SSL 인증

서버는 다음 두 가지 방법을 사용하여 보안 인증서가 있는 사용자의 신분을 확인합니다.

• 클라이언트 인증서의 정보를 신분 증명으로 사용

• LDAP 디렉토리에 게시된 클라이언트 인증서 확인(추가)

서버가 클라이언트 인증용으로 인증서 정보를 사용하도록 설정하면 서버는 다음 작업을 수행합니다.

• 우선 인증서가 신뢰할 수 있는 인증 기관에서 발급된 것인지 확인합니다. 그렇지 않은 경우 인증이 실패하며 트랜잭션이 종료됩니다.

• 인증서가 신뢰할 수 있는 인증 기관(CA)에서 발급된 경우 certmap.conf 파일을 사용하여 인증서를 사용자 항목에 매핑합니다.

• 인증서가 올바로 매핑된 경우 해당 사용자에 대해 지정된 ACL 규칙을 확인합니다. 인증서가 올바로 매핑된 경우라도 ACL 규칙에 따라 사용자 액세스를 거부할 수 있습니다.

특정 자원에 대한 액세스 제어를 위해 클라이언트 인증을 요구하는 것은 서버에 대한 모든 연결에 대해 클라이언트 인증을 요구하는 것과 다릅니다. 모든 연결에 대해 서버가 클라이언트 인증을 요구하도록 설정한 경우 클라이언트는 신뢰할 수 있는 인증 기관에서 발급한 유효한 인증서만 제시하면 됩니다. 서버의 액세스 제어가 사용자 및 그룹 인증을 위해 SSL 메소드를 사용하도록 설정하는 경우 클라이언트는 다음 작업을 수행합니다.

• 신뢰할 수 있는 인증 기관에서 발급한 유효한 인증서를 제시합니다.

• 인증서는 LDAP에 있는 유효한 사용자에 매핑되어야 합니다.

• 액세스 제어 목록에서 적절히 평가해야 합니다.

액세스 제어와 함께 클라이언트 인증을 요구하는 경우 웹 서버용 SSL 암호를 사용하도록 설정해야 합니다.

SSL 인증이 요구되는 자원에 성공적으로 액세스하려면 웹 서버가 신뢰하는 인증 기관으로부터 클라이언트 인증서가 발급되어야 합니다. 웹 서버의 certmap.conf 파일이 브라우저에 있는 클라이언트 인증서와 디렉토리 서버에 있는 클라이언트 인증서를 비교하도록 구성된 경우에는 클라이언트 인증서가 디렉토리 서버에 게시되어야 합니다. 그러나 certmap.conf 파일은 인증서의 선택된 정보만 디렉토리 서버 항목과 비교하도록 구성할 수 있습니다. 예를 들어 브라우저 인증서의 사용자 아이디와 전자 메일 주소만 디렉토리 서버 항목과 비교하도록 certmap.conf 파일을 구성할 수 있습니다.

인증서는 LDAP 디렉토리와 비교해 확인되기 때문에 SSL 인증 방법을 사용하려면 certmap.conf 파일을 수정해야 합니다. 서버로의 모든 연결에 대해 클라이언트 인증이 요구되는 경우에는 이 파일을 변경할 필요가 없습니다. 클라이언트 인증서를 사용하도록 선택한 경우 magnus.conf의 AcceptTimeout 지시문 값을 올려야 합니다 .