9.9. 서버 연결 보안
식별된 사용자에 대한 인증 체계와 디렉터리에서 정보를 보호하기 위한 액세스 제어 체계를 설계한 후 다음 단계는 서버와 클라이언트 애플리케이션 간에 전달할 때 정보의 무결성을 보호하는 방법을 설계하는 것입니다.
서버 간 클라이언트 연결 및 서버 연결 모두에서 Directory Server는 다양한 보안 연결 유형을 지원합니다.
- TLS(Transport Layer Security)네트워크를 통해 보안 통신을 제공하기 위해 디렉터리 서버는 TLS(Transport Layer Security)를 통해 LDAP를 사용할 수 있습니다.TLS는 RSA의 암호화 알고리즘과 함께 사용할 수 있습니다. 특정 연결에 대해 선택한 암호화 방법은 클라이언트 애플리케이션과 디렉터리 서버 간의 협상 결과입니다.
- TLS를 시작합니다.Directory Server는 또한 암호화되지 않은 일반 LDAP 포트를 통해 TLS(Transport Layer Security) 연결을 시작하는 방법인 Start TLS를 지원합니다.
- SASL(Simple Authentication and Security Layer)SASL은 보안 프레임워크로, 클라이언트 및 서버 애플리케이션에서 활성화되는 메커니즘에 따라 다양한 메커니즘이 서버에 사용자를 인증할 수 있는 시스템을 설정합니다. 클라이언트와 서버 간에 암호화된 세션을 설정할 수도 있습니다. Directory Server에서 SASL은 GSS-API와 함께 사용하여 Kerberos 로그인을 활성화하고 복제, 체인 및 패스스루 인증을 포함하여 거의 모든 서버에서 서버 연결까지 사용할 수 있습니다. (SASL은 Windows 동기화와 함께 사용할 수 없습니다.)
보안 연결은 복제와 같이 중요한 정보를 처리하고 Windows 암호 동기화와 같은 일부 작업에 필요합니다. Directory Server는 TLS 연결, SASL 및 비보안 연결을 동시에 지원할 수 있습니다.
SASL 인증 및 TLS 연결은 동시에 구성할 수 있습니다. 예를 들어 서버에 TLS 연결이 필요하고 복제 연결에 대해 SASL 인증을 지원하도록 Directory Server 인스턴스를 구성할 수 있습니다. 즉, 네트워크 환경에서 TLS 또는 SASL을 사용할지 여부를 선택할 필요가 없습니다. 둘 다 사용할 수 있습니다.
또한 서버에 대한 연결에 대한 최소 수준의 보안을 설정할 수도 있습니다. 보안 강도 요인은 키 강도로 보안 연결이 얼마나 강력한지 측정합니다. 특정 작업(예: 암호 변경)이 필요한 ACI는 연결이 특정 강도 이상인 경우에만 발생할 수 있습니다. 또한 표준 연결을 기본적으로 비활성화하고 모든 연결에 대해 TLS, Start TLS 또는 SASL이 필요한 최소 SSF를 설정할 수도 있습니다. Directory Server는 TLS 및 SASL을 동시에 지원하며 서버는 사용 가능한 모든 연결 유형의 SSF를 계산하고 가장 중점을 둡니다.
TLS, Start TLS 및 SASL 사용에 대한 자세한 내용은 관리 가이드를 참조하십시오.