55.2. Identity Management의 리소스 기반 위임
리소스 기반 제한 위임(RBCD)은 여러 측면에서 일반적인 제한 위임과 다릅니다.
- 세분화: RBCD에서는 위임이 리소스 수준에서 지정됩니다.
- 액세스 권한 부여 담당: RBCD에서 액세스는 Kerberos 관리자가 아닌 서비스 소유자가 제어합니다.
일반적으로 제한된 위임의 경우 S4U2proxy(S4U2proxy
) 확장 서비스는 사용자를 대신하여 다른 서비스에 대한 서비스 티켓을 받습니다. 두 번째 서비스는 일반적으로 사용자의 권한 부여 컨텍스트에서 첫 번째 서비스를 대신하여 작업을 수행하는 프록시입니다. 제한된 위임을 사용하면 사용자가 전체 TGT( ticket-granting ticket)를 위임할 필요가 없습니다.
IdM(Identity Management)은 일반적으로 Kerberos S4U2proxy
기능을 사용하여 웹 서버 프레임워크가 사용자를 대신하여 LDAP 서비스 티켓을 가져올 수 있도록 합니다.
IdM이 AD(Active Directory)와 통합되는 경우 IdM 프레임워크는 제한된 위임을 사용하여 IdM 및 Active Directory 측의 SMB 및 DCE RPC 엔드 포인트를 포함하여 사용자를 대신하여 작동합니다.
IdM 도메인의 애플리케이션이 다른 서비스에 대해 사용자를 대신하여 작동해야 하는 경우 위임 권한이 필요합니다. 일반적으로 제한된 위임에서는 도메인 관리자가 첫 번째 서비스에서 사용자 자격 증명을 다음 서비스에 위임할 수 있는 규칙을 명시적으로 생성해야 합니다. RBCD를 사용하면 인증 정보가 위임되는 서비스의 소유자가 위임 권한을 생성할 수 있습니다.
IdM-AD 통합의 경우 두 서비스가 동일한 IdM 도메인의 일부인 경우 IdM 측에 RBCD 권한을 부여할 수 있습니다.
현재 IdM 도메인의 서비스만 RBCD 규칙을 사용하여 구성할 수 있습니다. 대상 서비스가 AD 도메인의 일부인 경우 AD 측에서만 권한을 부여할 수 있습니다. AD 도메인 컨트롤러는 IdM 서비스 정보를 확인하여 규칙을 생성할 수 없으므로 현재 지원되지 않습니다.