Active Directory AD와 SSO(Single sign on)

출처: AD와 SSO(Single sign on) : 네이버 블로그 (naver.com)

 

 Joel ・ 2019. 6. 9. 23:15

URL 복사  이웃추가 

본문 기타 기능

Active Directory(이하 AD)를 이해하기 위해서 먼저 봐야할 개념 중 하나가 바로 SSO(Single Sign On)이다. 어느 기업이나 규모가 커지면 SSO가 이슈가 되는데, SSO는 쉽게 말하면 중앙 서버에서 인증을 처리하는 것이다. 즉 한 곳에서 계정의 인증을 처리하고, 어떤 곳에서 이 인증이 유효한지도 관리하는 것이 간단한 의미의 SSO 개념이다. 위키백과에서는 이를 '통합 인증'이라고 표현하고 있다.

https://ko.wikipedia.org/wiki/%ED%86%B5%ED%95%A9_%EC%9D%B8%EC%A6%9D

 

통합 인증 - 위키백과, 우리 모두의 백과사전

통합 인증 통합 인증 ( 영어 : Single Sign-On; SSO )은 한 번의 인증 과정으로 여러 컴퓨터 상의 자원을 이용 가능하게 하는 인증 기능이다. 싱글 사인온 , 단일 계정 로그인 , 단일 인증 이라고 한다. 예를 들어 어느 컴퓨터에 로그인한 후 그룹웨어 등의 응용 프로그램을 사용할 때에 또 로그인, 다른 서버상의 응용 프로그램을 사용할 때에도 다시 로그인이 필요한 상황이라면, 사용자는 여러 개의 아이디와 비밀번호를 관리해야 한다. 통합인증을 도입한 환경에서는 사용자는 하나의 아이디와 비밀번호로 모든 기능을 사용할 수 ...

ko.wikipedia.org

AD를 배포한다는 것은 사내에 SSO를 할 수 있는 환경을 만든다는 것과도 같은 말인데, AD는 표준 프로토콜을 사용하기 때문에 윈도우가 아닌 OS를 사용하는 경우에도 쿼리나 커맨드에 문제가 없다는 장점이 있다. 그럼 SSO 관점에서 중요한 용어 몇 가지를 살펴보자.

​

1. Authentication(인증)

- 어떤 시스템의 구성원으로 등록되어있는지를 확인하는 과정

​

2. Authorization(허가)

- 인증 이후에 해당 사용자가 특별한 작업을 할 수 있는지를 판단하는 과정

​

1) right(권한): administrator가 부여할 수 있음

- 시스템에 작업을 요청할 수 있는지 없는지 >> 시스템 종료, 네트워크 접근, 소유권 이전 등

​

2) permission(사용 권한): 개체의 소유자가 부여할 수 있음

- 리소스(파일 등)에 대한 read, write를 수행할 수 있는지 >> file/folder 읽기, 쓰기 등

​

이를테면 소유권 이전에 대한 right가 있어야 파일의 소유권을 가져와서 permission을 부여할 수 있다.

​

3. Encryption(암호화)

​

1) Symmetric key(대칭키)

- 암호화와 복호화에 사용되는 키가 같은 방식

​

2) Asymmetric key(비대칭키): 인증(서)기반기술(Public Key Infrastructure; PKI)

- 각자가 공개키와 개인키를 갖고 있는 형태. 어떤 호스트에 데이터를 보낼때 해당 호스트의 공개키를 받아와서 그 공개키로 암호화한 데이터를 보내면 호스트는 개인키로 복호화해서 사용하는 방식

​

※ https에서 인증서를 제공하는 작업은 언제하는가?

클라이언트가 서버에 접속한 후 공개키를 받아와서 자신의 대칭키를 해당 공개키로 암호화해서 데이터와 함께 보낸다.

 

4. Directory

​

AD에서 directory는 폴더를 가리키는 용어가 아니다. 비유하자면 전화번호부 같은 개념인데, active라는 단어가 붙은 이유는 동적으로 정보가 계속 변경될 수 있기 때문이다(전화번호부는 새 본이 나올 때까지 정보가 변경되지 않는다). 따라서 무언가에 대한 전체 정보를 담고 있으면서 수정가능한 시스템이 바로 AD가 되는 것이다. 이는 개념적으로는 특별하다고 보기 힘든데, 그렇기 때문에 Microsoft Windows에서는 Active Directory로 구현하고 명명했지만 다른 운영체제에서는 아래와 같이 표현한다.

​

- Novell - eDirectory

- UNIX - OpenLDAP

- Apple - OpenDirectory

 

즉 AD의 기본적인 컨셉은 IT 분야에서 동일하게 사용된다고 볼 수 있다.

​

5. Domain vs WorkGroup

- 인증을 누가 할 것인가?

​

1) Domain

- 중앙의 ID 서버에 연결해서 해당 ID로 계정들을 관리하는 개념

- AD 서버를 구성하고 ID 체계를 사용하는 것을 domain에 join한다고 표현

- 하나의 장소에서 보안관련 모든 인증을 처리함

- Domain Controller에 이상이 있으면 모든 인증체계가 마비됨(일반적으로 복수 개의 DC를 생성)

​

2) WorkGroup

- 각각의 개별 컴퓨터들이 계정과 암호를 따로 관리하는 방식(인증과 허가 체계가 개별이 됨)

- 소규모 그룹에서 적절한 시스템

- Mirrored account 방식으로 단점을 보완

- 한 곳에서 바꾸면 전체 컴퓨터에서 변경이 일어남

[출처] AD와 SSO(Single sign on)|작성자 Joel