Home
보안
이 절에서는 실행 제어 목록, ID 및 TLS를 포함한 보안 기능에 대해 설명합니다.
Domino® 서버 및 Notes® 사용자 ID
Domino® 는 ID 파일을 사용하여 사용자를 식별하고 서버에 대한 액세스를 제어합니다. 모든 Domino 서버, Notes® 인증자 및 Notes 사용자는 ID를 갖고 있어야 합니다.
Notes 클라이언트 및 2단계 인증
Notes ID를 사용한 HCL Notes 클라이언트 인증에서는 자동 2단계 인증을 기본 제공합니다.

보안
이 절에서는 실행 제어 목록, ID 및 TLS를 포함한 보안 기능에 대해 설명합니다.
- Domino 보안 개요
  조직의 보안 설정은 아주 중요한 태스크입니다. 조직의 IT 자원 및 자산 보호를 위해 보안 하부 구조가 반드시 필요하며 관리자는 서버 또는 사용자를 설정하기 전에 조직의 보안 요구사항에 대해 신중히 고려해야 합니다. 사전 보안 계획으로 절충안을 채택한 보안상의 위험을 최소화할 수 있습니다.
- Notes® 사용자, 인터넷 사용자 및 Domino® 서버에 대한 서버 액세스
  다른 서버에 대한 사용자 및 서버의 액세스를 제어하기 위해, Domino®는 유효성 검증 및 인증 규칙과 서버 문서의 보안 탭에서 지정하는 설정을 사용합니다. 서버가 Notes® 사용자, 인터넷 사용자 또는 서버의 유효성을 검증하고 인증하며 서버 문서의 설정이 액세스를 허용하는 경우, 사용자 또는 서버는 서버에 액세스할 수 있습니다.
- 데이터베이스 ACL
  모든 .NSF 데이터베이스에는 해당 데이터베이스에 대한 사용자와 서버의 액세스 레벨을 지정하는 ACL이 있습니다. 사용자와 서버에 대한 액세스 레벨 이름이 동일하더라도 사용자에게 할당된 레벨은 사용자가 데이터베이스에서 수행할 수 있는 태스크를 결정하는 반면, 서버에 할당된 레벨은 데이터베이스 내에서 서버가 어떤 정보를 복제할 수 있는지 결정합니다. 관리자 권한을 가지는 사용자만 ACL을 작성하거나 수정할 수 있습니다.
- Domino® 서버 및 Notes® 사용자 ID
  Domino® 는 ID 파일을 사용하여 사용자를 식별하고 서버에 대한 액세스를 제어합니다. 모든 Domino 서버, Notes® 인증자 및 Notes 사용자는 ID를 갖고 있어야 합니다.
  - 인증서
    인증서는 사용자 또는 서버를 확인하는 고유한 디지털 서명입니다. 서버 및 사용자 ID는 하나 이상의 HCLNotes® 인증서를 포함합니다. 또한 사용자 ID에는 사용자가 TLS를 사용하여 인터넷 서버에 연결하거나 또는 서명되거나 S/MIME 메일 메시지를 발송할 때 사용자를 확인하는 인터넷 인증서가 하나 이상 포함될 수 있습니다.
  - Notes 클라이언트 및 2단계 인증
    Notes ID를 사용한 HCL Notes 클라이언트 인증에서는 자동 2단계 인증을 기본 제공합니다.
  - Notes® 및 Domino® ID에 대한 비밀번호 보호
    Domino® 시스템의 보안을 보장하려면 모든 Notes® 및 Domino ID(인증자, 서버, 사용자)를 비밀번호로 보호하십시오. ID에 대해 비밀번호로 보호하면 비밀번호에서 파생된 키가 ID의 데이터를 암호화합니다. 그런 다음 메일에 액세스하여 서버 기반의 데이터베이스를 열거나 ID 파일 정보를 검사하려고 하면 비밀번호를 입력하라는 메시지가 나타납니다.
  - 비밀번호 보안 등급
    사용자, 서버 또는 인증자 ID의 비밀번호를 생성할 때, Domino®가 비밀번호 등급 및 보안을 측정하는 기준을 알고 있어야 합니다. Domino는 비밀번호 보안 등급에 지정된 레벨에 따라 이 기준을 측정합니다. 이 등급은 최저 보안 등급 레벨을 ID 파일 상에서 비밀번호에 지정합니다. Domino는 복잡성과 여러 개의 문자 수에 따라 비밀번호 보안 등급을 지정합니다.
  - 인증 중에 사용자 비밀번호 검사
    Notes® 사용자가 사용자 ID와 연관된 올바른 비밀번호를 제공한 후에만 서버로 인증할 수 있도록 비밀번호 확인을 사용 가능으로 설정할 수 있습니다.
  - 비밀번호 검사 설정
    보안 정책 설정 문서를 사용하여 여러 사용자에 대해 비밀번호 확인을 사용 가능으로 설정하거나 Domino® Directory를 통해 개별적으로 비밀번호 확인을 사용 가능으로 설정할 수 있습니다.
  - 사용자 정의 비밀번호 정책
    정보 보호 및 데이터 개인정보 보호법에는 ID 확인을 위한 보안 비밀번호 선택 관련 요구사항이 있습니다. 사용자가 이러한 법을 준수하도록 하기 위해 정책 기준에 비밀번호 제한사항을 구현하는 기능이 HCLDomino®에 포함되어 있습니다. 관리자는 대부분의 회사 또는 정부 보안 요구사항에 일치하는 비밀번호 요구사항을 적용할 수 있습니다.
  - 서버 및 인증자 ID에 다중 비밀번호 할당
    서버 및 인증자 ID에 여러 비밀번호를 할당하려면 비밀번호가 ID에 할당되는 모든 관리자가 있어야 합니다. 그런 다음 다중 비밀번호 할당 과정 중에 각 관리자가 일련의 단계를 완료합니다.
  - 비밀번호 프롬프트가 표시되지 않도록 Notes® 공유 로그인 사용
    NSL(Notes® 공유 로그인)을 사용하면 사용자는 Notes 비밀번호를 제공하지 않고 Notes를 시작할 수 있습니다. 대신, Windows™ 비밀번호를 사용하여 Microsoft™ Windows에 로그인하기만 하면 됩니다.
  - Notes 공유 로그인을 사용하여 서버 ID 파일 보안
    HCL Domino 12.0.1부터, NSL(Notes 공유 로그인) 기능을 사용하여 Windows에서 Domino 서버의 서버 ID 파일을 보안할 수 있습니다.
  - Notes® ID 볼트
    ID 볼트는 보호된 Notes® 사용자 ID 사본이 저장되어 있는 선택적 서버 기반 데이터베이스입니다. ID 볼트를 통해 관리자 및 사용자가 Notes 사용자 ID를 쉽게 관리할 수 있습니다. 정책 환경 설정을 통해 볼트에 사용자가 할당되고, 정책이 적용되면 사용자 ID의 복사본이 볼트로 자동 업로드됩니다.
  - ID 복구
    ID 복구에 ID 볼트를 사용하는 것이 좋습니다. 그러나 이 주제에 설명된 ID 복구 기능도 계속 지원됩니다.
  - 공개 키 보안
    모든 Notes® 사용자 ID 및 Domino® 서버 ID에는 Notes 인증서에 대한 고유 공개 키가 있습니다. 공개 키는 ID 파일 및 Domino 디렉토리의 해당 ID에 대한 사용자 또는 서버 문서에 저장됩니다. Notes 및 Domino는 공개 키를 사용하여 사용자 및 서버를 인증하고 디지털 서명을 확인한 후 메시지 및 데이터베이스를 암호화합니다. 또한 Notes 사용자 ID에는 인터넷 인증서에 대한 고유 공개 키가 있을 수 있습니다.
  - 사용자 및 서버 키 롤오버
    키 롤오버는 사용자 및 서버 ID 파일에 저장된 Notes® 공개 키 및 개인 키 세트를 업데이트하는 데 사용되는 프로세스입니다. 발견되지 않는 개인 키 손상에 대한 사전 예방 조치로, 개인 키의 알려진 손상에서 원격으로 복구하기 위해 또는 더 큰 키로 업데이트하여 보안을 향상시키기 위해 해당 키 세트를 주기적으로 대체해야 할 경우가 있습니다.
  - CA 키 롤오버
    HCLDomino® 관리자는 Domino CA에 새로운 공개 및 개인 키 세트를 할당할 수 있습니다. 이러한 키를 사용하여 해당 조직에 있는 OU, 서버 및 사용자의 키를 인증합니다. 새로운 키를 지정하는 프로세스는 키 롤오버로 알려져 있습니다.
  - 교차 인증서를 사용하여 서버에 액세스하고 보안 S/MIME 메시지 발송
    Domino®는 Notes®와 인터넷 교차 인증서를 모두 사용합니다. Notes 교차 인증서를 통해 사용자는 인증된 다른 계층 조직에서 서버에 액세스하고 서명된 메일 메시지를 수신할 수 있습니다. 인터넷 교차 인증서를 통해 사용자는 서명된 메일 메시지를 수신하고 암호화된 메일 메시지를 발송할 수 있습니다.
  - 교차 인증서를 Domino® 디렉토리 또는 연락처에 추가하려면
    여러 가지 방법을 사용하여 HCLNotes® 또는 인터넷 교차 인증서를 확보할 수 있습니다.
- 실행 제어 목록(ECL)
  ECL(실행 제어 목록)을 사용하여 워크스테이션 데이터 보안을 설정합니다. ECL은 출처를 알 수 없거나 의심되는 사용 중인 내용으로부터 사용자 워크스테이션을 보호하며, 워크스테이션에서 실행되는 내용 수행을 제한하도록 설정될 수 있습니다.
- Domino® 서버 기반 CA(Server-based certification authority)
  CA 프로세스 서버 태스크를 사용하는 Domino® 인증자를 설정하여 인증서 요청을 관리하고 처리할 수 있습니다. 인증 기관 프로세스는 인증서를 발행하는 데 사용되는 Domino 서버에서 프로세스로 실행됩니다. Notes® 또는 인터넷 인증자를 설정할 때 CA 프로세스 활동을 이용하기 위해 서버의 CA 프로세스에 링크합니다. CA 프로세스는 한 번만 서버에서 실행되지만 여러 인증자에 연결할 수 있습니다.
- TLS 보안
  TLS(Transport Layer Security)는 TCP/IP에서 작동하는 Domino® 서버 태스크의 통신 개인정보 보호 및 인증을 제공하는 보안 프로토콜입니다.
- 클라이언트에 대한 TLS 및 S/MIME
  클라이언트는 Domino® 인증 기관 애플리케이션 또는 써드파티 인증 기관을 사용하여 보안 TLS 및 S/MIME 통신용 인증서를 가져올 수 있습니다.
- 암호화
  암호화는 인증되지 않은 액세스로부터 데이터를 보호합니다.
- 인터넷/인트라넷 클라이언트에 대한 이름과 비밀번호 인증 확인
  이름과 비밀번호 인증 확인(또는 기본 비밀번호 인증 확인)은 사용자에게 이름과 비밀번호를 묻기 위한 기본 질문/응답 프로토콜을 사용한 후, Domino® 디렉토리의 사용자 문서에 저장된 비밀번호의 보안 해시와 비교하여 비밀번호의 정확성을 확인합니다.
- TOTP(시간 기반 일회성 비밀번호) 인증
  사용자가 Domino 웹 서버에 로그인할 때 사용자 이름 및 비밀번호에 더해 시간 기반 일회성 비밀번호를 제공하도록 요구할 수 있습니다.
- 다중 서버 세션 기반 인증(single sign-on)
  다중 서버 세션 기반 인증(SSO라고도 함)을 통해 웹 사용자는 Domino® 또는 WebSphere® 서버에 한 번 로그인한 후 다시 로그인하지 않고도 SSO에 대해 사용으로 설정된 동일한 DNS 도메인 내의 다른 Domino 또는 WebSphere 서버에 액세스할 수 있습니다.
- SAML(Security Assertion Markup Language)을 사용하여 연합 ID 인증 구성
  연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. Domino® 및 Notes®에서 사용자 인증을 위한 연합 ID는 OASIS의 SAML(Security Assertion Markup Language) 표준을 사용합니다.
- OIDC(OpenID Connect)를 사용하여 연합 ID 인증 구성
  연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. 클라이언트 애플리케이션에서 사용자를 인증하는 한 가지 방법으로 OIDC(OpenID Connect) 제공자를 사용합니다.
- 신임 정보 저장소를 사용하여 신임 정보 저장
  Domino® 서버에서는 신임 정보 저장소 애플리케이션을 보안 아티팩트 저장소로 사용할 수 있습니다. 보안 아티팩트의 예로는 인증 신임 정보 및 보안 키가 있습니다.
- Notes 및 Domino의 지원되는 키 크기 히스토리
  Notes® 및 Domino®의 이전 릴리스에서 현재 릴리스까지 지원되는 RSA 키 크기를 이해하십시오.

Notes 클라이언트 및 2단계 인증

Notes ID를 사용한 HCL Notes 클라이언트 인증에서는 자동 2단계 인증을 기본 제공합니다.

인증의 두 가지 요소는 다음과 같습니다.

가지고 있는 것 사용자는 HCL Domino 서버에 인증하는 데 사용되는 암호화 신임 정보가 포함된 암호화된 파일이 디스크에 있습니다. 모든 개인 키 및 비밀 키를 포함하여 해당 파일의 중요한 영역은 암호화되어 있습니다.
알고 있는 것 사용자는 암호화된 파일을 복호화하는 데 필요한 비밀번호를 알고 있습니다. 이 비밀번호는 인증 과정에서 네트워크를 통해 서버로 전송되거나 서버에 저장되지 않으며, 암호화된 ID 파일을 로컬로 복호화하는 데만 사용됩니다. V9.0 이후 Domino 관리자는 PKCS#5의 PBES2 알고리즘과 반복되는 솔트 HMAC-SHA2를 사용하여 현재 보안 우수 사례에 따라 생성된 256비트 AES 키를 사용하여 최종 사용자 ID 파일을 암호화할 수 있습니다.