ID 볼트 작동 방식
이 주제에서는 공통 볼트 작업에 대해 설명합니다.
처음에 ID가 볼트에 업로드되는 방식
볼트의 신뢰도를 인증하는 볼트 신뢰 인증서를 사용자 ID의 상위 인증자가 발급했거나 관련 사용자의 유효한 정책에 볼트 이름을 지정하는 보안 설정 문서가 있는 경우 사용자 ID를 볼트에 업로드할 수 있습니다.
등록할 새 사용자가 이러한 조건을 충족하면 사용자 등록 과정에서 ID가 볼트로 업로드됩니다. Notes® 설정 프로그램에서는 사용자가 홈 서버에서 처음 인증을 수행할 때 ID 파일을 Notes® 클라이언트에 복사합니다.
기존 사용자에 대해 위 조건이 충족되는 경우 사용자 ID의 사본이 Notes® 클라이언트에서 저장소로 자동 업로드됩니다.
Notes® 클라이언트의 ID 사본이 볼트 사본과 동기화되는 방법
사용자가 Notes® 클라이언트에서 비밀번호를 변경하거나 인터넷 인증서를 추가하는 등의 ID를 변경할 경우 해당 변경사항을 볼트의 ID 사본에 적용해야 합니다. 비밀번호를 재설정하는 경우처럼 볼트에서 ID 사본을 변경하면 이 변경사항은 Notes® 클라이언트에 적용되어야 합니다.
ID의 로컬 사본을 볼트 사본과 동기화하기 위해 클라이언트는 볼트 복제본이 있는 서버의 목록을 홈 서버에 요청합니다. 홈 서버를 사용할 수 없거나 홈 서버가 버전 8.5 이상을 실행하지 않는 경우, 목록 제공을 위해 클라이언트는 홈 서버 클러스터에서 서버를 검색합니다. 서버는 임의 순서로 목록을 반환하여 볼트 서버 간의 동기화를 로드 밸런싱합니다. 요청이 충족될 때까지 클라이언트는 반환된 목록에서 각 볼트 서버를 시도합니다. 우수한 성능을 위해 클라이언트는 응답하는 첫 번째 볼트 서버의 위치를 캐시에 저장합니다. 이 캐시는 로드 밸런싱 유지관리를 위해 정기적으로 삭제됩니다.
사용자가 클라이언트에서 ID 파일을 변경하거나, ID를 전환하거나, 비밀번호 재설정 후에 새 비밀번호를 제공하는 경우, 클라이언트는 즉시 동기화를 시도합니다. 그렇지 않은 경우 다음과 같이 동기화가 수행됩니다.
- 클라이언트가 변경사항을 정기적으로 검사합니다(일반적으로 8시간마다). 아침에 클라이언트를 시작할 때 볼트 서버에 요청이 집중되는 것을 막기 위해 클라이언트는 클라이언트를 시작한 시간부터 최초 8시간 내 임의의 시간에 최초 검사를 수행합니다.
- 예를 들어, 클라이언트가 8.5 서버에 연결할 수 없어 확인 또는 동기화 작업에 대한 시도가 실패하면 5분 간격으로 최대 세 번까지 재시도됩니다. 계속 실패할 경우, 다음 8시간 이후에 확인 작업이 재시작됩니다.
- 자주 시작되고 종료되는 클라이언트가 정기적으로 볼트를 검사하도록 하기 위해 클라이언트가 세 번 시작 및 종료된 경우 동기화 여부를 검사한 후 24시간이 지났다면 시작 후 약 5분 동안 검사 작업이 수행됩니다.
여러 ID 사본 전체에서 새 비밀번호가 동기화되는 방법
볼트 또는 클라이언트와 같은 장소에서 사용자 ID의 비밀번호가 변경된 경우, 볼트와의 동기화를 위해 클라이언트가 네트워크에 연결할 수 있다면 사용자가 임의의 클라이언트에서 새 비밀번호를 제공할 수 있습니다. 사용자는 각 클라이언트 워크스테이션에서 비밀번호를 변경하거나 한 클라이언트 워크스테이션에서 다른 워크스테이션으로 ID 파일을 복사할 필요가 없습니다. 클라이언트가 네트워크에 연결되지 않은 경우, 연결될 때까지 사용자가 기존 비밀번호를 계속 사용할 수 있습니다.
ID 복구가 볼트에서 작동하는 방식
사용자의 컴퓨터에 있는 ID 파일이 삭제되면 ID 사본이 볼트에서 Notes® 클라이언트로 다운로드됩니다. 복구는 클라이언트가 네트워크에 연결되는 경우 다음 번에 사용자가 Notes®를 통해 ID 파일에 액세스할 때 발생합니다.
공유 로그인 사용 ID가 볼트에서 작동하는 방식
공유 로그인 사용 사용자 ID는 볼트에 저장할 수 있습니다. ID 복구 방법이나 ID를 도난당한 경우 대처하는 방법은 비공유 로그인 사용 ID의 경우와 다릅니다.
ID 파일 복구 - 공유 로그인 사용 ID가 사용자의 컴퓨터에서 삭제되었거나 해당 ID의 로컬 파일 이름이 변경된 경우에는 볼트에 있는 ID 사본에 대해 Notes® 비밀번호를 재설정해야 합니다. 재설정 후에는 다음 작업이 수행됩니다.
- 다음에 사용자가 Notes®를 시작할 때 새 비밀번호를 입력해야 합니다.
- 사용자가 새 비밀번호를 입력하면 ID 파일의 복사본이 클라이언트에서 볼트로 다운로드됩니다.
- 다운로드가 완료된 후 사용자 정책에서 공유 로그인을 사용하도록 요구하는 경우, 공유 로그인에 사용할 수 있도록 로컬 ID가 다시 사용 가능으로 설정되어 사용자는 더 이상 비밀번호를 입력하지 않아도 됩니다. 사용자 정책에서 공유 로그인 사용이 선택사항인 경우, [사용자 보안] 창을 통해 기능을 다시 사용 가능으로 설정해야 합니다.
ID를 도난당한 경우 - 비공유 로그인 사용 ID가 도난당한 것으로 의심되면 ID의 비밀번호를 재설정하고, 이 ID의 키를 롤오버하며, 서버 키 검사를 사용 가능으로 설정해야 합니다. 이 작업을 수행하면 다른 사람이 무단으로 도난당한 ID를 사용하는 것을 차단할 수 있습니다. 해당 사용자는 볼트에 있는 ID 복사본에서 새 키를 가져올 때 새 비밀번호가 필요하다는 사실을 모릅니다.
공유 로그인 사용 ID는 볼트에서 사용되는 Notes® 비밀번호를 사용하는 대신, 로컬 ID 파일의 비밀 키를 사용하여 보호된다는 점이 비공유 로그인 사용 ID와 다릅니다. ID는 공유 로그인이 사용 가능으로 설정된 컴퓨터에서만 사용할 수 있습니다. 공유 로그인 사용 ID가 있는 컴퓨터를 도난당한 경우, 사용자 정책에서 공유 로그인을 사용 불가능으로 설정하고, 모든 볼트 서버에 정책을 강제로 복제한 다음, 비공유 로그인 사용 ID의 경우처럼 응답을 수행하고(비밀번호 재설정, 키 롤오버, 서버 키 검사 활성화), 사용자 정책에서 공유 로그인을 다시 사용 가능으로 설정하십시오.
볼트에서 ID 이름 변경 및 키 롤오버를 수행하는 방법
[사용자 보안] 창을 통해 이름 변경을 요청하는 사용자(볼트에 있는 ID를 가진 사용자)에게는 변경사항을 승인하는 옵션이 제공되지 않습니다. 이름 변경을 허용하기 전에 사용자의 승인 요청 옵션을 사용할 수 없으며, 서버에서 이름 변경이 탐지되면 클라이언트-볼트 동기화 중에 변경사항이 클라이언트 ID 사본에 자동으로 적용됩니다.
볼트에 있는 ID를 가진 사용자는 [사용자 보안] 창을 통해 키 롤오버를 요청할 수 없으며, 관리자만 정책 환경 설정을 통해 키 롤오버를 시작할 수 있습니다. 클라이언트 ID 사본의 키 롤오버는 서버에서 키 롤오버가 탐지될 때 클라이언트-볼트 동기화 중에 자동으로 수행되며, 새로운 키의 승인 여부를 사용자에게 물어보지 않습니다.