 내용입니다.

  4. 검색 속성 - 공급자 생성 단계에서 설정된 Blackboard사용자 이름이나 배치 UID에 해당하는 값을 포함하는 LDAP 속성을 제공합니다. 이 속성은 도메인에 따라 다릅니다. AD(Active Directory)에서는 일반적으로 sAMAccountName 속성이 사용되며, Novell에서는 uid가 일반적입니다. Active Directory에서 대부분의 클라이언트는 sAMAccountName검색 속성으로 통합합니다. 이전 스타일(win2k 이전) 로그인 이름으로 매핑되며 최대 20자까지 가능합니다. AD 도메인 관리자는 이 특성이 올바른지, userPrincipalName을 사용할 수 있는지 혹은 사용해야 하는지 확인할 수 있습니다.

    참고

    일부 LDAP 서버, 예를 들어 Active Directory에서는 디렉터리에 연결하기 위해 권한이 있는 사용자가 필요합니다. LDAP 제공자는 사용자의 DN(고유 이름)과 비밀번호를 요구합니다. 권한이 있는 사용자가 연결하는 두 가지 일반적인 방법은 다음과 같습니다.

    • 새 사용자를 디렉터리에 생성합니다. 이 사용자에게 읽기 권한만 할당하십시오. 이 사용자 계정은 권한 있는 사용자로서 사용됩니다.

    • 기존 디렉터리 사용자를 권한이 있는 사용자로 전환합니다.

    이 계정은 각 사용자가 Blackboard에 로그인을 시도할 때마다 LDAP 서버에 접근해야 합니다. 가장 좋은 방법은 사용자가 암호를 변경할 수 없음암호가 만료되지 않음 옵션을 선택하는 것입니다.

    서비스 계정이라고 불리우며 LDAP 관리자는 이 유형의 계정을 위한 디렉토리에 특별한 위치를 설정할 수 있습니다.

    작은 정보

    계정을 처음 설정할 때는 기본 암호를 사용하고 구성이 정상적으로 작동하는지 확인한 다음에 강력한 암호로 변경하세요. 특수 문자인 # 및 @ 때문에 문제가 발생할 수 있습니다.

  5. 선택적으로 다음 사항을 설정합니다.

    • 권한이 있는 사용자를 이용해 검색를 검색합니다. 기본값은 아니오입니다. 사용자 FDN을 검색할 때 LDAP 공급자는 지정된 사용자로 LDAP 서버에 바인딩합니다.

    • 권한 있는 사용자 DN을 제공합니다. 권한이 있는 사용자를 사용하여 검색로 설정되어 있다면 해당 설정을 해야 합니다. 예: cn=BlackboardLDAP,ou=특수 사용자,dc=example,dc=edu 또는 BlackboardLDAP@example.edu

    • 권한 있는 사용자의 암호를 제공합니다. 권한이 있는 사용자를 사용하여 검색로 설정되어 있다면 해당 설정을 해야 합니다. 이는 권한을 가진 사용자 DN의 암호를 나타냅니다.

  6. 고급 설정을 선택적으로 설정합니다.

    • 연결 시간 제한은 최소 15000밀리초가 필요합니다. LDAP 요청 취소 전 대기 시간(밀리초)을 나타냅니다.

    • 별칭항상, 검색 혹은 검색으로 역참조하세요. 기본값은 비활성화입니다. 이 속성은 검색 과정에서 별칭이 어떻게 역참조되는지를 정의합니다.

      • 절대: 별칭을 역참조하지 않습니다.

      • 항상: 항상 별칭을 역참조합니다.

      • 검색: 이름을 확인하는 중에만, 즉 대상 항목을 찾는 동안에만 별칭을 역참조합니다.

      • 검색: 이름 확인이 완료되면 해당 항목을 찾고 별칭을 역참조합니다.

    • 추천하기, 팔로우하기 및 던지기. 기본값은 무시로 설정되어 있습니다. 이 속성은 공급자가 조회를 처리하는 방법을 지정합니다.

      • 무시: 추천이 결과에 나타날 경우 무시하십시오.

      • 팔로우: 추천을 자동으로 따릅니다.

      • throw: 각 조회마다 Java ReferralException을 발생시킵니다. 오류 조건이 발생하게 됩니다.

    • 추천 한도5이 기본값입니다. 이 속성은 최대 조회 수를 지정합니다. 0으로 설정하면 값이 잘못됩니다. 조회 속성은 팔로우Throw로 설정된 경우에만 설정할 수 있습니다.

  7. 제출을 클릭하여 설정을 저장하세요.

    작은 정보

    새 인증 공급자 활성 을 (를) 만들기 전에 맥락 메뉴에서 연결 설정 테스트 를 선택하여 구성이 예상대로 작동하는지 확인합니다.