1장. 시스템 인증 소개
보안 네트워크 환경을 설정하는 초석 중 하나는 네트워크에 액세스할 권한이 있는 사람들에게만 액세스가 제한되어야 한다는 것입니다. 액세스가 허용되면 사용자가 시스템에 인증할 수 있으므로 ID를 확인할 수 있습니다.
모든 Red Hat Enterprise Linux 시스템에는 사용자 ID를 생성하고 식별하는 데 사용할 수 있는 다양한 서비스가 있습니다. 이러한 파일은 로컬 시스템 파일, Kerberos 또는 Samba와 같은 대규모 ID 도메인에 연결하는 서비스 또는 해당 도메인을 생성하는 툴일 수 있습니다.
이 가이드에서는 관리자가 로컬 시스템의 인증 및 ID를 관리하는 데 사용할 수 있는 몇 가지 일반적인 시스템 서비스와 애플리케이션을 검토합니다. Linux 도메인 생성 및 Linux 시스템을 Windows 도메인에 통합하는 방법에 대한 자세한 정보를 제공하는 기타 가이드를 사용할 수 있습니다.
1.1. 사용자 ID 확인
인증은 ID 를 확인하는 프로세스입니다. 네트워크 상호 작용의 경우 인증에는 다른 당사자가 식별하는 작업이 포함됩니다. 네트워크를 통한 인증을 사용하는 방법에는 간단한 암호, 인증서, 일회성 암호(OTP) 토큰, biometric 스캔 등 여러 가지가 있습니다.
권한 부여 는 인증된 당사자가 수행할 수 있거나 액세스할 수 있는 작업을 정의합니다.
인증에는 사용자가 ID를 확인할 수 있는 일종의 자격 증명을 제공해야 합니다. 필요한 자격 증명의 종류는 사용 중인 인증 메커니즘에 의해 정의됩니다. 시스템의 로컬 사용자에 대한 여러 종류의 인증이 있습니다.
- 암호 기반 인증. 거의 모든 소프트웨어는 사용자가 인식되는 이름과 암호를 제공하여 인증을 허용합니다. 이를 단순한 인증 이라고도 합니다.
- 인증서 기반 인증. 인증서를 기반으로 하는 클라이언트 인증은 SSL 프로토콜의 일부입니다. 클라이언트는 임의로 생성된 데이터에 디지털 서명하고 인증서와 서명된 데이터를 네트워크 전체에서 전송합니다. 서버는 서명의 유효성을 검사하고 인증서의 유효성을 확인합니다.
- Kerberos 인증. Kerberos는 티켓 발행 티켓(TGT) 이라는 수명이 짧은 자격 증명 시스템을 설정합니다. 사용자는 사용자를 식별하고 사용자가 티켓을 발행할 수 있는 시스템을 나타내는 자격 증명(즉, 사용자 이름 및 암호)을 표시합니다. TGT는 웹 사이트 및 이메일과 같은 다른 서비스에 대한 액세스 티켓을 요청하는 데 반복적으로 사용될 수 있습니다. TGT를 사용한 인증은 이러한 방식으로 단일 인증 프로세스만 수행할 수 있습니다.
- 스마트 카드 기반 인증. 이는 인증서 기반 인증의 변형입니다. 스마트 카드(또는 토큰)는 사용자 인증서를 저장합니다. 사용자가 토큰을 시스템에 삽입하면 시스템에서 인증서를 읽고 액세스 권한을 부여할 수 있습니다. 스마트 카드를 사용하는 SSO(Single Sign-On)는 세 단계로 진행됩니다.
- 사용자가 스마트 카드를 카드 리더에 삽입합니다. Red Hat Enterprise Linux의 PAM(Pluggable Authentication Module)은 삽입된 스마트 카드를 감지합니다.
- 시스템은 인증서를 사용자 항목에 매핑한 다음, 인증서 기반 인증에 설명된 대로 개인 키로 암호화되는 스마트 카드의 현재 인증서를 사용자 항목에 저장된 인증서와 비교합니다.
- 인증서가 KDC(키 배포 센터)에 대해 성공적으로 검증되면 사용자가 로그인할 수 있습니다.
스마트 카드 기반 인증은 인증서를 추가 식별 메커니즘으로 추가하고 물리적 액세스 요구 사항을 추가하여 Kerberos에서 설정한 간단한 인증 계층을 기반으로 합니다.
