탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
PAM(플러그 가능한 인증 모듈) 프레임워크를 통해 시스템 서비스(예: login, su 및 ssh)를 변경하지 않고도 새로운 인증 서비스를 “플러그인”할 수 있습니다. 또한 PAM을 사용하여 Kerberos 등의 다른 보안 방식과 UNIX 로그인을 통합할 수 있습니다. 계정, 자격 증명, 세션 및 암호 관리를 위한 방식도 이 프레임워크를 사용하여 “플러그인”할 수 있습니다.
PAM 프레임워크를 사용하면 사용자 인증을 위한 시스템 항목 서비스(예: su, login 또는 ssh) 사용을 구성할 수 있습니다. PAM이 제공하는 몇 가지 이점은 다음과 같습니다.
유연한 구성 정책
응용 프로그램별 인증 정책
사용자별 인증 정책
기본 인증 방식을 선택할 수 있는 기능
높은 보안 시스템에서 여러 권한 부여를 요구할 수 있는 기능
최종 사용자의 사용 편의성
암호가 여러 인증 서비스에 대해 동일한 경우 암호 재입력 없음
사용자가 여러 명령을 입력할 필요 없이 여러 인증 서비스에 대해 사용자에게 암호를 요구할 수 있는 기능
사용자 인증 서비스에 옵션을 전달할 수 있는 기능
시스템 항목 서비스를 변경할 필요 없이 사이트별 보안 정책을 구현할 수 있는 기능
PAM 소비자
PAM 라이브러리
PAM 구성
PAM 서비스 모듈(공급자라도도 함)
프레임워크는 인증 관련 작업이 발생하도록 일관성 있는 방식을 제공합니다. 이 방식을 통해 응용 프로그램 개발자는 정책의 의미를 알 필요 없이 PAM 서비스를 사용할 수 있습니다. 알고리즘은 중앙에서 제공됩니다. 알고리즘은 개별 응용 프로그램과 독립적으로 수정할 수 있습니다. PAM을 사용하면 관리자는 응용 프로그램을 변경하지 않고도 특정 시스템의 요구에 인증 프로세스를 맞출 수 있습니다. 조정은 PAM 구성을 통해 수행됩니다.
다음 그림은 PAM 아키텍처를 나타냅니다. 응용 프로그램은 PAM API(application programming interface)를 통해 PAM 라이브러리와 통신합니다. PAM 모듈은 PAM SPI(서비스 공급자 인터페이스)를 통해 PAM 라이브러리와 통신합니다. 따라서 PAM 라이브러리를 통해 응용 프로그램과 모듈이 서로 통신할 수 있습니다.
그림 14-1 PAM 아키텍처
Oracle Solaris 11.1 릴리스에 포함된 PAM 프레임워크에는 다음과 같은 여러 가지 새로운 기능이 포함되어 있습니다.
definitive 제어 플래그
서비스별 구성
사용자별 구성