11장   보안 구성

Sun ONE Directory Proxy Server는 클라이언트와 백엔드 디렉토리 서버 간의 보안 통신을 위해 SSL/TLS를 지원합니다.

• SSL 및 TLS 설정 준비
• SSL 통신 설정

이 절의 내용 중 일부는 이 설명서를 읽는 사용자가 공개 키 암호화 및 SSL (Secure Sockets Layer) 프로토콜의 기본 개념을 잘 알고 있으며 인트라넷, 엑스트라넷을 비롯하여 인터넷 보안 개념과 기업 내 디지털 인증서의 개념에 대해 이해하고 있다는 가정하에 쓰여진 것입니다. 이러한 개념을 처음 접하는 사용자는 본 설명서의 보안 관련 부록인 Managing Servers with Sun ONE Console을 먼저 읽어 보십시오.

iDAR 5.0x에서 업그레이드하는 경우 SSL 구성을 이전하기 위한 절차는 Directory Proxy Server 설치 설명서에 자세히 설명되어 있습니다.

Directory Proxy Server에는 개별적으로 구성할 수 있는 두 개의 통신 링크가 있습니다. 각 통신 링크는 일반 텍스트일 수도 있고 TLS (Transport Layer Security) 또는 SSL (Secure Sockets Layer) 프로토콜을 사용하여 암호화할 수도 있습니다. 두 개의 통신 링크를 사용할 수 있으므로 LDAP 클라이언트와 Directory Proxy Server 사이, 그리고 Directory Proxy Server와 LDAP 디렉토리 사이에 TLS 또는 SSL을 사용하는 통신을 구성할 수 있습니다. 그림 11-1은 Directory Proxy Server의 이러한 기능을 보여줍니다.

그림 11-1    Directory Proxy Server 두 개의 개별적인 통신 링크

Directory Proxy Server는 클라이언트 인증서와 서버 인증서 두 가지를 모두 확인할 수 있습니다. 단, 확인 중인 인증서에 대해 신뢰할 수 있는 루트 CA 인증서가 설치되어 있고 이 인증서를 Directory Proxy Server에서 사용할 수 있어야 합니다.

그림 11-2는 SSL 세션을 설정한 후 Directory Proxy Server가 클라이언트에서 제공한 인증서를 확인하는 방법을 보여줍니다.

그림 11-2    클라이언트의 인증서 기반 인증

SSL 및 TLS 설정 준비

---

내부 보안 장치나 외부 하드웨어 장치 또는 두 가지 모두 중 어느 것을 사용하는지에 따라 SSL과 TLS를 설정하는 방법이 달라집니다. 이 절에서는 이러한 설정 방법에 대해 설명합니다.

내부 보안 장치와 함께 SSL 또는 TLS를 설정하는 방법

SSL 또는 TLS를 내부 보안 장치와 함께 설정하려면 인증서를 요청하여 설치해야 합니다. 인증서를 요청하려면 인증서 요청 마법사를 실행하고 인증서를 설치하려면 인증서 설치 마법사를 실행합니다. 프롬프트가 나타나면 내부 보안 장치에 인증서를 설치할 것임을 지정하십시오.

외부 보안 장치와 함께 SSL 또는 TLS를 설정하는 방법

FORTEZZA와 같은 외부 보안 장치와 함께 SSL을 설정하려면 먼저 외부 장치 제조업체에서 제공하는 PKCS #11 모듈을 설치한 다음 인증서 요청 마법사를 실행하여 프롬프트가 표시되면 외부 보안 장치를 지정합니다.

내부 및 외부 보안 장치와 함께 SSL을 설정하는 방법

기업에 있는 서버와 클라이언트 중에는 내부 보안 장치만 사용하는 것도 있지만 내부 보안 장치와 외부 보안 장치를 모두 사용하는 것도 있습니다. 서버가 내부 및 외부 보안 장치를 모두 실행하는 제품과 통신해야 하는 경우에는 인증서 요청 마법사를 두 번 실행하십시오. 처음 사용할 때 프롬프트가 나타나면 내부 보안 장치를 지정합니다. 두 번째로 사용할 때 프롬프트가 나타나면 외부 보안 장치를 지정합니다.

SSL 통신 설정

---

일반적으로 SSL 사용 통신을 위해 Directory Proxy Server를 설정하려면 다음 단계를 수행해야 합니다.

• 단계 1. Directory Proxy Server를 위한 서버 인증서 설치
• 단계 2. Directory Proxy Server와 클라이언트 간의 SSL 연결 설정
• 단계 3. Directory Proxy Server와 LDAP 서버 간의 SSL 연결 설정

단계 1. Directory Proxy Server를 위한 서버 인증서 설치

인증서를 요청하고 설치할 때는 두 개의 마법사를 사용합니다. 새로운 서버 인증서를 요청하거나 이미 사용하고 있는 인증서를 갱신하려면 인증서 요청 마법사를 사용합니다. 인증 기관(CA)에서 받은 인증서를 설치하려면 인증서 설치 마법사를 사용합니다. 또한 인증서 요청 마법사를 처음 사용할 때 키 및 인증서 데이터베이스가 자동으로 만들어지고 설치됩니다.

Directory Proxy Server를 위한 서버 인증서를 설치하려면 다음 단계를 수행합니다.

• 단계 A. 서버 인증서 요청 생성
• 단계 B. 서버 인증서 요청 보내기
• 단계 C. 인증서 설치
• 단계 D. CA 인증서 또는 서버 인증서 체인 설치
• 단계 E. 인증서 데이터베이스 백업 및 복원

SSL 인증서

Sun ONE Directory Proxy Server는 서버 인증서, 서버 인증서 체인, 신뢰할 수 있는 CA 인증서 등의 세 가지 인증서를 설치할 수 있습니다.

서버 인증서는 서버와 관련된 단일 인증서로서 클라이언트에 대해 서버를 식별해 줍니다. 이러한 유형의 인증서를 받으려면 CA에 요청해야 합니다. 서버 인증서를 구해서 설치하려면 요청을 만들어 CA에 보낸 다음 인증서를 받아서 설치하십시오.

서버 인증서 체인은 회사 내부 인증서 서버나 알려진 CA에 의해 자동으로 작성된 인증서 모음입니다. 체인에 속한 인증서는 해당 인증서를 발급한 CA를 찾아서 인증 확인을 받습니다. 이 확인 과정은 새로운 서버 인증서를 얻거나 설치할 때마다 필요합니다.

신뢰할 수 있는 CA 인증서는 회사 내부 인증서 서버나 알려진 CA에 의해 자동으로 작성된 단일 인증서입니다. 신뢰할 수 있는 CA 인증서는 클라이언트를 인증하는 데 사용됩니다.

신뢰할 수 있는 CA 인증서를 구하려면 내부 인증서 서버 또는 CA의 웹 사이트로 가서 필요한 인증서 정보를 복사하여 파일에 저장한 다음 인증서 설치 마법사를 사용하여 인증서를 설치합니다.

한 서버에 SSL 인증서를 원하는 대로 설치할 수 있습니다. Directory Server 인스턴스를 위해 SSL을 설정할 때는 최소한 한 개의 서버 인증서와 한 개의 신뢰할 수 있는 CA 인증서를 설치해야 합니다.

단계 A. 서버 인증서 요청 생성

Sun ONE Directory Proxy Server를 사용하여 인증 기관(CA)에 제출할 인증서 요청을 생성할 수 있습니다.

1. Sun ONE Directory Proxy Server 탐색 트리에서 SSL 암호화를 사용하려는 서버 인스턴스를 선택합니다.
2. 서버 인스턴스를 두 번 누르거나 열기를 눌러 서버 인스턴스의 관리 창을 엽니다.
3. 콘솔 메뉴에서 보안> 인증서 관리를 선택합니다.

인증서 관리 작업을 누를 수도 있습니다.

보안 장치에 비밀번호가 없으면 새 비밀번호를 입력하라는 프롬프트가 표시됩니다.

4. 요청을 눌러 인증서 요청 마법사를 엽니다.
5. "인증서를 수동으로 요청"을 선택하고 다음을 누릅니다.
6. 요청된 정보를 입력합니다.

서버 이름. (선택 사항) 인증서를 요청하는 시스템의 전체 호스트 이름을 입력합니다.

조직. (선택 사항) 조직의 이름을 입력합니다.

조직 구성 단위. (선택 사항) 부서 또는 기타 조직 구성 단위를 입력합니다.

구/군/시. (선택 사항) 조직 구성 단위가 위치한 구, 군, 시를 입력합니다.

시/도. (선택 사항) 조직 구성 단위가 위치한 시 또는 도를 입력합니다.

국가/지역. (선택 사항) 드롭다운 메뉴에서 조직 구성 단위가 위치한 국가 또는 지역을 선택합니다.

다음 두 버튼을 사용하여 요청 양식의 두 가지 뷰 간을 전환할 수 있습니다.

DN 표시. 요청자 정보를 고유 이름(DN) 형식으로 표시하려면 이 버튼을 누릅니다. 이 버튼은 필드에 정보를 입력하고 있을 때만 볼 수 있습니다.

필드 표시. 요청자 정보를 필드에 표시하려면 이 버튼을 누릅니다. 이 버튼은 DN 형식으로 정보를 입력하고 있을 때만 볼 수 있습니다.

7. 다음을 누릅니다.
8. 이 인증서를 저장할 보안 장치의 비밀번호를 입력합니다.

내부(소프트웨어) 보안 장치를 사용하는 경우에는 키 및 인증서 데이터베이스의 비밀번호입니다. 외부(하드웨어) 모듈을 사용하는 경우에는 스마트 카드 또는 기타 보안 장치의 비밀번호입니다.

9. 다음을 누릅니다.
10. 다음 중 하나를 선택합니다.

클립보드로 복사. 인증서 요청을 클립보드에 복사하려면 이 버튼을 누릅니다.

파일에 저장. 인증서 요청을 텍스트 파일로 저장하려면 이 버튼을 누릅니다. 파일 이름과 위치를 선택하라는 프롬프트가 표시됩니다.

11. 완료를 눌러 인증서 요청 마법사를 닫습니다.

단계 B. 서버 인증서 요청 보내기

서버 인증서 요청을 생성한 다음에는 CA에 보내야 합니다. 많은 CA의 경우 웹 사이트를 통해 인증서 요청을 제출할 수 있지만 요청을 전자 메일로 보내야 할 경우도 있습니다.

1. 전자 메일 프로그램을 사용하여 새 전자 메일 메시지를 작성합니다.
2. 인증서 요청을 메시지에 붙여 넣습니다.

인증서 요청을 파일에 저장한 경우에는 텍스트 편집기에서 파일을 엽니다. 요청을 복사하여 메시지 본문에 붙여 넣습니다.

인증서 요청을 클립보드에 복사한 경우에는 그대로 메시지 본문에 붙여 넣습니다.

3. 요청의 제목과 받는 사람을 입력합니다. 제목과 받는 사람의 유형은 사용하는 CA에 따라 다릅니다. 자세한 정보는 CA 웹 사이트를 참조하십시오.
4. 전자 메일 메시지를 CA에 보냅니다.

인증서 요청을 제출한 다음에는 CA에서 인증서를 보낼 때까지 기다려야 합니다. 인증서를 받기까지 걸리는 시간은 CA에 따라 크게 차이가 납니다. 회사 내부에 CA가 있는 경우에는 하루나 이틀만에 인증서를 받을 수 있지만 외부 CA인 경우에는 몇 주씩 걸릴 수도 있습니다.

단계 C. 인증서 설치

CA에 따라 전자 메일 메시지로 인증서를 받을 수도 있고 CA 웹 사이트를 통해 발급받을 수도 있습니다. 일단 인증서를 받으면 백업을 하고 나서 설치합니다.

1. CA에서 받은 인증서 데이터를 텍스트 파일에 저장합니다.

인증서 데이터가 없어질 경우에는 이 백업 파일을 사용하여 인증서를 다시 설치할 수 있습니다.

2. Sun ONE Directory Proxy Server 탐색 트리에서 인증서를 설치하려는 서버 인스턴스를 선택합니다.
3. 열기를 눌러 서버 인스턴스의 관리 창을 엽니다.
4. 작업 탭에서 인증서 관리 버튼을 누릅니다.

콘솔 메뉴를 열고 보안 > 인증서 관리를 선택할 수도 있습니다.

5. 서버 인증서 탭을 누릅니다.
6. 이 인증서를 저장할 위치를 지정합니다.

• 이 인증서를 내부 보안 장치에 저장하려면 보안 장치 드롭다운 목록에서 내부(소프트웨어) 장치를 선택한 다음 설치를 누릅니다.
• 이 인증서를 외부 하드웨어 장치에 저장하려면 보안 장치 드롭다운 목록에서 해당 장치를 선택한 다음 설치를 누릅니다.

7. 인증서의 위치를 입력하거나 해당 텍스트를 입력합니다.

다음 로컬 파일. 인증서가 시스템에 텍스트 파일로 저장되어 있으면 해당 파일의 전체 경로를 입력합니다.

다음 인코딩된 텍스트 블록. 인증서를 클립보드에 복사한 경우에는 붙여넣기 버튼을 눌러 텍스트 필드에 붙여 넣습니다.

8. 다음을 누릅니다.

위에 입력한 인증서 정보가 유효하면 인증서 정보가 포함된 페이지가 나타납니다.

9. 인증서 정보가 맞는지 확인한 후 다음을 누릅니다.
10. 인증서 이름을 입력하고 다음을 누릅니다.
11. 이 인증서를 저장할 보안 장치의 비밀번호를 입력합니다.

내부(소프트웨어) 보안 장치에 인증서를 설치하는 경우에는 키 및 인증서 데이터베이스의 비밀번호를 입력하고 외부(하드웨어) 보안 장치에 설치하는 경우에는 해당 장치의 비밀번호를 입력합니다.

12. 완료를 누릅니다.

단계 D. CA 인증서 또는 서버 인증서 체인 설치

1. CA로부터 CA 인증서나 서버 인증서 체인을 발급받습니다.
2. Sun ONE Directory Proxy Server 탐색 트리에서 CA 인증서를 설치하려는 서버 인스턴스를 선택합니다.
3. 열기를 눌러 서버 인스턴스의 관리 창을 엽니다.
4. 작업 탭에서 인증서 관리 버튼을 누릅니다.

콘솔 메뉴를 열고 보안 > 인증서 관리를 선택할 수도 있습니다.

5. CA 인증서 탭을 선택한 다음 설치를 누릅니다.
6. 인증서의 위치를 입력하거나 해당 텍스트를 입력합니다.

다음 로컬 파일. 인증서가 시스템에 텍스트 파일로 저장되어 있으면 해당 파일의 전체 경로를 입력합니다.

다음 인코딩된 텍스트 블록. 인증서를 클립보드에 복사한 경우에는 붙여넣기 버튼을 눌러 텍스트 필드에 붙여 넣습니다.

7. 다음을 누릅니다.

위에 입력한 인증서 정보가 맞으면 인증서 정보가 포함된 페이지가 나타납니다.

8. 인증서의 정보가 맞는지 확인한 후 다음을 누릅니다.
9. 인증서 이름을 입력하고 다음을 누릅니다.
10. 이 인증서의 신뢰 옵션을 선택합니다.

클라이언트의 연결 허용. 이 CA에서 발급한 클라이언트 인증서를 신뢰하려면 이 확인란을 선택합니다.

다른 서버에 연결. 이 CA에서 발급한 서버 인증서를 신뢰하려면 이 확인란을 선택합니다.

11. 완료를 누릅니다.

단계 E. 인증서 데이터베이스 백업 및 복원

인증서를 설치할 때마다 인증서 데이터베이스를 백업해야 합니다. 데이터베이스가 손상될 경우 이 백업으로부터 인증서 정보를 복원할 수 있습니다.

인증서 데이터베이스를 백업하는 방법

1. 서버 루트 폴더를 엽니다.
2. alias 폴더에 있는 모든 파일을 다른 위치(가능하면 다른 디스크)에 복사합니다.

이 폴더에는 인증서뿐 아니라 트러스트 데이터베이스의 개인 키가 포함되어 있습니다.

백업으로부터 인증서 데이터베이스를 복원하는 방법

• 백업 파일을 서버 루트 폴더의 alias 하위 폴더에 복사합니다.




---

주의	백업으로부터 인증서 데이터베이스를 복원하면 백업을 만든 후에 설치한 인증서는 손실됩니다. 인증서 데이터베이스를 복원하기 전에 나중에 다시 설치할 경우를 대비하여 모든 인증서를 복사해 놓으십시오.

---

단계 2. Directory Proxy Server와 클라이언트 간의 SSL 연결 설정

Directory Proxy Server와 LDAP 클라이언트 간에 SSL 연결을 설정하려면 다음 단계를 수행합니다.

• 단계 A. Directory Proxy Server CA 인증서를 클라이언트의 트러스트 데이터베이스에 추가
• 단계 B. Directory Proxy Server 시스템 구성 변경
• 단계 C. Directory Proxy Server 네트워크 그룹 변경

단계 A. Directory Proxy Server CA 인증서를 클라이언트의 트러스트 데이터베이스에 추가

---

주	이 단계는 클라이언트가 서버 인증서를 확인하는 경우에만 필요합니다. 모든 Netscape 및 Sun 클라이언트는 확인 작업을 수행합니다. 그러나 확인을 수행하지 않는 클라이언트도 있습니다. 이 경우에는 트러스트 설정이 필요하지 않습니다.

---

Directory Proxy Server가 LDAP 클라이언트에게 인증서를 제공하면 클라이언트에서는 인증서의 유효성 여부를 확인합니다. 이 확인 과정의 일부로서 클라이언트는 인증서를 발급한 CA를 신뢰할 수 있는지 여부를 확인합니다. 이러한 이유 때문에 Directory Proxy Server의 서버 인증서를 발급한 CA의 루트 인증서가 클라이언트의 트러스트 데이터베이스에 설치되어 있어야 합니다.

Directory Proxy Server의 서버 인증서를 설치하는 마지막 단계에서 Directory Proxy Server의 CA 인증서를 텍스트 파일에 복사했습니다. 각 클라이언트 응용 프로그램의 설명서에 따라 CA 인증서를 해당 트러스트 데이터베이스에 설치하십시오.

단계 B. Directory Proxy Server 시스템 구성 변경

Directory Proxy Server 콘솔 창의 설정 탭과 암호화 탭을 사용하여 Directory Proxy Server를 위한 SSL 사용 통신 기준을 정의할 수 있습니다. 자세한 내용은 다음을 참조하십시오.

해당 시스템 구성 인스턴스에 대해 다음 사항을 변경하고 변경 사항을 저장합니다.

• 설정 탭에서 "SSL 포트" 필드에 값을 지정합니다. Directory Proxy Server는 LDAPS (LDAP over SSL) 연결용으로 지정된 포트 번호를 통해 연결을 수신합니다. 기본적으로 Directory Proxy Server는 LDAPS 클라이언트로부터 연결을 수신하지 않습니다. 대체 포트 636을 사용하여 TLS/SSL을 설정하는 클라이언트로부터 LDAPS 연결을 수신하려면 이 값을 반드시 입력해야 합니다. 이 값은 포트 필드의 값과 달라야 합니다. 또한 이 옵션을 사용하려면 암호화 탭에 TLS/SSL 구성이 있어야 합니다.

매개 변수에 대한 설명을 보려면 도움말 버튼을 누르십시오.

• SSL/TLS 암호화 탭에서 필요한 정보를 모두 지정합니다.

매개 변수에 대한 설명을 보려면 도움말 버튼을 누르십시오.

단계 C. Directory Proxy Server 네트워크 그룹 변경

Directory Proxy Server는 네트워크 그룹을 사용하여 클라이언트를 식별하고 LDAP 디렉토리에 포함된 정보에 대한 액세스 권한을 결정합니다. 자세한 내용은 6장 "그룹 만들기 및 관리를 참조하십시오.

구성한 각 그룹에 대해 암호화 탭에서 해당 옵션을 설정하여 클라이언트가 LDAP 작업을 보내기 전에 TLS 세션을 시작하도록 할 것인지, 클라이언트가 자체적으로 결정하도록 할 것인지 또는 클라이언트가 TLS 세션을 시작하지 못하도록 할 것인지 여부를 지정합니다. 예를 들어, "SSL 사용 가능" 옵션과 "클라이언트가 SSL 세션을 설정해야 함" 옵션을 선택할 수 있습니다. 암호화 탭의 옵션에 대한 자세한 내용은 6장 "그룹 만들기 및 관리의 단계 9를 참조하십시오.

참조 따라가기가 사용 가능하면 참조 SSL 정책을 선택해야 합니다. 참조 따라가기는 창의 왼쪽에 있는 목록에서 참조를 선택하면 사용 가능해집니다.

Directory Proxy Server는 백엔드 서버에 의해 반환된 참조를 따라갑니다. LDAP URL의 반환된 참조는 RFC 2255 형식이어야 합니다. 호스트 포트가 지정되지 않은 경우에는 클라이언트가 연결할 LDAP 서버에 대해 어느 정도 알고 있어야 합니다.

Directory Proxy Server는 호스트나 포트 번호가 없는 LDAP URL을 참조를 보낸 호스트에 대한 참조로 해석합니다. 예를 들면 다음과 같습니다.

ldap:///dc=central,dc=sun,dc=com	동일 호스트에 대한 참조, 기반이 다른 포트.
ldap://:10389/	동일한 호스트에 대한 참조, 다른 포트.
ldap://host/	기본 포트 389에서 "host" 호스트에 대한 참조.

단계 3. Directory Proxy Server와 LDAP 서버 간의 SSL 연결 설정

Directory Proxy Server와 LDAP 서버 간에 SSL 연결을 설정하려면 다음 단계를 수행합니다.

• 단계 A. CA 인증서 또는 서버 인증서 체인 설치
• 단계 B. Directory Proxy Server CA 인증서를 LDAP 서버의 트러스트 데이터베이스에 추가
• 단계 C. LDAP 서버 등록 정보 변경

단계 A. CA 인증서 또는 서버 인증서 체인 설치

이 단계는 Directory Proxy Server가 LDAP 서버에서 제공한 인증서를 확인하도록 할 때 필요합니다. 자세한 내용은 다음을 참조하십시오.

단계 B. Directory Proxy Server CA 인증서를 LDAP 서버의 트러스트 데이터베이스에 추가

Directory Proxy Server가 LDAP 서버에 인증서를 제공하면 서버에서는 인증서의 유효성 여부를 확인합니다. 이 확인 과정의 일부로서 서버는 Directory Proxy Server의 인증서를 발급한 CA를 신뢰할 수 있는지 확인합니다. 이러한 이유 때문에 Directory Proxy Server의 서버 인증서를 발급한 CA의 루트 인증서가 LDAP 서버의 트러스트 데이터베이스에 설치되어 있어야 합니다.

Directory Proxy Server의 서버 인증서를 설치하는 마지막 단계에서 Directory Proxy Server의 CA 인증서를 텍스트 파일에 복사했습니다. 각 LDAP 서버의 설명서에 따라 CA 인증서를 해당 트러스트 데이터베이스에 설치하십시오. Sun ONE Directory Server를 사용하는 경우에는 인증서 관리 마법사를 사용하여 CA 인증서를 Directory Server의 트러스트 데이터베이스에 추가할 수 있습니다. 인증서 관리 마법사는 Directory Server Console의 작업 탭에서 시작할 수 있습니다.

단계 C. LDAP 서버 등록 정보 변경

LDAP 서버 등록 정보 창의 암호화 탭을 사용하여 각 LDAP 서버의 SSL 사용 통신 기준을 정의할 수 있습니다. 자세한 내용은 다음을 참조하십시오.

해당 LDAP 서버 등록 정보 객체에 대해 다음 사항을 변경하고 변경 사항을 저장합니다.

• "보안 정책" 옵션을 적절한 값으로 설정하여 Directory Proxy Server가 항상 백엔드 서버에 대해 SSL/TLS를 설정하도록 할 것인지, 백엔드 서버에 TLS/SSL을 설정하지 않도록 할 것인지, 또는 클라이언트가 Directory Proxy Server에 대해 SSL/TLS를 설정할 경우에만 백엔드 서버에 대해 SSL/TLS를 설정할 것인지 등을 지정합니다.
• "X.509 인증서 주체 DN" 필드를 LDAP 서버 인증서의 주체 이름(X.509 인증서의 주체 속성)으로 설정합니다. Directory Proxy Server는 지정된 인증서 주체가 LDAP 서버 인증서 주체와 일치하는지 확인한 후 일치하지 않으면 TLS 세션을 거부합니다. Directory Proxy Server는 이 속성을 사용하여 연결하고 있는 LDAP 서버를 인증할 수 있습니다. 이 속성이 설정되지 않은 경우 Directory Proxy Server는 모든 이름을 허용합니다.

---