탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1에서 이름 지정 및 디렉토리 서비스 작업 Oracle Solaris 11.1 Information Library (한국어) |
4. Oracle Solaris Active Directory 클라이언트 설정(작업)
10. LDAP 이름 지정 서비스에 대한 계획 요구 사항(작업)
LDAP에 대한 클라이언트 프로파일 및 기본 속성 값 계획
ldapaddent 명령을 사용하여 서버에 host 항목을 채우는 방법
11. LDAP 클라이언트를 사용하여 Oracle Directory Server Enterprise Edition 설정(작업)
보안 모델을 계획하려면 LDAP 클라이언트가 LDAP 서버와 통신할 때 사용해야 하는 ID를 먼저 고려해야 합니다. 예를 들어, 암호가 전송되지 않는 엔터프라이즈 수준의 Single Sign-On 솔루션을 원하는지, 아니면 데이터 전송 암호화 및 사용자 단위로 디렉토리 서버의 제어 데이터 결과에 액세스하는 기능을 원하는지 결정해야 합니다. 또한 전송 시 사용자 암호 플로우를 보호할 강력한 인증을 구현할지 여부 및/또는 LDAP 클라이언트와 LDAP 서버 간의 세션을 암호화하여 전송되는 LDAP 데이터를 보호해야 하는지 결정해야 합니다.
이 작업을 위해 프로파일의 credentialLevel 및 authenticationMethod 속성이 사용됩니다. credentialLevel에는 anonymous, proxy, proxy anonymous 및 self라는 4가지 자격 증명 레벨이 있습니다. LDAP 이름 지정 서비스 보안 개념에 대한 자세한 내용은 LDAP 이름 지정 서비스 보안 모델을 참조하십시오.
주 - 이전에는 pam_ldap 계정 관리를 사용으로 설정한 경우 모든 사용자가 시스템에 로그인할 때마다 인증을 위해 로그인 암호를 제공해야 했습니다. 따라서 ssh 등의 도구를 사용하여 암호 기반이 아닌 로그인을 시도하면 실패했습니다.
사용자가 로그인할 때 디렉토리 서버에 인증하지 않고 계정 관리를 수행하고 사용자의 계정 상태를 검색합니다. 디렉토리 서버의 새 컨트롤은 기본적으로 사용으로 설정되는 1.3.6.1.4.1.42.2.27.9.5.8입니다.
기본값이 아닌 다른 값에 대해 이 컨트롤을 수정하려면 디렉토리 서버에 ACI(액세스 제어 명령)를 추가합니다.
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config
주 - 엔터프라이즈 수준의 Single Sign-On 솔루션으로 pam_krb5 및 Kerberos를 사용으로 설정하면 세션을 시작할 때 로그인 암호가 한 번만 필요한 시스템을 설계할 수 있습니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스를 참조하십시오. Kerberos를 사용으로 설정하는 경우 일반적으로 DNS도 사용으로 설정해야 합니다. 자세한 내용은 이 매뉴얼의 DNS 관련 장을 참조하십시오.
보안 모델을 계획할 때 필요한 주요 결정 사항은 다음과 같습니다.
Kerberos 및 per-user 인증을 사용하겠습니까?
LDAP 클라이언트에서 어떤 자격 증명 레벨과 인증 방법을 사용하겠습니까?
TLS를 사용하겠습니까?
NIS와 역방향 호환이 가능해야 합니까? 즉, 클라이언트에서 pam_unix_* 또는 pam_ldap 모듈을 사용하겠습니까?
서버의 passwordStorageScheme 속성 설정은 어떻게 지정하겠습니까?
액세스 제어 정보는 어떻게 설정하겠습니까?
ACI에 대한 자세한 내용은 사용 중인 Oracle Directory Server Enterprise Edition 버전에 대한 관리 설명서를 참조하십시오.
클라이언트에서 pam_unix_* 또는 pam_ldap 모듈을 사용하여 LDAP 계정 관리를 수행하겠습니까?