클라이언트 사용자 아이디 지정
RFC 1413에 설명된 대로 identd 서비스를 지원하는 클라이언트 호스트 시스템의 경우 클라이언트의 사용자 아이디를 필터의 clientSpec 항목에 포함하여 특정 클라이언트 요청 서비스를 추가로 식별할 수 있습니다. 이러한 경우 항목의 형식은 다음과 같습니다.
user@hostSpec
여기에서 user는 클라이언트의 identd 서비스(또는 와일드카드 이름)에 의해 반환되는 사용자 아이디입니다.
필터에서 클라이언트 아이디를 지정하는 것은 유용할 수 있지만 다음과 같은 사항에 주의해야 합니다.
-
identd 서비스는 인증이 아닙니다. 클라이언트 시스템이 손상된 경우 이 서비스가 반환하는 클라이언트 사용자 아이디를 신뢰할 수 없습니다. 일반적으로 특정 사용자 아이디를 사용하지 않으며 ALL, KNOWN 또는 UNKNOWN 와일드카드 이름만 사용합니다.
-
identd는 대부분의 최신 클라이언트 시스템에서 지원되지 않으므로 현대적인 배포에서는 거의 가치가 없습니다. 이후 버전에서는 identd 지원을 제거하는 것이 고려되고 있으므로 이 기능이 필요한 경우 Sun Java System에 따로 알릴 필요가 있을 것입니다.
-
사용자 아이디 조회는 시간이 걸립니다. 따라서 모든 사용자에 대한 조회를 수행하면 identd를 지원하지 않는 클라이언트의 액세스가 느려질 수 있습니다. 선택적 사용자 아이디 조회로 이 문제를 줄일 수 있습니다. 예를 들어, 다음과 같은 규칙은
serviceList: @xyzcorp.com ALL@ALL
사용자 아이디 조회를 수행하지 않고 도메인 xyzcorp.com의 사용자와 일치하지만 다른 모든 시스템에서는 사용자 아이디 조회를 수행합니다.
경우에 따라 사용자 아이디 조회 기능은 클라이언트 호스트에서 권한 없는 사용자의 공격으로부터 보호하는 데 도움이 될 수 있습니다. 예를 들어, 일부 TCP/IP 구현에서는 rsh(원격 쉘 서비스)를 사용하는 침입자가 신뢰할 수 있는 클라이언트 호스트를 가장할 수 있습니다. 클라이언트 호스트가 ident 서비스를 지원할 경우 사용자 아이디 조회를 사용하여 이러한 공격을 감지할 수 있습니다.
- © 2010, Oracle Corporation and/or its affiliates