Home
보안
이 절에서는 실행 제어 목록, ID 및 TLS를 포함한 보안 기능에 대해 설명합니다.
TOTP(시간 기반 일회성 비밀번호) 인증
사용자가 Domino 웹 서버에 로그인할 때 사용자 이름 및 비밀번호에 더해 시간 기반 일회성 비밀번호를 제공하도록 요구할 수 있습니다.
TOTP 인증 구성
TOTP(시간 기반 일회성 비밀번호 인증)를 구성하려면 다음 단계를 수행합니다.
2. 구성 설정 문서에서 TOTP 인증 사용 설정
구성 설정 문서를 통해 Domino® 서버에서 TOTP를 사용하도록 설정합니다.

보안
이 절에서는 실행 제어 목록, ID 및 TLS를 포함한 보안 기능에 대해 설명합니다.
- Domino 보안 개요
  조직의 보안 설정은 아주 중요한 태스크입니다. 조직의 IT 자원 및 자산 보호를 위해 보안 하부 구조가 반드시 필요하며 관리자는 서버 또는 사용자를 설정하기 전에 조직의 보안 요구사항에 대해 신중히 고려해야 합니다. 사전 보안 계획으로 절충안을 채택한 보안상의 위험을 최소화할 수 있습니다.
- Notes® 사용자, 인터넷 사용자 및 Domino® 서버에 대한 서버 액세스
  다른 서버에 대한 사용자 및 서버의 액세스를 제어하기 위해, Domino®는 유효성 검증 및 인증 규칙과 서버 문서의 보안 탭에서 지정하는 설정을 사용합니다. 서버가 Notes® 사용자, 인터넷 사용자 또는 서버의 유효성을 검증하고 인증하며 서버 문서의 설정이 액세스를 허용하는 경우, 사용자 또는 서버는 서버에 액세스할 수 있습니다.
- 데이터베이스 ACL
  모든 .NSF 데이터베이스에는 해당 데이터베이스에 대한 사용자와 서버의 액세스 레벨을 지정하는 ACL이 있습니다. 사용자와 서버에 대한 액세스 레벨 이름이 동일하더라도 사용자에게 할당된 레벨은 사용자가 데이터베이스에서 수행할 수 있는 태스크를 결정하는 반면, 서버에 할당된 레벨은 데이터베이스 내에서 서버가 어떤 정보를 복제할 수 있는지 결정합니다. 관리자 권한을 가지는 사용자만 ACL을 작성하거나 수정할 수 있습니다.
- Domino® 서버 및 Notes® 사용자 ID
  Domino® 는 ID 파일을 사용하여 사용자를 식별하고 서버에 대한 액세스를 제어합니다. 모든 Domino 서버, Notes® 인증자 및 Notes 사용자는 ID를 갖고 있어야 합니다.
- 실행 제어 목록(ECL)
  ECL(실행 제어 목록)을 사용하여 워크스테이션 데이터 보안을 설정합니다. ECL은 출처를 알 수 없거나 의심되는 사용 중인 내용으로부터 사용자 워크스테이션을 보호하며, 워크스테이션에서 실행되는 내용 수행을 제한하도록 설정될 수 있습니다.
- Domino® 서버 기반 CA(Server-based certification authority)
  CA 프로세스 서버 태스크를 사용하는 Domino® 인증자를 설정하여 인증서 요청을 관리하고 처리할 수 있습니다. 인증 기관 프로세스는 인증서를 발행하는 데 사용되는 Domino 서버에서 프로세스로 실행됩니다. Notes® 또는 인터넷 인증자를 설정할 때 CA 프로세스 활동을 이용하기 위해 서버의 CA 프로세스에 링크합니다. CA 프로세스는 한 번만 서버에서 실행되지만 여러 인증자에 연결할 수 있습니다.
- TLS 보안
  TLS(Transport Layer Security)는 TCP/IP에서 작동하는 Domino® 서버 태스크의 통신 개인정보 보호 및 인증을 제공하는 보안 프로토콜입니다.
- 클라이언트에 대한 TLS 및 S/MIME
  클라이언트는 Domino® 인증 기관 애플리케이션 또는 써드파티 인증 기관을 사용하여 보안 TLS 및 S/MIME 통신용 인증서를 가져올 수 있습니다.
- 암호화
  암호화는 인증되지 않은 액세스로부터 데이터를 보호합니다.
- 인터넷/인트라넷 클라이언트에 대한 이름과 비밀번호 인증 확인
  이름과 비밀번호 인증 확인(또는 기본 비밀번호 인증 확인)은 사용자에게 이름과 비밀번호를 묻기 위한 기본 질문/응답 프로토콜을 사용한 후, Domino® 디렉토리의 사용자 문서에 저장된 비밀번호의 보안 해시와 비교하여 비밀번호의 정확성을 확인합니다.
- TOTP(시간 기반 일회성 비밀번호) 인증
  사용자가 Domino 웹 서버에 로그인할 때 사용자 이름 및 비밀번호에 더해 시간 기반 일회성 비밀번호를 제공하도록 요구할 수 있습니다.
  - TOTP 인증의 필수 구성요소
    TOTP 인증의 필수 구성요소에 대한 개요입니다.
  - TOTP 인증 구성
    TOTP(시간 기반 일회성 비밀번호 인증)를 구성하려면 다음 단계를 수행합니다.
    - 1. 다단계 인증서 발급
      TOTP(시간 기반 일회성 비밀번호) 인증 사용을 허용하려면 mfamgt 서버 명령을 사용하여 TOTP를 사용할 사용자의 조직 단위(OU) 또는 조직(O)에 대한 다단계 인증서를 발급합니다.
    - 2. 구성 설정 문서에서 TOTP 인증 사용 설정
      구성 설정 문서를 통해 Domino® 서버에서 TOTP를 사용하도록 설정합니다.
    - 3. 서버에서 TOTP 인증 사용 설정
      구성 설정 문서에서 TOTP 인증을 사용하도록 설정한 후에는 서버 문서, 인터넷 사이트 문서 또는 가상 서버 문서를 통해 서버에서 TOTP 인증을 사용하도록 설정합니다.
    - 4. TOTP에 대해 보안 메일 조작 사용 설정
      선택적으로 Notes ID가 있는 웹 사용자(예: iNotes 사용자)를 위해 보안 메일 조작(복호화, 암호화, 서명)에 대한 지원을 구성할 수 있습니다.
    - 5. TOTP 로그인 양식 구성
      사용자 정의 로그인 양식 $$LoginUserFormMFA를 사용하는 Domino 웹 서버 구성 데이터베이스를 작성합니다.
    - 6. 저장소 서버를 다시 시작하여 TOTP를 사용 가능으로 설정
      모든 구성 단계를 완료한 후에 볼트 서버를 다시 시작합니다.
  - 교차 도메인 TOTP 인증 구성
    보조 Domino 도메인에 있는 사용자에 대해 TOTP 인증을 사용하도록 설정할 수 있습니다. 구성이 완료되면 보조 도메인에 등록된 사용자가 기본 Domino 도메인에 구성된 TOTP 인증을 설정하고 사용할 수 있습니다.
  - TOTP 인증에 대한 Docker 고려 사항
    Docker에서 Domino 서버에 대해 TOTP를 사용하도록 설정하기 위한 요구 사항 및 권장 사항은 다음과 같습니다.
  - 사용자가 TOTP를 설정하는 방법
    Domino 서버에서 TOTP(시간 기반 일회성 비밀번호) 인증을 사용하도록 설정하면 웹 사용자가 서버에 로그인할 때 다음 단계에 따라 TOTP를 설정합니다.
  - 사용자의 TOTP 구성 재설정
    사용자가 유효한 TOTP 토큰을 제공하여 TOTP 지원 서버에 로그인할 수 없는 경우, 다시 TOTP를 설정할 수 있도록 관리자가 사용자의 TOTP 구성을 재설정할 수 있습니다.
  - TOTP에 대한 notes.ini 설정
    다음 서버 notes.ini 설정을 사용하여 TOTP 구성을 사용자 정의할 수 있습니다.
- 다중 서버 세션 기반 인증(single sign-on)
  다중 서버 세션 기반 인증(SSO라고도 함)을 통해 웹 사용자는 Domino® 또는 WebSphere® 서버에 한 번 로그인한 후 다시 로그인하지 않고도 SSO에 대해 사용으로 설정된 동일한 DNS 도메인 내의 다른 Domino 또는 WebSphere 서버에 액세스할 수 있습니다.
- SAML(Security Assertion Markup Language)을 사용하여 연합 ID 인증 구성
  연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. Domino® 및 Notes®에서 사용자 인증을 위한 연합 ID는 OASIS의 SAML(Security Assertion Markup Language) 표준을 사용합니다.
- OIDC(OpenID Connect)를 사용하여 연합 ID 인증 구성
  연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. 클라이언트 애플리케이션에서 사용자를 인증하는 한 가지 방법으로 OIDC(OpenID Connect) 제공자를 사용합니다.
- 신임 정보 저장소를 사용하여 신임 정보 저장
  Domino® 서버에서는 신임 정보 저장소 애플리케이션을 보안 아티팩트 저장소로 사용할 수 있습니다. 보안 아티팩트의 예로는 인증 신임 정보 및 보안 키가 있습니다.
- Notes 및 Domino의 지원되는 키 크기 히스토리
  Notes® 및 Domino®의 이전 릴리스에서 현재 릴리스까지 지원되는 RSA 키 크기를 이해하십시오.

2. 구성 설정 문서에서 TOTP 인증 사용 설정

구성 설정 문서를 통해 Domino® 서버에서 TOTP를 사용하도록 설정합니다.

프로시저

Domino® 관리자에서 구성 탭을 클릭한 후 메시징 섹션을 펼칩니다.
구성을 선택합니다.
구성 추가를 클릭하여 새 환경 설정 문서를 작성합니다. 또는 기존 문서를 선택하고 구성 편집을 클릭합니다.
보안 탭을 누르십시오.

다중 인증 섹션에서 다음 필드를 작성합니다.

필드	설명
웹 인증을 위한 TOTP(시간 기반 일회성 비밀번호)	사용을 선택합니다.
긴급 스크래치 코드 허용	사용자가 TOTP 토큰 대신 10개의 스크래치 코드 중 하나를 제공하는 것을 허용하려면 예(기본값)를 선택합니다. 이 옵션은 TOTP 애플리케이션을 사용할 수 없는 경우(예: 이 애플리케이션을 실행 중인 장치를 분실한 경우)에 사용자가 로그인하도록 허용할 때 유용합니다. 사용자가 TOTP를 성공적으로 설정하면 곧바로 스크래치 코드가 표시됩니다. 스크래치 코드는 한 번 사용한 후에는 다시 사용할 수 없습니다.
사용자에게 스크래치 코드를 이메일로 발송	긴급 스크래치 코드를 사용하도록 허용한 경우, 사용자가 처음으로 TOTP를 설정하거나 구성이 재설정되어 다시 설정한 경우 스크래치 코드를 포함하는 암호화된 이메일을 보내려면 예를 선택합니다. 사용자는 설정을 진행할 때 스크래치 코드를 복사할 수도 있습니다.
시크릿의 최대 개수	각 사용자가 Domino 서버에 액세스하기 위해 설정할 수 있는 TOTP URI(계정)의 개수입니다. 1, 2 또는 3(기본값). TOTP 애플리케이션이 여러 장치에서 실행되는 경우 둘 이상의 TOTP URI를 사용하는 것이 유용할 수 있습니다.
알고리즘	토큰을 생성하는 데 사용되는 알고리즘입니다. 환경에 HMAC-SHA256을 지원하지 않는 오래된 TOTP 애플리케이션이 있는 경우가 아닌 이상 기본값인 HMAC-SHA256을 사용합니다. 주: ID 볼트 서버는 HMAC 알고리즘을 한 수준 다운그레이드하는 것을 지원합니다(예: HMAC-SHA256을 HMAC-SHA1로 다운그레이드). 따라서 Google Authenticator와 같은 TOTP 클라이언트를 지원하기 위해 기본 알고리즘이 HMAC-SHA256으로 유지되었습니다. Authy 및 Microsoft Authenticator는 현재 HMAC-SHA1을 지원하며, 사용하도록 설정된 서버에 대해 HMAC-SHA1 또는 HMAC-SHA256이 지원됩니다.

"저장소의 인터넷 비밀번호 확인"(권장) 또는 "먼저 저장소를 확인한 다음 디렉토리 확인"이 구성되어 있는지 확인합니다. 자세한 내용은 ID 저장소에서 Notes ID 비밀번호를 기준으로 웹 사용자 인증을 참조하십시오. 저장소를 기준으로 비밀번호를 확인할 때는 잠재적인 인터넷/Notes 비밀번호의 불일치를 건너뜁니다.

주: "먼저 저장소를 확인한 다음 디렉토리 확인"을 사용하면 저장소가 없는 사용자가 인증할 수 있습니다.
저장 후 닫기를 클릭합니다.