Sun Java(TM) System Directory Server 5 2004Q2 °ü¸® ¼³¸í¼ |
11Àå
ÀÎÁõ ¹× ¾ÏÈ£È °ü¸®Directory Server´Â ³×Æ®¿öÅ©¸¦ ÅëÇÑ ¾ÈÀüÇÏ°í ½Å·ÚÇÒ ¼ö ÀÖ´Â Åë½ÅÀ» Á¦°øÇϱâ À§ÇÑ ¸î °¡Áö ±â¹ýÀ» Á¦°øÇÕ´Ï´Ù. LDAPS´Â SSL(Secure Sockets Layer)¿¡ Ãß°¡·Î ½ÇÇàµÇ´Â Ç¥ÁØ LDAP ÇÁ·ÎÅäÄÝ·Î, µ¥ÀÌÅ͸¦ ¾ÏÈ£ÈÇÏ°í ÀÎÁõ¼¸¦ »ç¿ëÇÏ¿©(¼±Åà »çÇ×) ÀÎÁõÇÕ´Ï´Ù.
Directory Server´Â Start TLS(Start Transport Layer Security) È®Àå ÀÛ¾÷À» Áö¿øÇϹǷΠ±âÁ¸¿¡ ¾ÏȣȵÇÁö ¾ÊÀº LDAP ¿¬°á¿¡¼ TLS¸¦ »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.
Directory Server¿¡¼´Â SASL(Simple Authentication and Security Layer)À» ÅëÇÑ GSSAPI(Generic Security Services API)µµ Áö¿øÇϹǷΠSolaris ¿î¿µ üÁ¦¿¡¼ Kerveros ¹öÀü 5 º¸¾È ÇÁ·ÎÅäÄÝÀ» »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù. ÀÌ °æ¿ì ¾ÆÀ̵ð ¸ÅÇÎ ±â¹ýÀÌ Ä¿¹ö·Î½º »ç¿ëÀÚ¸¦ µð·ºÅ丮 ¾ÆÀ̵ð¿Í ¿¬°áÇÕ´Ï´Ù.
Ãß°¡ º¸¾È Á¤º¸¿¡ ´ëÇؼ´Â ´ÙÀ½ À§Ä¡ÀÇ NSS À¥ »çÀÌÆ®¸¦ ÂüÁ¶ÇϽʽÿÀ.
http://www.mozilla.org/projects/security/pki/nss/
ÀÌ ÀåÀº ´ÙÀ½ ³»¿ëÀ¸·Î ±¸¼ºµÇ¾î ÀÖ½À´Ï´Ù.
Directory ServerÀÇ SSL ¼Ò°³SSL(Secure Sockets Layer)Àº Directory Server¿Í Ŭ¶óÀ̾ðÆ® °£¿¡ ¾ÏÈ£ÈµÈ Åë½Å°ú ÀÎÁõ(¼±Åà »çÇ×)À» Á¦°øÇÕ´Ï´Ù. LDAP¿Í DSML-over-HTTP ÇÁ·ÎÅäÄÝ ¸ðµÎ¿¡ ´ëÇØ SSLÀ» È°¼ºÈÇÏ¿© ¸ðµç ¼¹ö ¿¬°á¿¡ º¸¾ÈÀ» Á¦°øÇÒ ¼ö ÀÖ½À´Ï´Ù. ¶ÇÇÑ º¹Á¦ ¹× ¿¬°á Á¢¹Ì¾î ±â¹ýÀ» ±¸¼ºÇÏ¿© ¼¹ö °£ÀÇ º¸¾È Åë½Å¿¡ SSLÀ» »ç¿ëÇÒ ¼öµµ ÀÖ½À´Ï´Ù.
SSLÀ» ´Ü¼ø ÀÎÁõ(¹ÙÀεå DN°ú ºñ¹Ð¹øÈ£)°ú ÇÔ²² »ç¿ëÇÏ¸é ¼¹ö °£¿¡ Àü¼ÛµÇ´Â ¸ðµç µ¥ÀÌÅÍ°¡ ¾ÏȣȵǹǷΠ±â¹Ð¼º°ú µ¥ÀÌÅÍ ¹«°á¼ºÀÌ º¸ÀåµË´Ï´Ù. ¼±Åà »çÇ×À¸·Î, Ŭ¶óÀ̾ðÆ®´Â ÀÎÁõ¼¸¦ »ç¿ëÇÏ¿© Directory Server ¶Ç´Â SASL(Simple Authentication and Security Layer)À» ÅëÇÑ Å¸»ç º¸¾È ±â¹ý¿¡ ÀÎÁõÇÒ ¼ö ÀÖ½À´Ï´Ù. ÀÎÁõ¼ ±â¹Ý ÀÎÁõ¿¡¼´Â Ŭ¶óÀ̾ðÆ®³ª ¼¹ö¸¦ »çĪÇÏÁö ¸øÇϵµ·Ï °ø°³ Å° ¾Ïȣȸ¦ »ç¿ëÇÕ´Ï´Ù.
Directory Server´Â º°µµÀÇ Æ÷Æ®¿¡¼ SSL Åë½Å°ú ºñSSL Åë½ÅÀ» µ¿½Ã¿¡ Áö¿øÇÕ´Ï´Ù. º¸¾È»óÀÇ ÀÌÀ¯·Î ¸ðµç Åë½ÅÀ» º¸¾È Æ÷Æ®·Î Á¦ÇÑÇÒ ¼öµµ ÀÖ½À´Ï´Ù. Ŭ¶óÀ̾ðÆ® ÀÎÁõÀº ±¸¼ºÀÌ °¡´ÉÇϸç, Çʼö ¶Ç´Â ¼±Åà »çÇ×À¸·Î ±¸¼ºµÇ¾î ½ÇÇàÇÒ º¸¾È ¼öÁØÀ» °áÁ¤ÇÒ ¼ö ÀÖ½À´Ï´Ù.
SSLÀ» »ç¿ëÇϸé ÀÏ¹Ý LDAP ¿¬°á¿¡ º¸¾ÈÀ» Á¦°øÇÏ´Â Start TLS È®Àå ÀÛ¾÷µµ Áö¿øµË´Ï´Ù. Ŭ¶óÀ̾ðÆ®´Â ºñSSL Æ÷Æ®¿¡ ¹ÙÀεåÇÑ ÈÄ¿¡ TLS(Transport Layer Security) ÇÁ·ÎÅäÄÝÀ» »ç¿ëÇÏ¿© SSL ¿¬°áÀ» ½ÃÀÛÇÒ ¼ö ÀÖ½À´Ï´Ù. Start TLS ÀÛ¾÷Àº Ŭ¶óÀ̾ðÆ®ÀÇ À¯¿¬¼ºÀ» ³ôÀ̸ç Æ÷Æ® ÇÒ´çÀ» ¿ëÀÌÇÏ°Ô ÇÕ´Ï´Ù.
SSL¿¡¼ Á¦°øÇÏ´Â ¾ÏÈ£È ±â¹ýÀº ¼Ó¼º ¾Ïȣȿ¡µµ »ç¿ëµË´Ï´Ù. SSLÀ» »ç¿ëÇÒ °æ¿ì Á¢¹Ì¾î¿¡ ¼Ó¼º ¾Ïȣȸ¦ ±¸¼ºÇÏ¿© µð·ºÅ丮¿¡ ÀúÀåµÈ µ¥ÀÌÅ͸¦ º¸È£ÇÒ ¼ö ÀÖ½À´Ï´Ù. ÀÚ¼¼ÇÑ ³»¿ëÀº ¼Ó¼º °ª ¾Ïȣȸ¦ ÂüÁ¶ÇϽʽÿÀ.
Ŭ¶óÀ̾ðÆ®ÀÇ SSL ¹× ÀÎÁõ¼ »ç¿ë¿¡ µû¶ó µð·ºÅ丮 ³»¿ë¿¡ ´ëÇÑ ¾×¼¼½º Á¦¾î¸¦ ±¸¼ºÇÏ¿© º¸¾ÈÀ» °ÈÇÒ ¼ö ÀÖ½À´Ï´Ù. ƯÁ¤ ÀÎÁõ ¹æ¹ýÀÌ ÇÊ¿äÇÑ ¾×¼¼½º Á¦¾î ¸í·É(ACI)À» Á¤ÀÇÇÒ ¼ö ÀÖÀ¸¸ç, ÀÌ °æ¿ì º¸¾È ä³ÎÀ» ÅëÇؼ¸¸ µ¥ÀÌÅÍ°¡ Àü¼ÛµË´Ï´Ù. ÀÚ¼¼ÇÑ ³»¿ëÀº ¹ÙÀÎµå ±ÔÄ¢À» ÂüÁ¶ÇϽʽÿÀ.
Administration Server¿¡¼ SSLÀ» ±¸¼ºÇÏ´Â ¹æ¹ý, SSL, ÀÎÅÍ³Ý º¸¾È ¹× ÀÎÁõ¼¿¡ ´ëÇÑ ÀÚ¼¼ÇÑ ³»¿ëÀº Administration Server Administration GuideÀÇ 9Àå, "Using SSL and TLS with Sun Java System Servers"¸¦ ÂüÁ¶ÇϽʽÿÀ.
SSL È°¼ºÈ ´Ü°è ¿ä¾à°¢°¢ÀÇ ´Ü°è¿¡ ´ëÇؼ´Â ÀÌ ÀåÀÇ ÈÄ¼Ó Àý¿¡¼ ¼³¸íÇÕ´Ï´Ù.
- ÀÎÁõ¼¸¦ ¾ò¾î Directory Server¿¡ ¼³Ä¡ÇÏ°í Directory Server¿¡¼ ÀÎÁõ ±â°üÀÇ ÀÎÁõ¼¸¦ Æ®·¯½ºÆ®Çϵµ·Ï ±¸¼ºÇÕ´Ï´Ù. ÀÌ ÀýÂ÷¿¡´Â ´ÙÀ½°ú °°Àº ÀÛ¾÷ÀÌ Æ÷ÇԵ˴ϴÙ.
- LDAP ¹× DSML ÀÛ¾÷À» À§ÇÑ º¸¾È Æ÷Æ®¸¦ Æ÷ÇÔÇÏ¿© µð·ºÅ丮¿¡¼ SSLÀ» È°¼ºÈÇÏ°í ±¸¼ºÇÕ´Ï´Ù. Directory Server Äֿܼ¡¼ SSLÀ» »ç¿ëÇÏ¿© ¼¹ö¿¡ ¾×¼¼½ºÇϵµ·Ï ±¸¼ºÇÒ ¼öµµ ÀÖ½À´Ï´Ù.
- ¼±Åà »çÇ×À¸·Î, ´ÙÀ½ Ŭ¶óÀ̾ðÆ® ÀÎÁõ ±â¹ý Áß¿¡¼ Çϳª ÀÌ»óÀ» ¼¹ö¿¡ ±¸¼ºÇÕ´Ï´Ù.
- ¼±Åà »çÇ×À¸·Î »ç¿ëÇÒ ÀÎÁõ ±â¹ýÀ» Æ÷ÇÔÇÏ¿© Ŭ¶óÀ̾ðÆ®¿¡¼ Directory Server¿ÍÀÇ Åë½Å¿¡ SSLÀ» »ç¿ëÇϵµ·Ï ±¸¼ºÇÕ´Ï´Ù.
¸í·ÉÁÙÀ» ÅëÇØ ÀÎÁõ¼¸¦ °ü¸®ÇÏ·Á¸é certutil µµ±¸¸¦ »ç¿ëÇÏ¿© À§ÀÇ ´Ü°è Áß ÀϺθ¦ ¼öÇàÇÒ ¼öµµ ÀÖ½À´Ï´Ù. ÀÌ µµ±¸´Â SUNWtlsu ÆÐÅ°Áö¿¡ Æ÷ÇԵǾî ÀÖ½À´Ï´Ù.
¼¹ö ÀÎÁõ¼ ¾ò±â ¹× ¼³Ä¡ÀÌ Àý¿¡¼´Â ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¸¦ ÀÛ¼ºÇÏ°í, Directory Server¿¡¼ »ç¿ëÇÒ ÀÎÁõ¼¸¦ ¾ò¾î¼ ¼³Ä¡Çϸç, Directory Server¿¡¼ ÀÎÁõ ±â°ü(CA)ÀÇ ÀÎÁõ¼¸¦ Æ®·¯½ºÆ®Çϵµ·Ï ±¸¼ºÇÏ´Â ÀýÂ÷¿¡ ´ëÇØ ¼³¸íÇÕ´Ï´Ù.
ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º ÀÛ¼º
¼¹ö¿¡ óÀ½ SSLÀ» ±¸¼ºÇÒ ¶§ º¸¾È ÀåÄ¡ ºñ¹Ð¹øÈ£¸¦ ¼³Á¤ÇØ¾ß ÇÕ´Ï´Ù. ¿ÜºÎ Çϵå¿þ¾î º¸¾È ÀåÄ¡¸¦ »ç¿ëÇÏÁö ¾Ê´Â °æ¿ì ¾Æ·¡ ÆÄÀÏ¿¡ ÀúÀåµÈ ÀÎÁõ¼ ¹× Å° µ¥ÀÌÅͺ£À̽º°¡ ³»ºÎ º¸¾È ÀåÄ¡°¡ µË´Ï´Ù.
ServerRoot/alias/slapd-serverID-cert8.db
ServerRoot/alias/slapd-serverID-key3.dbserverID¿¡ ´ë¹®ÀÚ°¡ Æ÷ÇԵǾî ÀÖÀ¸¸é ¾Æ·¡ÀÇ ¸í·ÉÁÙ ÀýÂ÷¸¦ »ç¿ëÇÏ¿© ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¸¦ ÀÛ¼ºÇØ¾ß ÇÕ´Ï´Ù.
ÄÜ¼Ö »ç¿ë
Äֿܼ¡¼ ÀÎÁõ¼ °ü¸®ÀÚ ´ëÈ »óÀÚ¸¦ óÀ½ ½ÇÇàÇϸé ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º ÆÄÀÏÀÌ ÀÚµ¿À¸·Î ÀÛ¼ºµË´Ï´Ù.
- Directory Server ÄܼÖÀÇ ÃÖ»óÀ§ ŽºÅ© ÅÇ¿¡¼ ÀÎÁõ¼ °ü¸® ¹öÆ°À» ´©¸¨´Ï´Ù. ¶Ç´Â ŽºÅ© ÅÇÀ» Ç¥½ÃÇÏ°í ÄÜ¼Ö > º¸¾È ¸Þ´º¿¡¼ ÀÎÁõ¼ °ü¸® Ç׸ñÀ» ¼±ÅÃÇÕ´Ï´Ù.
- ¼¹ö¿¡¼ ÀÎÁõ¼ ¹× Å° µ¥ÀÌÅͺ£À̽º¸¦ ÀÚµ¿À¸·Î ÀÛ¼ºÇϸç, º¸¾È ÀåÄ¡ ºñ¹Ð¹øÈ£¸¦ ¼³Á¤Ç϶ó´Â ¸Þ½ÃÁö°¡ Ç¥½ÃµË´Ï´Ù. ÀÌ ºñ¹Ð¹øÈ£´Â ¼¹ö¿¡ ÀúÀåµÈ ÀÎÁõ¼ÀÇ °³ÀÎ Å°¸¦ º¸È£ÇÕ´Ï´Ù. ºñ¹Ð¹øÈ£¸¦ µÎ ¹ø ÀÔ·ÂÇÏ¿© È®ÀÎÇÑ ´ÙÀ½ È®ÀÎÀ» ´©¸¨´Ï´Ù.
¸í·ÉÁÙ »ç¿ë
¸í·ÉÁÙ¿¡¼ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º ÆÄÀÏÀ» ÀÛ¼ºÇÏ´Â °æ¿ì ¼¹ö°¡ ÀÌ ÆÄÀÏÀ» ãÀ» ¼ö ÀÖµµ·Ï ¾Æ·¡ ÀýÂ÷¿¡ Á¦°øµÈ °æ·Î ¹× ÆÄÀÏ À̸§ Á¢µÎ¾î¸¦ »ç¿ëÇØ¾ß ÇÕ´Ï´Ù.
ÀÎÁõ¼ ¿äû »ý¼º
PEM Çü½ÄÀ¸·Î PKCS #10 ÀÎÁõ¼ ¿äûÀ» »ý¼ºÇÏ·Á¸é ¾Æ·¡ ÀýÂ÷ Áß Çϳª¸¦ »ç¿ëÇÕ´Ï´Ù. PEMÀº RFC 1421ºÎÅÍ 1424 (http://www.ietf.org/rfc/rfc1421.txt)±îÁö¿¡ ÁöÁ¤µÈ Privacy Enhanced Mail Çü½ÄÀ¸·Î, base64 ÀÎÄÚµùµÈ ÀÎÁõ¼ ¿äûÀ» US-ASCII ¹®ÀÚ·Î ³ªÅ¸³»´Â µ¥ »ç¿ëµË´Ï´Ù. ¿äû ³»¿ëÀº ¾Æ·¡ ¿¹¿Í °°ÀÌ Ç¥½ÃµË´Ï´Ù.
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBrjCCARcCAQAwbjELMAkGA1UBhMCVXMxEzARBgNVBAgTCkNBElGT1JOSUExLD
AqBgVBAoTI25ldHNjYXBlIGNvb11bmljYXRpb25zIGNvcnBvcmF0aWuMRwwGgYDV
QQDExNtZWxsb24umV0c2NhcGUuY29tMIGfMA0GCSqGSIb3DQEBAUAA4GNADCBiQK
BgCwAbskGh6SKYOgHy+UCSLnm3ok3X3u83Us7u0EfgSLR0f+K41eNqqWRftGR83e
mqPLDOf0ZLTLjVGJaHJn4l1gG+JDf/n/zMyahxtV7+T8GOFFigFfuxJaxMjr2j7I
vELlxQ4IfZgwqCm4qQecv3G+N9YdbjveMVXW0v4XwIDAQABAAwDQYJKoZIhvcNAQ
EEBQADgYEAZyZAm8UmP9PQYwNy4Pmypk79t2nvzKbwKVb97G+MT/gw1pLRsuBoKi
nMfLgKp1Q38K5Py2VGW1E47/rhm3yVQrIiwV+Z8Lcc=
-----END NEW CERTIFICATE REQUEST-----ÄÜ¼Ö »ç¿ë
- Directory Server ÄܼÖÀÇ ÃÖ»óÀ§ ŽºÅ© ÅÇ¿¡¼ ÀÎÁõ¼ °ü¸® ¹öÆ°À» ´©¸¨´Ï´Ù. ¶Ç´Â ŽºÅ© ÅÇÀ» Ç¥½ÃÇÏ°í ÄÜ¼Ö > º¸¾È ¸Þ´º¿¡¼ ÀÎÁõ¼ °ü¸® Ç׸ñÀ» ¼±ÅÃÇÕ´Ï´Ù.
ÀÎÁõ¼ °ü¸® ´ëÈ »óÀÚ°¡ Ç¥½ÃµË´Ï´Ù.
- ¼¹ö ÀÎÁõ¼ ÅÇÀ» ¼±ÅÃÇÏ°í ¿äû ¹öÆ°À» ´©¸¨´Ï´Ù.
ÀÎÁõ¼ ¿äû ¸¶¹ý»ç°¡ Ç¥½ÃµË´Ï´Ù.
- ¼¹ö¿¡¼ CA¿Í Á÷Á¢ Åë½ÅÇÒ ¼ö ÀÖµµ·Ï Áö¿øÇÏ´Â Ç÷¯±× ÀÎÀ» ¼³Ä¡ÇÑ °æ¿ì Áö±Ý ¼±ÅÃÇÒ ¼ö ÀÖ½À´Ï´Ù. ±×·¸Áö ¾ÊÀ¸¸é »ý¼ºµÈ ¿äûÀ» ÀüÀÚ ¸ÞÀÏÀ̳ª À¥ »çÀÌÆ®¸¦ ÅëÇØ Àü¼ÛÇÏ¿© ¼öµ¿À¸·Î ÀÎÁõ¼¸¦ ¿äûÇØ¾ß ÇÕ´Ï´Ù. ´ÙÀ½À» ´·¯ °è¼ÓÇÕ´Ï´Ù.
- ºó ÅؽºÆ® Çʵ忡 ´ÙÀ½°ú °°Àº ¿äûÀÚ Á¤º¸¸¦ ÀÔ·ÂÇÕ´Ï´Ù.
¼¹ö À̸§. DNS Á¶È¸ ½Ã »ç¿ëµÇ´Â Directory ServerÀÇ Àüü È£½ºÆ® À̸§À» ÀÔ·ÂÇÕ´Ï´Ù(¿¹: east.example.com).
Á¶Á÷. ȸ»ç³ª ±â°üÀÇ °ø½Ä À̸§À» ÀÔ·ÂÇÕ´Ï´Ù. ´ëºÎºÐÀÇ CA´Â »ç¾÷ÀÚ µî·ÏÁõ »çº»°ú °°Àº °ø½Ä ¹®¼¸¦ »ç¿ëÇÏ¿© ÀÌ Á¤º¸¸¦ È®ÀÎÇϵµ·Ï ¿äûÇÕ´Ï´Ù.
Á¶Á÷ ±¸¼º ´ÜÀ§. (¼±Åà »çÇ×) ȸ»ç ºÎ¼ ¶Ç´Â »ç¾÷ºÎ¸¦ Àß ³ªÅ¸³»´Â À̸§À» ÀÔ·ÂÇÕ´Ï´Ù.
±¸/±º/½Ã. (¼±Åà »çÇ×) ȸ»ç°¡ ÀÖ´Â ±¸/±º/½Ã À̸§À» ÀÔ·ÂÇÕ´Ï´Ù.
½Ã/µµ. ¾à¾î¸¦ »ç¿ëÇÏÁö ¸»°í ȸ»ç°¡ ÀÖ´Â ½Ã/µµÀÇ Àüü À̸§À» ÀÔ·ÂÇÕ´Ï´Ù.
±¹°¡/Áö¿ª. µÎ ÀÚ·Î µÈ ISO Çü½ÄÀÇ ±¹°¡ À̸§ ¾à¾î¸¦ ¼±ÅÃÇÕ´Ï´Ù. ¹Ì±¹ÀÇ ±¹°¡ ÄÚµå´Â USÀÔ´Ï´Ù. Directory Server Administration ReferenceÀÇ 5Àå, “Directory Internationalization Reference”¿¡´Â ISO ±¹°¡ ÄÚµå ¸ñ·ÏÀÌ Æ÷ÇԵǾî ÀÖ½À´Ï´Ù.
´ÙÀ½À» ´·¯ °è¼ÓÇÕ´Ï´Ù.
- º¸¾È ÀåÄ¡ ºñ¹Ð¹øÈ£¸¦ ÀÔ·ÂÇÏ°í ´ÙÀ½À» ´©¸¨´Ï´Ù. ÀÌ ºñ¹Ð¹øÈ£´Â ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º ÀÛ¼º¿¡¼ ¼³Á¤ÇÑ ºñ¹Ð¹øÈ£ÀÔ´Ï´Ù.
- Ŭ¸³º¸µå·Î º¹»ç ¶Ç´Â ÆÄÀÏ¿¡ ÀúÀåÀ» ¼±ÅÃÇÏ¿© ÀÎÁõ ±â°ü¿¡ º¸³»¾ß ÇÏ´Â ÀÎÁõ¼ ¿äû Á¤º¸¸¦ ÀúÀåÇÕ´Ï´Ù.
- ¿Ï·á¸¦ ´·¯ ÀÎÁõ¼ ¿äû ¸¶¹ý»ç¸¦ ´Ý½À´Ï´Ù.
¸í·ÉÁÙ »ç¿ë
- ¾Æ·¡ ¸í·ÉÀ» ½ÇÇàÇÏ¿© ¼¹ö ÀÎÁõ¼ ¿äûÀ» ÀÛ¼ºÇÕ´Ï´Ù.
certutil -R \
-s "cn=serverName,ou=division,o=company,l=city,st=state,c=country" \
-a -d ServerRoot/alias -P slapd-serverID--s ¿É¼ÇÀº ¿äûµÈ ¼¹ö ÀÎÁõ¼ÀÇ DNÀ» ÁöÁ¤ÇÕ´Ï´Ù. ´ëü·Î ÀÎÁõ ±â°üÀº ¼¹ö¸¦ Á¤È®ÇÏ°Ô ½Äº°Çϱâ À§ÇØ ÀÌ ¿¹¿¡ »ç¿ëµÈ ¼Ó¼ºÀ» ¸ðµÎ ÇÊ¿ä·Î ÇÕ´Ï´Ù. °¢ ¼Ó¼º¿¡ ´ëÇÑ ÀÚ¼¼ÇÑ ³»¿ëÀº À§ÀÇ ´Ü°è 4¸¦ ÂüÁ¶ÇϽʽÿÀ.
- certutil µµ±¸·ÎºÎÅÍ ¼¹öÀÇ Å° µ¥ÀÌÅͺ£À̽º ºñ¹Ð¹øÈ£¸¦ ÀÔ·ÂÇ϶ó´Â ¸Þ½ÃÁö°¡ Ç¥½ÃµË´Ï´Ù. ÀÌ ºñ¹Ð¹øÈ£´Â ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º ÀÛ¼º¿¡¼ ¼³Á¤ÇÑ ºñ¹Ð¹øÈ£ÀÔ´Ï´Ù. ±×·± ÈÄ¿¡ ÀÌ µµ±¸´Â PEM ÀÎÄÚµùµÈ ÅؽºÆ® Çü½ÄÀ¸·Î PKCS #10 ÀÎÁõ¼ ¿äûÀ» »ý¼ºÇÕ´Ï´Ù.
¼¹ö ÀÎÁõ¼ ¼³Ä¡
ÀÎÁõ ±â°üÀÇ ÀýÂ÷¿¡ µû¶ó ÀÌÀü Àý¿¡¼ »ý¼ºÇÑ ÀÎÁõ¼ ¿äûÀ» ÀÎÁõ ±â°üÀ¸·Î Àü¼ÛÇÕ´Ï´Ù. ¿¹¸¦ µé¾î, ÀüÀÚ ¸ÞÀÏ·Î ÀÎÁõ¼ ¿äûÀ» º¸³»¾ß ÇÏ´Â °æ¿ìµµ ÀÖ°í CA À¥ »çÀÌÆ®¿¡¼ ¿äûÀ» ÀÔ·ÂÇÒ ¼ö ÀÖ´Â °æ¿ìµµ ÀÖ½À´Ï´Ù.
¿äûÀ» º¸³½ ÈÄ¿¡´Â CA¿¡¼ ÀÌ ¿äû¿¡ ´ëÇÑ ÀÀ´äÀ¸·Î ÀÎÁõ¼¸¦ º¸³»ÁÙ ¶§±îÁö ±â´Ù·Á¾ß ÇÕ´Ï´Ù. ¿äû¿¡ ´ëÇÑ ÀÀ´ä ½Ã°£Àº °æ¿ì¿¡ µû¶ó ´Þ¶óÁý´Ï´Ù. ¿¹¸¦ µé¾î, ȸ»ç ³»ºÎÀÇ CAÀÎ °æ¿ì ÇϷ糪 ÀÌƲÀÌ¸é ¿äû¿¡ ´ëÇÑ ÀÀ´äÀ» ¹ÞÀ» ¼ö ÀÖ½À´Ï´Ù. ȸ»ç ¿ÜºÎÀÇ CA¸¦ ¼±ÅÃÇÏ¸é ¿äû¿¡ ´ëÇÑ ÀÀ´äÀ» ¹ÞÀ» ¶§±îÁö ¸î ÁÖ°¡ °É¸± ¼öµµ ÀÖ½À´Ï´Ù.
CA·ÎºÎÅÍ ¹ÞÀº ÀÀ´ä Á¤º¸´Â ¹Ýµå½Ã ÅؽºÆ® ÆÄÀÏ¿¡ ÀúÀåÇØ¾ß ÇÕ´Ï´Ù. PEM Çü½ÄÀÇ PKCS #11 ÀÎÁõ¼´Â ¾Æ·¡ ¿¹¿Í °°ÀÌ Ç¥½ÃµË´Ï´Ù.
-----BEGIN CERTIFICATE-----
MIICjCCAZugAwIBAgICCEEwDQYJKoZIhKqvcNAQFBQAwfDELMAkGA1UEBhMCVVMx
IzAhBgNVBAoGlBhbG9a2FWaWxsZGwSBXaWRnZXRzLCBJbmMuMR0wGwYDVQQLExRX
aWRnZXQgTW3FrZXJzICdSJyBVczEpMCcGAx1UEAxgVGVzdCBUXN0IFRlc3QgVGVz
dCBUZXN0IFlc3QgQ0EswHhcNOTgwMzEyMDIzMzUWhcNOTgwMzI2MDIzMpzU3WjBP
MQswCYDDVQQGEwJVUzEoMCYGA1UEChMfTmV0c2NhcGUgRGlyZN0b3J5VIFB1Ymxp
Y2F0aW9uczEWMB4QGA1UEAxMNZHVgh49dq2tLNvbjTBaMA0GCSqGSIb3DQEBAQUA
A0kAMEYkCQCksMR/aLGdfp4m0OiGgijG5KgOsyRNvwGYW7kfW+8mmijDtZaRjYNj
jcgpF3VnlbxbclX9LVjjNLC5737XZdAgEDozYwpNDARBglghkgBhvhCEAQEEBAMC
APAwHkwYDVR0jBBgwFAU67URjwCaGqZHUpSpdLxlzwJKiMwDQYJKoZIhQvcNAQEF
BQADgYEAJ+BfVem3vBOPBveNdLGfjlb9hucgmaMcQa9FA/db8qimKT/ue9UGOJqL
bwbMKBBopsDn56p2yV3PLIsBgrcuSoBCuFFnxBnqSiTS7YiYgCWqWaUA0ExJFmD6
6hBLseqkSWulk+hXHN7L/NrViO+7zNtKcaZLlFPf7d7j2MgX4Bo=
-----END CERTIFICATE-----ÀÎÁõ¼ µ¥ÀÌÅ͵µ ¾ÈÀüÇÑ Àå¼Ò¿¡ ¹é¾÷ÇØ µÎ¾î¾ß ÇÕ´Ï´Ù. ½Ã½ºÅÛ¿¡ ÀúÀåµÈ ÀÎÁõ¼ µ¥ÀÌÅÍ°¡ ¼Õ½ÇµÉ °æ¿ì ¹é¾÷ ÆÄÀÏÀ» »ç¿ëÇÏ¿© ÀÎÁõ¼¸¦ ´Ù½Ã ¼³Ä¡ÇÒ ¼ö ÀÖ½À´Ï´Ù.
¼¹ö ÀÎÁõ¼°¡ ÀÖÀ¸¸é Áï½Ã ¼¹öÀÇ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¿¡ ¼³Ä¡ÇÒ ¼ö ÀÖ½À´Ï´Ù.
ÄÜ¼Ö »ç¿ë
- Directory Server ÄܼÖÀÇ ÃÖ»óÀ§ "ŽºÅ©" ÅÇ¿¡¼ "ÀÎÁõ¼ °ü¸®" ¹öÆ°À» ´©¸¨´Ï´Ù. ¶Ç´Â "ŽºÅ©" ÅÇÀ» Ç¥½ÃÇÏ°í "ÄÜ¼Ö > º¸¾È" ¸Þ´º¿¡¼ "ÀÎÁõ¼ °ü¸®" Ç׸ñÀ» ¼±ÅÃÇÕ´Ï´Ù.
"ÀÎÁõ¼ °ü¸®" âÀÌ Ç¥½ÃµË´Ï´Ù.
- "¼¹ö ÀÎÁõ¼" ÅÇÀ» ¼±ÅÃÇÏ°í "¼³Ä¡"¸¦ ´©¸¨´Ï´Ù.
"ÀÎÁõ¼ ¼³Ä¡ ¸¶¹ý»ç"°¡ Ç¥½ÃµË´Ï´Ù.
- ´ÙÀ½ ÀÎÁõ¼ À§Ä¡ ¿É¼Ç Áß¿¡¼ Çϳª¸¦ ¼±ÅÃÇÕ´Ï´Ù.
- Ç¥½ÃµÈ ÀÎÁõ¼ Á¤º¸°¡ ¿Ã¹Ù¸¥Áö È®ÀÎÇÏ°í ´ÙÀ½À» ´©¸¨´Ï´Ù.
- ÀÎÁõ¼ À̸§À» ÁöÁ¤ÇÏ°í ´ÙÀ½À» ´©¸¨´Ï´Ù. ÀÌ À̸§ÀÌ ÀÎÁõ¼ Å×ÀÌºí¿¡ Ç¥½ÃµË´Ï´Ù.
- °³ÀÎ Å°¸¦ º¸È£ÇÏ´Â ºñ¹Ð¹øÈ£¸¦ ÀÔ·ÂÇÏ¿© ÀÎÁõ¼¸¦ È®ÀÎÇÕ´Ï´Ù. ÀÌ ºñ¹Ð¹øÈ£´Â ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º ÀÛ¼ºÀÇ ´Ü°è 2¿¡¼ ÀÔ·ÂÇÑ ºñ¹Ð¹øÈ£¿Í °°¾Æ¾ß ÇÕ´Ï´Ù. ÀÛ¾÷ÀÌ ³¡³ª¸é ¿Ï·á¸¦ ´©¸¨´Ï´Ù.
¼¹ö ÀÎÁõ¼ ÅÇÀÇ ¸ñ·Ï¿¡ »õ ÀÎÁõ¼°¡ Ç¥½ÃµË´Ï´Ù. ÀÌÁ¦ ¼¹ö¿¡¼ SSLÀ» »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.
¸í·ÉÁÙ »ç¿ë
- ¾Æ·¡ ¸í·ÉÀ» ½ÇÇàÇÏ¿© ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¿¡ »õ ¼¹ö ÀÎÁõ¼¸¦ ¼³Ä¡ÇÕ´Ï´Ù.
certutil -A -n "certificateName" -t "u,," -a -i certFile \
-d ServerRoot/alias -P slapd-serverID-¿©±â¼ certificateNameÀº ÀÎÁõ¼¸¦ ½Äº°Çϱâ À§ÇÑ À̸§ÀÌ°í, certFileÀº PEM Çü½ÄÀ¸·Î PKCS #11 ÀÎÁõ¼¿¡ Æ÷ÇÔµÈ ÅؽºÆ® ÆÄÀÏÀÔ´Ï´Ù. -t "u,," ¿É¼ÇÀº ÀÌ ÀÎÁõ¼°¡ SSL Åë½Å¿ë ¼¹ö ÀÎÁõ¼ÀÓÀ» ³ªÅ¸³À´Ï´Ù.
- ¼±Åà »çÇ×À¸·Î, ¾Æ·¡ÀÇ certutil ¸í·ÉÀ» ½ÇÇàÇÏ¿© ¼³Ä¡µÈ ÀÎÁõ¼¸¦ È®ÀÎÇÒ ¼öµµ ÀÖ½À´Ï´Ù.
certutil -L -d ServerRoot/alias -P slapd-serverID-
u,, Æ®·¯½ºÆ® ¼Ó¼ºÀ» »ç¿ëÇÏ¸é ¼¹ö ÀÎÁõ¼°¡ ¿°ÅµË´Ï´Ù.
ÀÎÁõ ±â°ü Æ®·¯½ºÆ®
Directory Server¿¡¼ ÀÎÁõ ±â°üÀ» Æ®·¯½ºÆ®Çϵµ·Ï ±¸¼ºÇÏ·Á¸é ÀÎÁõ¼¸¦ ¾ò¾î ¼¹öÀÇ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¿¡ ¼³Ä¡ÇØ¾ß ÇÕ´Ï´Ù. ÀÌ ÇÁ·Î¼¼½º´Â »ç¿ëÇÏ´Â ÀÎÁõ ±â°ü¿¡ µû¶ó ´Þ¶óÁý´Ï´Ù. ÀÎÁõ¼¸¦ ÀÚµ¿À¸·Î ´Ù¿î·ÎµåÇÒ ¼ö ÀÖ´Â À¥ »çÀÌÆ®¸¦ Á¦°øÇÏ´Â ¹Î°£ CAµµ ÀÖ°í, ¿äû ½Ã ÀüÀÚ ¸ÞÀÏ·Î ÀÎÁõ¼¸¦ º¸³»ÁÖ´Â CAµµ ÀÖ½À´Ï´Ù.
ÄÜ¼Ö »ç¿ë
CA ÀÎÁõ¼°¡ ÀÖÀ¸¸é ÀÎÁõ¼ ¼³Ä¡ ¸¶¹ý»ç¸¦ »ç¿ëÇÏ¿© Directory Server¿¡¼ ÀÎÁõ ±â°üÀ» Æ®·¯½ºÆ®Çϵµ·Ï ±¸¼ºÇÒ ¼ö ÀÖ½À´Ï´Ù.
- Directory Server ÄܼÖÀÇ ÃÖ»óÀ§ ŽºÅ© ÅÇ¿¡¼ ÀÎÁõ¼ °ü¸® ¹öÆ°À» ´©¸¨´Ï´Ù. ¶Ç´Â ŽºÅ© ÅÇÀ» Ç¥½ÃÇÏ°í ÄÜ¼Ö > º¸¾È ¸Þ´º¿¡¼ ÀÎÁõ¼ °ü¸® Ç׸ñÀ» ¼±ÅÃÇÕ´Ï´Ù.
ÀÎÁõ¼ °ü¸® âÀÌ Ç¥½ÃµË´Ï´Ù.
- CA ÀÎÁõ¼ ÅÇÀ» ¼±ÅÃÇÏ°í ¼³Ä¡¸¦ ´©¸¨´Ï´Ù.
ÀÎÁõ¼ ¼³Ä¡ ¸¶¹ý»ç°¡ Ç¥½ÃµË´Ï´Ù.
- CA ÀÎÁõ¼¸¦ ÆÄÀÏ¿¡ ÀúÀåÇÑ °æ¿ì Á¦°øµÈ Çʵ忡 ÆÄÀÏ °æ·Î¸¦ ÀÔ·ÂÇÕ´Ï´Ù. ÀüÀÚ ¸ÞÀÏÀ» ÅëÇØ CA ÀÎÁõ¼¸¦ ¹ÞÀº °æ¿ì Çì´õ¸¦ Æ÷ÇÔÇÑ ÀÎÁõ¼ Àüü¸¦ º¹»çÇÏ¿© Á¦°øµÈ ÅؽºÆ® Çʵ忡 ºÙ¿©³Ö½À´Ï´Ù. ´ÙÀ½À» ´©¸¨´Ï´Ù.
- Ç¥½ÃµÈ ÀÎÁõ¼ Á¤º¸°¡ ÀÎÁõ ±â°ü¿¡ ¸Â´ÂÁö È®ÀÎÇÏ°í ´ÙÀ½À» ´©¸¨´Ï´Ù.
- ÀÎÁõ¼ À̸§À» ÁöÁ¤ÇÏ°í ´ÙÀ½À» ´©¸¨´Ï´Ù.
- ÀÌ CA¸¦ Æ®·¯½ºÆ®ÇÏ´Â ¸ñÀûÀ» ¼±ÅÃÇÕ´Ï´Ù. ´ÙÀ½ Áß Çϳª ¶Ç´Â µÑ ¸ðµÎ¸¦ ¼±ÅÃÇÒ ¼ö ÀÖ½À´Ï´Ù.
Ŭ¶óÀ̾ðÆ®ÀÇ ¿¬°á Çã¿ë(Ŭ¶óÀ̾ðÆ® ÀÎÁõ). LDAP Ŭ¶óÀ̾ðÆ®°¡ ÀÌ CA¿¡¼ ¹ß±ÞÇÑ ÀÎÁõ¼¸¦ Á¦°øÇÏ¿© ÀÎÁõ¼ ±â¹ÝÀÇ Å¬¶óÀ̾ðÆ® ÀÎÁõÀ» ¼öÇàÇÏ´Â °æ¿ì ÀÌ È®ÀζõÀ» ¼±ÅÃÇÕ´Ï´Ù.
´Ù¸¥ ¼¹ö¿¡ ¿¬°á(¼¹ö ÀÎÁõ). ¼¹ö°¡ ÀÌ CA¿¡¼ ¹ß±ÞÇÑ ÀÎÁõ¼°¡ ÀÖ´Â ´Ù¸¥ ¼¹ö¿¡ ´ëÇØ SSLÀ» ÅëÇÑ º¹Á¦ °ø±ÞÀÚ ¶Ç´Â ¿¬°á ¸ÖƼÇ÷º¼ ¿ªÇÒÀ» ÇÒ °æ¿ì ÀÌ È®ÀζõÀ» ¼±ÅÃÇÕ´Ï´Ù.
- ¿Ï·á¸¦ ´·¯ ¸¶¹ý»ç¸¦ ´Ý½À´Ï´Ù.
¸í·ÉÁÙ »ç¿ë
- ¾Æ·¡ ¸í·ÉÀ» ½ÇÇàÇÏ¿© Æ®·¯½ºÆ®ÇÒ ¼ö ÀÖ´Â CA ÀÎÁõ¼¸¦ ¼³Ä¡ÇÒ ¼öµµ ÀÖ½À´Ï´Ù.
certutil -A -n "CAcertificateName" -t "trust,," -a -i certFile \
-d ServerRoot/alias -P slapd-serverID-¿©±â¼ CAcertificateNameÀº Æ®·¯½ºÆ®ÇÒ ¼ö ÀÖ´Â CA¸¦ ½Äº°Çϱâ À§ÇØ »ç¿ëÀÚ°¡ ÁöÁ¤ÇÑ À̸§ÀÌ°í certFileÀº PEM ÀÎÄÚµùµÈ ÅؽºÆ® Çü½ÄÀÇ PKCS #11 CA ÀÎÁõ¼°¡ Æ÷ÇÔµÈ ÅؽºÆ® ÆÄÀÏÀ̸ç, trust´Â ´ÙÀ½ ÄÚµå Áß ÇϳªÀÔ´Ï´Ù.
- T - ÀÌ CA´Â Ŭ¶óÀ̾ðÆ® ÀÎÁõ¼¸¦ ¹ß±ÞÇϵµ·Ï Æ®·¯½ºÆ®µÇ¾ú½À´Ï´Ù. LDAP Ŭ¶óÀ̾ðÆ®°¡ ÀÌ CA¿¡¼ ¹ß±ÞÇÑ ÀÎÁõ¼¸¦ Á¦°øÇÏ¿© ÀÎÁõ¼ ±â¹ÝÀÇ Å¬¶óÀ̾ðÆ® ÀÎÁõÀ» ¼öÇàÇÏ´Â °æ¿ì ÀÌ Äڵ带 »ç¿ëÇÕ´Ï´Ù.
- C - ÀÌ CA´Â ¼¹ö ÀÎÁõ¼¸¦ ¹ß±ÞÇϵµ·Ï Æ®·¯½ºÆ®µÇ¾ú½À´Ï´Ù. ¼¹ö°¡ ÀÌ CA¿¡¼ ¹ß±ÞÇÑ ÀÎÁõ¼°¡ ÀÖ´Â ´Ù¸¥ ¼¹ö¿¡ ´ëÇØ SSLÀ» ÅëÇÑ º¹Á¦ °ø±ÞÀÚ ¶Ç´Â ¿¬°á ¸ÖƼÇ÷º¼ ¿ªÇÒÀ» ÇÒ °æ¿ì ÀÌ Äڵ带 »ç¿ëÇÕ´Ï´Ù.
- CT - ÀÌ CA´Â Ŭ¶óÀ̾ðÆ® ÀÎÁõ¼¿Í ¼¹ö ÀÎÁõ¼¸¦ ¸ðµÎ ¹ß±ÞÇϵµ·Ï Æ®·¯½ºÆ®µÇ¾ú½À´Ï´Ù. À§ÀÇ µÎ °æ¿ì°¡ ¸ðµÎ Àû¿ëµÇ¸é ÀÌ Äڵ带 »ç¿ëÇÕ´Ï´Ù.
- ¼±Åà »çÇ×À¸·Î, ¾Æ·¡ÀÇ certutil ¸í·ÉÀ» ½ÇÇàÇÏ¿© ¼³Ä¡µÈ ÀÎÁõ¼¸¦ È®ÀÎÇÒ ¼öµµ ÀÖ½À´Ï´Ù.
certutil -L -d ServerRoot/alias -P slapd-serverID
u,, Æ®·¯½ºÆ® ¼Ó¼ºÀ» »ç¿ëÇÏ¸é ¼¹ö ÀÎÁõ¼°¡ ¿°ÅµÇ°í CT,, ¼Ó¼ºÀ» »ç¿ëÇϸé Æ®·¯½ºÆ®ÇÒ ¼ö ÀÖ´Â CA ÀÎÁõ¼°¡ ¿°ÅµË´Ï´Ù.
SSL È°¼ºÈ¼¹ö ÀÎÁõ¼ ¼³Ä¡¿Í CA ÀÎÁõ¼ Æ®·¯½ºÆ®°¡ ¿Ï·áµÇ¸é SSLÀ» È°¼ºÈÇÒ ¼ö ÀÖ½À´Ï´Ù. ´ëü·Î SSLÀ» »ç¿ëÇÏ¿© ¼¹ö¸¦ ½ÇÇàÇÏ´Â °ÍÀÌ ÁÁ½À´Ï´Ù. ÀϽÃÀûÀ¸·Î SSLÀ» ºñÈ°¼ºÈÇÑ °æ¿ì ±â¹Ð¼º, ÀÎÁõ ¶Ç´Â µ¥ÀÌÅÍ ¹«°á¼ºÀÌ ÇÊ¿äÇÑ ÀÛ¾÷À» ó¸®Çϱâ Àü¿¡ SSLÀ» ´Ù½Ã È°¼ºÈÇØ¾ß ÇÕ´Ï´Ù.
SSLÀ» È°¼ºÈÇÏ·Á¸é ¸ÕÀú ¼¹ö ÀÎÁõ¼ ¾ò±â ¹× ¼³Ä¡¿¡ ¼³¸íµÈ °Íó·³ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¸¦ ÀÛ¼ºÇÏ°í ¼¹ö ÀÎÁõ¼¸¦ ¾ò¾î¼ ¼³Ä¡ÇÑ ÈÄ¿¡ CA ÀÎÁõ¼¸¦ Æ®·¯½ºÆ®ÇØ¾ß ÇÕ´Ï´Ù.
±×·± ´ÙÀ½, ¾Æ·¡ ÀýÂ÷¿¡ µû¶ó µð·ºÅ丮 ¼¹ö¿¡¼ SSL Åë½ÅÀ» È°¼ºÈÇÏ°í ¾ÏÈ£È ±â¹ýÀ» »ç¿ëÇÕ´Ï´Ù.
- Directory Server ÄܼÖÀÇ ÃÖ»óÀ§ ±¸¼º ÅÇ¿¡¼ ÀÌ ¼¹ö À̸§ÀÌ Æ÷ÇÔµÈ ·çÆ® ³ëµå¸¦ ¼±ÅÃÇÑ ´ÙÀ½ ¿À¸¥ÂÊ Ã¢¿¡¼ ¾ÏÈ£È ÅÇÀ» ¼±ÅÃÇÕ´Ï´Ù.
ÇöÀçÀÇ ¼¹ö ¾ÏÈ£È ¼³Á¤ÀÌ ÅÇ¿¡ Ç¥½ÃµË´Ï´Ù.
- ÀÌ ¼¹ö¿¡ SSL »ç¿ë È®ÀζõÀ» ¼±ÅÃÇÏ¿© ¾Ïȣȸ¦ »ç¿ëÇϵµ·Ï ÁöÁ¤ÇÕ´Ï´Ù.
- »ç¿ëÇÒ ¾ÏÈ£ Æйи® È®ÀζõÀ» ¼±ÅÃÇÕ´Ï´Ù.
- µå·Ó´Ù¿î ¸Þ´º¿¡¼ »ç¿ëÇÒ ÀÎÁõ¼¸¦ ¼±ÅÃÇÕ´Ï´Ù.
- ¾ÏÈ£ ¼³Á¤À» ´·¯ ¾ÏÈ£ ±âº» ¼³Á¤ ´ëÈ »óÀÚ¿¡¼ »ç¿ëÇÒ ¾ÏÈ£¸¦ ¼±ÅÃÇÕ´Ï´Ù. ƯÁ¤ ¾ÏÈ£¿¡ ´ëÇÑ ÀÚ¼¼ÇÑ ³»¿ëÀº ¾ÏÈ£È ¾ÏÈ£ ¼±ÅÃÀ» ÂüÁ¶ÇϽʽÿÀ.
- Ŭ¶óÀ̾ðÆ® ÀÎÁõ¿¡ ´ëÇÑ ±âº» ¼³Á¤À» ¼³Á¤ÇÕ´Ï´Ù.
Ŭ¶óÀ̾ðÆ® ÀÎÁõ Çã¿ë ¾È ÇÔ. ÀÌ ¿É¼ÇÀ» »ç¿ëÇÏ¸é ¼¹ö´Â Ŭ¶óÀ̾ðÆ®ÀÇ ÀÎÁõ¼¸¦ ¹«½ÃÇÏ°í ÇØ´ç ÀÎÁõ¼¿¡ ±â¹ÝÇÑ ÀÎÁõÀ» °ÅºÎÇÕ´Ï´Ù.
Ŭ¶óÀ̾ðÆ® ÀÎÁõ Çã¿ë. ÀÌ ¿É¼ÇÀÌ ±âº» ¼³Á¤ÀÔ´Ï´Ù. ÀÌ ¿É¼ÇÀ» »ç¿ëÇϸé Ŭ¶óÀ̾ðÆ® ¿äû¿¡ ´ëÇÑ ÀÎÁõÀÌ ¼öÇàµË´Ï´Ù. ÀÎÁõ¼ ±â¹ÝÀÇ ÀÎÁõ¿¡ ´ëÇÑ ÀÚ¼¼ÇÑ ³»¿ëÀº Ŭ¶óÀ̾ðÆ® ÀÎÁõ ±¸¼ºÀ» ÂüÁ¶ÇϽʽÿÀ.
ÁÖ
º¹Á¦ ½Ã ÀÎÁõ¼ ±â¹ÝÀÇ ÀÎÁõÀ» »ç¿ëÇÏ´Â °æ¿ì ¼ÒºñÀÚ ¼¹ö¿¡¼ Ŭ¶óÀ̾ðÆ® ÀÎÁõÀ» Çã¿ëÇϰųª ÇÊ¿ä·Î Çϵµ·Ï ±¸¼ºÇØ¾ß ÇÕ´Ï´Ù.
Ŭ¶óÀ̾ðÆ® ÀÎÁõ ÇÊ¿ä. ÀÌ ¿É¼ÇÀ» »ç¿ëÇϸé Ŭ¶óÀ̾ðÆ®°¡ ¼¹öÀÇ ÀÎÁõ ¿äû¿¡ ÀÀ´äÇÏÁö ¾ÊÀ» °æ¿ì Ŭ¶óÀ̾ðÆ® ¿¬°áÀÌ °ÅºÎµË´Ï´Ù.
ÁÖ
¼¹ö ÄܼÖÀÌ SSLÀ» ÅëÇØ Directory Server¿¡ ¿¬°áÇÏ´Â °æ¿ì "Ŭ¶óÀ̾ðÆ® ÀÎÁõ ÇÊ¿ä"¸¦ ¼±ÅÃÇϸé Ŭ¶óÀ̾ðÆ® ÀÎÁõ¿¡ »ç¿ëÇÒ ÀÎÁõ¼°¡ ¼¹ö Äֿܼ¡ ¾ø±â ¶§¹®¿¡ Åë½ÅÀÌ ºñÈ°¼ºÈµË´Ï´Ù. ¸í·ÉÁÙ¿¡¼ ÀÌ ¼Ó¼ºÀ» ¼öÁ¤ÇÏ·Á¸é Ŭ¶óÀ̾ðÆ® ÀÎÁõ Çã¿ëÀ» ÂüÁ¶ÇϽʽÿÀ.
- ¼±Åà »çÇ×À¸·Î, ÄܼÖÀÌ SSLÀ» ÅëÇØ Directory Server¿Í Åë½ÅÇϵµ·Ï ¼³Á¤ÇÏ·Á¸é "¼¹ö Äֿܼ¡ SSL »ç¿ë"À» ¼±ÅÃÇÕ´Ï´Ù.
- ÀÛ¾÷ÀÌ ³¡³ª¸é ÀúÀåÀ» ´©¸¨´Ï´Ù.
- ¼±Åà »çÇ×À¸·Î, ¼¹ö¿¡¼ LDAP ¹× DSML-over-HTTP ÇÁ·ÎÅäÄÝ ¸ðµÎÀÇ SSL Åë½Å¿¡ »ç¿ëÇÒ º¸¾È Æ÷Æ®¸¦ ¼³Á¤ÇÕ´Ï´Ù. ÀÚ¼¼ÇÑ ³»¿ëÀº Directory ServerÀÇ Æ÷Æ® ¹øÈ£ º¯°æÀ» ÂüÁ¶ÇϽʽÿÀ.
º¸¾È Æ÷Æ®¿¡ ´ëÇÑ ¸ðµç ¿¬°áÀº SSLÀ» »ç¿ëÇØ¾ß ÇÕ´Ï´Ù. SSLÀ» È°¼ºÈÇÏ¸é º¸¾È Æ÷Æ® ±¸¼º ¿©ºÎ¿¡ °ü°è ¾øÀÌ Å¬¶óÀ̾ðÆ®¿¡¼ Start TLS ÀÛ¾÷À» »ç¿ëÇÏ¿© ºñº¸¾È Æ÷Æ®¸¦ ÅëÇÑ SSL ¾Ïȣȸ¦ ¼öÇàÇÒ ¼ö ÀÖ½À´Ï´Ù.
- Directory Server¸¦ ´Ù½Ã ½ÃÀÛÇÕ´Ï´Ù.
ÀÚ¼¼ÇÑ ³»¿ëÀº SSLÀ» È°¼ºÈÇÏ¿© ¼¹ö ½ÃÀÛÀ» ÂüÁ¶ÇϽʽÿÀ.
¾ÏÈ£È ¾ÏÈ£ ¼±ÅÃ
¾ÏÈ£´Â µ¥ÀÌÅ͸¦ ¾ÏÈ£ÈÇÏ°í ¾ÏÈ£¸¦ Çص¶ÇÏ´Â µ¥ »ç¿ëÇÏ´Â ¾Ë°í¸®ÁòÀÔ´Ï´Ù. ÀϹÝÀûÀ¸·Î ¾ÏÈ£´Â ¾ÏÈ£È Áß¿¡ »ç¿ëÇÏ´Â ºñÆ® ¼ö°¡ ¸¹À»¼ö·Ï ´õ °·ÂÇϰųª ¾ÈÀüÇÕ´Ï´Ù. SSL ¾ÏÈ£´Â »ç¿ëµÈ ¸Þ½ÃÁö ÀÎÁõ À¯ÇüÀ¸·Îµµ ½Äº°ÇÒ ¼ö ÀÖ½À´Ï´Ù. ¸Þ½ÃÁö ÀÎÁõÀº µ¥ÀÌÅÍ ¹«°á¼ºÀ» º¸ÀåÇϴ üũ¼¶À» °è»êÇÏ´Â º°°³ÀÇ ¾Ë°í¸®ÁòÀÔ´Ï´Ù. ¾ÏÈ£ ¾Ë°í¸®Áò ¹× °¢ ÀåÁ¡¿¡ ´ëÇÑ ÀÚ¼¼ÇÑ ³»¿ëÀº Administration Server Administration GuideÀÇ Appendix B, "Ciphers Used With SSL"À» ÂüÁ¶ÇϽʽÿÀ.
Ŭ¶óÀ̾ðÆ®°¡ ¼¹ö¿ÍÀÇ SSL ¿¬°áÀ» ½ÃÀÛÇÏ·Á¸é Ŭ¶óÀ̾ðÆ® ¹× ¼¹ö°¡ Á¤º¸ ¾Ïȣȿ¡ »ç¿ëÇÒ ¾ÏÈ£¿¡ µ¿ÀÇÇØ¾ß ÇÕ´Ï´Ù. ¾ç¹æÇâ ¾ÏÈ£È ÇÁ·Î¼¼½ºÀÇ °æ¿ì Ŭ¶óÀ̾ðÆ®¿Í ¼¹ö ¸ðµÎ Áö¿øµÇ´Â °¡Àå °·ÂÇÑ ¾ÏÈ£¸¦ µ¿ÀÏÇÏ°Ô »ç¿ëÇØ¾ß ÇÕ´Ï´Ù.
Directory Server´Â ´ÙÀ½°ú °°Àº SSL 3.0 ¹× TLS¿ë ¾ÏÈ£¸¦ Á¦°øÇÕ´Ï´Ù.
¼¹ö Äֿܼ¡¼ °è¼Ó SSLÀ» »ç¿ëÇÏ·Á¸é ÃÖ¼ÒÇÑ ´ÙÀ½ ¾ÏÈ£ Áß Çϳª¸¦ ¼±ÅÃÇØ¾ß ÇÕ´Ï´Ù.
¼¹ö¿¡¼ »ç¿ëÇÒ ¾ÏÈ£¸¦ ¼±ÅÃÇÏ·Á¸é ¾Æ·¡ ÀýÂ÷¿¡ µû¶ó ¼öÇàÇÕ´Ï´Ù.
- Directory Server ÄܼÖÀÇ ÃÖ»óÀ§ ±¸¼º ÅÇ¿¡¼ ÀÌ ¼¹ö À̸§ÀÌ Æ÷ÇÔµÈ ·çÆ® ³ëµå¸¦ ¼±ÅÃÇÑ ´ÙÀ½ ¿À¸¥ÂÊ Ã¢¿¡¼ ¾ÏÈ£È ÅÇÀ» ¼±ÅÃÇÕ´Ï´Ù.
ÇöÀçÀÇ ¼¹ö ¾ÏÈ£È ¼³Á¤ÀÌ ÅÇ¿¡ Ç¥½ÃµË´Ï´Ù. SSL È°¼ºÈ¿¡ ¼³¸íµÈ °Íó·³ ¼¹ö¿¡¼ SSLÀ» È°¼ºÈÇØ¾ß ÇÕ´Ï´Ù.
- ¾ÏÈ£ ¼³Á¤À» ´©¸¨´Ï´Ù.
¾ÏÈ£ ±âº» ¼³Á¤ ´ëÈ »óÀÚ°¡ Ç¥½ÃµË´Ï´Ù.
- ¾ÏÈ£ ±âº» ¼³Á¤ ´ëÈ »óÀÚ¿¡¼ À̸§ ¿·¿¡ ÀÖ´Â È®ÀζõÀ» ¼±ÅÃÇϰųª ¼±Åà Ãë¼ÒÇÏ¿© ¼¹ö¿¡¼ »ç¿ëÇÒ ¾ÏÈ£¸¦ ÁöÁ¤ÇÕ´Ï´Ù.
º¸¾È»ó ƯÁ¤ ¾ÏÈ£¸¦ »ç¿ëÇÏÁö ¾Ê´Â °æ¿ì°¡ ¾Æ´Ï¸é None, MD5¸¦ Á¦¿ÜÇÑ ¸ðµç ¾ÏÈ£¸¦ ¼±ÅÃÇØ¾ß ÇÕ´Ï´Ù.
- ¾ÏÈ£ ±âº» ¼³Á¤ ´ëÈ »óÀÚ¿¡¼ È®ÀÎÀ» ´©¸¥ ´ÙÀ½ ¾ÏÈ£È ÅÇ¿¡¼ ÀúÀåÀ» ´©¸¨´Ï´Ù.
Ŭ¶óÀ̾ðÆ® ÀÎÁõ Çã¿ë
Directory Server¿¡ Ŭ¶óÀ̾ðÆ® ÀÎÁõÀÌ ÇÊ¿äÇÏ°í ¼¹ö ÄܼÖÀÌ SSLÀ» »ç¿ëÇÏ¿© ¿¬°áÇϵµ·Ï ±¸¼ºÇÑ °æ¿ì¿¡´Â ´õ ÀÌ»ó ¼¹ö ÄܼÖÀ» »ç¿ëÇÏ¿© Sun Java System ¼¹ö¸¦ °ü¸®ÇÒ ¼ö ¾ø½À´Ï´Ù. ÀÌ °æ¿ì ÇØ´ç ¸í·ÉÁÙ À¯Æ¿¸®Æ¼¸¦ »ç¿ëÇØ¾ß ÇÕ´Ï´Ù.
¼¹ö ÄܼÖÀ» »ç¿ëÇÒ ¼ö ÀÖµµ·Ï µð·ºÅ丮 ±¸¼ºÀ» º¯°æÇÏ·Á¸é ´ÙÀ½ ´Ü°è¿¡ µû¶ó Ŭ¶óÀ̾ðÆ® ÀÎÁõÀ» Çʼö°¡ ¾Æ´Ñ ¼±Åà »çÇ×À¸·Î ¼³Á¤ÇØ¾ß ÇÕ´Ï´Ù.
- ¾Æ·¡ ¸í·ÉÀ» ½ÇÇàÇÏ¿© cn=encryption,cn=config Ç׸ñÀ» ¼öÁ¤ÇÕ´Ï´Ù.
ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: cn=encryption,cn=config
changetype: modify
replace: nsSSLClientAuth
nsSSLClientAuth: allowed
^D- ¸í·ÉÁÙ¿¡¼ ¼¹ö ½ÃÀÛ ¹× ÁßÁö¿¡ ¼³¸íµÈ °Íó·³ Directory Server¸¦ ´Ù½Ã ½ÃÀÛÇÕ´Ï´Ù.
ÀÌÁ¦ ¼¹ö ÄܼÖÀ» ½ÃÀÛÇÒ ¼ö ÀÖ½À´Ï´Ù.
Ŭ¶óÀ̾ðÆ® ÀÎÁõ ±¸¼ºÅ¬¶óÀ̾ðÆ® ÀÎÁõÀº ¼¹ö¿¡¼ Ŭ¶óÀ̾ðÆ® ¾ÆÀ̵𸦠ȮÀÎÇÏ´Â ±â¹ýÀÔ´Ï´Ù. Ŭ¶óÀ̾ðÆ®°¡ Á¦°øÇÑ ÀÎÁõ¼¸¦ »ç¿ëÇϰųª DIGEST-MD5 °°Àº SASL ±â¹ÝÀÇ ±â¹ýÀ» ÅëÇØ Å¬¶óÀ̾ðÆ® ÀÎÁõÀ» °£´ÜÇÏ°Ô(DN°ú ºñ¹Ð¹øÈ£¸¦ Á¦°øÇÏ¿©) ¼öÇàÇÒ ¼ö ÀÖ½À´Ï´Ù. Solaris ¿î¿µ üÁ¦ÀÇ °æ¿ì Directory Server¿¡¼ SASLÀ» ÅëÇÑ GSSAPI ±â¹ýÀ» Áö¿øÇϹǷΠĿ¹ö·Î½º V5¸¦ ÅëÇØ Å¬¶óÀ̾ðÆ® ÀÎÁõÀ» Çã¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.
ÀÎÁõ¼ ±â¹ÝÀÇ ÀÎÁõ ½Ã¿¡´Â SSL ÇÁ·ÎÅäÄÝÀ» ÅëÇØ ¾òÀº Ŭ¶óÀ̾ðÆ® ÀÎÁõ¼¸¦ »ç¿ëÇÏ¿© ½Äº°ÇÒ »ç¿ëÀÚ Ç׸ñÀ» ã½À´Ï´Ù. ÀÌ ±â¹ýÀº ³·Àº °èÃþÀÌ ÀÌ¹Ì ¼³Á¤µÇ¾î ÀÖ´Â ÀÎÁõ ±â¹ý¿¡ ÀÇÁ¸Çϱ⠶§¹®¿¡ EXTERNALÀ̶ó°íµµ ÇÕ´Ï´Ù.(Â÷ÈÄ ¸±¸®½º¿¡¼´Â ¿ÜºÎ ÀÎÁõÀ» IP º¸¾È ÇÁ·ÎÅäÄÝ(ipsec)°ú ÇÔ²² »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.)
ÀÎÁõ¼ ±â¹ÝÀÇ ÀÎÁõ¿¡ ´ëÇؼ´Â Administration Server Administration GuideÀÇ 9Àå, "Using Client Authentication"¿¡¼ ÀÚ¼¼È÷ ¼³¸íÇÕ´Ï´Ù.
´ÙÀ½ Àý¿¡¼´Â Directory Server¿¡ µÎ °³ÀÇ SASL ±â¹ýÀ» ±¸¼ºÇÏ´Â ¹æ¹ý¿¡ ´ëÇØ ¼³¸íÇÕ´Ï´Ù. LDAP Ŭ¶óÀ̾ðÆ®¿¡¼ º¸¾ÈÀ» »ç¿ëÇϵµ·Ï ±¸¼ºÀ» ÂüÁ¶ÇϽʽÿÀ.
DIGEST-MD5¸¦ ÅëÇÑ SASL ÀÎÁõ
DIGEST-MD5 ±â¹ýÀº Ŭ¶óÀ̾ðÆ®¿¡¼ º¸³½ Çؽà °ªÀ» »ç¿ëÀÚ ºñ¹Ð¹øÈ£ÀÇ ÇØ½Ã¿Í ºñ±³ÇÏ¿© Ŭ¶óÀ̾ðÆ®¸¦ ÀÎÁõÇÕ´Ï´Ù. ÇÏÁö¸¸ ÀÌ ±â¹ýÀº »ç¿ëÀÚ ºñ¹Ð¹øÈ£¸¦ Àоî¾ß Çϱ⠶§¹®¿¡ DIGEST-MD5¸¦ ÅëÇØ ÀÎÁõÀ» ¹ÞÀ¸·Á´Â »ç¿ëÀÚ´Â µð·ºÅ丮¿¡ {CLEAR} ºñ¹Ð¹øÈ£°¡ ÀÖ¾î¾ß ÇÕ´Ï´Ù. µð·ºÅ丮¿¡ {CLEAR} ºñ¹Ð¹øÈ£¸¦ ÀúÀåÇÏ´Â °æ¿ì 6Àå, "¾×¼¼½º Á¦¾î °ü¸®"¿¡¼ ¼³¸íÇÏ´Â °Íó·³, ºñ¹Ð¹øÈ£¿¡ ´ëÇÑ ¾×¼¼½º°¡ ACI¸¦ ÅëÇØ ÀûÀýÇÏ°Ô Á¦Çѵǵµ·Ï ÇØ¾ß ÇÕ´Ï´Ù. ¼Ó¼º °ª ¾Ïȣȿ¡¼ ¼³¸íÇÏ´Â °Íó·³ ÇØ´ç Á¢¹Ì¾î¿¡ ¼Ó¼º ¾Ïȣȸ¦ ±¸¼ºÇÏ¿© {CLEAR} ºñ¹Ð¹øÈ£¿¡ ´ëÇÑ º¸È£¸¦ ´õ °ÈÇÒ ¼ö ÀÖ½À´Ï´Ù.
DIGEST-MD5 ±â¹ý ±¸¼º
¾Æ·¡ ÀýÂ÷¿¡¼´Â Directory Server¿¡¼ DIGEST-MD5¸¦ »ç¿ëÇϵµ·Ï ±¸¼ºÇÏ´Â ¹æ¹ý¿¡ ´ëÇØ ¼³¸íÇÕ´Ï´Ù.
- ÄܼÖÀ̳ª ldapsearch ¸í·ÉÀ» »ç¿ëÇÏ¿© DIGEST-MD5°¡ ·çÆ® Ç׸ñÀÇ supportedSASLMechanisms ¼Ó¼º °ªÀÎÁö È®ÀÎÇÕ´Ï´Ù. ¿¹¸¦ µé¾î ¾Æ·¡ ¸í·ÉÀº ÇöÀç È°¼ºÈµÇ¾î ÀÖ´Â SASL ±â¹ýÀ» º¸¿©ÁÝ´Ï´Ù.
ldapsearch -h host -p port -D "cn=Directory Manager" -w password \
-s base -b "" "(objectclass=*)" supportedSASLMechanismsdn:
supportedSASLMechanisms: EXTERNAL
supportedSASLMechanisms: DIGEST-MD5
supportedSASLMechanisms: GSSAPI
^D- DIGEST-MD5°¡ È°¼ºÈµÇ¾î ÀÖÁö ¾ÊÀ¸¸é ¾Æ·¡ÀÇ ldapmodify ¸í·ÉÀ» »ç¿ëÇÏ¿© È°¼ºÈÇÕ´Ï´Ù.
ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: cn=SASL, cn=security, cn=config
changetype: modify
add: dsSaslPluginsEnable
dsSaslPluginsEnable: DIGEST-MD5
-
replace: dsSaslPluginsPath
dsSaslPluginsPath: ServerRoot/lib/sasl
^D- DIGEST-MD5 ¾ÆÀ̵ð ¸ÅÇο¡ ¼³¸íµÈ °Íó·³ DIGEST-MD5¿¡ ±âº» ¾ÆÀ̵ð ¸ÅÇÎÀ» »ç¿ëÇϰųª »õ·Î¿î ¾ÆÀ̵ð ¸ÅÇÎÀ» ÀÛ¼ºÇÕ´Ï´Ù.
- DIGEST-MD5¸¦ »ç¿ëÇÏ¿© SSLÀ» ÅëÇØ ¼¹ö¿¡ ¾×¼¼½ºÇÏ´Â ¸ðµç »ç¿ëÀÚÀÇ ºñ¹Ð¹øÈ£°¡ {CLEAR}¿¡ ÀúÀåµÇ¾î ÀÖ´ÂÁö È®ÀÎÇÕ´Ï´Ù. ºñ¹Ð¹øÈ£ ÀúÀå ü°è¸¦ ±¸¼ºÇÏ´Â ¹æ¹ýÀº 7Àå, "»ç¿ëÀÚ °èÁ¤ ¹× ºñ¹Ð¹øÈ£ °ü¸®"¸¦ ÂüÁ¶ÇϽʽÿÀ.
- SASL ±¸¼º Ç׸ñÀ̳ª DIGEST-MD5 ¾ÆÀ̵ð ¸ÅÇÎ Ç׸ñ Áß Çϳª¸¦ ¼öÁ¤ÇÑ °æ¿ì µð·ºÅ丮 ¼¹ö¸¦ ´Ù½Ã ½ÃÀÛÇÕ´Ï´Ù.
DIGEST-MD5 ¾ÆÀ̵ð ¸ÅÇÎ
SASL ±â¹ýÀÇ ¾ÆÀ̵ð ¸ÅÇÎÀº SASL ¾ÆÀ̵ðÀÇ ÀÚ°Ý Áõ¸íÀ» µð·ºÅ丮¿¡ ÀÖ´Â »ç¿ëÀÚ Ç׸ñ°ú ÀÏÄ¡½Ãŵ´Ï´Ù. ÀÌ ±â¹ý¿¡ ´ëÇÑ ÀÚ¼¼ÇÑ ³»¿ëÀº ¾ÆÀ̵ð ¸ÅÇÎÀ» ÂüÁ¶ÇϽʽÿÀ. ¸ÅÇÎ Áß¿¡ SASL ¾ÆÀ̵𿡠ÇØ´çÇÏ´Â DNÀ» ãÀ» ¼ö ¾øÀ¸¸é ÀÎÁõÀº ½ÇÆÐÇÕ´Ï´Ù.
SASL ¾ÆÀ̵ð´Â °¢ ±â¹ýÀÇ °íÀ¯ Çü½ÄÀ¸·Î »ç¿ëÀÚ¸¦ ³ªÅ¸³»´Â »ç¿ëÀÚ ¹®ÀÚ¿ÀÔ´Ï´Ù. DIGEST-MD5ÀÇ °æ¿ì Ŭ¶óÀ̾ðÆ®°¡ dn: Á¢µÎ¾î¿Í LDAP DNÀÌ Æ÷ÇÔµÈ »ç¿ëÀÚ³ª Ŭ¶óÀ̾ðÆ®¿¡¼ ÁöÁ¤ÇÑ ÅؽºÆ®°¡ u: Á¢µÎ¾î µÚ¿¡ ¿À´Â »ç¿ëÀÚ¸¦ ÀÛ¼ºÇÏ´Â °ÍÀÌ ÁÁ½À´Ï´Ù. Ŭ¶óÀ̾ðÆ®°¡ º¸³½ »ç¿ëÀÚ´Â ¸ÅÇÎ Áß¿¡ ${Principal} ÀÚ¸® Ç¥½ÃÀÚ¿¡¼ »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.
DIGEST-MD5ÀÇ ±âº» ¾ÆÀ̵ð ¸ÅÇÎÀº ¼¹ö ±¸¼ºÀÇ ¾Æ·¡ Ç׸ñ¿¡¼ ÁöÁ¤ÇÕ´Ï´Ù.
dn: cn=default,cn=DIGEST-MD5,cn=identity mapping,cn=config
objectClass: top
objectClass: nsContainer
objectClass: dsIdentityMapping
objectClass: dsPatternMatching
cn: default
dsMatching-pattern: ${Principal}
dsMatching-regexp: dn:(.*)
dsMappedDN: $1ÀÌ ¾ÆÀ̵ð ¸ÅÇο¡¼´Â »ç¿ëÀÚ dn Çʵ忡 ±âÁ¸ µð·ºÅ丮 »ç¿ëÀÚÀÇ DNÀÌ Æ÷ÇԵǾî ÀÖ´Ù°í °¡Á¤ÇÕ´Ï´Ù.
DIGEST-MD5¿¡ ´ëÇÑ »ç¿ëÀÚ Á¤ÀÇ ¾ÆÀ̵ð ¸ÅÇÎÀ» Á¤ÀÇÇÏ·Á¸é ´ÙÀ½À» ¼öÇàÇÕ´Ï´Ù.
- ±âº» ¸ÅÇÎ Ç׸ñÀ» ÆíÁýÇϰųª cn=DIGEST-MD5,cn=identity mapping,cn=config¿¡ »õ ¸ÅÇÎ Ç׸ñÀ» ÀÛ¼ºÇÕ´Ï´Ù. ¾ÆÀ̵ð ¸ÅÇÎ Ç׸ñÀÇ ¼Ó¼º Á¤ÀÇ¿¡ ´ëÇؼ´Â ¾ÆÀ̵ð ¸ÅÇÎÀ» ÂüÁ¶ÇϽʽÿÀ. DIGEST-MD5 ¸ÅÇÎ ¿¹´Â ¾Æ·¡ ÆÄÀÏ¿¡ Æ÷ÇԵǾî ÀÖ½À´Ï´Ù.
ServerRoot/slapd-serverID/ldif/identityMapping_Examples.ldif
ÀÌ ¿¹¿¡¼´Â Á¤½Ä À̸§ÀÌ ¾Æ´Ñ "»ç¿ëÀÚ" ÅؽºÆ® Çʵ忡 ¿øÇÏ´Â ¾ÆÀ̵ðÀÇ »ç¿ëÀÚ À̸§ÀÌ Æ÷ÇԵǾî ÀÖ´Ù°í °¡Á¤ÇÕ´Ï´Ù. ¾Æ·¡ ¸í·ÉÀº ÀÌ ¸ÅÇÎÀÌ ¾î¶»°Ô Á¤ÀǵǴÂÁö º¸¿©ÁÝ´Ï´Ù.
ldapmodify -a -h host -p port -D "cn=Directory Manager" -w password
dn: cn=unqualified-username,cn=DIGEST-MD5,cn=identity mapping,
cn=config
objectclass: dsIdentityMapping
objectclass: dsPatternMatching
objectclass: nsContainer
objectclass: top
cn: unqualified-username
dsMatching-pattern: ${Principal}
dsMatching-regexp: u:(.*)@(.*)\.com
dsSearchBaseDN: dc=$2
dsSearchFilter: (uid=$1)- Directory Server¸¦ ´Ù½Ã ½ÃÀÛÇÏ¿© »õ ¸ÅÇÎÀ» Àû¿ëÇÕ´Ï´Ù.
GSSAPI¸¦ ÅëÇÑ SASL ÀÎÁõ(Solaris¿¡¸¸ ÇØ´ç)
SASLÀ» ÅëÇÑ GSSAPI(Generic Security Services API)¸¦ »ç¿ëÇϸé Ä¿¹ö·Î½º V5¿Í °°Àº Ÿ»ç º¸¾È ½Ã½ºÅÛÀ» ÅëÇØ Å¬¶óÀ̾ðÆ®¸¦ ÀÎÁõÇÒ ¼ö ÀÖ½À´Ï´Ù. GSSAPI ¶óÀ̺귯¸®´Â Solaris Ç÷§Æû¿¡¼¸¸ »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù. SEAM(Sun Enterprise Authentication Mechanism) 1.0.1 ¼¹ö¿¡ Ä¿¹ö·Î½º V5 ±¸ÇöÀ» ¼³Ä¡ÇÏ´Â °ÍÀÌ ÁÁ½À´Ï´Ù.
¼¹ö´Â ÀÌ API¸¦ »ç¿ëÇÏ¿© »ç¿ëÀÚ ¾ÆÀ̵𸦠°ËÁõÇÕ´Ï´Ù. ±×·± ÈÄ¿¡ SASL ±â¹ý¿¡¼ GSSAPI ¸ÅÇÎ ±ÔÄ¢À» Àû¿ëÇÏ¿© ÀÌ ¿¬°áÀÌ À¯ÁöµÇ´Â µ¿¾È ¸ðµç ÀÛ¾÷ÀÇ ¹ÙÀεå DNÀ¸·Î ÁöÁ¤µÉ DNÀ» ¾ò½À´Ï´Ù.
Ä¿¹ö·Î½º ½Ã½ºÅÛ ±¸¼º
Á¦Á¶¾÷üÀÇ Áöħ¿¡ µû¶ó Ä¿¹ö·Î½º ¼ÒÇÁÆ®¿þ¾î¸¦ ±¸¼ºÇÕ´Ï´Ù. SEAM 1.0.1 ¼¹ö¸¦ »ç¿ëÇÏ´Â °æ¿ì ¾Æ·¡ ´Ü°èµµ ¼öÇàÇØ¾ß ÇÕ´Ï´Ù.
- /etc/krb5¿¡ ÀÖ´Â ÆÄÀÏÀ» ±¸¼ºÇÕ´Ï´Ù.
- »ç¿ëÀÚ¿Í ¼ºñ½º¸¦ ÀúÀåÇÒ Ä¿¹ö·Î½º µ¥ÀÌÅͺ£À̽º¸¦ ÀÛ¼ºÇÑ ´ÙÀ½, ¿©±â¿¡ LDAP ¼ºñ½º »ç¿ëÀÚ¸¦ ÀÛ¼ºÇÕ´Ï´Ù. LDAP ¼ºñ½º »ç¿ëÀÚ´Â ´ÙÀ½°ú °°½À´Ï´Ù.
ldap/serverFQDN@REALM
¿©±â¼ serverFQDNÀº ¼¹öÀÇ Á¤±ÔÈµÈ µµ¸ÞÀÎ À̸§ÀÔ´Ï´Ù.
- LDAP ¼ºñ½º Å° µîÀÇ ¼ºñ½º Å°¸¦ ÀúÀåÇÒ Å° ÅÇÀ» ÀÛ¼ºÇÕ´Ï´Ù.
- Ä¿¹ö·Î½º µ¥¸ó ÇÁ·Î¼¼½º¸¦ ½ÃÀÛÇÕ´Ï´Ù.
ÀÚ¼¼ÇÑ ´Ü°èº° ÁöħÀº ¼ÒÇÁÆ®¿þ¾î ¼³¸í¼¸¦ ÂüÁ¶ÇϽʽÿÀ.
GSSAPI ±â¹ý ±¸¼º
¾Æ·¡ ÀýÂ÷¿¡¼´Â Solaris Ç÷§ÆûÀÇ Directory Server¿¡¼ GSSAPI¸¦ »ç¿ëÇϵµ·Ï ±¸¼ºÇÏ´Â ¹æ¹ý¿¡ ´ëÇØ ¼³¸íÇÕ´Ï´Ù.
- ÄܼÖÀ̳ª ldapsearch ¸í·ÉÀ» »ç¿ëÇÏ¿© GSSAPI°¡ ·çÆ® Ç׸ñÀÇ supportedSASLMechanisms ¼Ó¼º °ªÀÎÁö È®ÀÎÇÕ´Ï´Ù. ¿¹¸¦ µé¾î ¾Æ·¡ ¸í·ÉÀº ÇöÀç È°¼ºÈµÇ¾î ÀÖ´Â SASL ±â¹ýÀ» º¸¿©ÁÝ´Ï´Ù.
ldapsearch -h host -p port -D "cn=Directory Manager" -w password \
-s base -b "" "(objectclass=*)" supportedSASLMechanismsdn:
supportedSASLMechanisms: EXTERNAL
supportedSASLMechanisms: DIGEST-MD5- ±âº»ÀûÀ¸·Î GSSAPI´Â »ç¿ëµÇÁö ¾ÊÀ¸¹Ç·Î ¾Æ·¡ÀÇ ldapmodify ¸í·ÉÀ» »ç¿ëÇÏ¿© È°¼ºÈÇÒ ¼ö ÀÖ½À´Ï´Ù.
ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: cn=SASL, cn=security, cn=config
changetype: modify
add: dsSaslPluginsEnable
dsSaslPluginsEnable: GSSAPI
-
replace: dsSaslPluginsPath
dsSaslPluginsPath: ServerRoot/lib/sasl- GSSAPI ¾ÆÀ̵ð ¸ÅÇο¡ ¼³¸íµÈ °Íó·³ GSSAPI¿¡ ´ëÇÑ ±âº» ¾ÆÀ̵ð ¸ÅÇΰú »ç¿ëÀÚ Á¤ÀÇ ¸ÅÇÎÀ» ÀÛ¼ºÇÕ´Ï´Ù.
- È£½ºÆ® ½Ã½ºÅÛ¿¡¼ ¼¹ö Ä¿¹ö·Î½º¸¦ ±¸¼ºÇÕ´Ï´Ù.
- ¼¼¼Ç Å°¸¦ »ç¿ëÇÏ¿© Ä¿¹ö·Î½º¿¡ LDAP ¼ºñ½º »ç¿ëÀÚ ldap/serverHostname@RealmÀ» ÀÛ¼ºÇÕ´Ï´Ù. ¿©±â¼,
- serverHostnameÀº ¼¹ö È£½ºÆ® ½Ã½ºÅÛÀÇ Á¤±ÔÈµÈ µµ¸ÞÀÎ À̸§ÀÔ´Ï´Ù. ÀÌ °ªÀº ¹Ýµå½Ã ¼Ò¹®ÀÚ¿©¾ß ÇÑ´Ù´Â Á¡¸¸ Á¦¿ÜÇÏ°í cn=configÀÇ nsslapd-localhost ¼Ó¼º °ª°ú ¹Ýµå½Ã µ¿ÀÏÇØ¾ß ÇÕ´Ï´Ù.
- RealmÀº ¼¹öÀÇ Ä¿¹ö·Î½º ¿µ¿ªÀÔ´Ï´Ù.
- LDAP ¼ºñ½º¿¡´Â /etc/krbs/krb5.keytab ÆÄÀÏÀÇ Å° µ¥ÀÌÅͺ£À̽º¿¡ ´ëÇÑ Àб⠾׼¼½º ±ÇÇÑÀÌ ÀÖ¾î¾ß ÇÕ´Ï´Ù.
- DNS´Â È£½ºÆ® ½Ã½ºÅÛ¿¡ ±¸¼ºÇØ¾ß ÇÕ´Ï´Ù.
- SASL ±¸¼º Ç׸ñÀ̳ª GSSAPI ¾ÆÀ̵ð ¸ÅÇÎ Ç׸ñ Áß Çϳª¸¦ ¼öÁ¤ÇÑ °æ¿ì µð·ºÅ丮 ¼¹ö¸¦ ´Ù½Ã ½ÃÀÛÇÕ´Ï´Ù.
GSSAPI ¾ÆÀ̵ð ¸ÅÇÎ
SASL ±â¹ýÀÇ ¾ÆÀ̵ð ¸ÅÇÎÀº SASL ¾ÆÀ̵ðÀÇ ÀÚ°Ý Áõ¸íÀ» µð·ºÅ丮¿¡ ÀÖ´Â »ç¿ëÀÚ Ç׸ñ°ú ÀÏÄ¡½Ãŵ´Ï´Ù. ÀÌ ±â¹ý¿¡ ´ëÇÑ ÀÚ¼¼ÇÑ ³»¿ëÀº ¾ÆÀ̵ð ¸ÅÇÎÀ» ÂüÁ¶ÇϽʽÿÀ. ¸ÅÇÎ Áß¿¡ SASL ¾ÆÀ̵𿡠ÇØ´çÇÏ´Â DNÀ» ãÀ» ¼ö ¾øÀ¸¸é ÀÎÁõÀº ½ÇÆÐÇÕ´Ï´Ù.
SASL ¾ÆÀ̵ð´Â °¢ ±â¹ýÀÇ °íÀ¯ Çü½ÄÀ¸·Î »ç¿ëÀÚ¸¦ ³ªÅ¸³»´Â »ç¿ëÀÚ ¹®ÀÚ¿ÀÔ´Ï´Ù. GSSAPI¸¦ »ç¿ëÇÏ´Â Ä¿¹ö·Î½º¿¡¼ »ç¿ëÀÚ´Â uid[/instance][@realm] Çü½ÄÀÇ ¾ÆÀ̵ð·Î ³ªÅ¸³³´Ï´Ù. ¿©±â¼ uid¿¡´Â instance ½Äº°ÀÚ°¡ ¼±Åà »çÇ×À¸·Î Æ÷Ç﵃ ¼ö ÀÖÀ¸¸ç ÀÌ ½Äº°ÀÚ µÚ¿¡ ¼±Åà »çÇ×ÀÎ realmÀÌ ¿É´Ï´Ù. realm¿¡´Â ÀϹÝÀûÀ¸·Î µµ¸ÞÀÎ À̸§ÀÌ Æ÷ÇԵ˴ϴÙ. ¿¹¸¦ µé¾î, ´ÙÀ½Àº ¸ðµÎ À¯È¿ÇÑ »ç¿ëÀÚÀÔ´Ï´Ù.
bjensen
bjensen/Sales
bjensen@EXAMPLE.COM
bjensen/Sales@EXAMPLE.COMóÀ½¿¡´Â µð·ºÅ丮¿¡ GSSAPI ¸ÅÇÎÀÌ Á¤ÀǵǾî ÀÖÁö ¾Ê½À´Ï´Ù. Ŭ¶óÀ̾ðÆ®¿¡¼ »ç¿ëÀÚ¸¦ Á¤ÀÇÇÏ´Â ¹æ¹ý¿¡ µû¶ó ±âº» ¸ÅÇÎ ¹× ÇÊ¿äÇÑ »ç¿ëÀÚ Á¤ÀÇ ¸ÅÇÎÀ» ¸ðµÎ Á¤ÀÇÇØ¾ß ÇÕ´Ï´Ù.
GSSAPI¿¡ ´ëÇÑ ¾ÆÀ̵ð ¸ÅÇÎÀ» Á¤ÀÇÇÏ·Á¸é ´ÙÀ½À» ¼öÇàÇÕ´Ï´Ù.
- cn=GSSAPI,cn=identity mapping, cn=config¿¡ »õ ¸ÅÇÎ Ç׸ñÀ» ÀÛ¼ºÇÕ´Ï´Ù. ¾ÆÀ̵ð ¸ÅÇÎ Ç׸ñÀÇ ¼Ó¼º Á¤ÀÇ¿¡ ´ëÇؼ´Â ¾ÆÀ̵ð ¸ÅÇÎÀ» ÂüÁ¶ÇϽʽÿÀ.
GSSAPI ¸ÅÇÎ ¿¹´Â ¾Æ·¡ ÆÄÀÏ¿¡ Æ÷ÇԵǾî ÀÖ½À´Ï´Ù.
ServerRoot/slapd-serverID/ldif/identityMapping_Examples.ldif
ÀÌ ÆÄÀÏ¿¡ Á¦°øµÈ ±âº» GSSAPI ¸ÅÇο¡¼´Â »ç¿ëÀÚ¿¡ »ç¿ëÀÚ ¾ÆÀ̵𸸠Æ÷ÇԵǾî ÀÖÀ¸¸ç, ÀÌ ¾ÆÀ̵ð·Î µð·ºÅ丮ÀÇ °íÁ¤ ºÐ±â¿¡ ÀÖ´Â »ç¿ëÀÚ¸¦ °áÁ¤ÇÑ´Ù°í °¡Á¤ÇÕ´Ï´Ù.
dn: cn=default,cn=GSSAPI,cn=identity mapping,cn=config
objectclass: dsIdentityMapping
objectclass: nsContainer
objectclass: top
cn: default
dsMappedDN: uid=${Principal},ou=people,dc=example,dc=comÀÌ ÆÄÀÏÀÇ ´Ù¸¥ ¿¹¿¡¼´Â ¾Ë·ÁÁø ¿µ¿ªÀÌ ÁöÁ¤µÈ »ç¿ëÀÚ¿¡ Æ÷ÇÔÇÒ »ç¿ëÀÚ ¾ÆÀ̵𸦠°áÁ¤ÇÏ´Â ¹æ¹ýÀ» º¸¿©ÁÝ´Ï´Ù.
dn: cn=same_realm,cn=GSSAPI,cn=identity mapping,cn=config
objectclass: dsIdentityMapping
objectclass: dsPatternMatching
objectclass: nsContainer
objectclass: top
cn: same_realm
dsMatching-pattern: ${Principal}
dsMatching-regexp: (.*)@example.com
dsMappedDN: uid=$1,ou=people,dc=example,dc=com- Directory Server¸¦ ´Ù½Ã ½ÃÀÛÇÏ¿© »õ·Î¿î ¸ÅÇÎÀ» Àû¿ëÇÕ´Ï´Ù.
¾ÆÀ̵ð ¸ÅÇÎDirectory Server¿¡´Â ´Ù¸¥ ÇÁ·ÎÅäÄÝÀÇ ÀÚ°Ý Áõ¸íÀ» µð·ºÅ丮ÀÇ DNÀ¸·Î ¸ÅÇÎÇØ¾ß ÇÏ´Â ¿©·¯ °¡Áö ÀÎÁõ ¸ÅÄ¿´ÏÁòÀÌ ÀÖ½À´Ï´Ù. DSML-over-HTTP ÇÁ·ÎÅäÄÝ°ú DIGEST-MD5 ¹× GSSAPI SASL ±â¹ýµµ ÀÌ·¯ÇÑ °æ¿ì¿¡ ÇØ´çÇÕ´Ï´Ù. °¢ ±â¹ý¿¡¼´Â ¾ÆÀ̵ð ¸ÅÇÎÀ» »ç¿ëÇÏ¿© Ŭ¶óÀ̾ðÆ®°¡ Á¦°øÇÑ ÇÁ·ÎÅäÄݺ° ÀÚ°Ý Áõ¸í¿¡ µû¶ó ¹ÙÀεå DNÀ» °áÁ¤ÇÕ´Ï´Ù.
¾ÆÀ̵ð ¸ÅÇÎ Áß¿¡´Â cn=identity mapping, cn=config ±¸¼º ºÐ±âÀÇ Ç׸ñÀÌ »ç¿ëµË´Ï´Ù. ÀÌ ºÐ±â¿¡´Â ¾ÆÀ̵ð ¸ÅÇÎÀ» ¼öÇàÇØ¾ß ÇÏ´Â °¢ ÇÁ·ÎÅäÄÝÀÇ ÄÁÅ×À̳ʰ¡ Æ÷ÇԵǾî ÀÖ½À´Ï´Ù.
- cn=HTTP-BASIC, cn=identity mapping, cn=config - DSML-over-HTTP ¿¬°á¿¡ ´ëÇÑ ¸ÅÇÎÀÌ Æ÷ÇԵǾî ÀÖ½À´Ï´Ù.
- cn=DIGEST-MD5, cn=identity mapping, cn=config - DIGEST-MD5 SASL ±â¹ýÀ» »ç¿ëÇϴ Ŭ¶óÀ̾ðÆ® ÀÎÁõ¿¡ ´ëÇÑ ¸ÅÇÎÀÌ Æ÷ÇԵǾî ÀÖ½À´Ï´Ù.
- cn=GSSAPI, cn=identity mapping, cn=config - GSSAPI SASL ±â¹ýÀ» »ç¿ëÇϴ Ŭ¶óÀ̾ðÆ® ÀÎÁõ¿¡ ´ëÇÑ ¸ÅÇÎÀÌ Æ÷ÇԵǵµ·Ï ÀÛ¼ºÇØ¾ß ÇÕ´Ï´Ù.
¸ÅÇÎ Ç׸ñÀº µð·ºÅ丮 °Ë»ö¿¡¼ »ç¿ëÇϱâ À§ÇØ ÇÁ·ÎÅäÄݺ° ÀÚ°Ý ÀÎÁõ ¿ä¼Ò¸¦ ÃßÃâÇÏ´Â ¹æ¹ýÀ» Á¤ÀÇÇÕ´Ï´Ù. °Ë»ö °á°ú ÇÑ °³ÀÇ »ç¿ëÀÚ Ç׸ñÀÌ ¹ÝȯµÇ¸é ¸ÅÇÎÀÌ ¼º°øÇÑ °ÍÀ̸ç, ¿¬°áÀÌ À¯ÁöµÇ´Â µ¿¾È ÀÌ Ç׸ñÀ» ¸ðµç ÀÛ¾÷ÀÇ ¹ÙÀεå DNÀ¸·Î »ç¿ëÇÕ´Ï´Ù. °Ë»ö °á°ú 0 ¶Ç´Â µÎ °³ ÀÌ»óÀÇ Ç׸ñÀÌ ¹ÝȯµÇ¸é ¸ÅÇÎÀÌ ½ÇÆÐÇÏ°í ´Ù¸¥ ¸ÅÇÎÀÌ Àû¿ëµË´Ï´Ù.
°¢ ºÐ±â¸¶´Ù ÇØ´ç ÇÁ·ÎÅäÄÝÀÇ ±âº» ¸ÅÇΰú »ç¿ëÀÚ Á¤ÀÇ ¸ÅÇÎÀÌ Æ÷ÇԵǾî¾ß ÇÕ´Ï´Ù. ±âº» ¸ÅÇο¡´Â cn=default RDNÀÌ ÀÖ°í, »ç¿ëÀÚ Á¤ÀÇ ¸ÅÇο¡´Â À̸§ ÁöÁ¤ ¼Ó¼ºÀ¸·Î cnÀ» »ç¿ëÇÏ´Â ´Ù¸¥ RDNÀÌ ÀÖÀ» ¼ö ÀÖ½À´Ï´Ù. »ç¿ëÀÚ Á¤ÀÇ ¸ÅÇÎ Áß Çϳª°¡ ¼º°øÇÒ ¶§±îÁö ¸ðµç »ç¿ëÀÚ Á¤ÀÇ ¸ÅÇÎÀÌ ºñ°áÁ¤Àû ¼ø¼·Î ¸ÕÀú Æò°¡µË´Ï´Ù. ¸ðµç »ç¿ëÀÚ Á¤ÀÇ ¸ÅÇÎÀÌ ½ÇÆÐÇÏ¸é ¸¶Áö¸·À¸·Î ±âº» ¸ÅÇÎÀÌ Àû¿ëµË´Ï´Ù. ±âº» ¸ÅÇεµ ½ÇÆÐÇϸé Ŭ¶óÀ̾ðÆ® ÀÎÁõÀº ½ÇÆÐÇÕ´Ï´Ù.
¸ÅÇÎ Ç׸ñ¿¡´Â top, Container ¹× dsIdentityMapping °´Ã¼ Ŭ·¡½º°¡ ÀÖ¾î¾ß Çϸç, ÀÌ °æ¿ì Ç׸ñ¿¡´Â ´ÙÀ½°ú °°Àº ¼Ó¼ºÀÌ Æ÷Ç﵃ ¼ö ÀÖ½À´Ï´Ù.
- dsMappedDN: DN - µð·ºÅ丮¿¡ DNÀ» Á¤ÀÇÇÏ´Â ¸®ÅÍ·² ¹®ÀÚ¿ÀÔ´Ï´Ù. ¸ÅÇÎÀ» ¼öÇàÇÒ ¶§ ÀÌ DNÀÌ ÀÖÀ¸¸é ÇØ´ç DNÀÌ ¹ÙÀε忡 »ç¿ëµË´Ï´Ù. ÇØ´ç DNÀÌ ¾øÀ» ¶§ °Ë»öÀ» ¼öÇàÇÒ ´Ù¸¥ ¼Ó¼ºÀ» Á¤ÀÇÇÒ ¼öµµ ÀÖ½À´Ï´Ù.
- dsSearchBaseDN: DN - °Ë»öÇÒ ±âº» DNÀÔ´Ï´Ù. ÀÌ ¼Ó¼ºÀ» ÁöÁ¤ÇÏÁö ¾ÊÀ¸¸é ¸ÅÇÎÀº Àüü µð·ºÅ丮 Æ®¸®¿¡¼ ¸ðµç ·çÆ® Á¢¹Ì¾î¸¦ °Ë»öÇÕ´Ï´Ù.
- dsSearchScope: base|one|sub - °Ë»ö ±âº» Ç׸ñ ÀÚü, ±âº» Ç׸ñ ¾Æ·¡ÀÇ ÇϳªÀÇ ÇÏÀ§ ¼öÁØ, ±âº» Ç׸ñ ¾Æ·¡ÀÇ Àüü ÇÏÀ§ Æ®¸® Áß ÇϳªÀÎ °Ë»ö ¹üÀ§. ÀÌ ¼Ó¼ºÀ» ÁöÁ¤ÇÏÁö ¾ÊÀ¸¸é ¸ÅÇÎ °Ë»öÀÇ ±âº» ¹üÀ§´Â Àüü ÇÏÀ§ Æ®¸®ÀÔ´Ï´Ù.
- dsSearchFilter: filterString - ¸ÅÇÎ °Ë»öÀ» ¼öÇàÇÒ ÇÊÅÍ ¹®ÀÚ¿ÀÔ´Ï´Ù. LDAP °Ë»ö ÇÊÅÍ´Â RFC 2254 (http://www.ietf.org/rfc/rfc2254.txt)¿¡ Á¤ÀǵǾî ÀÖ½À´Ï´Ù.
¶ÇÇÑ ¸ÅÇÎ Ç׸ñ¿¡´Â dsPatternMatching °´Ã¼ Ŭ·¡½º°¡ Æ÷ÇÔµÇ¾î ´ÙÀ½°ú °°Àº ¼Ó¼ºÀÇ »ç¿ëÀ» Çã¿ëÇÒ ¼öµµ ÀÖ½À´Ï´Ù.
dsSearchScope¸¦ Á¦¿ÜÇÑ À§ÀÇ ¸ðµç ¼Ó¼º °ª¿¡´Â ${keyword} Çü½ÄÀÇ ÀÚ¸® Ç¥½ÃÀÚ°¡ Æ÷Ç﵃ ¼ö ÀÖ½À´Ï´Ù. ¿©±â¼ keyword´Â ÇÁ·ÎÅäÄݺ° ÀÚ°Ý Áõ¸í¿¡ ÀÖ´Â ¿ä¼Ò À̸§ÀÔ´Ï´Ù. ¸ÅÇÎ Áß¿¡ ÀÚ¸® Ç¥½ÃÀڴ Ŭ¶óÀ̾ðÆ®°¡ Á¦°øÇÑ ¿ä¼ÒÀÇ ½ÇÁ¦ °ªÀ¸·Î ´ëüµË´Ï´Ù.
¸ðµç ÀÚ¸® Ç¥½ÃÀÚ°¡ ´ëüµÈ ÈÄ¿¡ Á¤ÀÇµÈ ÆÐÅÏ ÀÏÄ¡°¡ ¼öÇàµË´Ï´Ù. ÀÏÄ¡ÇÏ´Â ÆÐÅÏÀº Á¤±Ô Ç¥Çö½Ä°ú ºñ±³µË´Ï´Ù. Á¤±Ô Ç¥Çö½ÄÀÌ ÆÐÅÏ ¹®ÀÚ¿°ú ÀÏÄ¡ÇÏÁö ¾ÊÀ¸¸é ÀÌ ¸ÅÇÎÀº ½ÇÆÐÇÕ´Ï´Ù. ÀÏÄ¡ÇÏ¸é °ýÈ£ ¾È¿¡ ÀÖ´Â Á¤±Ô Ç¥Çö½Ä Á¶°Ç¿¡ ÀÏÄ¡ÇÏ´Â °ªÀ» ¹øÈ£°¡ ¸Å°ÜÁø ´Ù¸¥ ¼Ó¼º °ªÀÇ ÀÚ¸® Ç¥½ÃÀÚ·Î »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù. ¿¹¸¦ µé¾î, SASL¿¡ ¾Æ·¡ ¸ÅÇÎÀ» Á¤ÀÇÇÒ ¼ö ÀÖ½À´Ï´Ù.
dsMatching-pattern: ${Principal}
dsMatching-regexp: (.*)@(.*)\.(.*)
dsMappedDN: uid=$1,ou=people,dc=$2,dc=$3Ŭ¶óÀ̾ðÆ®°¡ bjensen@example.com »ç¿ëÀÚ·Î ÀÎÁõÇϸé ÀÌ ¸ÅÇÎÀº uid=bjensen,ou=people,dc=example,dc=com ¹ÙÀεå DNÀ» Á¤ÀÇÇÕ´Ï´Ù. µð·ºÅ丮¿¡ ÀÌ DNÀÌ ÀÖÀ¸¸é ¸ÅÇÎÀÌ ¼º°øÇÏ¿© Ŭ¶óÀ̾ðÆ® ÀÎÁõÀÌ ÀÌ·ç¾îÁö°í, ¿¬°áÀÌ À¯ÁöµÇ´Â µ¿¾È ¼öÇàµÈ ¸ðµç ÀÛ¾÷Àº ÀÌ ¹ÙÀεå DNÀ» »ç¿ëÇÕ´Ï´Ù.
dsMatching-patternÀº Posix regexec(3C) ¹× regcomp(3C) ÇÔ¼ö È£ÃâÀ» »ç¿ëÇÏ¿© dsMatching-regexp¿Í ºñ±³µË´Ï´Ù. Directory Server´Â È®ÀåµÈ Á¤±Ô Ç¥Çö½ÄÀ» »ç¿ëÇϸç, ºñ±³ ½Ã ´ë¼Ò¹®ÀÚ¸¦ ±¸ºÐÇÏÁö ¾Ê½À´Ï´Ù. ÀÚ¼¼ÇÑ ³»¿ëÀº ÀÌ·¯ÇÑ ÇÔ¼ö¿¡ ´ëÇÑ ¼³¸í¼ ÆäÀÌÁö¸¦ ÂüÁ¶ÇϽʽÿÀ.
ÀÚ¸® Ç¥½ÃÀÚ¸¦ Æ÷ÇÔÇÒ ¼ö ÀÖ´Â ¼Ó¼º °ª¿¡¼ ÀÚ¸® Ç¥½ÃÀÚ·Î »ç¿ëµÇÁö ¾ÊÀº $, { ¹× } ¹®ÀÚ´Â ´Ù¸¥ ÀÚ¸® Ç¥½ÃÀÚ¸¦ »ç¿ëÇÏÁö ¾Ê¾Æµµ ¹Ýµå½Ã ÀÎÄÚµùÇØ¾ß ÇÕ´Ï´Ù. Áï, $ ´Â \24, { ´Â \7B, } ´Â \7D·Î ÀÎÄÚµùÇØ¾ß ÇÕ´Ï´Ù.
ÀÚ¸® Ç¥½ÃÀÚ¿Í ´ëü¸¦ »ç¿ëÇϸé ÇÁ·ÎÅäÄݺ° ÀÚ°Ý Áõ¸í¿¡¼ »ç¿ëÀÚ À̸§°ú ´Ù¸¥ °ªÀ» ÃßÃâÇÏ´Â ¸ÅÇÎÀ» ÀÛ¼ºÇÏ°í ÀÌ °ªÀ» »ç¿ëÇÏ¿© ¸ÅÇÎµÈ DNÀ» Á¤ÀÇÇϰųª µð·ºÅ丮¿¡¼ ÇØ´ç DNÀ» °Ë»öÇÒ ¼ö ÀÖ½À´Ï´Ù. µð·ºÅ丮 Ŭ¶óÀ̾ðÆ®°¡ Á¦°øÇÑ ¿¹»ó ÀÚ°Ý Áõ¸íÀ» ÃßÃâÇÏ´Â ¸ÅÇÎÀ» Á¤ÀÇÇÏ°í ƯÁ¤ µð·ºÅ丮 ±¸Á¶¿¡ À̸¦ ¸ÅÇÎÇØ¾ß ÇÕ´Ï´Ù.
LDAP Ŭ¶óÀ̾ðÆ®¿¡¼ º¸¾ÈÀ» »ç¿ëÇϵµ·Ï ±¸¼º´ÙÀ½ Àý¿¡¼´Â µð·ºÅ丮 ¼¹ö¿Í º¸¾È ¿¬°áÀ» ±¸¼ºÇÏ·Á´Â LDAP Ŭ¶óÀ̾ðÆ®¿¡¼ SSLÀ» ±¸¼º ¹× »ç¿ëÇÏ´Â ¹æ¹ý¿¡ ´ëÇØ ¼³¸íÇÕ´Ï´Ù. SSL ¿¬°á¿¡¼ ¼¹ö´Â ÇØ´ç ÀÎÁõ¼¸¦ Ŭ¶óÀ̾ðÆ®·Î º¸³À´Ï´Ù. Ŭ¶óÀ̾ðÆ®´Â ¸ÕÀú ÀÎÁõ¼¸¦ Æ®·¯½ºÆ®ÇÏ¿© ¼¹ö¸¦ ÀÎÁõÇØ¾ß ÇÕ´Ï´Ù. ±×·± ÈÄ¿¡ Ŭ¶óÀ̾ðÆ®´Â µÎ SASL ±â¹ý(DIGEST-MD5 ¶Ç´Â Ä¿¹ö·Î½º V5¸¦ »ç¿ëÇÏ´Â GSSAPI) Áß Çϳª¿¡ ´ëÇÑ Á¤º¸³ª ÀÚ½ÅÀÇ ÀÎÁõ¼¸¦ º¸³» Ŭ¶óÀ̾ðÆ® ÀÎÁõ ±â¹ý Áß Çϳª¸¦ ¼±ÅÃÀûÀ¸·Î ½ÃÀÛÇÒ ¼ö ÀÖ½À´Ï´Ù.
´ÙÀ½ Àý¿¡¼´Â SSLÀ» »ç¿ëÇÏ´Â LDAP Ŭ¶óÀ̾ðÆ®ÀÇ ¿¹·Î ldapsearch µµ±¸¸¦ »ç¿ëÇÕ´Ï´Ù. µð·ºÅ丮 ¼¹ö¿Í ÇÔ²² Á¦°øµÈ ldapmodify, ldapdelete ¹× ldapcompare µµ±¸´Â ¸ðµÎ µ¿ÀÏÇÑ ¹æ¹ýÀ¸·Î ±¸¼ºµË´Ï´Ù. ÀÌ·¯ÇÑ µð·ºÅ丮 ¾×¼¼½º µµ±¸´Â Directory SDK for C¿¡ ±â¹ÝÀ» µÎ°í ÀÖÀ¸¸ç, Directory Server Resource Kit Tools Reference¿¡¼ ÀÚ¼¼È÷ ¼³¸íÇÕ´Ï´Ù.
´Ù¸¥ LDAP Ŭ¶óÀ̾ðÆ®¿¡¼ SSL ¿¬°áÀ» ±¸¼ºÇÏ·Á¸é ÀÀ¿ë ÇÁ·Î±×·¥°ú ÇÔ²² Á¦°øµÈ ¼³¸í¼¸¦ ÂüÁ¶ÇϽʽÿÀ.
Ŭ¶óÀ̾ðÆ®¿¡ ¼¹ö ÀÎÁõ ±¸¼º
Ŭ¶óÀ̾ðÆ®´Â ¼¹ö¿Í SSL ¿¬°áÀ» ±¸¼ºÇÒ ¶§ ¼¹ö¿¡¼ Á¦°øÇÑ ÀÎÁõ¼¸¦ Æ®·¯½ºÆ®ÇØ¾ß ÇÕ´Ï´Ù. ÀÌ·¸°Ô ÇÏ·Á¸é Ŭ¶óÀ̾ðÆ®´Â ´ÙÀ½°ú °°Àº ÀÛ¾÷À» ¼öÇàÇØ¾ß ÇÕ´Ï´Ù.
Mozilla´Â SSLÀ» »ç¿ëÇÏ¿© HTTP ÇÁ·ÎÅäÄÝÀ» ÅëÇØ À¥ ¼¹ö¿Í Åë½ÅÇϴ Ŭ¶óÀ̾ðÆ® ÀÀ¿ë ÇÁ·Î±×·¥ÀÔ´Ï´Ù. Mozilla¸¦ »ç¿ëÇÏ¿© LDAP Ŭ¶óÀ̾ðÆ®¿¡¼µµ »ç¿ëÇÒ ÀÎÁõ¼¸¦ °ü¸®ÇÒ ¼ö ÀÖ½À´Ï´Ù. ¶Ç´Â certutil µµ±¸¸¦ »ç¿ëÇÏ¿© ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¸¦ °ü¸®ÇÒ ¼ö ÀÖ½À´Ï´Ù.
Mozilla¸¦ ÅëÇÑ Å¬¶óÀ̾ðÆ® ÀÎÁõ¼ °ü¸®
¾Æ·¡ ÀýÂ÷¿¡¼´Â Mozilla¸¦ »ç¿ëÇÏ¿© Ŭ¶óÀ̾ðÆ® ½Ã½ºÅÛ¿¡¼ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¸¦ °ü¸®ÇÏ´Â ¹æ¹ý¿¡ ´ëÇØ ¼³¸íÇÕ´Ï´Ù.
- Mozilla´Â ½ÃÀÛ°ú µ¿½Ã¿¡ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º°¡ ÀÖ´ÂÁö È®ÀÎÇϸç, ÇÊ¿äÇÑ °æ¿ì »õ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¸¦ ÀÛ¼ºÇÕ´Ï´Ù. ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º´Â ¿¹¸¦ µé¾î .mozilla/username/string.slt/cert8.db¿Í °°ÀÌ ´Ù¸¥ Mozilla ±âº» ¼³Á¤°ú ÇÔ²² ÆÄÀÏ¿¡ ÀúÀåµË´Ï´Ù.
ÀÌ ÀýÂ÷¸¦ »ç¿ëÇÒ °æ¿ì Mozilla¿¡¼ ÀÛ¼ºµÈ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¸¦ ã¾Æ Ŭ¶óÀ̾ðÆ® ÀÀ¿ë ÇÁ·Î±×·¥¿¡ »ç¿ëÇÒ °æ·Î¸¦ ±â¾ïÇØ µÓ´Ï´Ù.
- Mozilla¸¦ »ç¿ëÇÏ¿© ¾×¼¼½ºÇÒ µð·ºÅ丮 ¼¹ö ÀÎÁõ¼¸¦ ¹ß±ÞÇÑ ÀÎÁõ ±â°üÀÇ À¥ »çÀÌÆ®¸¦ Ž»öÇÕ´Ï´Ù. Mozilla¿¡¼ ÀÎÁõ ±â°üÀÇ ÀÎÁõ¼¸¦ ÀÚµ¿À¸·Î °Ë»öÇϸç, Æ®·¯½ºÆ® ¿©ºÎ¸¦ ¹¯´Â ¸Þ½ÃÁö¸¦ Ç¥½ÃÇÕ´Ï´Ù.
¿¹¸¦ µé¾î, ³»ºÎ¿ëÀ¸·Î ¹èÆ÷µÈ Sun Java System Certificate Server¸¦ »ç¿ëÇÏ´Â °æ¿ì https://hostname:444 Çü½ÄÀÇ URLÀ» ¹æ¹®ÇÕ´Ï´Ù.
- ÀÎÁõ¼¸¦ Æ®·¯½ºÆ®Ç϶ó´Â ¸Þ½ÃÁö°¡ Mozilla¿¡ Ç¥½ÃµÇ¸é ÀÎÁõ ±â°üÀÇ ÀÎÁõ¼¸¦ Æ®·¯½ºÆ®ÇÕ´Ï´Ù. ¼¹ö ÀÎÁõÀ» À§ÇØ CA ÀÎÁõ¼¸¦ Æ®·¯½ºÆ®ÇØ¾ß ÇÕ´Ï´Ù.
CA À¥ »çÀÌÆ®¿¡ µû¶ó ÀÌ ´Ü°è¸¦ ¼öÇàÇÒ ¼ö ¾ø´Â °æ¿ìµµ ÀÖ½À´Ï´Ù. CA ÀÎÁõ¼¸¦ Æ®·¯½ºÆ®Ç϶ó´Â ¸Þ½ÃÁö°¡ Mozilla¿¡ ÀÚµ¿À¸·Î Ç¥½ÃµÇÁö ¾ÊÀ¸¸é ¾Æ·¡ ÀýÂ÷¸¦ ¼öÇàÇÏ¿© ÀÎÁõ¼¸¦ ¼öµ¿À¸·Î Æ®·¯½ºÆ®ÇÕ´Ï´Ù.
¸í·ÉÁÙÀ» ÅëÇÑ Å¬¶óÀ̾ðÆ® ÀÎÁõ¼ °ü¸®
¸í·ÉÁÙÀ» ÅëÇØ ÀÎÁõ¼¸¦ °ü¸®ÇÏ·Á¸é certutil µµ±¸¸¦ »ç¿ëÇÕ´Ï´Ù. ÀÌ µµ±¸´Â SUNWtlsu ÆÐÅ°Áö¿¡ Æ÷ÇԵǾî ÀÖ½À´Ï´Ù.
- ¾Æ·¡ ¸í·ÉÀ» ½ÇÇàÇÏ¿© Ŭ¶óÀ̾ðÆ® È£½ºÆ® ½Ã½ºÅÛ¿¡ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¸¦ ÀÛ¼ºÇÕ´Ï´Ù.
certutil -N -d path -P prefix
ÀÌ µµ±¸´Â ÀÎÁõ¼¸¦ º¸È£ÇÏ´Â ºñ¹Ð¹øÈ£¸¦ ÀÔ·ÂÇ϶ó´Â ¸Þ½ÃÁö¸¦ »ç¿ëÀÚ¿¡°Ô Ç¥½ÃÇÑ ´ÙÀ½ path/prefixcert8.db ¹× path/prefixkey3.db ÆÄÀÏÀ» »ý¼ºÇÕ´Ï´Ù.
LDAP Ŭ¶óÀ̾ðÆ® ÀÀ¿ë ÇÁ·Î±×·¥ »ç¿ëÀÚ´Â Àڽŵ鸸 ¾×¼¼½ºÇÒ ¼ö ÀÖ´Â À§Ä¡(¿¹: Ȩ µð·ºÅ丮ÀÇ º¸È£µÈ ÇÏÀ§ µð·ºÅ丮)¿¡ °³º°ÀûÀ¸·Î ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¸¦ ÀÛ¼ºÇØ¾ß ÇÕ´Ï´Ù.
- ¾×¼¼½ºÇÏ·Á´Â Directory ServerÀÇ ÀÎÁõ¼¸¦ ¹ß±ÞÇÑ ÀÎÁõ ±â°ü¿¡ ¿¬¶ôÇÏ¿© CA ÀÎÁõ¼¸¦ ¿äûÇÕ´Ï´Ù. ÀüÀÚ ¸ÞÀÏÀ» º¸³»°Å³ª ÇØ´ç À¥ »çÀÌÆ®¿¡ ¾×¼¼½ºÇÏ¿© PEM ÀÎÄÚµùµÈ ÅؽºÆ® ¹öÀü Çü½ÄÀÇ PKCS #11 ÀÎÁõ¼¸¦ ¾òÀ» ¼ö ÀÖ½À´Ï´Ù. ÀÌ ÀÎÁõ¼¸¦ ÆÄÀÏ¿¡ ÀúÀåÇÕ´Ï´Ù.
¿¹¸¦ µé¾î, ³»ºÎ¿ëÀ¸·Î ¹èÆ÷µÈ Sun Java System Certificate Server¸¦ »ç¿ëÇÏ´Â °æ¿ì https://hostname:444 Çü½ÄÀÇ URLÀ» ¹æ¹®ÇÕ´Ï´Ù. ÃÖ»óÀ§ °Ë»ö ÅÇ¿¡¼ CA ÀÎÁõ¼ üÀÎ °¡Á®¿À±â¸¦ ¼±ÅÃÇÏ°í ÀÎÄÚµùµÈ ÀÎÁõ¼¸¦ º¹»çÇÕ´Ï´Ù.
¶Ç´Â, µ¿ÀÏÇÑ CA¿¡¼ Ŭ¶óÀ̾ðÆ® ÀÎÁõ¼¿Í ¼¹ö ÀÎÁõ¼¸¦ ¾ò´Â °æ¿ì ÀÎÁõ ±â°ü Æ®·¯½ºÆ® ÀýÂ÷¸¦ ÅëÇØ ¾òÀº CA ÀÎÁõ¼¸¦ ´Ù½Ã »ç¿ëÇÒ ¼öµµ ÀÖ½À´Ï´Ù.
- SSL ¿¬°á¿¡ »ç¿ëÇÒ ¼¹ö ÀÎÁõ¼¸¦ ¹ß±ÞÇϱâ À§ÇØ CA ÀÎÁõ¼¸¦ Æ®·¯½ºÆ®ÇÒ ¼ö ÀÖ´Â CA·Î °¡Á®¿É´Ï´Ù. ¾Æ·¡ ¸í·ÉÀ» ½ÇÇàÇÕ´Ï´Ù.
certutil -A -n "certificateName" -t "C,," -a -i certFile -d path -P prefix
¿©±â¼ certificateNameÀº ÀÌ ÀÎÁõ¼¸¦ ½Äº°Çϱâ À§ÇØ »ç¿ëÀÚ°¡ ÁöÁ¤ÇÑ À̸§ÀÌ°í certFileÀº PEM ÀÎÄÚµùµÈ ÅؽºÆ® Çü½ÄÀÇ PKCS #11 CA ÀÎÁõ¼°¡ ÀÖ´Â ÅؽºÆ® ÆÄÀÏÀ̸ç, path¿Í prefix´Â ´Ü°è 1°ú °°½À´Ï´Ù.
LDAP Ŭ¶óÀ̾ðÆ® ÀÀ¿ë ÇÁ·Î±×·¥ÀÇ ¸ðµç »ç¿ëÀÚ´Â CA ÀÎÁõ¼¸¦ ÀÚ½ÅÀÇ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º·Î °¡Á®¿Í¾ß ÇÏ¸ç ¸ðµç »ç¿ëÀÚ°¡ certFile¿¡ ÀÖ´Â µ¿ÀÏÇÑ ÀÎÁõ¼¸¦ °¡Á®¿Ã ¼ö ÀÖ½À´Ï´Ù.
¼¹ö ÀÎÁõ¿¡ ´ëÇÑ SSL ¿É¼Ç ÁöÁ¤
ldapsearch µµ±¸¸¦ »ç¿ëÇÏ¿© SSL¿¡¼ ¼¹ö ÀÎÁõÀ» ¼öÇàÇÏ·Á¸é »ç¿ëÀÚ´Â ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º °æ·Î¸¸ ÁöÁ¤ÇÏ¸é µË´Ï´Ù. ¼¹ö´Â º¸¾È Æ÷Æ®¸¦ ÅëÇØ SSL ¿¬°áÀ» ±¸¼ºÇÒ ¶§ ÀÚü ÀÎÁõ¼¸¦ º¸³À´Ï´Ù. ±×·± ÈÄ¿¡ ldapsearch µµ±¸´Â »ç¿ëÀÚÀÇ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¿¡¼ ¼¹ö ÀÎÁõ¼¸¦ ¹ß±ÞÇÑ CAÀÇ Æ®·¯½ºÆ®ÇÒ ¼ö ÀÖ´Â CA ÀÎÁõ¼¸¦ ã½À´Ï´Ù.
¾Æ·¡ ¸í·ÉÀº Mozilla¿¡¼ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¸¦ ÀÛ¼ºÇÑ °æ¿ì »ç¿ëÀÚ°¡ ÀÚ½ÅÀÇ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¸¦ ÁöÁ¤ÇÏ´Â ¹æ¹ýÀ» º¸¿©ÁÝ´Ï´Ù.
ldapsearch -h host -p securePort \
-D "uid=bjensen,dc=example,dc=com" -w bindPassword \
-Z -P .mozilla/bjensen/string.slt/cert8.db \
-b "dc=example,dc=com" "(givenname=Richard)"Ŭ¶óÀ̾ðÆ®¿¡ ÀÎÁõ¼ ±â¹ÝÀÇ ÀÎÁõ ±¸¼º
Ŭ¶óÀ̾ðÆ® ÀÎÁõÀÇ ±âº» ±â¹ýÀº ÀÎÁõ¼¸¦ »ç¿ëÇÏ¿© µð·ºÅ丮 ¼¹ö¿¡¼ »ç¿ëÀÚ¸¦ ¾ÈÀüÇÏ°Ô ½Äº°ÇÏ´Â °ÍÀÔ´Ï´Ù. ÀÎÁõ¼ ±â¹ÝÀÇ Å¬¶óÀ̾ðÆ® ÀÎÁõÀ» ¼öÇàÇÏ·Á¸é ´ÙÀ½°ú °°Àº ÀÛ¾÷À» ÇØ¾ß ÇÕ´Ï´Ù.
- ¸ðµç µð·ºÅ丮 »ç¿ëÀÚ¿¡ ´ëÇÑ ÀÎÁõ¼¸¦ ¾ò¾î Ŭ¶óÀ̾ðÆ® ÀÀ¿ë ÇÁ·Î±×·¥ÀÌ ¾×¼¼½ºÇÒ ¼ö ÀÖ´Â À§Ä¡¿¡ ¼³Ä¡ÇÕ´Ï´Ù.
- µ¿ÀÏÇÑ ÀÎÁõ¼ÀÇ ÀÌÁø º¹»çº»À» »ç¿ëÇÏ¿© »ç¿ëÀÚ µð·ºÅ丮 Ç׸ñÀ» ±¸¼ºÇÕ´Ï´Ù. ÀÎÁõÀ» ¼öÇàÇÏ´Â µ¿¾È ¼¹ö´Â Ŭ¶óÀ̾ðÆ® ÀÀ¿ë ÇÁ·Î±×·¥ÀÌ Á¦°øÇÑ ÀÎÁõ¼¸¦ ÀÌ º¹»çº»°ú ºñ±³ÇÏ¿© »ç¿ëÀÚ¸¦ Á¤È®ÇÏ°Ô ½Äº°ÇÕ´Ï´Ù.
- Administration Server Administration GuideÀÇ 9Àå, “Using Client Authentication”¿¡¼ ¼³¸íÇÏ´Â °Íó·³ ¼¹ö¿¡ ÀÎÁõ¼ ±â¹Ý ÀÎÁõÀ» ±¸¼ºÇÕ´Ï´Ù.
- ÀÎÁõ¼ ±â¹ÝÀÇ ÀÎÁõ¿¡ ´ëÇÑ LDAP Ŭ¶óÀ̾ðÆ®ÀÇ SSL ¿É¼ÇÀ» ÁöÁ¤ÇÕ´Ï´Ù.
ÀÌ ÀýÂ÷¿¡¼´Â certutil µµ±¸¸¦ »ç¿ëÇÏ¿© ¸í·ÉÁÙÀ» ÅëÇØ ÀÎÁõ¼¸¦ °ü¸®ÇØ¾ß ÇÕ´Ï´Ù. ÀÌ µµ±¸´Â SUNWtlsu ÆÐÅ°Áö¿¡ Æ÷ÇԵǾî ÀÖ½À´Ï´Ù.
»ç¿ëÀÚ ÀÎÁõ¼ ¾ò±â ¹× ¼³Ä¡
ÀÎÁõ¼ ±â¹ÝÀÇ ÀÎÁõÀ» »ç¿ëÇÏ¿© µð·ºÅ丮¿¡ ¾×¼¼½ºÇÏ·Á´Â °¢ »ç¿ëÀڴ Ŭ¶óÀ̾ðÆ® ÀÎÁõ¼¸¦ ¿äûÇÏ¿© ¼³Ä¡ÇØ¾ß ÇÕ´Ï´Ù. ÀÌ ÀýÂ÷¿¡¼´Â Ŭ¶óÀ̾ðÆ®¿¡ ¼¹ö ÀÎÁõ ±¸¼º¿¡ ¼³¸íµÈ °Íó·³ »ç¿ëÀÚ°¡ ÀÌ¹Ì ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¸¦ ±¸¼ºÇß´Ù°í °¡Á¤ÇÕ´Ï´Ù.
- ¾Æ·¡ ¸í·ÉÀ» ½ÇÇàÇÏ¿© »ç¿ëÀÚ ÀÎÁõ¼ ¿äûÀ» ÀÛ¼ºÇÕ´Ï´Ù.
certutil -R \
-s "cn=Babs Jensen,ou=Sales,o=example.com,l=city,st=state,c=country"\
-a -d path -P prefix-s ¿É¼ÇÀº ¿äûÇÑ ÀÎÁõ¼ÀÇ DNÀ» ÁöÁ¤ÇÕ´Ï´Ù. ´ëü·Î ÀÎÁõ ±â°üÀº ÀÎÁõ¼ ¼ÒÀ¯ÀÚ¸¦ Á¤È®ÇÏ°Ô ½Äº°Çϱâ À§ÇØ ÀÌ ¿¹¿¡ »ç¿ëµÈ ¼Ó¼ºÀ» ¸ðµÎ ÇÊ¿ä·Î ÇÕ´Ï´Ù. ´Ü°è 9ÀÇ ÀÎÁõ¼ ¸ÅÇÎ ±â¹ýÀ» ÅëÇØ ÀÎÁõ¼ DNÀÌ »ç¿ëÀÚ µð·ºÅ丮 DN¿¡ ¸ÅÇε˴ϴÙ.
path ¹× prefix°¡ »ç¿ëÀÚÀÇ ÀÎÁõ¼¿Í Å° µ¥ÀÌÅͺ£À̽º¸¦ ã½À´Ï´Ù. certutil µµ±¸´Â »ç¿ëÀÚ¿¡°Ô Å° µ¥ÀÌÅͺ£À̽º ºñ¹Ð¹øÈ£¸¦ ÀÔ·ÂÇ϶ó´Â ¸Þ½ÃÁö¸¦ Ç¥½ÃÇÑ ´ÙÀ½ PEM ÀÎÄÚµùµÈ ÅؽºÆ® Çü½ÄÀ¸·Î PKCS #10 ÀÎÁõ¼ ¿äûÀ» »ý¼ºÇÕ´Ï´Ù.
- ÇØ´ç ÀýÂ÷¿¡ µû¶ó ÀÎÄÚµùµÈ ÀÎÁõ¼ ¿äûÀ» ÆÄÀÏ¿¡ ÀúÀåÇÏ¿© ÀÎÁõ ±â°üÀ¸·Î º¸³À´Ï´Ù. ¿¹¸¦ µé¾î, ÀüÀÚ ¸ÞÀÏ·Î ÀÎÁõ¼ ¿äûÀ» º¸³»¾ß ÇÏ´Â °æ¿ìµµ ÀÖ°í CA À¥ »çÀÌÆ®¿¡¼ ¿äûÀ» ÀÔ·ÂÇÒ ¼ö ÀÖ´Â °æ¿ìµµ ÀÖ½À´Ï´Ù.
- ¿äûÀ» º¸³½ ÈÄ¿¡´Â CA¿¡¼ ÀÌ ¿äû¿¡ ´ëÇÑ ÀÀ´äÀ¸·Î ÀÎÁõ¼¸¦ º¸³»ÁÙ ¶§±îÁö ±â´Ù·Á¾ß ÇÕ´Ï´Ù. ¿äû¿¡ ´ëÇÑ ÀÀ´ä ½Ã°£Àº °æ¿ì¿¡ µû¶ó ´Þ¶óÁý´Ï´Ù. ¿¹¸¦ µé¾î, ȸ»ç ³»ºÎÀÇ CAÀÎ °æ¿ì ÇϷ糪 ÀÌƲÀÌ¸é ¿äû¿¡ ´ëÇÑ ÀÀ´äÀ» ¹ÞÀ» ¼ö ÀÖ½À´Ï´Ù. ȸ»ç ¿ÜºÎÀÇ CA¸¦ ¼±ÅÃÇÏ¸é ¿äû¿¡ ´ëÇÑ ÀÀ´äÀ» ¹ÞÀ» ¶§±îÁö ¸î ÁÖ°¡ °É¸± ¼öµµ ÀÖ½À´Ï´Ù.
- CA¿¡¼ ÀÀ´äÀ» º¸³»¸é »õ ÀÎÁõ¼ÀÇ PEM ÀÎÄÚµùµÈ ÅؽºÆ®¸¦ ´Ù¿î·ÎµåÇϰųª ÅؽºÆ® ÆÄÀÏ¿¡ º¹»çÇÕ´Ï´Ù.
- ¾Æ·¡ ¸í·ÉÀ» ½ÇÇàÇÏ¿© ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¿¡ »õ »ç¿ëÀÚ ÀÎÁõ¼¸¦ ¼³Ä¡ÇÕ´Ï´Ù.
certutil -A -n "certificateName" -t "u,," -a -i certFile -d path -P prefix
¿©±â¼ certificateNameÀº ÀÌ ÀÎÁõ¼¸¦ ½Äº°Çϱâ À§ÇØ »ç¿ëÀÚ°¡ ÁöÁ¤ÇÑ À̸§ÀÌ°í certFileÀº PEM Çü½ÄÀÇ PKCS #11 CA ÀÎÁõ¼°¡ ÀÖ´Â ÅؽºÆ® ÆÄÀÏÀ̸ç, path¿Í prefix´Â ´Ü°è 1°ú °°½À´Ï´Ù.
¶Ç´Â Mozilla¸¦ ÅëÇØ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¸¦ °ü¸®ÇÏ´Â °æ¿ì CA À¥ »çÀÌÆ®¿¡ ÀÖ´Â ¸µÅ©¸¦ »ç¿ëÇÏ¿© ÀÎÁõ¼¸¦ Á÷Á¢ ¼³Ä¡ÇÒ ¼öµµ ÀÖ½À´Ï´Ù. ÀÌ ¸µÅ©¸¦ ´©¸¥ ´ÙÀ½ Mozilla¿¡¼ Á¦°øÇÏ´Â ´ëÈ »óÀÚ¿¡ µû¶ó ´Ü°èº°·Î ¼öÇàÇÕ´Ï´Ù.
- ¾Æ·¡ ¸í·ÉÀ» ½ÇÇàÇÏ¿© ÀÎÁõ¼ ÀÌÁø º¹»çº»À» ÀÛ¼ºÇÕ´Ï´Ù.
certutil -L -n "certificateName" -d path -r > userCert.bin
¿©±â¼ certificateNameÀº ¼³Ä¡ÇÒ ¶§ ÀÎÁõ¼¿¡ ÁöÁ¤ÇÑ À̸§ÀÌ°í path´Â ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽ºÀÇ À§Ä¡À̸ç, userCert.binÀº ÀÌÁø Çü½ÄÀÇ ÀÎÁõ¼°¡ Æ÷Ç﵃ Ãâ·Â ÆÄÀÏÀÇ À̸§ÀÔ´Ï´Ù.
- Directory Server¿¡¼ Ŭ¶óÀ̾ðÆ® ÀÎÁõ¼¸¦ ¼ÒÀ¯ÇÑ »ç¿ëÀÚÀÇ µð·ºÅ丮 Ç׸ñ¿¡ userCertificate ¼Ó¼ºÀ» Ãß°¡ÇÕ´Ï´Ù.
- ÄܼÖÀ» ÅëÇØ ÀÎÁõ¼¸¦ Ãß°¡ÇÏ·Á¸é ´ÙÀ½À» ¼öÇàÇÕ´Ï´Ù.
- Directory Server ÄܼÖÀÇ ÃÖ»óÀ§ µð·ºÅ丮 ÅÇÀÇ µð·ºÅ丮 Æ®¸®¿¡¼ »ç¿ëÀÚ Ç׸ñÀ» ã¾Æ ¸¶¿ì½º ¿À¸¥ÂÊ ¹öÆ°À¸·Î ´©¸£°í Æ˾÷ ¸Þ´º¿¡¼ ÀÏ¹Ý ÆíÁý±â·Î ÆíÁýÀ» ¼±ÅÃÇÕ´Ï´Ù.
- ÀÏ¹Ý ÆíÁý±â¿¡¼ ¼Ó¼º Ãß°¡¸¦ ´©¸¨´Ï´Ù.
- Æ˾÷ ´ëÈ »óÀÚ¿¡¼ userCertificate ¼Ó¼ºÀ» ¼±ÅÃÇÏ°í ÇÏÀ§ À¯Çü µå·Ó´Ù¿î ¸ñ·Ï¿¡¼ binary¸¦ ¼±ÅÃÇÕ´Ï´Ù. binary ÇÏÀ§ À¯ÇüÀ» ÁöÁ¤ÇÏÁö ¾ÊÀ¸¸é ÀÎÁõ¼ ¸ÅÇÎÀÌ ½ÇÆÐÇÕ´Ï´Ù.
- ÀÏ¹Ý ÆíÁý±â¿¡¼ »õ userCertificate Çʵ带 ã½À´Ï´Ù. ÇØ´ç °ª ¼³Á¤ ¹öÆ°À» ´·¯ ÀÌ ¼Ó¼º¿¡ ÀÌÁø °ªÀ» ¼³Á¤ÇÕ´Ï´Ù.
- °ª ¼³Á¤ ´ëÈ »óÀÚ¿¡ ´Ü°è 6¿¡¼ ÀÛ¼ºÇÑ userCert.bin ÆÄÀÏÀÇ À̸§À» ÀÔ·ÂÇϰųª ã¾Æº¸±â¸¦ ´·¯ ÇØ´ç ÆÄÀÏÀ» ã½À´Ï´Ù.
- °ª ¼³Á¤ ´ëÈ »óÀÚ¿¡¼ È®ÀÎÀ» ´©¸¥ ´ÙÀ½ ÀÏ¹Ý ÆíÁý±â¿¡¼ ÀúÀåÀ» ´©¸¨´Ï´Ù.
- ¸í·ÉÁÙ¿¡¼ ÀÎÁõ¼¸¦ Ãß°¡ÇÏ·Á¸é ¾Æ·¡ ¿¹¿Í °°ÀÌ ldapmodify ¸í·ÉÀ» »ç¿ëÇÕ´Ï´Ù. ÀÌ ¸í·ÉÀº SSLÀ» »ç¿ëÇÏ¿© º¸¾È ¿¬°áÀ» ÅëÇØ ÀÎÁõ¼¸¦ º¸³À´Ï´Ù.
ldapmodify -h host -p securePort \
-D "uid=bjensen,dc=example,dc=com" -w bindPassword \
-Z -P .mozilla/bjensen/string.slt/cert8.db
version: 1
dn: uid=bjensen,dc=example,dc=com
changetype: modify
add: userCertificate
userCertificate;binary: < file:///path/userCert.binbinary ÇÏÀ§ À¯ÇüÀ» Æ÷ÇÔÇÏÁö ¾ÊÀ¸¸é ÀÎÁõ¼ ¸ÅÇÎÀÌ ½ÇÆÐÇÕ´Ï´Ù. < ¾ÕµÚÀÇ °ø¹éÀº Áß¿äÇϹǷΠǥ½ÃµÈ ´ë·Î Á¤È®ÇÏ°Ô »ç¿ëÇØ¾ß ÇÕ´Ï´Ù. < ±¸¹®À» »ç¿ëÇÏ¿© ÆÄÀÏ À̸§À» ÁöÁ¤ÇÏ·Á¸é LDIF ¸í·É¹®À» version: 1·Î ½ÃÀÛÇØ¾ß ÇÕ´Ï´Ù. ldapmodify´Â ÀÌ ¸í·É¹®À» ó¸®ÇÒ ¶§ ¼Ó¼ºÀ» ÁöÁ¤µÈ ÆÄÀÏÀÇ Àüü ³»¿ë¿¡¼ ÀÐÀº °ªÀ¸·Î ¼³Á¤ÇÕ´Ï´Ù.
- ÇÊ¿äÇÑ °æ¿ì »ç¿ëÀÚ ÀÎÁõ¼¸¦ ¹ß±ÞÇÑ CA ÀÎÁõ¼¸¦ Directory Server¿¡ ¼³Ä¡ÇÏ¿© Æ®·¯½ºÆ®ÇÕ´Ï´Ù. Ŭ¶óÀ̾ðÆ® ¿¬°áÀ» Çã¿ëÇÏ·Á¸é ÀÌ CA¸¦ Æ®·¯½ºÆ®ÇØ¾ß ÇÕ´Ï´Ù. ÀÎÁõ ±â°ü Æ®·¯½ºÆ®¸¦ ÂüÁ¶ÇϽʽÿÀ.
- Administration Server Administration GuideÀÇ 9Àå, “Using Client Authentication”¿¡¼ ¼³¸íÇÏ´Â °Íó·³ Directory Server¿¡ ÀÎÁõ¼ ±â¹Ý ÀÎÁõÀ» ±¸¼ºÇÕ´Ï´Ù. ÀÌ ÀýÂ÷¿¡¼´Â ¼¹ö°¡ LDAP Ŭ¶óÀ̾ðÆ®¸¦ ÅëÇØ Á¦°øµÈ »ç¿ëÀÚ ÀÎÁõ¼¸¦ ÇØ´ç »ç¿ëÀÚ DN¿¡ ¸ÅÇÎÇÒ ¼ö ÀÖµµ·Ï certmap.conf ÆÄÀÏÀ» ÆíÁýÇÕ´Ï´Ù.
certmap.conf ÆÄÀÏÀÇ verifyCert ¸Å°³ º¯¼ö°¡ onÀ¸·Î ¼³Á¤µÇ¾î ÀÖ´ÂÁö È®ÀÎÇÕ´Ï´Ù. ÀÌ·¸°Ô ÇÏ¸é ¼¹ö°¡ »ç¿ëÀÚ Ç׸ñ¿¡ µ¿ÀÏÇÑ ÀÎÁõ¼°¡ ÀÖ´ÂÁö È®ÀÎÇÏ¿© »ç¿ëÀÚ¸¦ Áõ¸íÇÕ´Ï´Ù.
ÀÎÁõ¼ ±â¹ÝÀÇ Å¬¶óÀ̾ðÆ® ÀÎÁõ¿¡ ´ëÇÑ SSL ¿É¼Ç ÁöÁ¤
ldapsearch µµ±¸¸¦ »ç¿ëÇÏ¿© SSL¿¡¼ ÀÎÁõ¼ ±â¹ÝÀÇ Å¬¶óÀ̾ðÆ® ÀÎÁõÀ» ¼öÇàÇÏ·Á´Â °æ¿ì »ç¿ëÀÚ´Â ÀÚ½ÅÀÇ ÀÎÁõ¼¸¦ »ç¿ëÇÏ´Â ¿©·¯ °¡Áö ¸í·ÉÁÙ ¿É¼ÇÀ» ÁöÁ¤ÇØ¾ß ÇÕ´Ï´Ù. º¸¾È Æ÷Æ®¸¦ ÅëÇØ SSL ¿¬°áÀ» ¼³Á¤Çϸé ÀÌ µµ±¸´Â ¼¹ö ÀÎÁõ¼¸¦ ÀÎÁõÇÑ ´ÙÀ½ »ç¿ëÀÚ ÀÎÁõ¼¸¦ ¼¹ö·Î º¸³À´Ï´Ù.
¾Æ·¡ ¸í·ÉÀº »ç¿ëÀÚ°¡ Mozilla¿¡¼ ÀÛ¼ºµÈ ÀÚ½ÅÀÇ ÀÎÁõ¼ µ¥ÀÌÅͺ£À̽º¿¡ ¾×¼¼½ºÇÏ´Â ¿É¼ÇÀ» ÁöÁ¤ÇÏ´Â ¹æ¹ýÀ» º¸¿©ÁÝ´Ï´Ù.
ldapsearch -h host -p securePort \
-Z -P .mozilla/bjensen/string.slt/cert8.db \
-N "certificateName" \
-K .mozilla/bjensen/string.slt/key3.db -W keyPassword \
-b "dc=example,dc=com" "(givenname=Richard)"-Z ¿É¼ÇÀº ÀÎÁõ¼ ±â¹ÝÀÇ ÀÎÁõÀ» ³ªÅ¸³»°í certificateNameÀº º¸³¾ ÀÎÁõ¼¸¦ ÁöÁ¤Çϸç, -K ¹× -W ¿É¼ÇÀº Ŭ¶óÀ̾ðÆ® ÀÀ¿ë ÇÁ·Î±×·¥ÀÌ ÀÎÁõ¼¿¡ ¾×¼¼½ºÇÏ¿© º¸³¾ ¼ö ÀÖµµ·Ï ÇÕ´Ï´Ù. -D ¹× -w ¿É¼ÇÀ» ÁöÁ¤ÇÏÁö ¾ÊÀ¸¸é ÀÎÁõ¼ ¸ÅÇÎÀ» ÅëÇØ ¹ÙÀεå DNÀÌ °áÁ¤µË´Ï´Ù.
Ŭ¶óÀ̾ðÆ®¿¡ SASL DIGEST-MD5 »ç¿ë
Ŭ¶óÀ̾ðÆ®¿¡ DIGEST-MD5 ±â¹ýÀ» »ç¿ëÇÏ´Â °æ¿ì¿¡´Â »ç¿ëÀÚ ÀÎÁõ¼¸¦ ¼³Ä¡ÇÒ ÇÊ¿ä°¡ ¾ø½À´Ï´Ù. ÇÏÁö¸¸ ¾ÏÈ£ÈµÈ SSL ¿¬°áÀ» »ç¿ëÇÏ·Á¸é Ŭ¶óÀ̾ðÆ®¿¡ ¼¹ö ÀÎÁõ ±¸¼º¿¡ ¼³¸íµÈ °Íó·³ ¼¹ö ÀÎÁõ¼¸¦ Æ®·¯½ºÆ®ÇØ¾ß ÇÕ´Ï´Ù.
¿µ¿ª ÁöÁ¤
¿µ¿ªÀº ¼±ÅÃÇÑ ÀÎÁõ ¾ÆÀ̵𰡠¼ÓÇÏ´Â À̸§ °ø°£À» Á¤ÀÇÇÕ´Ï´Ù. DIGEST-MD5 ÀÎÁõ¿¡¼´Â ƯÁ¤ ¿µ¿ª¿¡ ÀÎÁõÇØ¾ß ÇÕ´Ï´Ù.
Directory Server´Â ½Ã½ºÅÛÀÇ Á¤±ÔÈµÈ È£½ºÆ® À̸§À» DIGEST-MD5ÀÇ ±âº» ¿µ¿ªÀ¸·Î »ç¿ëÇϸç, nsslapd-localhost ±¸¼º ¼Ó¼º¿¡ Àִ ȣ½ºÆ® À̸§ÀÇ ¼Ò¹®ÀÚ °ªÀ» »ç¿ëÇÕ´Ï´Ù.
¿µ¿ªÀ» ÁöÁ¤ÇÏÁö ¾ÊÀ¸¸é ¼¹ö¿¡¼ Á¦°øÇÏ´Â ±âº» ¿µ¿ªÀÌ »ç¿ëµË´Ï´Ù.
ȯ°æ º¯¼ö ÁöÁ¤
UNIX ȯ°æ¿¡¼ LDAP µµ±¸°¡ DIGEST-MD5 ¶óÀ̺귯¸®¸¦ ãÀ¸·Á¸é SASL_PATH ȯ°æ º¯¼ö¸¦ ¼³Á¤ÇØ¾ß ÇÕ´Ï´Ù. DIGEST-MD5 ¶óÀ̺귯¸®´Â SASL Ç÷¯±× Àο¡ ÀÇÇØ µ¿ÀûÀ¸·Î ·ÎµåµÇ´Â °øÀ¯ ¶óÀ̺귯¸®À̹ǷΠKorn ½©ÀÇ °æ¿ìó·³ SASL_PATH º¯¼ö¸¦ ´ÙÀ½°ú °°ÀÌ ¼³Á¤ÇØ¾ß ÇÕ´Ï´Ù.
export SASL_PATH=ServerRoot/lib/sasl
ÀÌ °æ·Î¿¡¼´Â Directory Server°¡ LDAP µµ±¸¸¦ ½ÇÇàÇÒ È£½ºÆ®¿¡ ¼³Ä¡µÇ¾î ÀÖ´Ù°í °¡Á¤ÇÕ´Ï´Ù.
ldapsearch ¸í·É ¿¹
SSLÀ» »ç¿ëÇÏÁö ¾Ê°í DIGEST-MD5 Ŭ¶óÀ̾ðÆ® ÀÎÁõÀ» ¼öÇàÇÒ ¼ö ÀÖ½À´Ï´Ù. ¾Æ·¡ ¿¹¿¡¼´Â ±âº» DIGEST-MD5 ¾ÆÀ̵ð ¸ÅÇÎÀ» »ç¿ëÇÏ¿© ¹ÙÀεå DNÀ» °áÁ¤ÇÕ´Ï´Ù.
ldapsearch -h host -p nonSecurePort -D "" -w bindPassword \
-o mech=DIGEST-MD5 [-o realm="hostFQDN"] \
-o authid="dn:uid=bjensen,dc=example,dc=com" \
-o authzid="dn:uid=bjensen,dc=example,dc=com" \
-b "dc=example,dc=com" "(givenname=Richard)"À§ ¿¹¿¡¼´Â -o(¼Ò¹®ÀÚ o) ¿É¼ÇÀ» »ç¿ëÇÏ¿© SASL ¿É¼ÇÀ» ÁöÁ¤ÇÕ´Ï´Ù. RealmÀº ¼±Åà »çÇ×ÀÌÁö¸¸ ÁöÁ¤ÇÒ °æ¿ì ¼¹ö È£½ºÆ® ½Ã½ºÅÛÀÇ Á¤±ÔÈµÈ µµ¸ÞÀÎ À̸§À» Á¦°øÇØ¾ß ÇÕ´Ï´Ù. ÇÁ·Ï½Ã ÀÛ¾÷¿ë authzid¸¦ »ç¿ëÇÏÁö ¾Ê´Â °æ¿ì¿¡µµ authid¿Í authzid´Â µÑ ´Ù ÀÖ¾î¾ß ÇÏ¸ç µ¿ÀÏÇÑ °ªÀ» °¡Á®¾ß ÇÕ´Ï´Ù.
authid °ªÀº ¾ÆÀ̵ð ¸ÅÇο¡ »ç¿ëµÇ´Â »ç¿ëÀÚÀÔ´Ï´Ù. authid´Â dn: Á¢µÎ¾î°¡ »ç¿ëµÇ°í µÚ¿¡ µð·ºÅ丮ÀÇ À¯È¿ÇÑ »ç¿ëÀÚ DNÀÌ ¿À°Å³ª u: Á¢µÎ¾î°¡ »ç¿ëµÇ°í µÚ¿¡ Ŭ¶óÀ̾ðÆ®¿¡¼ °áÁ¤µÇ´Â ¹®ÀÚ¿ÀÌ ¿À´Â °ÍÀÌ ÁÁ½À´Ï´Ù. ÀÌ·¸°Ô Çϸé DIGEST-MD5 ¾ÆÀ̵ð ¸ÅÇο¡ ¼³¸íµÈ ¸ÅÇÎÀ» »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.
ÀϹÝÀûÀ¸·Î SSL ¿¬°áÀ» »ç¿ëÇÏ¿© º¸¾È Æ÷Æ®¸¦ ÅëÇØ ¾Ïȣȸ¦ Á¦°øÇÏ°í DIGEST-MD5¸¦ »ç¿ëÇÏ¿© Ŭ¶óÀ̾ðÆ® ÀÎÁõÀ» Á¦°øÇÕ´Ï´Ù. ¾Æ·¡ ¿¹¿¡¼´Â SSLÀ» ÅëÇØ µ¿ÀÏÇÑ ÀÛ¾÷À» ¼öÇàÇÕ´Ï´Ù.
ldapsearch -h host -p securePort \
-Z -P .mozilla/bjensen/string.slt/cert8.db \
-N "certificateName" -W keyPassword \
-o mech=DIGEST-MD5 [-o realm="hostFQDN"] \
-o authid="dn:uid=bjensen,dc=example,dc=com" \
-o authzid="dn:uid=bjensen,dc=example,dc=com" \
-b "dc=example,dc=com" "(givenname=Richard)"ÀÌ ¿¹¿¡¼ -N ¹× -W ¿É¼ÇÀº ldapsearch ¸í·É¿¡ ÇÊ¿äÇϸç Ŭ¶óÀ̾ðÆ® ÀÎÁõ¿¡´Â »ç¿ëµÇÁö ¾Ê½À´Ï´Ù. ´ë½Å, ¼¹ö´Â authid °ªÀÇ »ç¿ëÀÚ¿¡ ´ëÇØ ´Ù½Ã DIGEST-MD5 ¾ÆÀ̵ð ¸ÅÇÎÀ» ¼öÇàÇÕ´Ï´Ù.
Ŭ¶óÀ̾ðÆ®¿¡ Ä¿¹ö·Î½º SASL GSSAPI »ç¿ë
Ŭ¶óÀ̾ðÆ®¿¡ GSSAPI ±â¹ýÀ» »ç¿ëÇÏ´Â °æ¿ì »ç¿ëÀÚ ÀÎÁõ¼¸¦ ¼³Ä¡ÇÒ ÇÊ¿ä´Â ¾øÁö¸¸ Ä¿¹ö·Î½º V5 º¸¾È ½Ã½ºÅÛÀ» ±¸¼ºÇØ¾ß ÇÕ´Ï´Ù. ¶ÇÇÑ ¾ÏÈ£ÈµÈ SSL ¿¬°áÀ» »ç¿ëÇÏ·Á¸é Ŭ¶óÀ̾ðÆ®¿¡ ¼¹ö ÀÎÁõ ±¸¼º¿¡ ¼³¸íµÈ °Íó·³ ¼¹ö ÀÎÁõ¼¸¦ Æ®·¯½ºÆ®ÇØ¾ß ÇÕ´Ï´Ù.
Ŭ¶óÀ̾ðÆ® È£½ºÆ®¿¡ Ä¿¹ö·Î½º V5 ±¸¼º
LDAP Ŭ¶óÀ̾ðÆ®¸¦ ½ÇÇàÇÒ È£½ºÆ® ½Ã½ºÅÛ¿¡ Ä¿¹ö·Î½º V5¸¦ ±¸¼ºÇØ¾ß ÇÕ´Ï´Ù.
- ¼³Ä¡ Áöħ¿¡ µû¶ó Ä¿¹ö·Î½º V5¸¦ ¼³Ä¡ÇÕ´Ï´Ù. Sun Enterprise Authentication Mechanism(SEAM) 1.0.1 Ŭ¶óÀ̾ðÆ® ¼ÒÇÁÆ®¿þ¾î¸¦ ¼³Ä¡ÇÒ °ÍÀ» ±ÇÀåÇÕ´Ï´Ù.
- Ä¿¹ö·Î½º ¼ÒÇÁÆ®¿þ¾î¸¦ ±¸¼ºÇÕ´Ï´Ù. SEAMÀ» »ç¿ëÇϸé/etc/krb5¿¡ ÀÖ´Â ÆÄÀÏÀ» ±¸¼ºÇÏ¿© kdc ¼¹ö¸¦ ¼³Á¤ÇÏ°í, ±âº» ¿µ¿ª ¹× Ä¿¹ö·Î½º ½Ã½ºÅÛ¿¡ ÇÊ¿äÇÑ ±âŸ ±¸¼ºÀ» Á¤ÀÇÇÒ ¼ö ÀÖ½À´Ï´Ù.
- ÇÊ¿äÇÑ °æ¿ì /etc/gss/mech ÆÄÀÏÀ» ¼öÁ¤ÇÏ¿© kerberos_v5¸¦ ù ¹ø° °ªÀ¸·Î Ç¥½ÃÇÕ´Ï´Ù.
Ä¿¹ö·Î½º ÀÎÁõ¿¡ ´ëÇÑ SASL ¿É¼Ç ÁöÁ¤
- GSSAPI¸¦ »ç¿ëÇϴ Ŭ¶óÀ̾ðÆ® ÀÀ¿ë ÇÁ·Î±×·¥À» »ç¿ëÇϱâ Àü¿¡ ¸ÕÀú ¾Æ·¡ ¸í·ÉÀ» ½ÇÇàÇÏ¿© Ä¿¹ö·Î½º º¸¾È ½Ã½ºÅÛÀ» »ç¿ëÀÚ·Î ÃʱâÈÇØ¾ß ÇÕ´Ï´Ù.
kinit userPrincipal
userPrincipalÀº »ç¿ëÀÚÀÇ SASL ¾ÆÀ̵ðÀÔ´Ï´Ù(¿¹: bjensen@example.com).
- ¾Æ·¡ÀÇ ldapsearch µµ±¸ ¿¹¿¡¼´Â -o(¼Ò¹®ÀÚ o) ¿É¼ÇÀ» »ç¿ëÇÏ¿© Ä¿¹ö·Î½º »ç¿ë¿¡ ´ëÇÑ SASL ¿É¼ÇÀ» ÁöÁ¤ÇÏ´Â ¹æ¹ýÀ» º¸¿©ÁÝ´Ï´Ù.
ldapsearch -h host -p securePort \
-Z -P .mozilla/bjensen/string.slt/cert8.db \
-N "certificateName" -W keyPassword \
-o mech=GSSAPI [-o realm="example.com" \
-o authid="bjensen@example.com" \
-o authzid="bjensen@example.com"] \
-b "dc=example,dc=com" "(givenname=Richard)"- ÀÌ ¿¹¿¡¼ -N ¹× -W ¿É¼ÇÀº ldapsearch ¸í·É¿¡ ÇÊ¿äÇϸç Ŭ¶óÀ̾ðÆ® ÀÎÁõ¿¡´Â »ç¿ëµÇÁö ¾Ê½À´Ï´Ù. realm, authid ¹× authzid´Â kinit ¸í·ÉÀ¸·Î ÃʱâÈµÈ Ä¿¹ö·Î½º ij½Ã¿¡ Àֱ⠶§¹®¿¡ »ý·«ÇÒ ¼ö ÀÖ½À´Ï´Ù. ÇÁ·Ï½Ã ÀÛ¾÷¿ë authzid¸¦ »ç¿ëÇÏÁö ¾Ê´Â °æ¿ì¿¡µµ authid¿Í authzid °ªÀº µÑ ´Ù ÀÖ¾î¾ß ÇÏ¸ç µ¿ÀÏÇÑ °ªÀ» °¡Á®¾ß ÇÕ´Ï´Ù. authid °ªÀº ¾ÆÀ̵ð ¸ÅÇο¡ »ç¿ëµÇ´Â »ç¿ëÀÚÀÔ´Ï´Ù. ÀÚ¼¼ÇÑ ³»¿ëÀº GSSAPI ¾ÆÀ̵ð ¸ÅÇÎÀ» ÂüÁ¶ÇϽʽÿÀ.