Windows 인증 개념
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
이 참조 개요 항목에서는 Windows 인증 기반이 되는 개념에 대해 설명합니다.
인증은 개체 또는 사람의 ID를 확인하는 프로세스입니다. 개체 인증의 목표는 개체가 올바른지 확인하는 데 있습니다. 사용자를 인증할 때 목표는 해당 사람이 사기꾼이 아닌지 확인하는 것입니다.
네트워킹 컨텍스트에서 인증은 네트워크 애플리케이션이나 리소스에 대해 ID를 증명하는 행위입니다. 일반적으로 ID는 사용자가 알고 있는 키만 사용하는 암호화 작업(공개 키 암호화와 마찬가지로) 또는 공유 키를 사용하여 입증됩니다. 인증 교환의 서버 쪽에서는 서명된 데이터를 알려진 암호화 키와 비교하여 인증 시도의 유효성을 검사합니다.
암호화 키를 안전한 중앙 위치에 저장하면 인증 프로세스를 쉽게 확장하고 유지 관리할 수 있습니다. Active Directory는 사용자의 자격 증명인 암호화 키를 포함하는 ID 정보를 저장하는 데 권장되는 기본 기술입니다. 기본 NTLM 및 Kerberos 구현에는 Active Directory가 필요합니다.
인증 기술은 간단한 로그온에서 운영 체제 또는 로그인에서 서비스 또는 애플리케이션에 이르기까지 다양하며, 암호와 같이 사용자만 알고 있는 것을 기반으로 사용자를 식별하는 것부터 토큰, 공개 키 인증서, 사진 또는 바이오 논리적 특성과 같이 사용자가 가지고 있는 것을 사용하는 보다 강력한 보안 메커니즘에 이르기까지 다양합니다. 비즈니스 환경에서 사용자는 단일 위치 또는 여러 위치에서 여러 유형의 서버에서 여러 애플리케이션에 액세스할 수 있습니다. 이러한 이유로, 인증은 다른 플랫폼 및 다른 Windows 운영 체제의 환경을 지원해야 합니다.
인증 및 권한 부여: 여행 비유
여행 비유는 인증의 작동 방식을 설명하는 데 도움이 될 수 있습니다. 일반적으로 여정을 시작하기 위해 몇 가지 준비 작업이 필요합니다. 여행자는 호스트 당국에 자신의 진정한 신원을 증명해야합니다. 이 증거는 시민권, 출생지, 개인 바우처, 사진 또는 호스트 국가의 법에 의해 요구되는 모든 것의 형태로 될 수 있습니다. 여행자의 신원은 여권 발급에 의해 검증되며, 이는 조직이 발급하고 관리하는 시스템 계정인 보안 주체와 유사합니다. 여권과 의도된 목적지는 정부 당국이 발행한 일련의 규칙과 규정을 기반으로 합니다.
여행
여행자가 국제 국경에 도착하면 국경 경비대가 자격 증명을 요청하고 여행자는 여권을 제시합니다. 프로세스는 두 배입니다.
경비원은 지방 정부가 (적어도 여권을 발급하기 위해 신뢰) 보안 당국에 의해 발급되었는지 확인하고 여권이 수정되지 않은 것을 확인하여 여권을 인증합니다.
경비원은 얼굴이 여권에 있는 사람의 얼굴과 일치하고 다른 필요한 자격 증명이 양호한지 확인하여 여행자를 인증합니다.
여권이 유효하고 여행자가 소유자로 입증되면 인증이 성공하며 여행자가 국경을 넘어 액세스 할 수 있습니다.
보안 기관 간의 전이적 신뢰는 인증의 기초입니다. 국제 국경에서 발생하는 인증 유형은 신뢰를 기반으로 합니다. 지방 정부는 여행자를 알지 못하지만 호스트 정부가 하는 것을 신뢰합니다. 호스트 정부가 여권을 발급했을 때 여행자도 알지 못했습니다. 그것은 출생 증명서 또는 기타 문서를 발행 한 기관을 신뢰했다. 출생 증명서를 발행 한 기관은 차례로 인증서에 서명 한 의사를 신뢰했습니다. 의사는 여행자의 출생을 목격하고 신원의 직접적인 증거와 인증서를 스탬프, 신생아의 발자국이있는이 경우. 신뢰할 수 있는 중개자를 통해 이러한 방식으로 전송되는 신뢰는 전이적입니다.
전이적 신뢰는 Windows 클라이언트/서버 아키텍처의 네트워크 보안을 위한 기반입니다. 트러스트 관계는 do기본 트리와 같은 do기본 집합 전체에 걸쳐 흐르며, 할 일기본 트러스트하는 모든 작업기본 간에 관계를 형성합니다기본. 예를 들어 do기본 A에 do기본 B가 있는 전이적 트러스트가 있고기본 B 트러스트가 C를 수행하는 경우기본 수행합니다기본 A 트러스트는 C를 기본.
인증과 권한 부여 사이에는 차이가 있습니다. 인증을 통해 시스템은 사용자가 자신이 누구인지를 증명합니다. 권한 부여를 통해 시스템은 사용자가 원하는 작업을 수행할 수 있는 권한이 있는지 확인합니다. 다음 단계에 국경 비유를 가지고, 단지 여행자가 유효한 여권의 적절한 소유자임을 인증하는 것은 반드시 국가에 입국하는 여행자 권한을 부여하지 않습니다. 특정 국가의 거주자는 특정 국가의 모든 시민이 입국할 수 있는 무제한 허가를 부여하는 경우에만 여권을 제시하여 다른 국가에 입국할 수 있습니다.
마찬가지로 특정 do기본 권한의 모든 사용자에게 리소스에 액세스할 수 있는 권한을 부여할 수 있습니다. 캐나다가 미국 시민이 캐나다에 입국할 수 있도록 하는 것처럼기본 해당 사용자에 속하는 모든 사용자는 리소스에 액세스할 수 있습니다. 그러나 브라질이나 인도에 입국하려는 미국 시민들은 두 국가 모두 유효한 비자를 소지해야 하기 때문에 여권을 제시하는 것만으로는 입국할 수 없다는 것을 알게 되었습니다. 따라서 인증은 리소스에 대한 액세스 또는 리소스를 사용하기 위한 권한 부여를 보장하지 않습니다.
자격 증명
여권 및 관련 비자는 여행자에게 허용되는 자격 증명입니다. 그러나 이러한 자격 증명은 여행자가 국가 내의 모든 리소스를 입력하거나 액세스하도록 허용하지 않을 수 있습니다. 예를 들어 회의에 참석하려면 추가 자격 증명이 필요합니다. Windows에서는 계정 소유자가 자격 증명을 반복적으로 제공하지 않고도 네트워크를 통해 리소스에 액세스할 수 있도록 자격 증명을 관리할 수 있습니다. 이러한 유형의 액세스를 통해 사용자는 시스템에서 한 번 인증을 받아 다른 계정 식별자 또는 암호를 입력하지 않고도 사용할 수 있는 모든 애플리케이션 및 데이터 원본에 액세스할 수 있습니다. Windows 플랫폼은 운영 체제의 LSA(로컬 보안 기관)에서 사용자 자격 증명을 로컬로 캐싱하여 네트워크를 통해 단일 사용자 ID(active Directory에서 기본 포함)를 사용하는 기능을 활용합니다. 사용자가 do기본 로그온할 때 Windows 인증 패키지는 자격 증명을 투명하게 사용하여 네트워크 리소스에 자격 증명을 인증할 때 Single Sign-On을 제공합니다. 자격 증명에 대한 자세한 내용은 Windows 인증의 자격 증명 프로세스를 참조하세요.
여행자를 위한 다단계 인증의 한 형태는 여권 및 회의 등록 정보와 같은 자신의 신원을 인증하기 위해 여러 문서를 소지하고 제시해야 하는 요구 사항일 수 있습니다. Windows는 스마트 카드, 가상 스마트 카드 및 바이오 메트릭 기술을 통해 이 양식 또는 인증을 구현합니다.
보안 주체 및 계정
Windows에서 작업을 시작할 수 있는 사용자, 서비스, 그룹 또는 컴퓨터는 보안 주체입니다. 보안 주체에는 컴퓨터에 로컬이거나 기본 기반일 수 있는 계정이 있습니다. 예를 들어 Windows 클라이언트가 기본 가입된 컴퓨터는 사용자가 로그온하지 않은 경우에도 do기본 컨트롤러와 통신하여 기본 네트워크에 참여할 수 있습니다. 통신을 시작하려면 컴퓨터에 do기본 활성 계정이 있어야 합니다. 컴퓨터의 통신을 수락하기 전에 do기본 컨트롤러의 로컬 보안 기관은 컴퓨터의 ID를 인증한 다음 사용자 보안 주체와 마찬가지로 컴퓨터의 보안 컨텍스트를 정의합니다. 이 보안 컨텍스트는 특정 컴퓨터 또는 네트워크의 사용자, 서비스, 그룹 또는 컴퓨터에서 사용자 또는 서비스의 ID와 기능을 정의합니다. 예를 들어 액세스할 수 있는 파일 공유 또는 프린터와 해당 리소스의 사용자, 서비스 또는 컴퓨터에서 수행할 수 있는 읽기, 쓰기 또는 수정과 같은 작업을 정의합니다. 자세한 내용은 보안 주체를 참조 하세요.
계정은 액세스 또는 리소스를 요청하는 클레임자(사용자 또는 서비스)를 식별하는 수단입니다. 본격적인 여권을 소지하는 여행자는 호스트 국가와 계정을 소유합니다. 사용자, 사용자 그룹, 개체 및 서비스는 모두 개별 계정을 갖거나 계정을 공유할 수 있습니다. 계정은 그룹의 구성원일 수 있으며 특정 권한 및 권한을 할당할 수 있습니다. 계정은 로컬 컴퓨터, 작업 그룹, 네트워크로 제한되거나 할 일기본 멤버 자격이 할당될 수 있습니다.
기본 제공 계정 및 멤버인 보안 그룹은 Windows의 각 버전에서 정의됩니다. 보안 그룹을 사용하면 성공적으로 인증된 많은 사용자에게 동일한 보안 권한을 할당하여 액세스 관리를 간소화할 수 있습니다. 여권 발급 규칙은 여행자를 비즈니스, 관광 또는 정부와 같은 특정 그룹에 할당하도록 요구할 수 있습니다. 이 프로세스는 그룹의 모든 멤버에서 일관된 보안 권한을 보장합니다. 보안 그룹을 사용하여 권한을 할당하면 리소스에 대한 액세스 제어가 일정하고 관리 및 감사하기 쉬운 기본 의미합니다. 필요에 따라 적절한 보안 그룹에서 액세스해야 하는 사용자를 추가하고 제거하면 ACL(액세스 제어 목록)에 대한 변경 빈도를 최소화할 수 있습니다.
독립 실행형 관리 서비스 계정 및 가상 계정은 Windows Server 2008 R2 및 Windows 7에서 Microsoft Exchange Server 및 IIS(인터넷 정보 서비스기본)와 같은 필요한 애플리케이션을 제공하기 위해 도입되었으며, 관리자가 이러한 계정에 대한 SPN(서비스 사용자 이름) 및 자격 증명을 수동으로 관리할 필요가 없도록 했습니다. 그룹 관리 서비스 계정은 Windows Server 2012에서 도입되었으며 할 일 내에서 동일한 기능을 제공하지만기본 여러 서버에 대해 해당 기능을 확장합니다. 네트워크 부하 분산과 같이 서버 팜에서 호스트된 서비스에 연결하는 경우 상호 인증을 지원하는 인증 프로토콜을 사용하려면 모든 서비스 인스턴스가 동일한 사용자를 사용해야 합니다.
계정에 대한 자세한 내용은 다음을 참조하세요.
위임된 인증
여행 비유를 사용하기 위해 국가는 대표단이 잘 알려진 한 공식 정부 대표단의 모든 구성원에게 동일한 액세스 권한을 부여할 수 있습니다. 이 위임을 통해 한 멤버는 다른 멤버의 권한에 따라 작업할 수 있습니다. Windows에서 위임된 인증은 네트워크 서비스가 사용자의 인증 요청을 수락하고 두 번째 네트워크 서비스에 대한 새 연결을 시작하기 위해 해당 사용자의 ID를 가정할 때 발생합니다. 위임된 인증을 지원하려면 클라이언트 인증 요청 및 백 엔드 또는 n 계층 서버(예: 대용량 데이터베이스)를 처리하는 프런트 엔드 또는 웹 서버와 같은 첫 번째 계층 서버를 설정해야 합니다. 위임된 인증을 조직의 사용자에게 위임하여 관리자의 관리 부하를 줄일 수 있는 권한을 위임할 수 있습니다.
위임을 위해 신뢰할 수 있는 서비스 또는 컴퓨터를 설정하여 해당 서비스 또는 컴퓨터가 위임된 인증을 완료하고, 요청을 하는 사용자에 대한 티켓을 받은 다음, 해당 사용자의 정보에 액세스하도록 허용합니다. 이 모델은 올바른 액세스 제어 토큰으로 자격 증명을 제공하는 사용자 또는 서비스로만 백 엔드 서버의 데이터 액세스를 제한합니다. 또한 해당 백 엔드 리소스에 대한 액세스 감사도 허용합니다. 클라이언트를 대신하여 사용하기 위해 서버에 위임된 자격 증명을 통해 모든 데이터에 액세스하도록 요구하면 서버가 손상될 수 없고 다른 서버에 저장된 중요한 정보에 액세스할 수 있는지 확인합니다. 위임된 인증은 여러 컴퓨터에서 Single Sign-On 기능을 사용하도록 설계된 다중 계층 애플리케이션에 유용합니다.
할 일 간의 트러스트 관계에 대한 인증기본
둘 이상의 조직이 기본 여행자가 해당 국가의 다른 지역으로의 여행이 허용되는 것처럼기본 사용자가 다른 할 일기본 있는 공유 리소스에 액세스할 수 있어야 합니다. 이 액세스를 제어하려면 한 기본 사용자가 다른 작업에서 리소스를 사용하도록 인증하고 권한을 부여해야 합니다기본. 서로 다른 기본 클라이언트와 서버 간에 인증 및 권한 부여 기능을 제공하려면 두 기본 간에 트러스트가 있어야 합니다. 트러스트는 보안 Active Directory 통신이 발생하는 기본 기술이며 Windows Server 네트워크 아키텍처의 필수 보안 구성 요소입니다.
두 do기본 사이에 트러스트가 있는 경우 각각에 대한 인증 메커니즘은 다른 기본 들어오는 인증을 신뢰합니다기본. 트러스트는 들어오는 인증 요청이 신뢰할 수 있는 기관에서 오는지 확인하여 리소스의 공유 리소스에 대한 제어된 액세스를 제공하는 데 도움이 됩니다기본기본- 신뢰할 수 있는 권한기본. 이러한 방식으로 트러스트는 유효성이 검사된 인증 요청만 do기본 사이를 이동할 수 있도록 하는 브리지 역할을 합니다.
특정 트러스트가 인증 요청을 전달하는 방법은 구성 방법에 따라 달라집니다. 트러스트 관계는 신뢰할 수 있는 do기본에서 신뢰할 수 있는 할 일기본 리소스에 대한 액세스를 제공하거나, 다른 do기본 리소스에 대한 액세스를 제공하여 단방향일 수 있습니다기본. 또한 트러스트는 비전환적이며, 이 경우 트러스트는 두 트러스트기본 파트너 간에만 존재하거나 전이적입니다. 이 경우 트러스트는 파트너 중 하나가 신뢰하는 다른 do기본로 자동으로 확장됩니다.
트러스트 작동 방식에 대한 자세한 내용은 방법기본 및 포리스트 트러스트 작업을 참조하세요.
프로토콜 전환
프로토콜 전환은 애플리케이션이 사용자 인증 계층에서 다양한 인증 메커니즘을 지원하도록 하고 후속 애플리케이션 계층에서 상호 인증 및 제한된 위임과 같은 보안 기능에 대한 Kerberos 프로토콜로 전환하여 애플리케이션 디자이너를 지원합니다.
프로토콜 전환에 대한 자세한 내용은 Kerberos 프로토콜 전환 및 제한된 위임을 참조 하세요.
제한된 위임
제한된 위임을 통해 관리자는 애플리케이션 서비스가 사용자를 대신하여 작동할 수 있는 범위를 제한하여 애플리케이션 신뢰 경계를 지정하고 적용할 수 있습니다. 위임에 대해 신뢰할 수 있는 컴퓨터가 리소스를 요청할 수 있는 특정 서비스를 지정할 수 있습니다. 서비스에 대한 권한 부여 권한을 제한할 수 있는 유연성은 신뢰할 수 없는 서비스에 의한 손상 기회를 줄여 애플리케이션 보안 설계를 개선하는 데 도움이 됩니다.
제한된 위임에 대한 자세한 내용은 Kerberos 제한된 위임 개요를 참조 하세요.