Oracle® Solaris 11.2의 이름 지정 및 디렉토리 서비스 작업: LDAP

인쇄 보기 종료

 
업데이트 날짜: 2014년 7월
 
 

클라이언트 자격 증명 레벨

LDAP 서버는 클라이언트 자격 증명 레벨에 따라 LDAP 클라이언트를 인증합니다. LDAP 클라이언트에는 다음 자격 증명 레벨 중 하나가 지정될 수 있습니다.

anonymous

anonymous 자격 증명 레벨을 사용할 경우 모든 사용자에게 제공되는 데이터에만 액세스할 수 있습니다. LDAP BIND 작업이 수행되지 않습니다.

anonymous 자격 증명 레벨의 경우 보안 위험이 높습니다. 모든 클라이언트가 쓰기 권한이 있는 DIT에서 정보(다른 사용자의 암호 또는 고유 ID 포함)를 변경할 수 있습니다. 또한 anonymous 레벨에서는 모든 클라이언트가 모든 LDAP 이름 지정 항목 및 속성에 대해 읽기 권한을 가질 수 있습니다.

주 -  Oracle Directory Server Enterprise Edition을 사용하면 IP 주소, DNS 이름, 인증 방법 및 시간을 기반으로 액세스를 제한할 수 있습니다. 따라서 보안 조치를 구현할 수 있습니다. 자세한 내용은 사용 중인 Oracle Directory Server Enterprise Edition 버전에 대한 관리 설명서의 “액세스 제어 관리”를 참조하십시오.
proxy

proxy 자격 증명 레벨을 사용할 경우 클라이언트가 LDAP 바인드 자격 증명의 단일 공유 세트에 바인딩됩니다. 공유 세트를 프록시 계정이라고도 합니다. 프록시 계정은 디렉토리에 바인딩할 수 있는 모든 항목일 수 있습니다. 이 계정에는 LDAP 서버에서 이름 지정 서비스 기능을 수행할 수 있는 권한이 충분해야 합니다.

프록시 계정은 시스템별 공유 리소스이므로 프록시 액세스를 사용하여 시스템에 로그인한 사용자(루트 사용자 포함)에게 동일한 정보가 표시됩니다. proxy 자격 증명 레벨을 사용하는 모든 클라이언트 시스템에서 proxyDNproxyPassword 속성을 구성해야 합니다. 또한 proxyDN은 모든 서버에서 동일한 proxyPassword를 가져야 합니다.

암호화된 proxyPassword는 클라이언트에 로컬로 저장됩니다. 프록시 사용자의 암호가 변경되는 경우 해당 프록시 사용자를 사용하는 모든 클라이언트 시스템에서 암호를 업데이트해야 합니다. 또한 LDAP 계정에 대해 암호 에이징을 사용할 경우 프록시 사용자를 제외해야 합니다.

각 클라이언트 그룹에 대해 다른 프록시를 설정할 수 있습니다. 예를 들어, 모든 영업 클라이언트가 회사 차원에서 액세스할 수 있는 디렉토리 및 영업 디렉토리에만 액세스하도록 제한하는 프록시를 구성할 수 있습니다. 이 경우 급여 정보가 포함된 HR 디렉토리에 대한 액세스는 금지됩니다. 극단적인 경우 각 클라이언트에 다른 프록시를 지정하거나 모든 클라이언트에 프록시를 1개만 지정할 수도 있습니다.

여러 클라이언트에 대해 다중 프록시를 설정하려면 항목을 선택할 때 신중해야 합니다. 프록시 에이전트가 너무 적으면 리소스에 대한 사용자 액세스를 제대로 제어하지 못할 수 있습니다. 그러나 프록시가 너무 많으면 시스템 설정과 유지 관리가 복잡해집니다. 환경에 따라 프록시 사용자에게 적절한 권한을 부여해야 합니다. 구성에 가장 적합한 인증 방법을 결정하는 방법에 대한 자세한 내용은 LDAP 클라이언트에 대한 자격 증명 저장소를 참조하십시오.

proxy 자격 증명 레벨은 특정 시스템의 모든 사용자와 프로세스에 적용됩니다. 서로 다른 이름 지정 정책을 사용해야 하는 사용자는 각기 다른 시스템에 로그인하거나 사용자별 인증 모델을 사용해야 합니다.

proxy anonymous

proxy anonymous 자격 증명 레벨은 2개 이상의 자격 증명 레벨이 정의되는 다중 값 항목입니다. 이 레벨을 사용할 경우 먼저 지정된 클라이언트가 프록시 ID를 사용하여 인증을 시도합니다. 사용자 잠금 또는 암호 만료 등으로 인증을 실패할 경우 클라이언트는 익명 액세스를 사용합니다. 디렉토리 구성 방법에 따라 서로 다른 자격 증명 레벨이 각기 다른 서비스 레벨과 연관될 수 있습니다.

self

self 자격 증명 레벨을 사용자별 모드라고도 합니다. 이 모드에서는 Kerberos ID(주체)를 사용하여 인증을 위해 각 시스템 또는 사용자를 조회합니다. per-user 인증을 사용하는 경우 시스템 관리자가 ACI(액세스 제어 명령), ACL(액세스 제어 목록), 역할, 그룹 또는 기타 디렉토리 액세스 제어 방식을 사용하여 특정 사용자나 시스템에 대해 특정 이름 지정 서비스 데이터 액세스를 허용하거나 거부할 수 있습니다.

사용자별 인증 모델을 사용하려면 다음 작업을 수행해야 합니다.

  • Kerberos Single Sign-On 서비스 배치

  • 하나 이상의 디렉토리 서버에서 SASL 및 SASL/GSSAPI 인증 방식 지원

  • Kerberos가 호스트 이름을 조회하기 위해 파일과 함께 사용하는 DNS 구성

  • nscd 데몬을 사용으로 설정

Copyright © 2002, 2014, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전
다음