클라이언트 액세스 필터의 작동 방법

Messaging Server 액세스 제어 기능은 서비스되는 TCP 데몬과 동일한 포트에서 수신하는 프로그램입니다. 즉, 이 기능은 액세스 필터를 사용하여 클라이언트 신원을 확인하며 클라이언트가 필터링 프로세스를 통과할 경우 데몬에 대한 액세스 권한을 클라이언트에게 제공합니다.

Messaging Server TCP 클라이언트 액세스 제어 시스템은 필요한 경우 처리 과정의 일부로서 소켓 종점 주소에 대한 다음 분석을 수행합니다.

• 두 종점 모두에 대한 역방향 DNS 조회(이름 기반 액세스 제어를 수행하기 위해)

• 두 종점 모두에 대한 정방향 DNS 조회(DNS 스푸핑을 감지하기 위해)

• Identd 콜백(클라이언트 종점의 사용자가 클라이언트 호스트에 알려져 있는 검사하기 위해)

시스템은 필터라고 부르는 액세스 제어문에 대해 이 정보를 비교하여 액세스를 허가 또는 거부할지 여부를 결정합니다. 각 서비스에 대해 별도의 허용 필터 및 거부 필터 집합이 액세스를 제어합니다. 허용 필터는 액세스를 명시적으로 허가하며 거부 필터는 액세스를 명시적으로 금지합니다.

클라이언트가 서비스에 대한 액세스를 요청하면 액세스 제어 시스템은 다음 조건을 사용하여 각 서비스의 필터에 대해 클라이언트의 주소 또는 이름 정보를 순서대로 비교합니다.

• 일치하는 첫 번째 항목에서 검색이 중지됩니다. 허용 필터는 거부 필터 이전에 처리되므로 허용 필터가 우선 순위를 가집니다.

• 클라이언트 정보가 해당 서비스의 허용 필터와 일치할 경우 액세스가 허가됩니다.

• 클라이언트 정보가 해당 서비스의 거부 필터와 일치할 경우 액세스가 거부됩니다.

• 허용 또는 거부 필터와 일치하는 항목이 없을 경우 액세스가 허가됩니다. 단, 허용 필터만 있고 거부 필터가 없을 경우 일치하는 항목이 없으면 액세스가 거부됩니다.

여기에서 설명된 필터 문은 간단한 방식으로 여러 다른 종류의 액세스 제어 정책을 구현할 수 있을 정도로 충분히 유연합니다. 거의 배타적인 허용 또는 거부를 사용하여 대부분의 정책을 구현할 수 있지만 허용 필터와 거부 필터를 둘 다 임의로 조합하여 사용할 수 있습니다.

다음 절에서는 필터 문을 자세하게 설명하고 사용 예를 제공합니다. 서비스에 대한 액세스 필터 만들기 절에서는 액세스 필터를 만들기 위한 절차에 대해 설명합니다.