장착형 인증 모듈
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
장착형 인증 모듈(PAM)은 시스템 인증을 위한 모듈화된 방식이다. PAM은 유연성과 확장성을 제공하며 중앙 집중식 관리가 가능하다는 장점이 있지만, 자체적으로 커베로스와 같은 SSO를 구현하기 어렵다는 한계를 지닌다. 특히, PAM은 원격 클라이언트 인터페이스 부재로 인해 XSSO 표준, SPNEGO, SASL과 같은 기술과의 결합을 통해 SSO를 구현해야 하며, SSH와 같은 일부 서비스는 자체 인증 메커니즘을 사용한다. 또한, PAM의 구현에 따라 커베로스 환경에서 서비스 티켓을 얻는 데 제약이 있을 수 있다.
더 읽어볼만한 페이지
- 오픈 그룹 표준 - POSIX
POSIX는 유닉스 기반의 이식 가능한 운영체제 인터페이스를 표준화하기 위한 IEEE 표준군으로, 프로세스 관리, 파일 시스템 접근, 스레드 처리 등 핵심 서비스들을 규정하며 운영체제 간 호환성을 높이는 데 기여한다. - 오픈 그룹 표준 - X 윈도 시스템
X 윈도 시스템은 네트워크 기반 분산형 윈도 시스템으로, 다양한 운영체제에서 GUI 환경을 제공하며 클라이언트-서버 모델 기반의 네트워크 투명성을 특징으로 한다. - 컴퓨터 보안 표준 - ISO/IEC 27002
ISO/IEC 27002는 조직이 정보 보안을 효과적으로 관리하도록 지침을 제공하는 정보 보안 표준으로, 정보 보안 정책, 조직 구조, 물리적 보안 등 다양한 영역을 다룬다. - 컴퓨터 보안 표준 - 콘텐츠 보안 정책
콘텐츠 보안 정책(CSP)은 웹 사이트의 XSS 공격과 데이터 주입 공격을 완화하기 위해 웹 서버 응답 헤더에 선언적 허용 목록 정책을 적용하여 인라인 JavaScript, CSS, 동적 코드 평가 등을 비활성화하는 웹 브라우저 보안 기능이다. - API - Tk (소프트웨어)
Tk는 Tcl 스크립팅 언어의 크로스 플랫폼 GUI 툴킷으로, 다양한 플랫폼 이식과 여러 프로그래밍 언어 바인딩을 지원하며 사용자 정의 가능한 위젯들을 제공한다. - API - ASIO
ASIO는 독일 스타인버그에서 개발한 오디오 입출력 API 규격으로, 낮은 지연 시간과 멀티 채널 I/O를 지원하며 윈도우 운영체제에서 주로 사용된다.
| 장착형 인증 모듈 |
|---|
2. PAM의 개념 및 구조
2. 1. 모듈화된 인증 방식
2. 2. PAM 설정 파일
3. PAM의 장점
3. 1. 유연성 및 확장성
3. 2. 중앙 집중식 관리
4. PAM의 한계 및 비판
대부분의 PAM 구현들이 원격 클라이언트 즉, 그들 자체와의 인터페이스가 없기 때문에, PAM은 저절로 유닉스 환경에서 흔히 사용되는 SSO인 커베로스를 구현할 수 없다. 이것은 XSSO 표준과 SPNEGO와 SASL 같은 진보된 기술들의 "주요 인증" 부분으로서 SSO의 결합으로 이어진다. 이러한 기능의 부족은 또한 SSH가 자신의 인증 메커니즘 협상을 하는 이유이기도 하다.
대부분의 PAM 구현들에서 pam_krb5은 단지 TGT(Ticket Granting Tickets)만 페치하는데 이것은 SSO 환경에서 오직 초기 로그인 시에만 사용된다. 특정한 애플리케이션을 위한 서비스 티켓을 페치하고 사용자가 비밀번호를 다시 치지 않게 하기 위해서는 pam_krb5가 자체적으로 자신의 서비스 티켓을 얻지 못하기 때문에 애플리케이션이 반드시 커베로스를 지원하기 위해 기록되어 있어야 한다.
4. 1. SSO(Single Sign-On) 구현의 어려움
PAM 자체로는 커베로스와 같은 SSO을 구현하기 어렵다. 대부분의 PAM 구현에는 원격 클라이언트 인터페이스가 없기 때문이다. 이는 XSSO 표준, SPNEGO, SASL과 같은 기술에서 SSO가 "주요 인증" 부분으로 결합되는 결과를 낳았다. 이러한 기능 부족은 SSH가 자체 인증 메커니즘을 사용하는 이유이기도 하다.대부분의 PAM 구현에서 pam_krb5는 TGT(Ticket Granting Tickets)만 가져오는데, 이는 SSO 환경에서 초기 로그인 시에만 사용된다. 특정 애플리케이션 서비스 티켓을 얻고 사용자가 비밀번호를 다시 입력하지 않도록 하려면, 애플리케이션 자체가 커베로스를 지원해야 한다. pam_krb5는 자체적으로 서비스 티켓을 얻을 수 없기 때문이다.
4. 2. Kerberos 환경에서의 문제점
대부분의 PAM 구현은 원격 클라이언트와의 인터페이스가 없어 유닉스 환경에서 흔히 사용되는 SSO인 커베로스를 자체적으로 구현할 수 없다. 이는 XSSO 표준 및 SPNEGO, SASL과 같은 고급 기술에서 "주요 인증" 부분으로 SSO를 결합하는 결과를 낳았다. 이러한 기능 부족으로 인해 SSH는 자체 인증 메커니즘을 협상한다.대부분의 PAM 구현에서 pam_krb5는 초기 로그인 시에만 사용되는 TGT(Ticket Granting Tickets)를 획득한다. 특정 애플리케이션을 위한 서비스 티켓을 얻고 사용자가 비밀번호를 다시 입력하지 않도록 하려면, 애플리케이션이 Kerberos를 지원해야 하는데, 이는 pam_krb5가 자체적으로 서비스 티켓을 획득하지 못하기 때문이다.
5. 한국 정보 보안 환경에서의 PAM
5. 1. 공공기관 및 금융권의 보안 요구사항
5. 2. Kerberos SSO 도입의 어려움
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com