Windows 인증을 허용하도록 FCC를 구성하는 방법

목차
casso12kr
목차
Single Sign-On
FCC(양식 자격 증명 수집기)는 CA Services에서 사용자 지정 인증 체계를 안전하게 트리거할 수 있도록 되어 있습니다. 따라서 FCC는 모든 인증 체계에 대해 사용자를 인증할 수 있습니다. 그러나 FCC는 기본적으로 Windows 인증 체계에 대해서는 인증하지
않습니다
. 이 덕분에 특정 구성에서 공격자가 FCC를 이용하여 유효한 Windows 사용자에 대해
Single Sign-On
세션을 생성하는 문제가 발생하지 않습니다.
운영 환경에서 FCC를 사용하여 Windows 인증 체계에 대해 인증해야 하는 경우 EnableFCCWindowsAuth 에이전트 구성 매개 변수를 지정하면 됩니다. 그러나 FCC에서 Windows 인증을 지원하도록 설정하기 전에 이로 인한 리스크 요소를 검토하고 보안에 취약한 구성에 대해 알아야 합니다.
SM--SSO--Configure FCC for Windows Authentication.png
 
Windows 인증을 허용하도록 FCC를 구성할 경우의 리스크 요소
기본적으로 FCC는 Windows 인증 체계에 대해 인증하지 않습니다. FCC에서 Windows 인증을 허용하도록 설정할 수는 있습니다. 그러나 이렇게 하면 특정 구성에서 공격자가 FCC를 사용하여 유효한 Windows 사용자에 대해
Single Sign-On
세션을 생성하는 문제가 발생할 수 있습니다.
HTML 양식으로 보호된 영역과 Windows로 보호된 영역 둘 다에 같은
Single Sign-On
에이전트 이름 또는 에이전트 그룹 이름이 사용되는 구성의 경우 이런 리스크에 노출됩니다. 예를 들면 단일 웹 에이전트가 HTML 양식 및 Windows 인증을 사용하여 구성된 여러 영역을 보호하도록 설정된 경우입니다.
다음 예제 시나리오를 검토하십시오.
  • Resource A는 HTML 양식 인증을 사용하여 보호된 영역에 구성되어 있습니다. FCC는 Resource A에 액세스하는 사용자에게 HTML 양식을 사용하여 인증을 요청합니다.
  • Resource B는 Windows 인증을 사용하여 보호된 영역에 구성되어 있습니다. Resource B에 액세스하는 사용자는 Windows 인증을 완료합니다.
  • 두 리소스 모두 같은 IIS 서버에서 호스트되고 같은 웹 에이전트에 의해 보호됩니다. 따라서 두 영역 모두 같은 에이전트 이름으로 구성됩니다.
다음과 같이 공격이 발생합니다.
  1. 공격자가 HTML 양식의 TARGET 매개 변수를 "Resource A"에서 "Resource B"로 수정합니다.
  2. 공격자가 유효한 Windows 사용자 이름으로 양식을 제출합니다.
  3. FCC가 인증을 위해 사용자 이름을 정책 서버에 전달합니다.  
    Single Sign-On
    에서 HTML 양식 인증 체계 대신 Windows 인증 체계를 실행하고 사용자 이름 유효성이 확인됩니다.
그 결과,
Single Sign-On
세션이 사용자에게 반환되어 새 세션이 유효하다고 간주되는 모든 후속 요청에 대해 Single Sign-On이 활성화됩니다. 이제 공격자는 Windows 사용자 이름이 FCC에 제출된 사용자를 가장합니다.
Windows 인증을 허용하도록 FCC 구성
Windows 인증을 허용하도록 FCC를 구성하려면 다음 에이전트 구성 매개 변수를 지정합니다.
  • EnableFCCWindowsAuth
    FCC로 사용되는 에이전트가
    Single Sign-On
    Windows 인증 체계에서 보호하는 리소스에 대해 사용자를 인증할 수 있는지 여부를 지정합니다.
    이 매개 변수는 다음과 같은 값을 사용합니다.
    • Yes - FCC에서 Windows 인증 체계에 대해 인증할 수 있습니다.
      중요!
      이 매개 변수를 Yes로 설정하면 공격자가 필수 자격 증명을 제공하지 않고 FCC를 이용하여 Windows 사용자를 가장할 수 있습니다.
    • No - FCC에서 Windows 인증 체계에 대해 인증할 수 없습니다.
    기본값:
    No