1장. RHEL에서 IdM 및 액세스 제어 개요
IdM(Identity Management)을 사용하여 ID 관리를 중앙 집중화하고, 보안 제어를 적용하고, 모범 사례 및 보안 정책을 준수하는 방법을 알아보십시오. Linux 및 Windows 환경 모두에서 IdM 구현을 위한 일반적인 고객 시나리오 및 솔루션을 살펴봅니다.
1.1. IdM 소개
IdM(Identity Management)은 Linux 기반 도메인에서 ID 저장소, 인증, 정책 및 권한 부여 정책을 중앙 집중식으로 관리할 수 있는 통합된 방법을 제공합니다.
Red Hat Enterprise Linux의 IdM 목표
IdM은 다양한 서비스를 개별적으로 관리하고 다른 시스템에서 다른 툴을 사용하는 관리 오버헤드를 크게 줄입니다.
IdM은 다음을 지원하는 소수의 중앙 집중식 ID, 정책 및 권한 부여 소프트웨어 솔루션 중 하나입니다.
- Linux 운영 체제 환경의 고급 기능
- 대규모 Linux 머신 그룹 통합
- Active Directory와의 기본 통합
IdM은 Linux 기반 및 Linux 제어 도메인을 생성합니다.
- IdM은 기존 네이티브 Linux 툴 및 프로토콜을 기반으로 합니다. 자체 프로세스 및 구성이 있지만 기본 기술은 Linux 시스템에 제대로 설정되고 Linux 관리자가 신뢰합니다.
- IdM 서버 및 클라이언트는 Red Hat Enterprise Linux 시스템입니다. IdM 클라이언트는 표준 프로토콜을 지원하는 경우 다른 Linux 및 UNIX 배포판일 수도 있습니다. Windows 클라이언트는 IdM 도메인의 멤버일 수 없지만 AD(Active Directory)에서 관리하는 Windows 시스템에 로그인한 사용자는 Linux 클라이언트에 연결하거나 IdM에서 관리하는 액세스 서비스에 연결할 수 있습니다. 이 작업은 AD 및 IdM 도메인 간에 크로스est 트러스트를 설정하여 수행됩니다.
여러 Linux 서버에서 ID 및 정책 관리
IdM 없음: 각 서버를 별도로 관리합니다. 모든 암호는 로컬 시스템에 저장됩니다. IT 관리자는 모든 시스템에서 사용자를 관리하고 인증 및 권한 부여 정책을 별도로 설정하고 로컬 암호를 유지 관리합니다. 그러나 사용자가 다른 중앙 집중식 솔루션에 의존하는 경우가 많을수록 AD와 직접 통합할 수 있습니다. 시스템은 여러 가지 솔루션을 사용하여 AD와 직접 통합될 수 있습니다.
- 기존 Linux 툴(사용 안 함)
- Samba winbind 기반 솔루션(특정 사용 사례에 권장)
- 타사 소프트웨어를 기반으로 하는 솔루션 (일반적으로 다른 공급 업체의 라이센스가 필요)
- SSSD를 기반으로 하는 솔루션(기본 Linux 및 대부분의 사용 사례에 권장되는)
IdM 사용: IT 관리자가 다음을 수행할 수 있습니다.
- IdM 서버 한 곳에서 ID를 유지 관리
- 여러 대의 컴퓨터에 동시에 정책을 일관되게 적용하십시오.
- 호스트 기반 액세스 제어, 위임 및 기타 규칙을 사용하여 사용자에 대해 다른 액세스 수준을 설정합니다.
- 권한 에스컬레이션 규칙 중앙 관리
- 홈 디렉터리 마운트 방법 정의
Enterprise SSO
IdM Enterprise의 경우 SSO(Single Sign-On)는 Kerberos 프로토콜을 활용하여 구현됩니다. 이 프로토콜은 인프라 수준에서 널리 사용되고 있으며 SSH, LDAP, NFS, CUPS 또는 DNS와 같은 서비스를 사용하여 SSO를 활성화합니다. 다양한 웹 스택을 사용하는 웹 서비스(Apache, EAP, Django 등)도 SSO에 Kerberos를 사용하도록 활성화할 수 있습니다. 그러나 실제로 SSO 기반 OpenID Connect 또는 SAML을 사용하는 것이 웹 애플리케이션에 더 편리하다는 것을 보여줍니다. 두 계층을 브리지하려면 Kerberos 인증을 OpenID Connect 티켓 또는 SAML 어설션으로 변환할 수 있는 IdM(Identity Provider) 솔루션을 배포하는 것이 좋습니다. Keycloak 오픈 소스 프로젝트를 기반으로 하는 Red Hat SSO 기술은 이러한 IdP의 예입니다.
IdM 없음: 사용자가 서비스 또는 애플리케이션에 액세스할 때마다 시스템에 로그인하고 암호를 입력하라는 메시지가 표시됩니다. 이러한 암호는 다를 수 있으며 사용자는 어떤 애플리케이션에 사용할 인증 정보를 기억해야 합니다.
IdM: 사용자가 시스템에 로그인한 후 자격 증명을 반복적으로 요청하지 않고도 여러 서비스와 애플리케이션에 액세스할 수 있습니다. 이 도움말은 다음과 같습니다.
- 유용성 개선
- 암호 쓰기가 중단되거나 안전하지 않게 저장된 보안 위험을 줄일 수 있습니다.
- 사용자 생산성 향상
혼합 Linux 및 Windows 환경 관리
IdM 없음: Windows 시스템은 AD forest에서 관리되지만 개발, 프로덕션 및 기타 팀에는 많은 Linux 시스템이 있습니다. Linux 시스템은 AD 환경에서 제외됩니다.
IdM 사용: IT 관리자가 다음을 수행할 수 있습니다.
- 기본 Linux 툴을 사용하여 Linux 시스템 관리
- Active Directory에서 관리하는 환경에 Linux 시스템을 통합하므로 중앙 집중식 사용자 저장소를 유지합니다.
- 새로운 Linux 시스템을 확장하거나 필요에 따라 쉽게 배포할 수 있습니다.
- 비즈니스 요구에 신속하게 대응하고 다른 팀에 종속되지 않고 Linux 인프라 관리와 관련된 결정을 내릴 수 있습니다.
표준 LDAP 디렉터리와 IdM 비교
Red Hat Directory Server와 같은 표준 LDAP 디렉토리는 범용 디렉터리입니다. 다양한 사용 사례에 맞게 사용자 지정할 수 있습니다.
- 스키마: 사용자, 시스템, 네트워크 엔티티, 물리적 장비 또는 빌딩과 같은 광범위한 항목에 대해 사용자 지정할 수 있는 유연한 스키마입니다.
- 일반적으로 인터넷에서 서비스를 제공하는 비즈니스 애플리케이션과 같은 다른 애플리케이션의 데이터를 저장하는 백엔드 디렉터리입니다.
IdM은 이러한 ID와 관련된 내부 및 엔터프라이즈 ID와 인증 및 권한 부여 정책 등의 특정 목적을 가지고 있습니다.
- 스키마: 사용자 또는 시스템 ID 항목에 대한 항목 등 해당 용도와 관련된 특정 항목 세트를 정의하는 특정 스키마입니다.
- 일반적으로 엔터프라이즈 또는 프로젝트의 경계 내에서 ID를 관리하는 ID 및 인증 서버로 사용됩니다.
기본 디렉터리 서버 기술은 Red Hat Directory Server 및 IdM 모두에서 동일합니다. 그러나 IdM은 회사 내부의 ID를 관리하기 위해 최적화되어 있습니다. 이를 통해 일반적인 확장성을 제한하지만 특정 이점, 간편한 구성, 리소스 관리 향상, 엔터프라이즈 ID 관리 효율성 향상 등의 이점을 제공합니다.