자격 추적

Domino 12.0부터는 Domino 도메인 전체에서 개별 사용자의 가장 높은 자격을 수집하는 새로운 내부 메커니즘이 제공됩니다. 독자 권한 이상이 있는 사용자가 데이터베이스의 ACL에 표시되고 해당 사용자가 서버에 액세스하는 권한이 있는 경우의 사용자를 권한이 있는 사용자라고 합니다.

예를 들면 Dana Smith/Renovations는 비용 보고 애플리케이션 expenses.nsf에 대한 작성자 권한이 있습니다. 서버의 보안 설정 액세스 허용에서는 서버에 액세스하는 */Renovations 권한이 허용됩니다. 따라서 Dana Smith/Renovations는 작성자 권한이 있는 자격이 있는 사용자로 간주합니다.

각 Domino 12 서버에서는 하루에 한 번 정도 서버의 모든 데이터베이스를 스캔하고 자격이 있는 각 사용자의 가장 높은 액세스 레벨을 수집합니다. 예를 들어 서버 A의 경우:
  • Dana Smith/Renovations의 권한: expenses.nsf에 대한 작성자 권한, AcmeSales.nsf에 대한 독자 권한 및 자신의 메일 파일 DanaSmith.nsf에 대한 편집자 권한.
  • Richard Smith/Renovations의 권한: expenses.nsf 에 대한 작성자 권한 및 AcmeSales.nsf에 대한 디자이너 권한.
  • Gary Smith/GS Consulting은 AcmeSales.nsf에 대한 독자 권한이 있습니다.
해당 스캔을 완료한 후 서버 A에서 추적하는 내용:
  • Dana Smith/Renovations는 편집자가 자신의 가장 높은 액세스 레벨인 자격이 있는 사용자입니다.
  • Richard Smith/Renovations는 디자이너가 자신의 가장 높은 액세스 레벨인 자격이 있는 사용자입니다.
  • Gary Smith/GS Consulting은 독자 권한이 데이터베이스 ACL에 표시되지만 서버에 액세스하는 권한이 없기 때문에 자격이 있는 사용자가 아닙니다.

서버에서 자격을 추적하는 방법

Domino 설치 프로그램에서 템플리트 설치: entitlementtrack.ntf을 펼치십시오. Domino 서버 업데이트 태스크에서는 서버와 연동하여 서버의 숨겨진 시스템 데이터베이스 entitlementtrack.ncf을(를) 작성하고 관리합니다. entitlementtrack.ncf에는 서버의 Domino 디렉토리에 있는 모든 사용자에 대해 자격이 있는 각 사용자의 가장 높은 액세스 레벨을 추적하는 문서가 있습니다. 각 문서에는 자격이 있는 사용자의 가장 높은 액세스 레벨 외에 이 사용자를 찾은 첫 번째 데이터베이스와 사용자에게 자격이 있는 가장 높은 액세스 레벨이 부여되는 방법과 같은 확증 사실이 들어 있습니다. 예: "사용자 Dana Smith/Renovations는 ACL에 이름이 명시적으로 표시되므로 DanaSmith.nsf 데이터베이스에 편집자 권한이 있습니다." 또는: "사용자 Richard Smith/Renovations는 AcmeSales.nsf 데이터베이스에 액세스하는 디자이너 권한이 있는 AppDesigners 그룹의 구성원이므로 이 데이터베이스에 디자이너 권한이 있습니다." 12.0.2부터 데이터베이스에서는 다음 예제와 같이 사용자가 추적된 서버에 인증된 마지막 날짜/시간 및 사용자가 서버에 연결할 때 사용한 프로토콜도 추적합니다.

1. 자격 추적 프로그램 데이터의 샘플 데이터
이름 가장 높은 액세스 권한 데이터베이스에 부여됨 ACL 항목에 의해 부여됨 마지막 액세스 유형
Aaliyah Click/Guitars 편집자 mail3/aclick.nsf(MusicMan) Aaliyah Click/Guitars(명시적) 8/10/2022 오후 4:14 HTTP
Alexander School/Guitars 관리자 cscancfg.nsf(Gibson) LocalDomainAdmins(그룹) 7/28/2022 오전 9:03 HTTP
Alexis Rose/Guitars 편집자 mail2/arose.nsf(MusicMan) Alexis Rose/Guitars(명시적) 8/10/2022 8:54 NRPC
Amy Andrews/Guitars 관리자 specs/NewFeatures.nsf(Fender) LocalDomainAdmins(그룹) 7/24/2022 0:00 NRPC
Autumn Blakely/Guitars 편집자 mail4/arose.nsf(Gibson) Autumn Blakely/Guitars(명시적) 8/4/2022 오후 7:39 LDAP
Barack Wall/Guitars 편집자 mail1/bwall.nsf(Gibson) Barack Wall/Guitars(명시적) 7/24/2022 0:00 NRPC
Boyd Webber/Guitars 편집자 mail1/bwebber.nsf(Fender) Boyd Webber/Guitars(명시적) 8/10/2022 8:54 NRPC

추적하는 사용자

다음 사용자가 추적됩니다.
  • 디렉토리에 있는 인증된 사용자. 인증을 신뢰할 수 있는 모든 디렉토리 있는 모든 사용자가 추적됩니다. 이 추적은 Domino 디렉토리에 있는 사용자, LDAP 디렉토리에 정의된 사용자 또는 두 가지 사용자 모두의 조합만큼 간단할 수 있습니다. 각 서버에 고유한 디렉토리 구성이 있을 수 있으므로 각 서버에 고유한 사용자 세트가 있을 수 있습니다.
  • 디렉토리에 없는 인증된 사용자. 디렉토리에 없는 사용자가 서버에 성공적으로 연결하고 데이터베이스에 액세스한 경우 추적된 사용자 목록에 추가됩니다. 이 경우의 예는 HTTP를 통해 서버에 액세스하는 교차 인증된 사용자입니다.
  • 디렉토리에 없는 ACL의 사용자. 서버의 보안 설정이 제한적이지 않은 경우(예: "모든 사용자에게 이 서버 액세스 허용")에는 규정된 액세스 레벨이 데이터베이스에 있는 모든 사용자를 자격이 있는 사용자로 간주하여 적절히 추적합니다.

추적하지 않는 사용자

다음 엔티티는 추적되지 않습니다.
  • Servers
  • "서버 액세스 허용됨" 목록에 포함되지 않았거나 "서버 액세스 허용되지 않음"에서 명시적으로 액세스가 거부되어서 서버에 액세스할 수 없는 사용자.
  • 라우팅 목적만의 사용자 문서(예: Notes 인증서가 없고 HTTP 비밀번호가 없는 사용자 문서).

사용자를 추적하는 시점

서버에서는 권한이 있는 사용자를 매일 스캔하지만, 사용자 추적 문서는 자격이 변경될 때만 추적 데이터베이스에서 업데이트됩니다. 예를 들어 Dana Smith/Renovations의 메일 파일 액세스 권한이 편집자에서 관리자로 변경되면 다음 스캔에서 추적 문서가 업데이트되어 자격의 변경사항을 반영합니다.

그룹, 와일드카드 및 -Default- 액세스 권한

자격은 개별 사용자 레벨에서 추적되지만 Domino 관리자는 일반적으로 Domino 또는 LDAP 그룹과 와일드카드를 사용하여 서버와 데이터베이스에 대한 사용자 액세스를 제어합니다. 자격 수집기에서는 "그룹의 그룹" 및/또는 "와일드카드 일치 사용자"를 반복적으로 확장하여 그룹 또는 와일드카드에 대한 자격을 개별 사용자 세트에 투영합니다. 그룹과 와일드카드를 사용하여 사용자 세트에 명시적으로 자격을 부여합니다.

반면에 -Default- 액세스 권한을 사용하면 -Default- 액세스 설정이 "다른 사용자 모두"에 투영되므로 많은 사용자에게 암시적으로 자격을 부여할 수 있습니다. 예를 들어 구성원이 5명인 그룹 RenovationsManagers에게 데이터베이스 관리자 권한이 있고 Richard Smith/Renovations에게 명시적인 편집자 권한이 있으며 -Default- 액세스 권한이 독자인 경우에는 이 사용자 6명 외에 서버 액세스 권한이 있는 모든 사용자에게 독자로 액세스하는 자격이 부여됩니다. 서버에서 */Renovations로 표시된 사용자는 누구나 서버에 액세스하도록 허용하고 구성된 디렉토리에 Renovations 사용자가 1,705명이 있는 경우에는 이 ACL 기본값을 통해 사용자 1,700명에게 독자로 액세스하는 자격이 부여됩니다. 일반적으로 -Default- 액세스 권한은 매우 조심하여 사용해야 합니다.

주: Domino 시스템 데이터베이스와 함께 제공되는 -Default- ACL 항목이 액세스를 허용하는 경우 해당 항목은 자격으로 간주되지 않으며 처리에서 제외됩니다. 예를 들어, Domino는 독자 권한을 허용하는-Default- ACL 항목과 함께 제공되므로 이러한 -Default- ACL 항목은 처리에서 제외됩니다.

도메인 레벨의 자격 요약

도메인의 각 Domino 서버에서 매일 수집하는 자격 데이터도 도메인 관리 서버의 전체 도메인에 대해 집계됩니다. 디렉토리 카탈로그 태스크에서는 동기화 프로세스를 관리하고 각 서버에서 결합한 자격 추적 데이터는 관리 서버의 entitlements.nsf 데이터베이스로 집계됩니다. 관리 서버에는 자체 자격 추적 데이터베이스(entitlementtrack.ncf)와 도메인의 모든 서버에서 집계한 추적 정보(entitlements.nsf)가 모두 있습니다. 관리 서버에서는 도메인에서는 각 사용자의 가장 높은 액세스 레벨을 식별하고 특정 사용자의 가장 높은 액세스 레벨이 있는 서버는 물론 사용자에게 자격이 부여되는 데이터베이스 및 방법과 같은 기타 확증 정보도 저장합니다.
주: entitlements.nsf의 히스토리 보기에는 스냅샷 단추가 있습니다. 현재 데이터를 기반으로 액세스 레벨에 따라 현재 총 자격 수를 요약하는 문서를 생성하려면 이 단추를 클릭하십시오. Domino는 자격에 대한 변경사항의 기록 레코드를 유지하기 위해 일주일에 한 번 자동으로 이 조치를 실행합니다.

자격 정보가 사용되는 방법

자격 정보는 Domino 고객의 환경 모니터링에 도움을 주기 위해 수집됩니다. 이 데이터는 HCL에서 어떤 식으로든 수집하지 않으며 어떤 식으로든 서버 액세스를 제어하는 데 사용되지 않습니다. 제공하도록 HCL에서 요청할 수 있는 유일한 정보는 액세스 레벨별 총 자격 수가 들어 있는 "자격 보고서"입니다. 예:
Entitlement Summary for 3/10/2010
	Manager         13
	Designer         7
	Editor         234
	Author        1200
	Reader        2400
	==================
	Total	    3834

이 정보를 사용하는 방법

자격 요약의 정보는 액세스 레벨이 다른 사용자 수와 이러한 숫자에 제공되는 서버, 데이터베이스, ACL 및 권한을 이해하는 데 매우 유용할 수 있습니다. 기본적으로 이러한 데이터베이스에는 LocalDomainAdmins로 제한된 액세스 권한이 있지만 자신의 데이터이므로 다음 주의사항에 부합한다고 생각하는 어떤 식으로든 액세스 권한을 관리할 수 있습니다.
  • HCL 지원 측의 별도 지침이 없는 한 자격 수집기 데이터베이스 또는 수집기 요약 데이터베이스를 삭제하지 마십시오.
  • 어떤 식으로든 디자인을 수정하거나 템플리트를 변경하지 마십시오.
  • 데이터베이스 및 수집 서비스는 "현재 상태"로 제공되며 데이터베이스 및 데이터 수집 프로세스의 구조는 제품의 후속 릴리스에서 HCL에 의해 변경될 수 있습니다.