보안
이 절에서는 실행 제어 목록, ID 및 TLS를 포함한 보안 기능에 대해 설명합니다.
- Domino 보안 개요
  조직의 보안 설정은 아주 중요한 태스크입니다. 조직의 IT 자원 및 자산 보호를 위해 보안 하부 구조가 반드시 필요하며 관리자는 서버 또는 사용자를 설정하기 전에 조직의 보안 요구사항에 대해 신중히 고려해야 합니다. 사전 보안 계획으로 절충안을 채택한 보안상의 위험을 최소화할 수 있습니다.
- Notes® 사용자, 인터넷 사용자 및 Domino® 서버에 대한 서버 액세스
  다른 서버에 대한 사용자 및 서버의 액세스를 제어하기 위해, Domino®는 유효성 검증 및 인증 규칙과 서버 문서의 보안 탭에서 지정하는 설정을 사용합니다. 서버가 Notes® 사용자, 인터넷 사용자 또는 서버의 유효성을 검증하고 인증하며 서버 문서의 설정이 액세스를 허용하는 경우, 사용자 또는 서버는 서버에 액세스할 수 있습니다.
- 데이터베이스 ACL
  모든 .NSF 데이터베이스에는 해당 데이터베이스에 대한 사용자와 서버의 액세스 레벨을 지정하는 ACL이 있습니다. 사용자와 서버에 대한 액세스 레벨 이름이 동일하더라도 사용자에게 할당된 레벨은 사용자가 데이터베이스에서 수행할 수 있는 태스크를 결정하는 반면, 서버에 할당된 레벨은 데이터베이스 내에서 서버가 어떤 정보를 복제할 수 있는지 결정합니다. 관리자 권한을 가지는 사용자만 ACL을 작성하거나 수정할 수 있습니다.
- Domino® 서버 및 Notes® 사용자 ID
  Domino® 는 ID 파일을 사용하여 사용자를 식별하고 서버에 대한 액세스를 제어합니다. 모든 Domino 서버, Notes® 인증자 및 Notes 사용자는 ID를 갖고 있어야 합니다.
- 실행 제어 목록(ECL)
  ECL(실행 제어 목록)을 사용하여 워크스테이션 데이터 보안을 설정합니다. ECL은 출처를 알 수 없거나 의심되는 사용 중인 내용으로부터 사용자 워크스테이션을 보호하며, 워크스테이션에서 실행되는 내용 수행을 제한하도록 설정될 수 있습니다.
- Domino® 서버 기반 CA(Server-based certification authority)
  CA 프로세스 서버 태스크를 사용하는 Domino® 인증자를 설정하여 인증서 요청을 관리하고 처리할 수 있습니다. 인증 기관 프로세스는 인증서를 발행하는 데 사용되는 Domino 서버에서 프로세스로 실행됩니다. Notes® 또는 인터넷 인증자를 설정할 때 CA 프로세스 활동을 이용하기 위해 서버의 CA 프로세스에 링크합니다. CA 프로세스는 한 번만 서버에서 실행되지만 여러 인증자에 연결할 수 있습니다.
- TLS 보안
  TLS(Transport Layer Security)는 TCP/IP에서 작동하는 Domino® 서버 태스크의 통신 개인정보 보호 및 인증을 제공하는 보안 프로토콜입니다.
- 클라이언트에 대한 TLS 및 S/MIME
  클라이언트는 Domino® 인증 기관 애플리케이션 또는 써드파티 인증 기관을 사용하여 보안 TLS 및 S/MIME 통신용 인증서를 가져올 수 있습니다.
- 암호화
  암호화는 인증되지 않은 액세스로부터 데이터를 보호합니다.
- 인터넷/인트라넷 클라이언트에 대한 이름과 비밀번호 인증 확인
  이름과 비밀번호 인증 확인(또는 기본 비밀번호 인증 확인)은 사용자에게 이름과 비밀번호를 묻기 위한 기본 질문/응답 프로토콜을 사용한 후, Domino® 디렉토리의 사용자 문서에 저장된 비밀번호의 보안 해시와 비교하여 비밀번호의 정확성을 확인합니다.
- TOTP(시간 기반 일회성 비밀번호) 인증
  사용자가 Domino 웹 서버에 로그인할 때 사용자 이름 및 비밀번호에 더해 시간 기반 일회성 비밀번호를 제공하도록 요구할 수 있습니다.
  - TOTP 인증의 필수 구성요소
    TOTP 인증의 필수 구성요소에 대한 개요입니다.
  - TOTP 인증 구성
    TOTP(시간 기반 일회성 비밀번호 인증)를 구성하려면 다음 단계를 수행합니다.
  - 교차 도메인 TOTP 인증 구성
    보조 Domino 도메인에 있는 사용자에 대해 TOTP 인증을 사용하도록 설정할 수 있습니다. 구성이 완료되면 보조 도메인에 등록된 사용자가 기본 Domino 도메인에 구성된 TOTP 인증을 설정하고 사용할 수 있습니다.
  - TOTP 인증에 대한 Docker 고려 사항
    Docker에서 Domino 서버에 대해 TOTP를 사용하도록 설정하기 위한 요구 사항 및 권장 사항은 다음과 같습니다.
  - 사용자가 TOTP를 설정하는 방법
    Domino 서버에서 TOTP(시간 기반 일회성 비밀번호) 인증을 사용하도록 설정하면 웹 사용자가 서버에 로그인할 때 다음 단계에 따라 TOTP를 설정합니다.
  - 사용자의 TOTP 구성 재설정
    사용자가 유효한 TOTP 토큰을 제공하여 TOTP 지원 서버에 로그인할 수 없는 경우, 다시 TOTP를 설정할 수 있도록 관리자가 사용자의 TOTP 구성을 재설정할 수 있습니다.
  - TOTP에 대한 notes.ini 설정
    다음 서버 notes.ini 설정을 사용하여 TOTP 구성을 사용자 정의할 수 있습니다.
- 다중 서버 세션 기반 인증(single sign-on)
  다중 서버 세션 기반 인증(SSO라고도 함)을 통해 웹 사용자는 Domino® 또는 WebSphere® 서버에 한 번 로그인한 후 다시 로그인하지 않고도 SSO에 대해 사용으로 설정된 동일한 DNS 도메인 내의 다른 Domino 또는 WebSphere 서버에 액세스할 수 있습니다.
- SAML(Security Assertion Markup Language)을 사용하여 연합 ID 인증 구성
  연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. Domino® 및 Notes®에서 사용자 인증을 위한 연합 ID는 OASIS의 SAML(Security Assertion Markup Language) 표준을 사용합니다.
- OIDC(OpenID Connect)를 사용하여 연합 ID 인증 구성
  연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. 클라이언트 애플리케이션에서 사용자를 인증하는 한 가지 방법으로 OIDC(OpenID Connect) 제공자를 사용합니다.
- 신임 정보 저장소를 사용하여 신임 정보 저장
  Domino® 서버에서는 신임 정보 저장소 애플리케이션을 보안 아티팩트 저장소로 사용할 수 있습니다. 보안 아티팩트의 예로는 인증 신임 정보 및 보안 키가 있습니다.
- Notes 및 Domino의 지원되는 키 크기 히스토리
  Notes® 및 Domino®의 이전 릴리스에서 현재 릴리스까지 지원되는 RSA 키 크기를 이해하십시오.

TOTP에 대한 notes.ini 설정

다음 서버 notes.ini 설정을 사용하여 TOTP 구성을 사용자 정의할 수 있습니다.

표 1. TOTP에 대한 서버 notes.ini 설정
설정	설명
TOTP_STEPSIZE=`seconds`	TOTP 토큰이 유효한 기간입니다(단위: 초). 이 설정이 없으면 토큰은 30초 동안 유효한 상태로 유지된 후 만료됩니다. 모든 TOTP 애플리케이션이 이 설정을 그대로 적용하지는 않습니다.
TOTP_TIMESKEW_STEPS=`TOTP_STEPSIZE factor`	ID 볼트 서버와 사용자 장치 사이의 시간 차이를 수용하기 위해 제공되는 추가 시간입니다. TOTPStepSize 전과 후에 추가할 TOTP_STEPSIZE 인자를 지정합니다. 기본적으로 이 값의 인자는 1입니다. 즉, 기본값인 TOTP_STEPSIZE 값(30초)이 사용된다고 가정하고, 전과 후에 30초가 추가됩니다.
ENABLE_IDV_CROSSDOMAIN_AUTHENTICATION=1	디렉토리 보조자가 디렉토리 교차 도메인 디렉토리 조회를 사용할 수 있도록 구성된 경우, Domino 서버에 notes.ini 설정 을 추가합니다. 이렇게 하면 사용자가 Domino 서버에 액세스하고 2차 도메인에 등록되면, 서버는 2차 도메인에 있는 ID 볼트에 액세스하여 TOTP 인증을 관리할 수 있습니다.
DEBUG_TOTP=2 DEBUG_IDV_TOTP_TRANS=1 DEBUG_IDV_TRUSTCERT=1	TOTP 문제 해결에 도움이 되도록 이 설정을 사용하여 console.log에서 디버그 로깅을 사용하도록 설정합니다.