공개 키 값 비교

인증 시 교환되는 사용자 및 서버 인증서의 서명은 항상 확인됩니다. HCL Domino ® 디렉토리에 나열된 키 값과 비교하여 인증서에 전달된 키 값을 확인함으로써 공개 키에 대한 추가 확인 수준을 활성화할 수 있습니다. 사용자가 서버로 인증할 수 있지만 인증서의 공개 키 값과 Domino ® 디렉토리에 나열된 값이 일치하지 않습니다.

이 작업 정보

이러한 추가적인 키 검증 단계는 분실 또는 손상된 ID 파일의 오용을 방지합니다. 일반적으로 ID 파일이 분실되면 소유자를 등록하여 새로운 ID 파일과 디렉토리 항목을 만들어야 합니다. ID 파일이 손상된 경우 소유자의 공개 키와 개인 키를 롤오버하고 새로운 키 세트를 인증해야 합니다(따라서 디렉토리 항목을 업데이트해야 함). 디렉토리 수준 키 검사를 활성화하면 이전 ID 파일을 소유한 공격자는 해당 이전 ID 파일에 유효한 인증서가 포함되어 있더라도 해당 파일을 사용해 서버에 액세스할 수 없습니다.

인증에 성공했지만 불일치가 감지된 경우 로그 메시지를 생성할지 여부를 제어할 수도 있습니다. 이를 통해 관리자는 ID 파일 내용이 디렉토리 항목과 동기화되지 않은 경우를 감지할 수 있지만, 공개 키 불일치로 인해 해당 사용자가 인증되는 것을 방해하지 않습니다.

절차

  1. Domino ® Administrator에서 구성 탭을 클릭하고 서버 문서를 엽니다.
  2. 보안 탭을 클릭합니다.
  3. 보안 설정 섹션에서 공개 키 비교 옆에 있는 목록을 클릭하고 다음 옵션 중 하나를 선택하세요.
    • 모든 Notes 사용자와 Domino 서버에 대해 키 검사를 시행하여 인증 중에 전달된 인증서의 키 값을 Domino ® 디렉터리에 저장된 키 값과 비교합니다. 신뢰할 수 있는 디렉토리에 나열되지 않은 사용자나 서버는 이 검증 검사에 실패한 것으로 간주되어 이 서버에 액세스할 수 없습니다.
    • 신뢰할 수 있는 디렉토리에 나열된 Notes 사용자 및 Domino 서버에 대해서만 키 검사를 시행합니다 . 사용자 또는 서버가 신뢰할 수 있는 디렉토리에 나열된 경우에만 인증 중에 전달된 인증서의 키 값을 디렉토리에 저장된 키 값과 비교합니다. 신뢰할 수 있는 디렉토리에 나열되지 않은 모든 사용자나 서버는 이 검증 검사를 통과한 것으로 간주됩니다.
      참고: 이 옵션을 사용하면 관리자는 디렉토리에 나열되지 않은 사용자에게 서버의 데이터베이스와 애플리케이션에 대한 액세스 권한을 부여할 수 있습니다. 예를 들어, 데이터베이스의 액세스 제어 목록은 Domino® 디렉토리에 나열된 사용자에게는 편집자 액세스 권한을 부여하고, 그 밖의 모든 사용자에게는 읽기 액세스 권한을 부여하도록 구성되어 있을 수 있습니다. 따라서 이 키 검사 옵션이 활성화되어 있으면 디렉토리에 나열되지 않은 사용자도 서버에 접근하여 데이터베이스를 사용할 수 있지만, 이에 대해서는 읽기 권한만 부여됩니다.
    • 키 검사를 강제하지 마세요 . 인증 중에 인증서 서명만 확인하고 디렉토리 내용과 키를 비교하지 않으려는 경우입니다.
  4. 공개 키 불일치 기록 옆에 있는 목록을 클릭하고 다음 옵션 중 하나를 선택하세요.
    • 모든 Notes 사용자와 Domino 서버에 대한 키 불일치 기록 -- 인증 중에 전달된 인증서의 키 값이 Domino ® 디렉토리에 저장된 키 값과 일치하지 않을 때 발생하는 이벤트를 기록합니다.
    • 신뢰할 수 있는 디렉토리에 나열된 Notes 사용자 및 Domino 서버에 대해서만 키 불일치를 기록합니다 -- 인증 중에 전달된 인증서의 키 값이 디렉토리에 저장된 키 값과 일치하지 않을 때 발생하는 이벤트를 기록합니다(사용자 또는 서버가 신뢰할 수 있는 디렉토리에 나열된 경우에만).
    • 키 불일치는 기록하지 않고 인증 실패만 기록합니다.
  5. 변경 사항을 적용하려면 서버를 중지했다가 다시 시작하세요. 서버는 이러한 설정이 변경되었는지 확인하기 위해 매 시간 폴링하므로 서버를 다시 시작하지 않으면 새로운 설정이 적용되기까지 최대 1시간이 걸릴 수 있습니다.