ACL의 허용 가능한 항목
ACL(액세스 제어 목록)에 작성한 항목에 대한 세부사항은 이 주제를 참조하십시오.
ACL의 허용 가능한 항목은 다음과 같습니다.
- 와일드카드 항목
- 사용자, 서버 및 그룹 이름(인터넷 클라이언트의 사용자 및 그룹도 포함됩니다.)
- LDAP 사용자
- 익명 - 익명 인터넷 사용자 권한 및 익명 HCLNotes® 사용자 권한에 사용됨
- 데이터베이스 복제본 ID
각 ACL 항목에 사용되는 문자는 최대 255개입니다.
철저한 보안을 위해 ACL에 이름을 계층 형식으로 추가합니다. 예를 들어, 다음과 같습니다.
Sandra E Smith/West/Renovations/US
Randi Bowker/Sales/FactoryCo
와일드카드 항목
데이터베이스에 대한 일반 액세스를 허용하기 위해 ACL에서 와일드카드 문자(*)를 계층 이름에 입력할 수 있습니다. 공통 이름 및 구성 단위 컴포넌트에 와일드카드를 사용할 수 있습니다.
ACL에 특정 사용자 이름 또는 그룹 이름 항목이 아직 없고, 계층 이름 컴포넌트에 와일드카드가 있는 사용자 및/또는 서버는 해당하는 와일드카드 항목이 지정하는 최상위 액세스 레벨을 부여 받습니다.
다음은 와일드카드 형식으로 된 ACL 항목입니다.
*/Illustration/Production/Renovations/US
이 항목은 선택된 액세스 권한을 다음과 같은 사용자에게 부여합니다.
Mary Tsen/Illustration/Production/Renovations/US
Michael Bowling/Illustration/Production/Renovations/US
이 항목은 선택된 액세스 권한을 다음과 같은 사용자에게 부여하지 않습니다.
Sandy Braun/Documentation/Production/Renovations/US
Alan Nelson/Renovations/US
ACL 항목의 가장 왼쪽 부분에서만 와일드카드를 사용할 수 있습니다. 예를 들어
*/Illustration/*/Renovations/US
항목을 사용하여 다음 사용자를 표시할 수 없습니다.
Michael Bowling/Illustration/West/Renovations/US
Karen Richards/Illustration/East/Renovations/US
와일드카드 ACL 항목을 사용할 때, 사용자 유형을 "지정되지 않음", "혼합 그룹", 또는 "사용자 그룹"으로 설정하십시오.
사용자 이름
인증된 Notes® 사용자 ID를 가지고 있는 개인의 이름을 ACL에 추가하거나, 이름과 비밀번호 또는 SSL 클라이언트 인증으로 인증하는 인터넷 사용자 이름을 ACL에 추가할 수 있습니다.
- Notes® 사용자의 경우, 데이터베이스를 저장한 서버와 사용자가 같은 계층 구조 조직에 있는지 여부와 상관없이 각 사용자에 대해 전체 계층 이름을 입력합니다(예: John Smith/Sales/Renovations).
- 인터넷 사용자의 경우, 사용자 문서의 사용자 이름 필드에 첫번째 항목으로 나타나는 이름을 입력합니다. 주: 많은 별명 이름을 사용자 이름 필드에 입력하여 인증에 사용할 수 있지만, 보안 권한 부여 검사 수행 시에는 첫번째로 나열되는 이름이 사용됩니다. 첫 번째 이름이 서버 문서의 보안 설정 및 .ACL 파일, 모든 HCLDomino® 데이터베이스 ACL에서 사용되어야 합니다.
서버 이름
ACL에 서버 이름을 추가하여 데이터베이스가 데이터베이스 복제본에서 수신하는 변경사항을 제어할 수 있습니다. 보다 철저한 보안을 위해, 추가하는 서버 이름이 데이터베이스를 저장한 서버와 다른 계층 구조 조직에 있는지 여부와 상관없이 서버의 전체 계층 이름을 사용하십시오(예: Server1/Sales/Renovations).
그룹 이름
ACL에 그룹 이름(예: Training)을 추가하여 동일한 액세스 권한이 필요한 다중 사용자 또는 서버를 표시할 수 있습니다. 사용자는 기본 계층 이름을 가진 그룹에 나열되어야 합니다. 또한 그룹은 구성원으로서 와일드카드 항목을 가질 수 있습니다. ACL에서 그룹 이름을 사용하기 전에 먼저 HCLDomino® 디렉토리에 그룹을 작성하거나, 디렉토리 보조자 데이터베이스에서 그룹 권한을 부여하기 위해 구성된 보조 Domino® 디렉토리와 외부 LDAP 디렉토리 중 하나에 그룹을 작성해야 합니다.
그룹을 사용하면 데이터베이스 ACL 관리가 편리해집니다. ACL에서 그룹을 사용 시 다음과 같은 장점이 있습니다.
- ACL에 개별적인 이름의 긴 목록을 추가하지 않고 하나의 그룹 이름을 추가할 수 있습니다. 하나의 그룹이 두 개 이상의 ACL에 나열될 경우, 다중 데이터베이스에 개별 이름을 추가하고 삭제하는 대신 Domino® 디렉토리 또는 LDAP 디렉토리에서 그룹 문서를 수정합니다.
- 여러 사용자 또는 서버에 대한 액세스 레벨을 변경해야 할 경우, 그룹 전체에서 한 번에 변경할 수 있습니다.
- 그룹 이름을 사용하여 그룹 구성원의 책임을 표시하거나 부서 또는 회사의 조직을 표시합니다.
종료 그룹
직원이 퇴사하면 Domino® 디렉토리의 모든 그룹에서 이름을 제거한 후 서버에 대한 액세스를 거부하는 데 사용할 "거부 목록만" 그룹에 이름을 추가해야 합니다. 서버 문서의 "액세스 거부" 목록에는 Domino® 서버에 더 이상 액세스할 수 없는 Notes® 사용자 및 그룹 이름이 들어 있습니다. 또한 조직의 모든 데이터베이스 ACL에서 만료된 직원 이름을 삭제해야 합니다. Domino® 디렉토리에서 사용자를 삭제할 때 액세스 거부 그룹이 작성된 경우 액세스 거부 그룹에 삭제된 사용자 추가 옵션이 있습니다. (액세스 거부 그룹이 없는 경우, 액세스 거부 그룹을 선택하지 않았거나 사용할 수 없습니다 대화 상자가 나타납니다.)
LDAP 사용자
보조 LDAP 디렉토리를 사용하여 인터넷 사용자 인증을 확인할 수 있습니다. 그러면 데이터베이스 ACL에 인터넷 사용자 이름을 추가하여 데이터베이스에 대한 사용자 권한을 제어할 수 있습니다.
또한 인터넷 사용자 이름이 들어 있는 그룹을 보조 LDAP 디렉토리에 작성한 후, Notes® 데이터베이스 ACL에 그룹을 항목으로 추가할 수 있습니다. 예를 들어, 인터넷 사용자가 Domino® 웹 서버의 데이터베이스에 액세스할 때 웹 서버가 사용자를 인증하고 ACL에 "Web" 그룹이 들어 있는 경우, 서버는 1차 Domino® 디렉토리에서 항목을 검색할 수 있으며 외부 LDAP 디렉토리에서 "Web" 그룹의 인터넷 사용자 이름을 찾을 수 있습니다. 이런 작업이 가능하려면, 웹 서버의 디렉토리 보조자 데이터베이스는 [Group Expansion] 옵션이 사용 가능으로 설정된 LDAP 디렉토리의 LDAP 디렉토리 보조자 문서를 포함해야 합니다. 또한 데이터베이스 ACL 검사를 위해 외부 LDAP 디렉토리 그룹에 저장된 Notes® 사용자 이름을 찾는 데 이 기능을 사용할 수 있습니다.
LDAP 디렉토리 사용자 또는 그룹의 이름을 데이터베이스 ACL에 추가할 때, 이름에는 LDAP 형식을 사용하지만 쉼표(,)가 아닌 슬래시(/)를 구분 기호로 사용하십시오. 예를 들어 LDAP 디렉토리에 있는 사용자 이름이 다음과 같은 경우,
uid=Sandra Smith,o=Renovations,c=US
데이터베이스 ACL에 다음을 입력하십시오.
uid=Sandra Smith/o=Renovations/c=US
ACL에 비계층 LDAP 디렉토리 그룹 이름을 입력하려면, 속성 이름이 아닌 속성값만 입력해야 합니다. 예를 들어 LDAP 그룹의 비계층 이름이 다음과 같은 경우,
cn=managers
ACL에 다음을 입력하십시오.
managers
계층 그룹 이름을 입력하려면, LDAP 속성 이름을 ACL 항목에 포함하십시오. 예를 들어 그룹의 계층 이름이 다음과 같은 경우,
cn=managers,o=acme
ACL에 다음을 입력하십시오.
cn=managers/o=acme
지정한 속성 이름이 Notes®에 사용된 이름(cn, ou, o, c)과 정확히 일치할 경우, ACL이 속성을 표시하지 않습니다.
예를 들어 ACL에 다음 이름을 입력할 경우,
cn=Sandra Smith/ou=West/o=Renovations/c=US
속성이 Notes®에 사용된 것과 정확히 일치하므로 ACL에 이름이 다음과 같이 표시됩니다.
Sandra Smith/West/Renovations/US
LDAP 사용자를 위한 허용 가능한 ACL 항목
LDAP DN |
ACL 항목 |
---|---|
|
|
|
주: LDAP 이름에 백슬래시가 있고 그 뒤에 다른 문자가 있는 경우, 데이터베이스 ACL에 이름을 지정할 때 백슬래시를 제외하고 이름을 지정하십시오. |
|
|
|
|
익명
서버는 인증 없이 서버에 처음 액세스한 사용자 또는 서버를 "Anonymous"로 인식합니다. Anonymous 데이터베이스 액세스 권한은 서버에서 인증되지 않은 인터넷 사용자와 Notes® 사용자에게 제공됩니다.
익명 액세스는 일반적으로 일반 대중이 사용할 수 있는 서버에 위치한 데이터베이스에서 사용됩니다. 액세스 제어 목록에서 Anonymous를 이름으로 입력하고 적합한 액세스 권한을 지정하여 익명 사용자나 서버에 허용되는 데이터베이스 액세스 권한을 조정할 수 있습니다. 일반적으로 익명 사용자에게 데이터베이스에 대한 독자 권한을 할당합니다.
모든 데이터베이스 템플리트(.NTF 파일)에 대한 기본 ACL 항목의 Anonymous는 독자 액세스 레벨을 가지고 있으므로, 사용자나 서버는 템플리트 기반의 .NSF 파일을 작성하거나 새로 고칠 때 템플리트를 성공적으로 읽을 수 있습니다.
데이터베이스(.NSF) 파일에 대한 기본 ACL 항목의 Anonymous는 "권한 없음"입니다.
인터넷 프로토콜에 사용 가능한 익명 액세스 |
인터넷 프로토콜에 사용할 수 없는 익명 액세스 | |
---|---|---|
데이터베이스 ACL에서 사용 가능한 익명 액세스 |
사용자는 Anonymous 항목의 액세스 레벨을 가진 데이터베이스에 액세스합니다. 예를 들어 익명 액세스가 독자로 설정되는 경우, 데이터베이스에 액세스하는 익명 사용자는 독자 권한이 허용됩니다. |
사용자가 서버 자원에 액세스하려는 경우, 인증을 확인할지 묻는 메시지가 나타납니다. 사용자가 데이터베이스에 나열되지 않은 경우(그룹 항목, 와일드카드 항목을 통해 나열되거나 사용자 이름이 명시적으로 나열된 경우), 사용자는 -Default- 항목의 액세스 레벨로 데이터베이스에 액세스합니다. |
데이터베이스 ACL에 "권한 없음"이 부여된 익명 |
Anonymous에 "권한 없음"이 부여된 경우(그리고 공용 문서 읽기 및 쓰기 권한이 사용 불가능한 경우), 익명 사용자는 데이터베이스에 액세스할 수 없으며 인증을 확인할지 묻는 메시지가 나타납니다. 인증을 확인할 때, 데이터베이스 ACL에서 이름을 검사하여 부여할 데이터베이스 액세스 레벨을 결정합니다. | |
데이터베이스 ACL에 나열되지 않은 익명 |
익명 사용자는 -Default- 항목의 액세스 레벨로 데이터베이스에 액세스합니다. 예를 들어 -Default- 액세스가 독자로 설정되고 ACL에 Anonymous 항목이 없는 경우, 데이터베이스에 액세스하는 익명 사용자는 독자 권한이 부여됩니다. |
자신의 액세스 레벨로 액세스할 수 없는 데이터베이스에서 수행을 시도하는 익명 사용자(익명 항목을 통해 데이터베이스에 대한 액세스 권한이 부여된 사용자와 -Default- 항목을 통해 권한을 갖고 있는 사용자 모두)에게 인증 요구 메시지가 나타납니다. 예를 들어 Anonymous가 독자로 설정되고 익명 사용자가 새 문서를 작성할 경우, 이름과 비밀번호로 인증하라는 메시지가 나타납니다.
Domino® 서버는 액세스 제어 검사를 위해서만 Anonymous 그룹 이름을 사용합니다. 예를 들어 Anonymous가 데이터베이스 ACL에서 작성자 권한을 가질 경우, 사용자의 실제 이름이 문서의 작성자 필드에 나타납니다. Domino® 서버는 문서의 작성자 필드에 익명 Notes® 사용자의 실제 이름만 표시할 수 있지만, 익명 인터넷 사용자에 대해서는 표시할 수 없습니다. 익명 액세스 사용 여부에 상관없이 작성자 필드는 보안 기능을 갖지 않으며, 보안상 작성자 이름이 유효해야 하는 경우 해당 문서에 서명해야 합니다.
복제본 ID
데이터베이스의 에이전트가 @DbColumn 또는 @DbLookup을 사용하여 다른 데이터베이스에서 데이터를 검색할 수 있으려면, 에이전트가 들어 있는 데이터베이스의 복제본 ID를 검색할 데이터가 포함된 데이터베이스의 ACL에 입력하십시오. 에이전트가 들어 있는 데이터베이스는 검색할 데이터가 포함된 데이터베이스에 대해 독자 이상의 권한을 가지고 있어야 합니다. 두 개의 데이터베이스는 동일한 서버에 있어야 합니다. 예를 들어, 데이터베이스 ACL에 있는 복제본 ID는 85255B42:005A8fA4
입니다. 대문자나 소문자로 복제본 ID를 입력할 수 있지만 따옴표를 사용할 수 없습니다.
복제본 ID를 ACL에 추가하지 않은 경우, 사용자 데이터베이스의 -Default- 액세스 레벨이 독자 이상이면 다른 데이터베이스는 여전히 데이터를 검색할 수 있습니다.
ACL 항목 평가 순서
ACL 항목을 특정 순서로 평가하여 데이터베이스에 액세스하려는 인증된 사용자에게 부여할 액세스 레벨을 결정할 수 있습니다. 사용자가 서버에서 인증에 실패하였지만 서버가 액세스를 허용한 경우, 사용자 이름이 "Anonymous"인 것처럼 액세스가 계산됩니다.
- ACL은 우선 사용자 이름을 확인하여, 사용자 이름이 ACL의 명시적 항목과 일치하는지 확인합니다. ACL은 일치하는 모든 사용자 이름을 검사합니다. 예를 들어, Sandra E Smith/West/Renovations는 Sandra E Smith/West/Renovations/US 및 Sandra E Smith 항목과 일치합니다. 개별 사용자의 서로 다른 두 개의 항목이 다른 액세스 레벨을 가지는 경우(예: 다른 관리자가 다른 시간에 적용함), 데이터베이스에 액세스하려는 사용자는 ACL에 있는 해당 사용자에 대한 두 항목의 액세스 권한을 합친 권한과 최상위 액세스 레벨을 부여 받습니다. 주: 예를 들어 ACL에 공통 이름만 입력한 경우(예: Sandra E Smith), 사용자 이름과 데이터베이스 서버가 동일한 도메인 계층에 있어야만 항목이 일치합니다. 예를 들어, 사용자가 계층 이름이 Sandra E Smith/West/Renovations인 Sandra E Smith이고, 데이터베이스 서버는 Manufacturing/FactoryCo인 경우, Sandra E Smith 항목은 Manufacturing/FactoryCo 서버에서 ACL에 대한 올바른 액세스 레벨을 갖지 못합니다. 사용자가 다른 도메인의 서버에서 ACL에 대한 올바른 액세스 레벨을 얻으려면 이름을 전체 계층 형식으로 입력해야 합니다.
- 사용자 이름에 일치된 것이 없는 경우, ACL은 일치될 가능성이 있는 그룹 이름 항목이 있는지 확인합니다. 데이터베이스에 액세스하려는 개별 사용자에게 일치하는 둘 이상의 그룹 항목이 있는 경우(예: 사용자가 영업부 직원이고 영업부에 Renovations Sales와 Sales Managers 두 개의 항목이 있는 경우), 개별 사용자는 ACL에 있는 해당 그룹에 대한 두 항목의 액세스 권한을 합친 권한과 최상위 액세스 레벨을 부여 받습니다.주: 사용자가 ACL의 명시적 항목에 일치하고 ACL에 나열된 그룹의 구성원일 경우, 그룹 액세스 레벨이 더 높더라도 사용자는 항상 명시적 항목에 할당된 액세스 레벨을 갖게 됩니다.
- 그룹 이름에 일치하는 항목이 없는 경우, ACL은 일치 가능성이 있는 와일드카드 항목이 있는지 확인합니다. 데이터베이스에 액세스하려는 개별 사용자가 두 개 이상의 와일드카드 항목과 일치하는 경우, 개별 사용자는 일치되는 모든 와일드카드 항목의 액세스 권한을 합친 권한 및 최상위 액세스 레벨을 부여 받습니다.
- 데이터베이스에 액세스하려는 사용자에게 그룹 항목과 와일드카드 항목이 모두 적용되는 경우, 해당 사용자는 그룹 항목에 지정된 액세스 권한을 가집니다. 예를 들어, Sales 그룹이 독자 권한을 가지고 와일드카드 항목 */West/Renovations가 관리자 권한을 가지고 있으며 두 개의 항목이 모두 사용자에게 적용되는 경우, 사용자는 데이터베이스에 대한 독자 권한을 가집니다.
- 마지막으로 데이터베이스 ACL 항목 간에 일치하는 항목이 없는 경우, 개별 사용자는 -Default- 항목에 정의된 액세스 레벨을 부여 받습니다.