공개 키 값 비교

인증 중에 교환된 사용자 및 서버 인증서의 서명은 항상 확인됩니다. 인증서에서 통과한 키 값을 HCLDomino® 디렉토리에 나열된 키 값과 비교하여 확인함으로써 공개 키에 대해 추가적인 확인 레벨을 사용 가능하게 설정할 수 있습니다. 사용자가 서버로 인증할 수 있지만 인증서에 있는 공개 키의 값과 Domino® 디렉토리에 나열된 키 값 사이에 불일치가 있습니다.

이 태스크 정보

이와 같은 추가적인 키 검사 레벨은 손실되었거나 노출된 ID 파일이 잘못 사용되는 것을 방지합니다. 일반적으로 ID 파일이 손실되면 해당 파일 소유자를 등록하여 새 ID 파일과 디렉토리 항목을 작성해야 합니다. 그리고 ID 파일이 노출된 경우 소유자의 공개 키 및 개인 키를 롤오버하고 새 키 집합을 인증해야 하며, 이에 따라 디렉토리 항목을 업데이트해야 합니다. 디렉토리 레벨 키 검사를 사용 가능으로 설정하면 이전 ID 파일이 유효한 인증서를 포함하는 경우에도 이전 ID 파일을 가진 침입자는 해당 파일을 사용하여 서버에 액세스할 수 없습니다.

또한 인증이 성공하지만 불일치가 감지되는 경우 로그 메시지를 생성할지 여부를 제어하는 것을 선택할 수 있습니다. 이렇게 하면 관리자는 ID 파일 내용이 디렉토리 항목과 동기화되지 않을 때 이 사실을 감지하지만 공개 키 불일치로 인해 해당 사용자가 인증되는 것을 방지하지 않고 이 작업을 수행할 수 있습니다.

프로시저

  1. Domino® Administrator에서 구성 탭을 클릭하고 서버 문서를 엽니다.
  2. 보안 탭을 클릭합니다.
  3. 보안 설정 섹션에서 공개 키 비교 옆에 있는 목록을 클릭하고 다음 옵션 중 하나를 선택합니다.
    • 모든 Notes 사용자 및 Domino 서버에 대해 키 검사 수행 - 인증 시 통과된 인증서의 키 값을 Domino® 디렉토리에 저장되어 있는 키 값과 비교합니다. 신뢰된 디렉토리에 없는 사용자 또는 서버는 이 확인 검사를 통과하지 못한 것으로 간주되어 이 서버에 액세스하도록 허용되지 않습니다.
    • 신뢰된 디렉토리에 있는 Notes 사용자 및 Domino 서버에 대해서만 키 검사 수행 - 인증 시 통과한 인증서에 있는 키 값을, 사용자 또는 서버가 신뢰된 디렉토리에 나열된 경우에만 디렉토리에 저장된 키 값과 비교합니다. 신뢰된 디렉토리에 없는 사용자 또는 서버는 이 확인 검사를 통과한 것으로 간주됩니다.
      주: 이 옵션을 통해 관리자는 디렉토리에 없는 사용자에게 서버의 데이터베이스와 애플리케이션에 대한 액세스 권한을 부여할 수 있습니다. 예를 들어, Domino® 디렉토리에 나열된 사용자에게 사용 가능한 편집자 권한을 부여하고 다른 모든 사용자에게는 독자 권한을 부여하도록 데이터베이스에 ACL이 구성되어 있을 수 있습니다. 따라서 이 키 검사 옵션을 사용 가능으로 설정하면 디렉토리에 없는 사용자도 독자 권한만 가지고 서버에 액세스하여 데이터베이스를 사용할 수 있습니다.
    • 키 검사를 수행하지 않음 - 인증 중에 인증서 서명만 확인하고 키를 디렉토리 내용과 비교하여 확인하지 않으려는 경우 이 옵션을 선택합니다.
  4. 공개 키 불일치 로그 옆에 있는 목록을 클릭한 후 다음 옵션 중 하나를 선택합니다.
    • 모든 Notes 사용자 및 Domino 서버에 대해 키 불일치 로그 - 인증 시 통과된 인증서의 키 값이 Domino® 디렉토리에 저장되어 있는 키 값과 일치하지 않을 때 발생하는 이벤트를 로그합니다.
    • 신뢰된 디렉토리에 나열된 Notes 사용자 및 Domino 서버에 대해서만 키 불일치 로그 - 사용자 또는 서버가 신뢰된 디렉토리에 나열된 경우에만 인증 시 통과한 인증서의 키 값이 디렉토리에 저장된 키 값과 불일치할 때 발생하는 이벤트를 로그합니다.
    • 키 불일치를 로그하지 않음 - 인증 실패만 로그합니다.
  5. 서버를 종료한 후 재시작하여 변경사항을 적용합니다. 서버는 매시간 이러한 설정이 변경되었는지 조사하므로, 서버를 재시작하지 않을 경우 1시간이 지난 후에야 새 설정을 적용할 수 있습니다.