1장. 시스템 인증 소개
보안 네트워크 환경을 설정하는 초석 중 하나는 권한이 있는 사용자로 액세스가 제한되도록 하는 것입니다. 액세스가 허용되면 사용자가 시스템에 인증하여 ID를 확인할 수 있습니다.
모든 Red Hat Enterprise Linux 시스템에서 사용자 ID를 생성하고 관리하는 다양한 서비스를 사용할 수 있습니다. 여기에는 로컬 시스템 파일, Kerberos 또는 Samba와 같은 대규모 ID 도메인에 연결하는 서비스 또는 해당 도메인을 생성하는 도구가 포함될 수 있습니다.
1.1. 사용자 ID 확인
인증은 ID를 확인하는 프로세스입니다. 네트워크 상호 작용을 위해 인증은 다른 당사자에 의해 한 당사자의 식별을 포함합니다. 간단한 암호, 인증서, 암호 없는 방법, 일회성 암호(OTP) 토큰 또는 생체 인식 스캔과 같은 네트워크를 통한 인증을 사용하는 방법에는 여러 가지가 있습니다.
권한 부여는 인증된 당사자가 수행하거나 액세스할 수 있는 작업을 정의합니다.
인증을 사용하려면 사용자가 ID를 확인하기 위해 일종의 자격 증명을 제공해야 합니다. 필요한 인증 정보는 사용 중인 인증 메커니즘에 의해 정의됩니다. 시스템의 로컬 사용자를 위한 몇 가지 종류의 인증이 있습니다.
- 암호 기반 인증
- 거의 모든 소프트웨어는 인식된 사용자 이름과 암호를 제공하여 사용자를 인증할 수 있습니다. 이를 간단한 인증이라고도 합니다.
- 인증서 기반 인증
- 인증서를 기반으로 하는 클라이언트 인증은 SSL(Secure Sockets Layer) 프로토콜의 일부입니다. 클라이언트는 무작위로 생성된 데이터에 디지털 서명하고 네트워크를 통해 인증서와 서명된 데이터를 모두 보냅니다. 서버는 서명을 확인하고 인증서의 유효성을 확인합니다.
- Kerberos 인증
- Kerberos는 TGT( ticket-granting ticket)라고 하는 단기 자격 증명 시스템을 설정합니다. 사용자는 사용자를 식별하고 사용자에게 티켓을 발행할 수 있는 시스템을 나타내는 자격 증명(즉, 사용자 이름 및 암호)을 제공합니다. 그런 다음 TGT를 반복적으로 사용하여 웹사이트 및 이메일과 같은 다른 서비스에 대한 액세스 티켓을 요청할 수 있습니다. Kerberos를 사용한 인증은 이러한 방식으로 단일 인증 프로세스만 수행할 수 있습니다.
- 스마트 카드 기반 인증
이는 인증서 기반 인증의 변형입니다. 스마트 카드(또는 토큰)는 사용자 인증서를 저장합니다. 사용자가 토큰을 시스템에 삽입하면 시스템이 인증서를 읽고 액세스 권한을 부여합니다. 스마트 카드를 사용하는 싱글 사인온은 다음 세 단계를 거칩니다.
- 사용자는 카드 리더에 스마트 카드를 삽입합니다. Red Hat Enterprise Linux의 PAM(Pluggable Authentication Module)은 삽입된 스마트 카드를 감지합니다.
- 시스템은 인증서를 사용자 항목에 매핑한 다음, 인증서 기반 인증에 설명된 대로 개인 키로 암호화된 스마트 카드의 제공된 인증서를 사용자 항목에 저장된 인증서와 비교합니다.
- 키 배포 센터(KDC)에 대해 인증서가 성공적으로 검증되면 사용자가 로그인할 수 있습니다.
스마트 카드 기반 인증은 인증서를 ID 메커니즘으로 추가하고 물리적 액세스 요구 사항을 추가하여 Kerberos에서 설정한 간단한 인증 계층을 기반으로 합니다. 자세한 내용은 스마트 카드 인증 관리를 참조하십시오.
- 일회성 암호 인증
- 일회성 암호는 인증 보안을 위한 추가 단계를 가져옵니다. 인증에서는 자동으로 생성된 암호와 함께 암호를 사용합니다. 자세한 내용은 Identity Management의 OTP(One time password) 인증을 참조하십시오.
- 외부 ID 공급자
- OAuth 2 장치 권한 부여 흐름을 지원하는 외부 ID 공급자(IdP)와 사용자를 연결할 수 있습니다. 이러한 사용자가 RHEL 9.1 이상에서 사용할 수 있는 SSSD 버전으로 인증하면 외부 IdP에서 인증 및 권한 부여를 수행한 후 Kerberos 티켓을 사용하여 RHEL IdM(Identity Management) SSO 기능을 수신합니다. 자세한 내용은 외부 ID 공급자를 사용하여 IdM 인증을 참조하십시오.