LDAP 이름 지정 서비스에 대한 인증 방법
proxy 또는 proxy-anonymous 자격 증명 레벨을 클라이언트에 지정할 때는 프록시가 인증되는 방법도 선택해야 합니다. 기본적으로 인증 방법은 익명 액세스를 의미하는 none입니다. 인증 방법에 전송 보안 옵션이 연관될 수도 있습니다.
자격 증명 레벨과 마찬가지로 인증 방법에는 다중 값이 있을 수 있습니다. 예를 들어, 클라이언트 프로파일에서 클라이언트가 먼저 TLS로 보안되는 simple 방법을 사용하여 바인딩을 시도하도록 지정할 수 있습니다. 실패할 경우 클라이언트는 sasl/digest-MD5 방법을 사용하여 바인딩합니다. 이 경우 authenticationMethod 속성을 tls:simple;sasl/digest-MD5와 같이 구성합니다.
LDAP 이름 지정 서비스는 일부 SASL(Simple Authentication and Security Layer) 방식을 지원합니다. 이러한 방식을 사용하면 TLS 없이도 안전하게 암호를 교환할 수 있습니다. 그러나 이러한 방식은 데이터 무결성이나 프라이버시를 제공하지 않습니다. SASL에 대한 자세한 내용을 보려면 IETF 웹 사이트에서 RFC 4422를 검색하십시오.
지원되는 인증 방식은 다음과 같습니다.
- none
-
클라이언트가 디렉토리에 대해 인증을 수행하지 않습니다. 이 방법은 anonymous 자격 증명 레벨과 같습니다.
- simple
-
클라이언트 시스템이 사용자의 암호를 일반 텍스트로 보내 서버에 바인딩됩니다. 따라서 세션을 IPsec로 보호하지 않으면 암호가 스누핑에 노출될 수 있습니다. simple 인증 방법을 사용할 경우 주요 이점은 모든 디렉토리 서버가 이 인증 방법을 지원하며 설정하기가 쉽다는 것입니다.
- sasl/digest-MD5
-
인증 중 클라이언트의 암호가 보호되지만 세션은 암호화되지 않습니다. digest-MD5의 주요 이점은 인증 중 암호가 일반 텍스트로 전송되지 않으므로 simple 인증 방법보다 더 안전하다는 것입니다. digest-MD5에 대한 자세한 내용을 보려면 IETF 웹 사이트에서 RFC 2831을 검색하십시오. digest-MD5는 cram-MD5보다 향상된 방법입니다.
sasl/digest-MD5를 사용할 경우 인증 보안이 유지되지만 세션은 보호되지 않습니다.
주 - Oracle Directory Server Enterprise Edition을 사용 중인 경우 암호를 일반 텍스트로 디렉토리에 저장해야 합니다. - sasl/cram-MD5
-
LDAP 세션이 암호화되지 않지만 인증 중 클라이언트의 암호가 보호됩니다. 이 인증 방법은 오래된 것이므로 사용하지 마십시오.
- sasl/GSSAPI
-
이 인증 방법은 사용자별 모드와 함께 사용되어 사용자별 조회를 가능하게 합니다. 클라이언트 자격 증명이 있는 사용자별 nscd 세션은 sasl/GSSAPI 방법과 클라이언트의 Kerberos 자격 증명을 사용하여 디렉토리 서버에 바인딩됩니다. 디렉토리 서버에서 사용자 단위로 액세스를 제어할 수 있습니다.
- tls:simple
- tls:sasl/cram-MD5
-
LDAP 세션이 암호화되며 클라이언트가 sasl/cram-MD5를 사용하여 디렉토리 서버에 대해 인증을 수행합니다.
- tls:sasl/digest-MD5
-
LDAP 세션이 암호화되며 클라이언트가 sasl/digest-MD5를 사용하여 디렉토리 서버에 대해 인증을 수행합니다.
 | 주의 - Oracle Directory Server Enterprise Edition에서 digest-MD5를 사용하려면 암호를 암호화 해제된 상태로 저장해야 합니다. sasl/digest-MD5 또는 tls:sasl/digest-MD5 인증 방법을 사용하는 프록시 사용자에 대한 암호는 암호화 해제된 상태로 저장해야 합니다. 이 경우 읽을 수 있는 상태가 되지 않도록 적절한 ACI로 userPassword 속성을 구성하십시오. |
다음 표에는 다양한 인증 방법과 해당 특징이 요약되어 있습니다.
|