[보안용어] L.D.A.P

LDAP (Lightweight Directory Access Protocol)

정의
LDAP는 Lightweight Directory Access Protocol의 약자로, 네트워크 상에서 디렉터리 서비스에 접근하고 관리하기 위해 사용되는 표준 프로토콜입니다. 디렉터리 서비스란 사용자, 그룹, 장치, 네트워크 리소스 등의 정보를 계층적(트리 구조)으로 저장하고 조회·수정할 수 있는 시스템을 의미합니다.

주요 특징
경량화된 프로토콜: 기존의 X.500 디렉터리 접근 프로토콜을 간소화하여 TCP/IP 환경에서 가볍게 동작.
계층적 구조(Hierarchical Structure): 조직도와 유사한 트리 구조(DIT, Directory Information Tree)에 사용자, 그룹, 리소스 정보를 저장.
표준화된 접근: 인증, 조회, 추가, 삭제, 수정 등의 작업을 표준 명령(바인드, 서치, 모디파이 등)으로 수행.

주요 용도
사용자 인증 및 SSO(Single Sign-On): 기업 환경에서 계정 중앙 관리 (예: Windows AD, OpenLDAP).
권한 관리: 그룹 기반 접근 제어, 역할 관리.
주소록 서비스: 이메일 시스템(Exchange, Lotus Notes 등)의 전사 주소록 관리.

대표 구현체
Microsoft Active Directory (AD): LDAP + Kerberos를 활용한 윈도우 기반 디렉터리 서비스.
OpenLDAP: 오픈소스 LDAP 서버.
389 Directory Server, Apache Directory Server 등.

보안 고려사항
LDAP over SSL/TLS (LDAPS): 네트워크 구간 암호화를 통해 패스워드, 사용자 정보 보호.
권한 분리 및 접근제어: 디렉터리 정보에 대한 최소 권한 원칙 적용.
계정 잠금 정책, 비밀번호 정책 강화: 무차별 대입 공격 방지.

요약
LDAP는 기업이나 조직에서 사용자·리소스를 중앙집중적으로 관리하고 인증을 통합하기 위한 핵심 프로토콜로, AD·OpenLDAP 등 다양한 솔루션에서 활용되며, 보안 측면에서는 LDAPS 및 접근제어 정책 적용이 필수적입니다.