LDAP(Lightweight Directory Access Protocol) 개념과 방화벽 정책

LDAP(Lightweight Directory Access Protocol)은 네트워크에서 조직, 사용자, 디바이스, 파일 등 다양한 정보를  관리하고 검색할 수 있게 해주는 표준 프로토콜입니다.[1][2][6]

### 핵심 개념
- LDAP는 디렉터리 서비스에 접근하기 위한 경량화된 프로토콜로, 디렉터리(트리 구조의 계층적 데이터 저장소)에 저장된 정보를 효율적으로 검색, 관리할 수 있습니다.[6][7][1]
- X.500의 DAP(Directory Access Protocol) 표준에서 시작했으나, 트래픽과 자원 소모가 많던 기존 DAP의 한계를 해결하기 위해 TCP/IP 환경에서 가볍고 실용적으로 만든 버전입니다.[3][5][7]
- LDAP 디렉터리에서 각 데이터(엔트리)는 DN(Distinguished Name)을 통해 고유하게 식별되며, 조직 구조를 트리형 노드로 시각화할 수 있습니다.[1][6]

### 주요 특징
- 중앙 집중적 사용자, 자산, 인증 정보 관리에 최적화되어 있습니다.[2][4][5]
- 계층적 구조(루트 노드와 하위 엔트리)로 성능이 뛰어나고, 대량의 정보에 대한 빠른 검색이 가능하며 인증 작업에도 많이 활용됩니다.[7][6]
- LDAP 서버는 OpenLDAP, Microsoft Active Directory, Apache Directory 등 여러 플랫폼에서 구현되어 있어, 다양한 환경에서 연동 및 통합 활용이 가능합니다.[5][6]
- 데이터 추가, 수정보다는 검색에 특화되어 있고, 디렉터리 오브젝트(사용자, 그룹 등)에 대한 인증 및 속성 조회 등 IAM(Identity & Access Management)에 많이 쓰입니다.[4][5]

### 활용 사례
- 조직 내 사용자 인증(SSO, Kerberos, SSL/SASL 등) 및 접근 제어.[4][5]
- 주소록, 권한 관리, 애플리케이션 통합 인증 시스템 구축, 중앙에서 사용자 및 시스템 정보를 관리.[6][7]
- 서버 통합, 클라우드 환경, 사내 보안 시스템 등에서 광범위하게 사용.[2][4]

LDAP는 IT 환경에서 여전히 핵심적인 인증·검색 서비스 역할을 하며, 대규모 조직의 인적·자산 관리를 체계적으로 가능하게 합니다.[5][2][6]

인용:
[1] LDAP이란 무엇인가 - ~~마띠의블로그~~ https://hec-ker.tistory.com/319
[2] 알아두면 쓸데있는 LDAP | 인사이트리포트 | 삼성SDS https://www.samsungsds.com/kr/insights/ldap.html
[3] [LDAP] 개념 잡기 - 개발 노트 - 티스토리 https://yongho1037.tistory.com/796
[4] LDAP 인증이란 무엇입니까? 어떻게 작동하나요? https://www.fortinet.com/kr/resources/cyberglossary/ldap-authentication
[5] LDAP(Lightweight Directory Access Protocol) 인증이란? https://www.redhat.com/ko/topics/security/what-is-ldap-authentication
[6] LDAP(Lightweight Directory Access Protocol)에 대해 알아 ... https://feccle.tistory.com/190
[7] LDAP이란 ? - 뭉게뭉게 클라우드 - 티스토리 https://nice-engineer.tistory.com/entry/LDAP%EC%9D%B4%EB%9E%80
[8] 알아두면 쓸데있는 LDAP https://s-core.co.kr/insight/view/%EC%95%8C%EC%95%84%EB%91%90%EB%A9%B4-%EC%93%B8%EB%8D%B0%EC%9E%88%EB%8A%94-ldap/
[9] LDAP - 위키백과, 우리 모두의 백과사전 https://ko.wikipedia.org/wiki/LDAP

---

LDAP 구현 시 방화벽 정책

### 기본 통신 방향 및 포트 개방 원칙
- LDAP 통신은 일반적으로 **클라이언트(사용자, 애플리케이션 등) → LDAP 서버(디렉터리 서버)** 방향으로 이루어집니다.
- 따라서 방화벽에서는 주로 **LDAP 서버가 사용하는 포트(389, 636 등)를 클라이언트가 접근할 수 있도록 인바운드 방향으로 개방**합니다.
- 일반적인 LDAP 포트는 389 (비암호화), LDAPS는 636(암호화)이며, 이 포트들이 인바운드에서 열려 있어야 클라이언트 요청을 처리할 수 있습니다.[1][5]

### 양방향 포트 개방 필요 여부
- LDAP 자체 통신은 클라이언트와 서버 간 단방향 연결(클라이언트 → 서버)로 구축되는 TCP 세션이므로, 일반적으로 방화벽 설정은 인바운드 방향 포트 개방이 핵심입니다.
- 하지만 일부 환경(특히 Active Directory와 같은 Microsoft 환경)에서는 서버 간 복제, 신뢰 도메인 통신, 글로벌 카탈로그 접속 등 다양한 LDAP 관련 통신이 발생하며, 이 경우 1024~65535 범위의 동적 포트(고포트)가 양방향으로 필요할 수 있습니다.[5]
- 예를 들어, AD 환경에서는 LDAP 외에 RPC(135)와 다양한 동적 포트가 복수 방향 트래픽에 필요하며, 이런 상황에서 포트 개방 방향이 양방향인 경우가 많습니다.[5]

### 요약
- 기본 LDAP 포트(389, 636)는 클라이언트가 서버로 접근하는 인바운드 방향 개방이 가장 중요합니다.
- Active Directory 등 복잡한 LDAP 생태계에서는 복제나 신뢰 도메인 통신에 동적 포트가 양방향 개방되어야 할 수 있습니다.
- 일반 LDAP 서버 단독 구현 시에는 양방향으로 포트를 열기보다는 인바운드 방향에서만 포트를 개방하는 것이 표준이며 보안상 안전합니다.[3][1][5]

따라서 LDAP를 단순 인증 및 조회 용도로 구현한다면, 클라이언트 → 서버 방향으로 389, 636 포트를 열어 인바운드 허용만 하면 되고, 복잡한 AD 환경 혹은 서버 간 통신이 필요한 경우 방화벽에서 특정 동적 포트의 양방향 개방이 필요할 수 있습니다.[3][5]

인용:
[1] LDAP 서버 추가 https://techdocs.broadcom.com/kr/ko/vmware-cis/nsx/nsxt-dc/3-1/administration-guide/operations-and-management/add-an-ldap-server.html
[2] ONTAP NFS SVM용 LDAP에 대해 알아보세요 https://docs.netapp.com/ko-kr/ontap/nfs-admin/using-ldap-concept.html
[3] LDAP 서비스 포트 및 포트 보안 구성 변경 https://help.hcl-software.com/domino/11.0.1/ko/admin/conf_changingtheldapserviceportandportsecurityconfigur_c.html
[4] 연결에 사용되는 포트 - Configuration Manager https://learn.microsoft.com/ko-kr/intune/configmgr/core/plan-design/hierarchy/ports
[5] AD 도메인 및 트러스트에 대한 방화벽 구성 - Windows Server https://learn.microsoft.com/ko-kr/troubleshoot/windows-server/active-directory/config-firewall-for-ad-domains-and-trusts
[6] 연결 및 포트 요구 사항 https://docs.netapp.com/ko-kr/snapcenter-50/install/reference_connection_and_port_requirements.html
[7] TCP 636 포트는 무엇에 사용되나요? https://translate.google.com/translate?u=https%3A%2F%2Fwww.quora.com%2FWhat-is-port-TCP-636-used-for&hl=ko&sl=en&tl=ko&client=srp
[8] Active Directory 방화벽 포트 방향 : r/activedirectory https://www.reddit.com/r/activedirectory/comments/p6iv1d/active_directory_firewall_ports_direction/
[9] AnyConnect 클라이언트에 대해 FDM에서 관리하는 FTD ... https://www.cisco.com/c/ko_kr/support/docs/security/anyconnect-secure-mobility-client/217010-configure-ad-ldap-authentication-and-u.html
[10] 도메인/LDAP 설정 구성 | DSM https://kb.synology.com/ko-kr/DSM/help/DSM/AdminCenter/file_directory_service_configuration?version=7