접근제어, LDAP

문제2) 접근 제어(Access Control) 의 통제정책과 경량 디렉토리 엑세스 프로토콜(LDAP:Lightweight Directory Access Protocol)의 인증흐름(Flow)에 대하여 설명하시오.

 

답)

 

 

1. 인가된 주체만이 객체 접근, 접근 통제 개요

 

사용자(주체)의 신원을 식별/인증하여 대상정보(객체)의 접근, 사용수준을 인가(Authorization)하는 기법으로 접근통제 정책, 매커니즘, 모델로 구성

 

2. 접근 통제 정책

가. 접근통제 정책의 원칙

원칙	내용
최고 권한 부여	사용자들이 업무를 수행하기 위하여 꼭 필요한 권한만을 가지도록 접근 권한을 부여
최대 권한의 정책	데이터 공유의 장점을 증대 시키기 위하여 적용하는 최대 가용성 원리에 기반
직무 분리의 원칙	보안/감사, 개발/생산, 암호키 관리/변경 등 직무에 따라 접근 권한 분리

 

나. 접근통제 정책의 유형

유형	개념도	설명	주체
MAC(Mandatory Access Control)		강제적 접근통제, 규칙 기반 접근 통제,관리자 사전 정의된 규칙(Rule)을 기반으로 주체(Subject)에게 허영된 접근 권한과 객체에 부여된 허용 등급을 비교하여 접근 통제	시스템
DAC(Discretionary Access Control)		임의적 접근통제, ACL(Access Control List), 사용자 소유권과 권한 주체의 신분에 근거하여 객체에 대한 접근 통제, 주체가 자신이 소유한 객체에 대해 다른 주체의 접근 권한 임의 설정 가능	사용자
RBAC(Role-Based Access Control)		역할 기반(임무 기반) 접근통제 사용자의 역할에 기반을 두고 접근을 통제하는 정책, 주체가 역할이라는 추상화 단계를 거쳐 객체의 접근 권한을 부여	상요자역할

 

3. 디렉토리 엑세스 프로토콜(LDAP:Lightweight Directory Access Protocol)의 인증흐름(Flow)

가. 디렉토리 엑세스 프로토콜(LDAP) 개념

• 네트워크 상에서 조직이나 개인정보 혹은 파일이나 디바이스 정보 등을 찾아보는 것을 가능하게 만든 소프트웨어 프로토콜
• 네트워크 상의 디렉토리 서비스 표준인 X.500의 DAP(Directory Access Protocol)를 기반으로 한 경량화(Lightweight) 된 DAP버전

 

나. 디렉토리 엑세스 프로토콜(LDAP) 의 인증흐름(Flow)

(1) 원격 사용자는 SSH, TELNET 또는 기타 로그인 유틸리티를 통해 Junos OS 를 실행하는 디바이스에 로그인

(2) LDAPs 클라이언트(Junos OS 를 실행하는 장치)는 TLS 프로토콜 요청을 상요하여 LDAPS 인증 서버와 TCP 연결을 구축

(3) 클라이언트가 TLS 응답을 수신하면 클라이언트와 서버가 ID를 인증

(4) LDAPS 클라이언트는 bind 요청(binddn 및 bindpw) 을 사용하여 LDAPS 서버에서 구성된 프록시 계정을 사용하여 스스로 인증

(5) bind 작업이 성공하면 LDAPS 서버는 LDAPS 클라이언트에 있음을 인정

(6) 그런 다음 LDAPS 클라이언트는 로그인하려고 하는 사용자의 로그인 자격 증명과 함께 인증 요청을 LDAPS서버로 전송

(7) 인증이 성공하면 LDAPS 클라이언트가 사용자에게 로그인 성공에 대해 통보합니다. 사용자의 권한 부여 데이터는 나중에 인증을 적용하는데 사용되는 파일에 저장

(8) 클라이언트는 LDAPS 서버로 연결 종료

 

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥