[Splunk] LDAP 연동 이해하기

🌳 LDAP 기본 구조

LDAP(Lightweight Directory Access Protocol)은 말 그대로 디렉터리 서비스에 접근하기 위한 프로토콜이다.

• 디렉터리(Directory):
  조직의 사용자, 그룹, 자원 정보를 트리 구조로 저장하는 데이터 저장소
• 대표 구현체:
  • OpenLDAP (오픈소스)
  • Microsoft Active Directory (가장 흔하게 사용됨)

 

🧩 트리 구조 예시

 

 

dc=splunk,dc=com
 ├─ ou=groups
 │   ├─ cn=admins
 │   ├─ cn=powerusers
 │   └─ cn=users
 └─ ou=people
     ├─ cn=admin1
     ├─ cn=power1
     └─ cn=user1

 

• DC (Domain Component): 도메인 이름 (예: dc=splunk,dc=com)
• OU (Organizational Unit): 조직 단위 컨테이너 (예: ou=people)
• CN (Common Name): 실제 사용자나 그룹 이름 (예: cn=user1)
• DN (Distinguished Name): 트리 안에서의 고유 식별자
  • 예: cn=user1,ou=people,dc=splunk,dc=com

👉 DN을 오른쪽에서 왼쪽으로 읽으면, 해당 사용자가 어떤 트리에 속해 있는지 한눈에 알 수 있음

---

🔐 LDAP 인증 절차 (2단계 바인딩)

Splunk가 LDAP을 통해 인증을 수행하는 과정은 조금 특별함.

1. 사용자가 Splunk Web 로그인 시도 (아이디/비밀번호 입력)
2. Splunk가 Bind DN 계정으로 LDAP 서버에 먼저 연결
3. LDAP 서버에서 User Base DN 아래에서 사용자의 DN 검색
4. 찾은 DN과 비밀번호로 다시 LDAP 서버에 바인딩
5. 성공하면 Splunk에 로그인 완료

👉 즉, LDAP 인증은 단순히 “한 번 비밀번호 확인”이 아니라 두 단계 바인딩 과정을 거침

---

🎭 LDAP 권한 부여 (Authorization)

LDAP은 인증만 처리
실제 권한 부여는 Splunk에서 그룹(Group)과 역할(Role)을 매핑해야 함.

• 사용자가 속한 LDAP 그룹 확인
• Splunk가 해당 그룹과 매핑된 Role을 부여
• Role에 따라 검색, 대시보드 접근 권한 결정

👉 핵심! Splunk Role 없이는 로그인해도 아무것도 할 수 없다

---

⚖️ LDAP 우선순위 (Precedence)

• Splunk는 여러 LDAP 서버를 동시에 사용할 수 있음
• 하지만 사용자를 첫 번째로 찾은 서버에서 검색 종료
• 순서는 authentication.conf 설정값으로 조정 가능
• 중요: 내부 Splunk 계정이 LDAP 계정보다 항상 우선

👉 이 부분은 현업에서 흔히 문제를 일으킬 수 있음...
예를 들어, LDAP에도 admin 계정이 있지만 Splunk 내부에도 admin 계정이 있다면

→ 무조건 Splunk 계정이 적용됩니다.

---

🛠 LDAP 도구 활용

LDAP 속성을 제대로 이해하려면 도구를 활용하는 게 필수

• GUI 도구:
  • Apache Directory Studio
  • Softerra LDAP Browser
  • ADSI Edit (Windows)
• CLI 도구:
  • ldapsearch
  • 예시:

ldapsearch -x -b "dc=splunk,dc=com" "(uid=user1)"

 

• LDIF (LDAP Data Interchange Format):
  • LDAP 엔트리를 텍스트 파일로 export
  • 그룹/사용자 속성을 확인할 때 유용

 

• User Base DN
• Group Base DN
• uid (로그인 아이디)
• mail (이메일)
• dn (그룹 매핑 속성)