1장. RHEL에서 IdM 및 액세스 제어 개요
IdM(Identity Management)을 사용하여 ID 관리를 중앙 집중화하고, 보안 제어를 적용하고, 모범 사례 및 보안 정책을 준수하는 방법을 알아보십시오. Linux 및 Windows 환경 모두에서 IdM 구현을 위한 일반적인 고객 시나리오 및 솔루션을 살펴봅니다.
1.1. IdM 소개
IdM(Identity Management)은 Linux 기반 도메인에서 ID 저장소, 인증, 정책 및 권한 부여 정책을 중앙 집중식으로 관리할 수 있는 통합된 방법을 제공합니다.
Red Hat Enterprise Linux에서 IdM의 목표
IdM은 다양한 서비스를 개별적으로 관리하고 여러 시스템에서 서로 다른 툴을 사용하는 관리 오버헤드를 대폭 줄입니다.
IdM은 다음을 지원하는 몇 가지 중앙 집중식 ID, 정책 및 권한 부여 소프트웨어 솔루션 중 하나입니다.
- Linux 운영 체제 환경의 고급 기능
- 많은 Linux 시스템 그룹 통합
- Active Directory와의 기본 통합
IdM은 Linux 기반 및 Linux 제어 도메인을 생성합니다.
- IdM은 기존의 기본 Linux 툴 및 프로토콜을 기반으로 합니다. 자체 프로세스 및 구성이 있지만 기본 기술은 Linux 시스템에 잘 구축되어 있으며 Linux 관리자가 신뢰합니다.
- IdM 서버 및 클라이언트는 Red Hat Enterprise Linux 시스템입니다. 표준 프로토콜을 지원하는 경우 IdM 클라이언트는 다른 Linux 및 UNIX 배포판이 될 수도 있습니다. Windows 클라이언트는 IdM 도메인의 멤버일 수 없지만 AD(Active Directory)에서 관리하는 Windows 시스템에 로그인한 사용자는 Linux 클라이언트에 연결하거나 IdM에서 관리하는 액세스 서비스에 연결할 수 있습니다. 이는 AD와 IdM 도메인 간의 교차 포리스트 신뢰성을 설정함으로써 달성됩니다.
여러 Linux 서버에서 ID 및 정책 관리
IdM 없이: 각 서버는 별도로 관리됩니다. 모든 암호는 로컬 시스템에 저장됩니다. IT 관리자는 모든 시스템에서 사용자를 관리하고 인증 및 권한 부여 정책을 별도로 설정하며 로컬 암호를 유지 관리합니다. 그러나 사용자는 AD와의 직접 통합과 같은 다른 중앙 집중식 솔루션에 의존하는 경우가 많습니다. 여러 가지 솔루션을 사용하여 시스템을 AD와 직접 통합할 수 있습니다.
- 레거시 Linux 툴(사용 권장하지 않음)
- Samba winbind 기반 솔루션 (특정 사용 사례 권장)
- 타사 소프트웨어를 기반으로 하는 솔루션(일반적으로 다른 벤더의 라이센스 필요)
- SSSD 기반 솔루션(기본 Linux 및 대부분의 사용 사례 권장)
With IdM: IT 관리자는 다음을 수행할 수 있습니다.
- ID를 한 곳에서 관리: IdM 서버
- 여러 머신에 동시에 정책을 일관되게 적용
- 호스트 기반 액세스 제어, 위임 및 기타 규칙을 사용하여 사용자에 대해 서로 다른 액세스 수준 설정
- 권한 에스컬레이션 규칙을 중앙에서 관리
- 홈 디렉토리가 마운트되는 방법 정의
Enterprise SSO
IdM Enterprise의 경우 Kerberos 프로토콜을 활용하여 SSO(Single Sign-On)를 구현합니다. 이 프로토콜은 인프라 수준에서 널리 사용되며 SSH, LDAP, NFS, CUPS 또는 DNS와 같은 서비스로 SSO를 활성화합니다. 다양한 웹 스택(Apache, EAP, Django 등)을 사용하는 웹 서비스도 SSO에 Kerberos를 사용하도록 활성화할 수 있습니다. 그러나 연습에 따르면 SSO를 기반으로 OpenID Connect 또는 SAML을 사용하는 것이 웹 애플리케이션에 더 편리합니다. 두 계층을 브리지하려면 Kerberos 인증을 OpenID Connect 티켓 또는 SAML 어설션으로 변환할 수 있는 IdM(Identity Provider) 솔루션을 배포하는 것이 좋습니다. Keycloak 오픈 소스 프로젝트를 기반으로 하는 Red Hat SSO 기술은 이러한 IdP의 예입니다.
IdM 없이: 사용자는 시스템에 로그인하면 서비스 또는 애플리케이션에 액세스할 때마다 암호를 묻는 메시지가 표시됩니다. 이러한 암호는 다를 수 있으며 사용자는 어떤 애플리케이션에 사용할 자격 증명을 기억해야 합니다.
With IdM: 사용자가 시스템에 로그인한 후 자격 증명을 반복적으로 요청하지 않고 여러 서비스 및 애플리케이션에 액세스할 수 있습니다. 이는 다음을 수행하는 데 도움이 됩니다.
- 사용성 향상
- 암호를 기록하거나 안전하지 않게 저장하는 보안 위험을 줄입니다.
- 사용자 생산성 향상
혼합 Linux 및 Windows 환경 관리
IdM 없이: Windows 시스템은 AD 포리스트에서 관리되지만 개발, 생산 및 기타 팀은 많은 Linux 시스템을 보유하고 있습니다. Linux 시스템은 AD 환경에서 제외됩니다.
With IdM: IT 관리자는 다음을 수행할 수 있습니다.
- 네이티브 Linux 툴을 사용하여 Linux 시스템 관리
- Active Directory에서 관리하는 환경에 Linux 시스템을 통합하므로 중앙 집중식 사용자 저장소를 유지합니다.
- 새로운 Linux 시스템을 확장 또는 필요에 따라 쉽게 배포할 수 있습니다.
- 비즈니스 요구에 신속하게 대응하고 지연을 피하는 다른 팀에 의존하지 않고 Linux 인프라 관리와 관련된 의사 결정을 내릴 수 있습니다.
표준 LDAP 디렉터리와 IdM 비교
Red Hat Directory Server와 같은 표준 LDAP 디렉터리는 범용 디렉터리입니다. 광범위한 사용 사례에 맞게 사용자 지정할 수 있습니다.
- 스키마: 사용자, 시스템, 네트워크 엔터티, 물리적 장비 또는 제약과 같은 다양한 항목을 위해 사용자 지정할 수 있는 유연한 스키마입니다.
- 일반적으로 로 사용됩니다. 인터넷에서 서비스를 제공하는 비즈니스 애플리케이션과 같은 다른 애플리케이션의 데이터를 저장하는 백엔드 디렉터리입니다.
IdM에는 내부 내부 ID는 물론 이러한 ID와 관련된 인증 및 권한 부여 정책 등의 특정 목적이 있습니다.
- 스키마: 사용자 또는 시스템 ID 항목과 같이 목적과 관련된 특정 항목 세트를 정의하는 특정 스키마입니다.
- 일반적으로 로 사용됩니다. 엔터프라이즈 또는 프로젝트의 경계 내에서 ID를 관리하는 ID와 인증 서버.
기본 디렉터리 서버 기술은 Red Hat Directory Server 및 IdM 둘 다에서 동일합니다. 그러나 IdM은 기업 내부의 ID를 관리하기 위해 최적화되어 있습니다. 이렇게 하면 일반 확장성이 제한되지만, 단순한 구성, 향상된 리소스 관리 자동화, 향상된 엔터프라이즈 ID 관리 효율성 등의 특정 이점도 누릴 수 있습니다.
