자격 추적

Domino 12.0부터는 Domino 도메인 전체에서 개별 사용자가 갖는 가장 높은 권한을 수집하기 위한 새로운 내부 메커니즘이 제공됩니다. 사용자가 독자 액세스 이상의 권한을 가지고 데이터베이스의 ACL에 나타나고 해당 사람이 서버에 액세스할 수 있는 권한을 갖고 있는 경우 해당 사용자는 자격이 있는 사용자 라고 합니다.

예를 들어, Dana Smith/Renovations에는 비용 보고 애플리케이션인 Expense.nsf 에 대한 작성자 액세스 권한이 있습니다. 서버의 액세스 허용 보안 설정은 */Renovations 권한이 서버에 액세스하도록 허용합니다. 따라서 Dana Smith/Renovations는 작성자 액세스 권한이 있는 권한 있는 사용자로 간주됩니다.

대략 하루에 한 번, 각 Domino 12 서버는 서버의 모든 데이터베이스를 검색하고 권한이 있는 각 사용자에 대해 최고 수준의 액세스 권한을 수집합니다. 예를 들어 서버 A에서는 다음과 같습니다.
  • Dana Smith/Renovations에는 비용.nsf 에 대한 작성자 액세스 권한, AcmeSales.nsf 에 대한 독자 액세스 권한 및 메일 파일 DanaSmith.nsf 에 대한 편집자 액세스 권한이 있습니다.
  • Richard Smith/Renovations에는 다음과 같은 비용이 있습니다. AcmeSales.nsf 에 대한 디자이너 액세스.
  • Gary Smith/GS Consulting에는 AcmeSales.nsf 에 대한 독자 액세스 권한이 있습니다.
스캔을 완료한 후 서버 A는 다음을 추적합니다.
  • Dana Smith/Renovations는 편집자 권한이 있는 사용자로서 최고 액세스 수준입니다.
  • Richard Smith/Renovations는 최고 수준의 액세스 권한으로 Designer를 사용하는 권한이 있는 사용자입니다.
  • Gary Smith/GS Consulting은 독자 액세스 권한이 있는 데이터베이스 ACL에 표시되지만 서버에 액세스할 수 없기 때문에 권한이 있는 사용자가 아닙니다.

서버가 자격을 추적하는 방법

Domino 설치 프로그램은 entitlementtrack.ntf 템플릿을 설치합니다. Domino 서버 업데이트 작업은 서버와 함께 작동하여 서버에서 숨겨진 시스템 데이터베이스 entitlementtrack.ncf를 생성하고 관리합니다. entitlementtrack.ncf에는 서버의 Domino 디렉토리에 있는 모든 사용자에 대한 문서가 있어 각 사용자에게 부여된 가장 높은 액세스 수준을 추적할 수 있습니다. 사용자에게 부여된 가장 높은 액세스 수준 외에도 각 문서에는 이 사용자가 발견된 첫 번째 데이터베이스, 사용자에게 가장 높은 부여된 액세스 수준이 부여된 방법 등 확증적인 사실이 포함되어 있습니다. 예: "Dana Smith/Renovations 사용자는 ACL에 명시적으로 이름이 지정되어 있으므로 DanaSmith.nsf 데이터베이스에서 편집자 액세스 권한을 갖습니다." 또는: "Richard Smith/Renovations 사용자는 이 데이터베이스에 대한 디자이너 액세스 권한이 있는 AppDesigners 그룹의 구성원이기 때문에 AcmeSales.nsf 데이터베이스에 대한 디자이너 액세스 권한이 있습니다." 12.0.2부터 데이터베이스는 다음 예와 같이 사용자가 추적된 서버에서 마지막으로 인증한 날짜/시간과 사용자가 서버에 연결한 프로토콜도 추적합니다.

1 . 자격 추적기 데이터의 샘플 데이터
이름 최고 접근성 데이터베이스에서 부여됨 ACL 항목에 의해 부여됨 마지막 액세스 유형
알리야 클릭/기타 편집자 mail3/aclick.nsf (뮤직맨) Aaliyah 클릭/기타(명시적) 8/10/2022 16:14 HTTP
알렉산더 학교/기타 관리자 cscancfg.nsf(깁슨) LocalDomainAdmins(그룹) 7/28/2022 9:03 HTTP
알렉시스 Rose/기타 편집자 mail2/arose.nsf (뮤직맨) 알렉시스 Rose/기타(명시적) 8/10/2022 8:54 NRPC
에이미 앤드류스/기타 관리자 specs/NewFeatures.nsf (펜더) LocalDomainAdmins(그룹) 7/24/2022 0:00 NRPC
가을 블레이클리/기타 편집자 mail4/arose.nsf (깁슨) 가을 블레이클리(Autum Blakely)/기타(명시적) 8/4/2022 19:39 LDAP
버락 월/기타 편집자 mail1/bwall.nsf (깁슨) 버락 월/기타(명시적) 7/24/2022 0:00 NRPC
보이드 웨버/기타 편집자 mail1/bwebber.nsf (펜더) 보이드 웨버/기타(명시적) 8/10/2022 8:54 NRPC

누가 추적되나요?

다음 사용자가 추적됩니다:
  • 디렉터리의 인증된 사용자. 인증을 위해 신뢰된 모든 디렉터리의 모든 사용자가 추적됩니다. 이는 Domino 디렉토리의 모든 사용자, LDAP 디렉토리에 정의된 사용자 또는 이 둘의 조합만큼 간단할 수 있습니다. 각 서버는 고유한 디렉터리 구성을 가질 수 있으므로 각 서버에는 고유한 사용자 집합이 있을 수 있습니다.
  • 디렉터리에 없는 인증된 사용자입니다. 디렉터리에 없는 사용자가 성공적으로 서버에 연결하고 데이터베이스에 액세스한 경우 추적된 사용자 목록에 추가됩니다. 이에 대한 예는 HTTP를 통해 서버에 액세스하는 교차 인증된 사용자입니다.
  • 디렉터리에 없는 ACL의 사용자입니다. 서버의 보안 설정이 제한적이지 않은 경우(예: "모든 사람이 이 서버에 액세스하도록 허용") 데이터베이스에서 적합한 액세스 수준을 가진 모든 사용자는 권한이 있는 사용자로 간주되어 그에 따라 추적됩니다.

추적되지 않는 사람

다음 엔터티는 추적되지 않습니다.
  • 서버.
  • "서버 접근 허용" 목록에 포함되지 않았거나 "서버 접근 허용 안함" 목록에서 명시적으로 접근이 거부되어 서버에 접근할 수 없는 사용자입니다.
  • 라우팅 목적으로만 사용되는 개인 문서(예: Notes 인증서 및 HTTP 비밀번호가 없는 문서)

사용자는 언제 추적되나요?

서버는 매일 자격이 있는 사용자를 검색하지만 사용자 추적 문서는 자격이 변경될 때만 추적 데이터베이스에서 업데이트됩니다. 예를 들어, 메일 파일에 대한 Dana Smith/Renovations의 액세스 권한이 편집자에서 관리자로 변경되면 자격 변경 사항을 반영하기 위해 다음 스캔에서 추적 문서가 업데이트됩니다.

그룹, 와일드카드 및 -Default- 액세스

권한은 개별 사용자 수준에서 추적되지만 Domino 관리자는 일반적으로 Domino 또는 LDAP 그룹과 와일드카드를 사용하여 서버 및 데이터베이스에 대한 사용자 액세스를 제어합니다. 자격 수집기는 "그룹 그룹" 및/또는 "사용자와 일치하는 와일드카드"를 반복적으로 확장하여 그룹 또는 와일드카드에 대한 자격을 개별 사용자 집합에 투영합니다. 그룹과 와일드카드를 사용하면 사용자 집합에 명시적으로 권한이 부여됩니다.

반면에 -Default- 액세스를 사용하면 -Default- 액세스 설정이 "다른 모든 사람"으로 프로젝트되기 때문에 암시적으로 많은 사용자에게 권한을 부여할 수 있습니다. 예를 들어, 5명의 구성원이 있는 RenovationsManagers 그룹에 데이터베이스에 대한 관리자 액세스 권한이 있고 사용자 Richard Smith/Renovations에 명시적인 편집자 액세스 권한이 있으며 -Default- 액세스 권한이 독자인 경우 이 6명의 사용자를 제외한 서버에 대한 액세스 권한이 있는 모든 사람은 독자 액세스 권한이 부여됩니다. 서버가 */Renovations를 사용하는 모든 사용자가 서버에 액세스하도록 허용하고 구성된 디렉토리에 1,705명의 Renovations 사용자가 있는 경우 이 ACL 기본값은 1,700명의 사용자에게 독자 액세스 권한을 부여합니다. 일반적으로 -Default- 액세스는 매우 주의해서 사용해야 합니다.

참고: Domino 시스템 데이터베이스와 함께 제공되는 -Default- ACL 항목이 액세스를 허용하는 경우 해당 항목은 권한으로 간주되지 않으며 처리에서 제외됩니다. 예를 들어, Domino 도움말 데이터베이스는 독자 액세스를 허용하는 -Default- ACL 항목과 함께 제공되므로 해당 -Default- ACL 항목은 처리에서 제외됩니다.

도메인 수준에서 권한 요약

도메인의 각 Domino 서버가 매일 수집하는 권한 데이터는 도메인 관리 서버의 전체 도메인에 대해서도 집계됩니다. 디렉토리 카탈로그 작업은 동기화 프로세스를 관리하며 각 서버의 결합된 자격 추적 데이터는 관리 서버의 entitlements.nsf 데이터베이스에 집계됩니다. 관리 서버에는 자체 자격 추적 데이터베이스( entitlementtrack.ncf )와 도메인의 모든 서버에 대한 집계 추적 정보( entitlements.nsf )가 모두 있습니다. 관리 서버는 도메인의 각 사용자에 대해 가장 높은 액세스 수준을 식별하고 특정 사용자에 대해 가장 높은 액세스 수준을 가진 서버는 물론 데이터베이스 및 사용자에게 자격이 부여된 방법과 같은 기타 확증 정보를 저장합니다.
참고: entitlements.nsf 의 기록 보기에는 스냅샷 버튼이 포함되어 있습니다. 현재 데이터를 기반으로 액세스 수준별로 현재 총 권한 수를 요약하는 문서를 생성하려면 이 버튼을 클릭하세요. Domino는 이 동일한 작업을 일주일에 한 번씩 자동으로 실행하므로 자격 변경에 대한 기록이 남습니다.

자격 정보가 사용되는 방법

자격 정보는 Domino 고객이 자신의 환경을 모니터링하는 데 도움을 주기 위해 수집됩니다. 이 데이터는 어떤 방식으로든 HCL에 의해 수집되지 않으며 어떤 방식으로든 서버 액세스를 제어하는 ​​데 사용되지 않습니다. HCL에서 제공을 요청할 수 있는 유일한 정보는 액세스 수준별 총 자격 수를 포함하는 "자격 보고서"입니다. 예:
Entitlement Summary for 3/10/2010
	Manager         13
	Designer         7
	Editor         234
	Author        1200
	Reader        2400
	==================
	Total	    3834

이 정보를 사용하는 방법

자격 요약의 정보는 다양한 액세스 수준을 가진 사용자 수와 이러한 숫자에 기여하는 서버, 데이터베이스, ACL 및 권한을 이해하는 데 매우 유용할 수 있습니다. 기본적으로 이러한 데이터베이스에는 LocalDomainAdmins로 제한된 액세스 권한이 있지만 이는 귀하의 데이터이므로 다음 주의 사항에 따라 적합하다고 판단되는 방식으로 액세스를 관리할 수 있습니다.
  • HCL 지원팀에서 지시하지 않는 한 권한 수집기 데이터베이스 또는 수집기 요약 데이터베이스를 삭제하지 마십시오.
  • 어떤 방식으로든 디자인을 수정하거나 템플릿을 변경하지 마십시오.
  • 데이터베이스 및 수집 서비스는 "있는 그대로" 제공되며 데이터베이스의 구조와 데이터 수집 프로세스는 제품의 후속 릴리스에서 HCL에 의해 변경될 수 있습니다.

ACL 스캐너 에이전트

ACL Scanner 라는 에이전트는 관리자가 다양한 데이터베이스에 액세스할 수 있는 사람을 요약한 보고서를 즉시 얻는 데 유용할 수 있는 도구로 지원 없이 "있는 그대로" 제공됩니다. 이 도구를 사용하면 해당 데이터베이스에 액세스할 수 있는 사람을 추가로 제한하여 보안을 "강화"할 수 있습니다. 이 도구를 사용하면 자격 추적기의 다음 주기를 기다리지 않고 ACL을 변경하고 도구를 다시 실행하여 변경 효과에 대한 즉각적인 피드백을 받을 수 있다는 이점이 있습니다.

에이전트를 실행하려면 entitlementtrack.ncf를 열고 Actions - ACL Scanner 를 선택하세요. 다음 옵션을 제공하는 대화 상자가 나타납니다.
  • 스캔할 서버를 선택하세요.
  • 데이터베이스, 템플릿 또는 둘 다를 검사할지 여부를 지정합니다.
  • 검색할 사용자 또는 그룹을 지정하거나 기본 ACL 액세스에 대한 특수 이름 -Default-를 지정합니다.
  • 검색할 ACL 수준을 지정하면 해당 수준 이상의 액세스를 검색합니다.
  • 선택적으로 건너뛸 폴더 목록을 지정합니다.

예를 들어 -Default- ACL 항목이 편집자 이상의 액세스 권한을 갖는 데이터베이스를 서버에서 검색할 수 있습니다.

이 도구는 서버에서 선택한 모든 데이터베이스의 ACL을 검사하고 일치하는 모든 데이터베이스를 나열하는 보고서를 생성합니다. 이 예에서는 해당 데이터베이스 중 일부의 ACL을 수정하고 -Default- 항목의 액세스 수준을 낮추도록 선택할 수 있습니다. 그런 다음 보고서를 즉시 다시 실행하여 변경 사항의 효과를 확인할 수 있습니다.