웹 클라이언트 액세스에서 서버 파일 보호

파일 보호 문서는 사용자가 웹 브라우저를 통해 액세스할 수 있는 데이터베이스형이 아닌 파일에 대한 액세스를 제어합니다. 데이터베이스 파일에 액세스할 수 있는 사용자의 이름과 사용자가 갖는 액세스 레벨을 지정하는 데이터베이스 파일(.NSF) 액세스 제어 목록(ACL)과 마찬가지로(HTML, JPEG 및 GIF와 같이), 브라우저 사용자가 액세스할 수 있는 유형의 파일에 대한 액세스 레벨과 이러한 파일에 액세스할 수 있는 사용자의 이름을 지정함으로써 이 파일에 대한 보호를 집행할 수 있습니다.

이 태스크 정보

파일 보호 문서는 초기 서버 시작 중에 Domino® 디렉토리에 작성됩니다. 이 문서는 관리자에게 Domino® 디렉토리에 대한 쓰기, 읽기 및 실행 권한을 제공합니다. 다른 사용자에게는 권한 없음을 할당합니다. 파일 보호 문서는 파일에 대한 웹 클라이언트의 액세스 권한을 제어하여 서버의 하드 드라이브에서 파일을 보호하는 보안 기능입니다. 파일에 액세스할 수 있는 사용자의 액세스 레벨 및 이름을 포함하여 브라우저 사용자가 액세스할 수 있는 파일의 파일 시스템 보안을 강화할 수 있습니다.

주: 파일 보호를 CGI 스크립트에도 적용할 수 있지만, 파일 보호는 이러한 스크립트가 액세스하는 다른 파일까지 확장되지는 않습니다. 예를 들어 "Web Admins" 그룹에 대한 액세스를 제한하는 CGI 스크립트에 파일 보호를 적용할 수 있습니다. 그러나 CGI 스크립트가 실행되어 다른 파일을 열거나 또는 다른 스크립트를 실행하기 위해 불러오는 경우, 파일 보호 문서는 "Web Admins"이 추가 파일에 대한 액세스 권한을 가졌는지 여부를 알 수 없습니다.

그러나 파일 보호는 다른 파일에 액세스하는 파일에 적용됩니다(예: 이미지 파일을 여는 HTML 파일). 사용자에게 HTML 파일에 대한 액세스 권한이 있지만 HTML 파일이 사용하는 JPEG 파일에 대한 액세스 권한은 없는 경우, Domino®는 사용자가 TML 파일을 열 때 JPEG 파일을 표시하지 않습니다.

Domino® 웹 서버 및 기타 애플리케이션(예: 메일 데이터베이스)에서 사용되는 기본 이미지 파일 및 Java 애플릿이 들어 있는 다음 디렉토리에 대한 액세스 권한을 제한하는 파일 보호 문서를 작성하지 마십시오.

  • 다음 경로를 사용하여 웹 브라우저를 통해 Domino\data\domino\java에 액세스

    http://server/domjava

  • 다음 경로를 사용하여 웹 브라우저를 통해 Domino\data\domino\icons에 액세스

    http://server/icons

디렉토리 또는 개별 파일에 대해 파일 보호 문서를 작성할 수 있습니다. 디렉토리에 대해 정의된 보호는 모든 하위 디렉토리가 이어받습니다. 파일 보호 문서를 웹 사용자에게 액세스 가능한 모든 디렉토리에 대해 설정해야 합니다. 파일 보호 문서가 없는 파일 및 파일 디렉토리는 웹 브라우저를 사용하는 모든 사용자가 액세스할 수 있습니다.

주: 데이터베이스(.NSF) 파일을 보호하기 위해 파일 보호 문서를 사용할 필요가 없습니다. 그러나 데이터베이스 ACL을 대신 사용합니다.

웹 사이트 문서의 파일 보호를 작성하려면

이 태스크 정보

특정 웹 사이트에 대한 파일 보호 문서를 만듭니다. 이 파일 보호 문서는 해당 특정 웹 사이트에만 적용됩니다.

파일 보호 문서가 제공하는 보안은 제한적입니다. Domino® 보안 기능(예: 데이터베이스 ACL)을 사용하여 중요한 정보를 보호하십시오.

프로시저

  1. Domino® Administrator에서 구성 > > 인터넷 사이트를 선택합니다.
  2. 파일 보호를 작성하고자 하는 웹 사이트 문서를 엽니다.
  3. 웹 사이트를 클릭하고 파일 보호 작성을 선택합니다.
  4. 기본사항을 클릭하고 다음 필드를 완료합니다.
    1. 기본사항 탭 필드

    필드

    조치

    설명

    현재 문서와 사용자가 작성하는 다른 문서를 구분하는 이름을 입력합니다.

    디렉토리 또는 파일 경로

    액세스를 제한하고자 하는 디렉토리나 파일 경로를 지정합니다. 드라이브명을 포함하는 완전한 경로 형식(예: c:\domino\data\domino\cgi-bin)이거나 또는 서버의 데이터 디렉토리에 대한 상대적인 경로(예:domino\cgi-bin)를 입력해야 합니다.

    Current®액세스 제어 목록

    지정한 파일 또는 디렉토리에 액세스할 수 있는 사용자와 그룹, 허용된 액세스 종류를 표시합니다. 데이터베이스 ACL과 마찬가지로, 액세스 제어 목록은 항상 -Default- 항목으로 작성되며 "권한 없음"으로 설정되고 사용자가 수정할 수 있습니다. 데이터베이스 ACL과 같이, 액세스 목록에 나열되지 않은 사용자는 기본 액세스 레벨을 받습니다.

    액세스 제어 목록 설정/수정
    액세스 제어 목록에 사용자를 추가하려면 액세스 제어 목록 설정/수정을 클릭합니다. Domino® 디렉토리에서 사용자 이름 또는 그룹을 선택하거나, 이름 필드에 이름을 입력합니다. 다음 중 하나를 선택하십시오.
    • 읽기/실행 액세스 권한(GET 메소드)
    • 쓰기/읽기/실행 액세스 권한(POST 및 GET 메소드)
    • 액세스 권한 없음
    추가를 클릭하여 액세스 제어 목록에 항목을 추가합니다.

    GET으로 사용자는 디렉토리에서 파일을 열고 프로그램을 시작할 수 있습니다. 일반적으로 POST는 CGI 프로그램으로 데이터를 전송하는데 사용되므로, CGI 프로그램이 들어 있는 디렉토리에만 POST 액세스 권한을 부여하십시오. [권한 없음]은 지정된 사용자나 그룹에 대한 액세스를 금지합니다.

    목록에서 항목을 제거하려면, 해당 항목을 선택하고 지우기를 클릭합니다.

    사용자가 익명 액세스 권한으로 서버에 연결하는 경우, [이름] 필드에 Anonymous를 입력하고 적합한 액세스 권한을 할당하십시오.

    주: LDAP 디렉토리에 있는 사용자 이름을 입력하고자 할 경우, 쉼표 구분자를 슬래시로 대체해야 합니다. 쉼표를 구분자로 하는 이름은 입력하지 않습니다.

    예를 들어 다음 이름 형식을 가진 LDAP 사용자: 

    cn=Anthony Jones,l=westford,o=renovations.com

    는 다음과 같이 파일 보호 문서의 액세스 목록에 입력되어야 합니다.

    cn=Anthony Jones/l=westford/o=renovations.com
  5. 관리를 클릭하고 소유자관리자 필드를 완료합니다. 기본적으로, 로그인할 때 사용한 관리자 이름은 두 개의 필드에 모두 할당한 이름입니다.
  6. 문서를 저장합니다.
  7. 다음 명령어를 입력하여 설정을 새로 고칩니다.

    tell http refresh

파일 보호 문서의 필드에 이러한 설정을 지정하면, 웹 사용자 그룹의 모든 사용자가 파일을 열고 c:\notes\data\domino\html 디렉토리의 프로그램을 시작할 수 있습니다.

경로: c:\notes\data\domino\html

액세스: 웹 사용자 그룹(GET)

액세스: - 기본값 - (액세스 권한 없음)

"secret.htm" 파일은 notes\data\domino\html 서브디렉토리에 있습니다. 이 파일에 대한 웹 사용자 그룹 구성원의 액세스를 금지할 수 있으며, 사용자 Joe Smith에게만 액세스를 허용합니다. 이렇게 하려면, 다음 설정값으로 추가 파일 보호 문서를 작성하십시오.

경로: c:\notes\data\domino\html\secret.html

액세스: - 기본값 - (액세스 권한 없음)

액세스: Joe Smith(GET)