가장에 대한 보안 고려 사항
목차
casso127kkr
목차
가장 주체의 세션 사양은 임의 고객의 세션 사양과 같이 처리됩니다. 주요 차이점은 가장 주체의 고유 이름과 가장 주체가 원래 인증된 사용자 디렉터리가 추가 필드로 제공된다는 점입니다. 추가 필드는 다음을 수행합니다.
- 가장된 모든 리소스 액세스가 추가 확인을 통해 전달되도록 합니다.
- 정책 서버가 감사를 위해 가장된 활동을 기록합니다.
가장된 세션 사양은 가장 체인을 방지하는 데도 사용됩니다. 정책 서버는 가장 주체 DN 및 사용자 디렉터리의 필드가 사용 중인 것으로 확인될 추가 가장을 허용하지 않고 로그인 시도를 거부합니다. 따라서 여러 가장 주체가 동시에 같은 가장 대상을 가장하여 제한된 리소스에 액세스할 수 없게 됩니다.
인증 체계 보호 수준의 효과
가장 주체가 원래 인증된 보호 수준은 가장 중에 확인되지 않습니다. 일반적으로는 더 높은 수준에서 인증 체계가 보호하는 새 영역의 리소스에 액세스할 때 사용자에게 새 자격 증명이 요청됩니다. 그러나 가장 주체는 권한 있는 사용자이므로 가장 세션 중에는 이러한 유형의 요청이 발생하지 않습니다. 보호 수준은 영역의 리소스에 액세스하는 데 사용되는 자격 증명의 강도를 나타내기 위한 것입니다. 가장 중에 가장되는 사용자에 고유한 자격 증명은 없습니다. 따라서 가장 수준은 고려되지 않습니다.
참고:
가장된 세션이 종료되면 보호 수준이 정상적으로 적용됩니다.세션 유휴 시간 만료
가장된 세션 도중 가장 주체의 원래 세션이 만료될 수 있습니다. 이는 가장 주체가 원래 인증되었던 영역의 유휴 시간 만료 값에 따라 결정됩니다. 가장 주체가 원래 유휴 시간 만료 값을 초과하면 가장 세션이 가장 주체의 원래 세션과 함께 종료됩니다. 이 문제를 방지하려면 가장 주체가 일반적으로 인증되는 영역의 세션 유휴 만료 시간을 늘리십시오.
가장 제한
가장을 수행하려면 가장 주체 및 가장 대상이 가장 영역의 정책에 바인딩되어야 합니다 가장 주체 정책은 ImpersonateStart 이벤트에 대해 호출되는 규칙이 있어야 하며, 가장 대상 정책은 ImpersoanteStartUser 이벤트에 대해 호출되어야 합니다.
가장 영역 및 이벤트
가장은 가장 프로세스를 시작하도록 구성된 영역에서 시작됩니다. 가장 주체가 가장 영역의 리소스를 요청하면 가장 주체가 가장 인증 체계의 인증을 받게 됩니다. 체계는 가장 주체에게 양식을 통해 자격 증명을 요구합니다. 일반적인 사용자 이름과 암호를 요구하지 않고, 대신 양식은 가장 주체가 가장 대상의 사용자 이름을 제공할 것을 요청합니다. 양식의 FCC 파일 내에는 암호를 가장 주체의 현재 세션 사양으로 설정하는 로직이 있습니다.
정책 서버는 가장 인증 체계를 사용하여 가장 주체의 현재 세션이 유효한지 확인합니다. 그런 다음 정책 서버는 가장 영역과 관련된 정책 도메인에 포함된 디렉터리에서 가장될 사용자를 찾으려고 시도합니다. 정책 서버가 사용자를 찾으면 인증이 진행됩니다.
정책 서버가 디렉터리에서 가장을 찾으면 해당 가장 주체가 가장할 권한이 있는지, 그리고 가장 대상이 가장될 수 있는지 여부를 확인합니다. 이러한 권한은 정책, 규칙 및 두 가장 이벤트를 사용하여 구성 및 시행됩니다.
가장 이벤트는 인증 및 권한 부여 이벤트와 유사하지만 피동적으로 호출되지 않습니다. 정책은 가장 주체와 가장 대상을 모두 가장 주체 이벤트 규칙에 명시적으로 바인딩해야 합니다. 정책이 없거나 해당 가장 주체 및 가장 대상에 대한 가장 주체 이벤트 규칙을 포함하지 않는 경우 가장은 허용되지 않습니다.
가장은 가장 이벤트에 대한 정책 및 규칙을 사용하여 임의 영역에서 허용 또는 허용되지 않을 수 있습니다. 영역은 모든 가장을 허용하지 않거나 가능한 가장 주체 및 가장 대상을 제한하도록 구성될 수 있습니다.