Home
보안
이 절에서는 실행 제어 목록, ID 및 TLS를 포함한 보안 기능에 대해 설명합니다.
인터넷/인트라넷 클라이언트에 대한 이름과 비밀번호 인증 확인
이름과 비밀번호 인증 확인(또는 기본 비밀번호 인증 확인)은 사용자에게 이름과 비밀번호를 묻기 위한 기본 질문/응답 프로토콜을 사용한 후, Domino® 디렉토리의 사용자 문서에 저장된 비밀번호의 보안 해시와 비교하여 비밀번호의 정확성을 확인합니다.
보안 인터넷 비밀번호
인터넷 비밀번호는 악의적인 공격으로 변경될 수 있습니다. 그러나 몇 가지 조치를 취하여 인터넷 비밀번호 보안을 강화할 수 있습니다.

보안
이 절에서는 실행 제어 목록, ID 및 TLS를 포함한 보안 기능에 대해 설명합니다.
- Domino 보안 개요
  조직의 보안 설정은 아주 중요한 태스크입니다. 조직의 IT 자원 및 자산 보호를 위해 보안 하부 구조가 반드시 필요하며 관리자는 서버 또는 사용자를 설정하기 전에 조직의 보안 요구사항에 대해 신중히 고려해야 합니다. 사전 보안 계획으로 절충안을 채택한 보안상의 위험을 최소화할 수 있습니다.
- Notes® 사용자, 인터넷 사용자 및 Domino® 서버에 대한 서버 액세스
  다른 서버에 대한 사용자 및 서버의 액세스를 제어하기 위해, Domino®는 유효성 검증 및 인증 규칙과 서버 문서의 보안 탭에서 지정하는 설정을 사용합니다. 서버가 Notes® 사용자, 인터넷 사용자 또는 서버의 유효성을 검증하고 인증하며 서버 문서의 설정이 액세스를 허용하는 경우, 사용자 또는 서버는 서버에 액세스할 수 있습니다.
- 데이터베이스 ACL
  모든 .NSF 데이터베이스에는 해당 데이터베이스에 대한 사용자와 서버의 액세스 레벨을 지정하는 ACL이 있습니다. 사용자와 서버에 대한 액세스 레벨 이름이 동일하더라도 사용자에게 할당된 레벨은 사용자가 데이터베이스에서 수행할 수 있는 태스크를 결정하는 반면, 서버에 할당된 레벨은 데이터베이스 내에서 서버가 어떤 정보를 복제할 수 있는지 결정합니다. 관리자 권한을 가지는 사용자만 ACL을 작성하거나 수정할 수 있습니다.
- Domino® 서버 및 Notes® 사용자 ID
  Domino® 는 ID 파일을 사용하여 사용자를 식별하고 서버에 대한 액세스를 제어합니다. 모든 Domino 서버, Notes® 인증자 및 Notes 사용자는 ID를 갖고 있어야 합니다.
- 실행 제어 목록(ECL)
  ECL(실행 제어 목록)을 사용하여 워크스테이션 데이터 보안을 설정합니다. ECL은 출처를 알 수 없거나 의심되는 사용 중인 내용으로부터 사용자 워크스테이션을 보호하며, 워크스테이션에서 실행되는 내용 수행을 제한하도록 설정될 수 있습니다.
- Domino® 서버 기반 CA(Server-based certification authority)
  CA 프로세스 서버 태스크를 사용하는 Domino® 인증자를 설정하여 인증서 요청을 관리하고 처리할 수 있습니다. 인증 기관 프로세스는 인증서를 발행하는 데 사용되는 Domino 서버에서 프로세스로 실행됩니다. Notes® 또는 인터넷 인증자를 설정할 때 CA 프로세스 활동을 이용하기 위해 서버의 CA 프로세스에 링크합니다. CA 프로세스는 한 번만 서버에서 실행되지만 여러 인증자에 연결할 수 있습니다.
- TLS 보안
  TLS(Transport Layer Security)는 TCP/IP에서 작동하는 Domino® 서버 태스크의 통신 개인정보 보호 및 인증을 제공하는 보안 프로토콜입니다.
- 클라이언트에 대한 TLS 및 S/MIME
  클라이언트는 Domino® 인증 기관 애플리케이션 또는 써드파티 인증 기관을 사용하여 보안 TLS 및 S/MIME 통신용 인증서를 가져올 수 있습니다.
- 암호화
  암호화는 인증되지 않은 액세스로부터 데이터를 보호합니다.
- 인터넷/인트라넷 클라이언트에 대한 이름과 비밀번호 인증 확인
  이름과 비밀번호 인증 확인(또는 기본 비밀번호 인증 확인)은 사용자에게 이름과 비밀번호를 묻기 위한 기본 질문/응답 프로토콜을 사용한 후, Domino® 디렉토리의 사용자 문서에 저장된 비밀번호의 보안 해시와 비교하여 비밀번호의 정확성을 확인합니다.
  - ID 볼트에서 Notes® ID 비밀번호를 기준으로 웹 사용자 인증
    인터넷 프로토콜 TTP, IMAP, POP3 및 LDAP를 통해 서버에 액세스하는 사용자 인증에 ID 저장소의 비밀번호를 사용하도록 HCL Domino®을(를) 구성할 수 있습니다.
  - 기본 이름과 비밀번호 인증 설정
    TCP 및 TLS 모두, 웹(HTTP), IMAP, POP3, LDAP, SMTP Inbound, IIOP 등의 모든 인터넷 프로토콜에 대해 기본 이름 및 비밀번호 인증을 사용하려면 세 가지 별도의 절차를 완료해야 합니다.
  - 웹 클라이언트용 세션 기반 이름과 비밀번호 인증
    Domino® 웹 서버에 액세스할 수 있는 웹 클라이언트의 이름 및 비밀번호 인증을 설정하려면 기본 이름 및 비밀번호 인증이나 세션 기반 이름 및 비밀번호 인증의 두 가지 방법 중 하나를 사용할 수 있습니다. 세션 기반 이름과 비밀번호 인증에는 기본 이름과 비밀번호 인증에서 사용할 수 없는 추가 기능이 있습니다. 세션은 웹 클라이언트가 쿠키를 사용하여 서버에 현재 로그온한 기간으로 정의됩니다. 세션 인증을 허용하고 제어하는 설정을 지정하려면 사용자의 환경 설정에 따라 웹 사이트 문서나 서버 문서를 편집합니다.
  - 인터넷 클라이언트에 대한 인증 레벨 제어
    Domino® 디렉토리와 LDAP 디렉토리에 있는 사용자를 인증하고 사용자 이름과 비밀번호를 제공할 때 HCLDomino에서 사용하는 제한 레벨을 선택할 수 있습니다. 모든 인터넷 프로토콜(HTTP, LDAP, IMAP, POP3)에 적용됩니다.
  - 인터넷 비밀번호 관리
    Domino® 디렉토리에 사용자 문서가 있는 사용자에게 할당한 인터넷 비밀번호를 관리하려면 보안 설정 정책 문서를 사용하십시오. 사용자에게 웹 브라우저를 사용하여 자신의 인터넷 비밀번호를 변경할 수 있도록 허용할 뿐만 아니라 인터넷 비밀번호 보안 등급 및 길이를 관리하며, 만료 기간과 변경 간격을 제어할 수 있습니다.
  - 보안 인터넷 비밀번호
    인터넷 비밀번호는 악의적인 공격으로 변경될 수 있습니다. 그러나 몇 가지 조치를 취하여 인터넷 비밀번호 보안을 강화할 수 있습니다.
    - 더 안전한 비밀번호 형식 사용
      인터넷 비밀번호를 입력하고 사용자 문서를 저장할 때, Domino®는 인터넷 비밀번호 필드를 단방향으로 자동 해시합니다. 기본 비밀번호 기능을 향상시키려면 더 안전한 비밀번호 형식을 사용하십시오.
    - 인터넷 비밀번호 잠금 사용
      인터넷 비밀번호 잠금을 사용하여 관리자는 Domino® 웹 및 Domino Web Access 사용자에 대한 인터넷 비밀번호 인증 실패의 임계값을 설정할 수 있습니다.
    - xACL을 사용하여 인터넷 비밀번호 보안
      인터넷 비밀번호를 보안하는 한 가지 방법은 확장 ACL 또는 xACL을 사용하여 이름 지정 계층의 수준에 기반하여, 그리고 양식 및 필드 수준에서 액세스 권한을 제어하는 것입니다. Domino® 디렉토리에 저장된 비밀번호의 경우, 관리자는 xACL을 설정하여 인터넷 비밀번호에 대한 액세스를 사용자 본인으로 제한하거나(사용자 자신의 비밀번호에 액세스할 경우) 관리자로 제한할 수 있습니다(비밀번호의 관리 변경을 허용할 경우).
  - 익명 인터넷 및 인트라넷 액세스
    익명 액세스를 설정하면 인터넷 및 인트라넷 클라이언트가 자신을 식별하지 않고 서버에 액세스할 수 있습니다. HCLDomino®에서는 이러한 클라이언트의 데이터베이스 활동을 로그 파일과 사용자 활동 대화 상자 등에서 기록하지 않습니다.
  - 인터넷 및 인트라넷 클라이언트에 대한 유효성 검증 및 인증
    이름 및 비밀번호 액세스를 설정하고 인터넷/인트라넷 사용자에 대한 사용자 문서를 작성하면, 사용자가 액세스가 제한되는 작업을 수행하려 하거나 서버에서 익명 액세스가 허용되지 않는 경우 Domino®가 사용자를 인증합니다.
- TOTP(시간 기반 일회성 비밀번호) 인증
  사용자가 Domino 웹 서버에 로그인할 때 사용자 이름 및 비밀번호에 더해 시간 기반 일회성 비밀번호를 제공하도록 요구할 수 있습니다.
- 다중 서버 세션 기반 인증(single sign-on)
  다중 서버 세션 기반 인증(SSO라고도 함)을 통해 웹 사용자는 Domino® 또는 WebSphere® 서버에 한 번 로그인한 후 다시 로그인하지 않고도 SSO에 대해 사용으로 설정된 동일한 DNS 도메인 내의 다른 Domino 또는 WebSphere 서버에 액세스할 수 있습니다.
- SAML(Security Assertion Markup Language)을 사용하여 연합 ID 인증 구성
  연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. Domino® 및 Notes®에서 사용자 인증을 위한 연합 ID는 OASIS의 SAML(Security Assertion Markup Language) 표준을 사용합니다.
- OIDC(OpenID Connect)를 사용하여 연합 ID 인증 구성
  연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. 클라이언트 애플리케이션에서 사용자를 인증하는 한 가지 방법으로 OIDC(OpenID Connect) 제공자를 사용합니다.
- 신임 정보 저장소를 사용하여 신임 정보 저장
  Domino® 서버에서는 신임 정보 저장소 애플리케이션을 보안 아티팩트 저장소로 사용할 수 있습니다. 보안 아티팩트의 예로는 인증 신임 정보 및 보안 키가 있습니다.
- Notes 및 Domino의 지원되는 키 크기 히스토리
  Notes® 및 Domino®의 이전 릴리스에서 현재 릴리스까지 지원되는 RSA 키 크기를 이해하십시오.

보안 인터넷 비밀번호

인터넷 비밀번호는 악의적인 공격으로 변경될 수 있습니다. 그러나 몇 가지 조치를 취하여 인터넷 비밀번호 보안을 강화할 수 있습니다.

이 태스크 정보

일반적인 비밀번호 공격의 예는 다음과 같습니다.

하나의 공격 유형은 Domino® 디렉토리에서 모든 해시 비밀번호 읽기에 대한 시도입니다. 사용자의 인터넷 비밀번호는 Domino® 디렉토리에 있는 사용자의 개인 레코드에 해시된 버전으로 저장됩니다. 시스템의 모든 사용자는 디렉토리에 공개적으로 액세스할 수 있습니다. 사용자는 xACL을 사용하여 해시된 비밀번호에 대한 액세스를 중지함으로써 이러한 종류의 공격으로부터 보호할 수 있습니다.
인증 시 비밀번호 추측에 기반한 또 다른 유형의 공격이 있습니다. 이러한 유형의 공격에서 사용자는 여전히 다른 사용자로 인증을 시도하고 비밀번호를 시도 및 추측할 수 있습니다. 더 안전한 비밀번호 형식을 사용하거나, 추측하기 더 어려운 비밀번호를 사용하거나, 서버에서 인터넷 비밀번호 잠금 기능을 사용 가능으로 설정하여 이러한 유형의 공격으로부터 보호합니다.

다음 기능 중 하나 이상을 사용하여 Domino®D 디렉토리에 저장된 인터넷 비밀번호에 대한 액세스를 보호하거나 비밀번호를 더 추측하기 어렵게 만드십시오.

더 안전한 비밀번호 형식
인터넷 비밀번호 잠금
xACL