인증 기법은 클라이언트가 자신의 아이디를 서버에 대해 입증하는 특정 방법입니다. Messaging Server는 비밀번호 기반 인증을 위한 다음 SASL(Simple Authentication and Security Layer) 인증 방법을 지원합니다. SASL 기법은 이 절에 설명되어 있습니다. 인증서 기반 인증에 대한 자세한 내용은 암호화 및 인증서 기반 인증 구성 을 참조하십시오.
Messaging Server는 비밀번호 기반 인증을 위한 다음 SASL 인증 방법을 지원합니다.
PLAIN - 이 기법은 사용자의 일반 비밀번호를 네트워크를 통해 전달하므로 도청에 취약합니다.
SSL을 사용하여 도청 문제를 줄일 수 있다는 것에 주의합니다. 자세한 내용은 암호화 및 인증서 기반 인증 구성 을 참조하십시오.
DIGEST-MD5 - RFC 2831에 정의된 챌린지/응답 인증 기법입니다. (DIGEST-MD5는 아직 Messaging Multiplexor에서 지원하지 않습니다.)
이 기능은 더 이상 사용되지 않으며 이후 릴리스에서 제거될 것입니다.
CRAM-MD5 - APOP와 비슷하지만 다른 프로토콜에서 사용하기에도 적합한 챌린지/응답 인증 기법입니다. RFC 2195에 정의되어 있습니다.
APOP - POP3 프로토콜에만 사용할 수 있는 챌린지/응답 인증 기법입니다. RFC 1939에 정의되어 있습니다.
LOGIN - PLAIN과 동일하며 SMTP 인증의 예비 표준 구현과의 호환성을 위해서만 존재합니다. 기본적으로 이 기법은 SMTP에 대해서만 사용 가능하게 됩니다.
챌린지/응답 인증 기법을 사용하면 서버는 요청 문자열을 클라이언트에게 보냅니다. 클라이언트는 사용자의 비밀번호와 해당 챌린지의 해시로 응답합니다. 클라이언트의 응답이 서버의 고유한 해시와 일치할 경우 사용자가 인증됩니다. 해시는 취소할 수 없으므로 사용자의 비밀번호가 네트워크를 통해 보내질 때 공개되지 않습니다.
POP, IMAP 및 SMTP 서비스는 모든 SASL 기법을 지원합니다. HTTP 서비스는 일반 텍스트 비밀번호 기법만 지원합니다.
표 19–1은 몇 개의 SASL 및 SASL 관련 configutil 매개 변수를 보여 줍니다. configutil 매개 변수의 최신 전체 목록은 Sun Java System Messaging Server 6 2005Q4 Administration Reference의 configutil Parameters를 참조하십시오.
표 19–1 일부 SASL 및 SASL 관련 configutil 매개 변수
매개 변수 |
설명 |
---|---|
디렉토리에 일반 텍스트 비밀번호가 저장되는지 나타내며 APOP, CRAM-MD5 및 DIGEST-MD5를 사용 가능하게 하는 부울입니다. 기본값: False |
|
더 이상 지원 또는 사용되지 않습니다. sasl.default.auto_transition을 참조하십시오. |
|
부울입니다. 이 매개 변수가 설정되고 사용자가 일반 텍스트 비밀번호를 제공할 경우 비밀번호 저장 형식이 Directory Server에 대한 기본 비밀번호 저장 방법으로 전환됩니다. 일반 텍스트 비밀번호를 APOP, CRAM-MD5 또는 DIGEST-MD5로 마이그레이션하는 데 사용할 수 있습니다. 기본값: False |
|
IMAP에 사용하기 위해 SASL ANONYMOUS 기법을 사용 가능하게 합니다. 기본값: False |
|
이 매개 변수가 > 0이면 보안 계층(SSL 또는 TLS)이 활성화되지 않은 경우 일반 텍스트 비밀번호를 사용할 수 없게 됩니다. 사용자는 로그인하려면 네트워크상에서 비밀번호가 공개되는 것을 방지하는 SSL 또는 TLS를 클라이언트에서 사용 가능하게 해야 합니다. MMP는 동일한 옵션 "RestrictPlainPasswords"를 가집니다. 주의: Messaging Server의 5.2 릴리스는 SSL 또는 TLS에 의해 협상된 암호문 강도에 대해 실제로 값을 검사합니다. 이 옵션을 단순화하고 일반적인 사용을 더 잘 반영하기 위해 이 기능이 제거되었습니다. 기본값: 0 |
|
사용 가능하게 할 SASL 기법의 공백으로 구분된 목록입니다. 비어 있지 않을 경우 이 옵션은 sasl.default.ldap.has_plain_passwords 및 service.imap.allowanonymouslogin 옵션을 모두 무시합니다. 이 옵션은 모든 프로토콜(imap, pop, smtp)에 적용됩니다. 기본값: False |
|
도메인의 inetDomainSearchFilter에 지정되지 않은 경우 사용자를 조회하는 데 사용되는 기본 검색 필터입니다. 구문은 inetDomainSearchFilter(스키마 설명서 참조)와 동일합니다. 기본값: (&(uid=%U)(objectclass=inetmailuser)) |
|
기본적으로 인증 시스템은 도메인 조회 규칙에 따라(즉, 필요에 따라) LDAP에서 도메인을 조회한 다음 사용자를 조회합니다. 그러나 이 옵션이 기본값 "1"이 아니라 "0"으로 설정된 경우 도메인 조회는 수행되지 않으며 sasl.default.ldap.searchfilter를 사용한 사용자 검색이 local.ugldapbasedn에 지정된 LDAP 트리에서 직접 수행됩니다. 이것은 레거시 단일 도메인 스키마와의 호환성을 위해 제공되지만 심지어 소규모 회사에서도 여러 도메인에 대한 지원이 필요한 합병이나 사명 변경이 발생할 수 있으므로 새 배포에는 사용하지 않는 것이 좋습니다. |
CRAM-MD5, DIGEST-MD5 또는 APOP SASL 인증 방법을 사용하려면 사용자의 일반 텍스트 비밀번호에 대한 액세스가 필요합니다. 다음 단계를 수행해야 합니다.
비밀번호를 일반 텍스트로 저장하도록 Directory Server를 구성합니다.
Directory Server가 일반 텍스트 비밀번호를 사용한다는 것을 인식하도록 Messaging Server를 구성합니다.
CRAM-MD5, DIGEST-MD5 또는 APOP 기법을 사용하려면 다음과 같이 Directory Server를 구성하여 비밀번호를 일반 텍스트로 저장하게 해야 합니다.
콘솔에서 구성할 Directory Server를 엽니다.
구성 탭을 누릅니다.
왼쪽 표시 영역에서 데이터를 엽니다.
오른쪽 표시 영역에서 비밀번호를 누릅니다.
비밀번호 암호화 드롭다운 목록에서 "일반 텍스트"를 선택합니다.
이 변경 사항은 앞으로 만들 사용자에만 영향을 줍니다. 이 변경 이후에 기존 사용자는 자신의 비밀번호를 전환하거나 재설정해야 합니다.
이제 Messaging Server를 구성하여 Directory Server가 일반 텍스트 비밀번호를 검색할 수 있다는 것을 인식하도록 할 수 있습니다. 이렇게 하면 Messaging Server는 APOP, CRAM-MD5 및 DIGEST-MD5를 안전하게 광고할 수 있습니다.
configutil -o sasl.default.ldap.has_plain_passwords -v 1
값을 0으로 설정하여 이러한 챌린지/응답 SASL 기법을 사용 불가능하게 할 수 있습니다.
기존 사용자는 비밀번호를 재설정하거나 마이그레이션할 때까지 APOP, CRAM-MD5 또는 DIGEST-MD5를 사용할 수 없습니다(사용자 전환 참조).
MMP는 CRAM과 동등한 옵션을 가집니다.
configutil을 사용하여 사용자 전환에 대한 정보를 지정할 수 있습니다. 적절한 항목을 갖고 있지 않은 기법으로 클라이언트가 인증을 시도하거나 사용자 비밀번호가 변경되는 경우를 예로 들 수 있습니다.
configutil -o sasl.default.auto_transition -v value
value의 경우 다음 중 하나를 지정할 수 있습니다.
no 또는 0 - 비밀번호를 전환하지 않습니다. 기본값입니다.
yes 또는 1 - 비밀번호를 전환합니다.
사용자를 성공적으로 전환하려면 사용자 비밀번호 속성에 대한 쓰기 권한을 Messaging Server에 허용하는 ACI를 Directory Server에서 설정해야 합니다. 이렇게 하려면 다음 단계를 수행합니다.
콘솔에서 구성할 Directory Server를 엽니다.
디렉토리 탭을 누릅니다.
사용자/그룹 트리의 기본 접미어를 선택합니다.
객체 메뉴에서 액세스 권한을 선택합니다.
"Messaging Server 최종 사용자 관리자 쓰기 액세스 권한"에 대한 ACI를 선택(두 번 누름)합니다.
ACI 속성을 누릅니다.
userpassword 속성을 기존 속성 목록에 추가합니다.
확인을 누릅니다.
sasl.default.mech_list를 사용하여 SASL 기법의 목록을 사용 가능하게 할 수 있습니다. 비어 있지 않을 경우 이 옵션은 sasl.default.ldap.has_plain_passwords 및 service.imap.allowanonymouslogin 옵션을 모두 무시합니다. 이 옵션은 모든 프로토콜(imap, pop, smtp)에 적용됩니다.