원격 LDAP 디렉토리에 대한 디렉토리 보조자 문서에서 SSL 설정

HCLDomino® 서버가 인터넷 클라이언트 인증 중에 신임 정보를 검색하거나 데이터베이스 권한 부여 중에 그룹의 구성원을 검색하는 데 원격 LDAP 디렉토리를 사용하는 경우, 서버가 LDAP 디렉토리 서버에 연결하는 데 SSL을 사용하도록 지정하십시오. Domino® 서버와 LDAP 서버 간에 보안 통신이 있고, Domino® 서버가 X.509 인증서를 사용하여 원격 LDAP 디렉토리 서버의 ID를 확인할 수 있도록 SSL을 지정합니다.

이 태스크 정보

SSL을 사용하려면 원격 LDAP 디렉토리에 대한 디렉토리 보조자 문서의 LDAP 탭에 있는 채널 암호화 필드에서 SSL을 선택하십시오. SSL을 선택할 때, 다음과 같은 세 개의 필드도 선택해야 합니다.

  • 만료된 SSL 인증서 허용
  • SSL 프로토콜 버전
  • 원격 서버의 인증서로 서버 이름 확인

프로시저

  1. 만기된 SSL 인증서 허용 필드에서 다음 항목 중 하나를 선택하십시오.
    • - (기본값) 인증서가 만기되었더라도 LDAP 디렉토리 서버의 인증서를 허용합니다.
    • 아니요 - 만기된 인증서를 거부하고 더 강력한 보안을 제공합니다.
  2. SSL 프로토콜 버전 필드에서 다음과 같이 사용할 SSL 프로토콜의 버전 번호를 선택합니다.
    1. SSL 프로토콜 버전 번호 및 설명

    SSL 프로토콜 버전

    설명

    V2.0 전용

    SSL 2.0 연결만 허용합니다.

    V3.0 핸드쉐이크

    SSL 3.0 연결을 시도합니다. 연결이 실패하고 요청자가 SSL 2.0을 발견할 경우 SSL 2.0을 사용하여 연결을 시도합니다.

    V3.0 전용

    SSL 3.0 연결만 허용합니다.

    V3.0과 V2.0 핸드쉐이크

    SSL 3.0 연결을 시도하지만, SSL 2.0 핸드쉐이크를 시작하고 관련 오류 메시지를 표시합니다. 가능한 경우, SSL 3.0 연결을 수행합니다. 연결 시도 중에 발생할 수 있는 V2.0 오류 메시지를 수신하려면 V3.0 and V2.0 handshake를 선택합니다. 이런 오류 메시지는 연결 도중 발견되는 호환성 문제에 대한 정보를 제공하지 않을 수 있습니다.

    조정됨

    SSL이 프로토콜 버전 및 핸드쉐이크를 결정할 수 있습니다.

  3. Verify server name with remote server's certificate 필드에서 다음 항목 중 하나를 선택하십시오.
    • Enabled(기본값)
    • 사용 안함

    원격 서버 인증서의 제목 줄에 LDAP 디렉토리 서버 호스트 이름이 포함되도록 Enabled를 선택합니다. 이 옵션이 제대로 실행되려면, 원격 서버의 인증서에 있는 제목줄이 DNS 호스트 이름을 포함해야 합니다. 원격 LDAP 디렉토리 서버의 X.509 인증서에 원격 서버 호스트 이름이 적합한 형식으로 들어 있는지 확인할 경우 이 옵션이 사용 가능하도록 유지합니다.

    Domino® CA 및 일부 기타 CA에서는 인증서를 요청할 때 사용자가 제목 줄을 입력하는 대화 상자가 나타납니다. 예를 들어, Domino® CA는 각 사용자에게 공통 이름, 조직 단위 이름, 조직 이름, 주(또는 시/도) 및 국가명과 같은 원격 서버 정보를 입력하라는 메시지를 표시합니다. Domino® CA는 이 정보를 제목 줄에 입력하고, 적합한 접두부(cn=, ou=, o= 등)를 각 필드에 추가합니다. Domino® CA를 사용하여 원격 서버의 인증서를 작성한 경우, Verify server name with remote server's certificate 옵션을 사용할 때 공통 이름 필드에 원격 서버의 호스트 이름을 입력합니다. 예를 들어, Domino® CA에서 사용자는 다음과 같은 유효한 제목 줄을 입력할 수 있습니다(mailserver.renovations.com은 서버의 DNS 호스트 이름입니다).

    cn=mailserver.renovations.com, ou=sales, ou=marketing, o=renovations, st=mass, c=us

    cn=mailserver, ou=sales - mailserver.renovations.com o=renovations, st=mass, c=us

    사용자가 DNS 호스트 이름을 제대로 입력하려면 Domino® CA로부터 인증서를 요청할 때 공통 이름(cn=)으로 DNS 호스트 이름을 입력하도록 권장됩니다. 다른 CA에 제목줄을 입력하는 다른 대화 상자가 있을 수 있으므로, 사용자는 각 대화 상자에 따라 원격 서버의 DNS 호스트 이름을 입력해야 합니다.