탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
PAM(플러그 가능한 인증 모듈) 프레임워크를 통해 시스템 항목 서비스(예: login, ftp, telnet)를 변경하지 않고도 새로운 인증 서비스를 “플러그인”할 수 있습니다. 또한 PAM을 사용하여 Kerberos 등의 다른 보안 방식과 UNIX 로그인을 통합할 수 있습니다. 계정, 자격 증명, 세션 및 암호 관리를 위한 방식도 이 프레임워크를 사용하여 “플러그인”할 수 있습니다.
PAM 프레임워크를 사용하면 사용자 인증을 위한 시스템 항목 서비스(예: ftp, login, telnet, rsh) 사용을 구성할 수 있습니다. PAM이 제공하는 몇 가지 이점은 다음과 같습니다.
유연한 구성 정책
응용 프로그램별 인증 정책
기본 인증 방식을 선택할 수 있는 기능
높은 보안 시스템에서 여러 권한 부여를 요구할 수 있는 기능
최종 사용자의 사용 편의성
암호가 여러 인증 서비스에 대해 동일한 경우 암호 재입력 없음
사용자가 여러 명령을 입력할 필요 없이 여러 인증 서비스에 대해 사용자에게 암호를 요구할 수 있는 기능
사용자 인증 서비스에 선택적 옵션을 전달할 수 있는 기능
시스템 항목 서비스를 변경할 필요 없이 사이트별 보안 정책을 구현할 수 있는 기능
PAM 소비자
PAM 라이브러리
pam.conf(4) 구성 파일
PAM 서비스 모듈(공급자라도도 함)
프레임워크는 인증 관련 작업이 발생하도록 일관성 있는 방식을 제공합니다. 이 방식을 통해 응용 프로그램 개발자는 정책의 의미를 알 필요 없이 PAM 서비스를 사용할 수 있습니다. 알고리즘은 중앙에서 제공됩니다. 알고리즘은 개별 응용 프로그램과 독립적으로 수정할 수 있습니다. PAM을 사용하면 관리자는 응용 프로그램을 변경하지 않고도 특정 시스템의 요구에 인증 프로세스를 맞출 수 있습니다. 조정은 PAM 구성 파일인 pam.conf를 통해 수행됩니다.
다음 그림은 PAM 아키텍처를 나타냅니다. 응용 프로그램은 PAM API(application programming interface)를 통해 PAM 라이브러리와 통신합니다. PAM 모듈은 PAM SPI(서비스 공급자 인터페이스)를 통해 PAM 라이브러리와 통신합니다. 따라서 PAM 라이브러리를 통해 응용 프로그램과 모듈이 서로 통신할 수 있습니다.
그림 15-1 PAM 아키텍처
Oracle Solaris 11 Express 릴리스용 PAM 프레임워크에는 새 pam_allow 모듈이 포함됩니다. 모듈을 사용하여 보안을 적용하지 않고 모든 사용자에게 액세스 권한을 부여할 수 있습니다. 모듈은 주의해서 사용해야 합니다. 자세한 내용은 pam_allow(5) 매뉴얼 페이지를 참조하십시오.