보안 cmdlet(FAST Search Server 2010 for SharePoint)
적용 대상: FAST Search Server 2010
마지막으로 수정된 항목: 2015-03-09
Microsoft FAST Search Server 2010 for SharePoint에서는 FSA(FAST Search Authorization) 구성 요소를 통해 항목 수준 보안을 관리하고 제어하는 데 필요한 모든 cmdlet을 제공합니다. 항목 수준 보안을 사용하는 경우 사용자는 볼 수 있도록 허용된 검색 결과에만 액세스할 수 있습니다.
FAST Search Authorization
항목 수준 보안은 두 단계로 실행됩니다.
1단계: 인덱싱 - 콘텐츠 저장소가 트래버스되고 인덱스가 만들어집니다. 권한 부여 정보가 각 항목의 권한 부여 관리 속성(항목의 ACL(액세스 제어 목록))에 추가됩니다.
2단계: 검색 - 사용자가 쿼리를 전송하고 이를 통해 인덱스를 사용하여 검색 결과가 결정됩니다. 이 단계에서 쿼리 처리 서비스는 사용자가 볼 수 있도록 허용된 항목만 볼 수 있도록 사용자 쿼리를 다시 작성합니다. 이 보안 조정은 FSA에서 사용자의 콘텐츠 사용 권한을 기반으로 만드는 사용자 검색 보안 필터를 사용하여 수행됩니다. 해당 사용자의 검색 보안 필터를 기준으로 항목의 관리 속성(각 항목을 볼 수 있는 권한을 가진 사용자를 정의하는 항목 ACL)을 확인한 후 적절하지 않은 검색 결과는 필터링하여 제외시킵니다.
FSA에는 FSA 관리자(FAST Search Server 2010 for SharePoint 시스템마다 하나씩)와 FSA 작업자(쿼리를 처리하는 각 서버에 하나씩)라는 두 개의 구성 요소가 있습니다.
FSA 관리자 서비스는 인덱싱 커넥터에서 보안 변경 내용을 받아 시스템의 모든 쿼리 처리 노드로 업데이트를 밀어넣습니다. 또한 FSA 관리자는 FSA 작업자를 관리하고 여러 노드에서 변경 내용을 동기화하여 노드 간의 보안 관련 구성이 일관되도록 합니다.
FSA 작업자는 쿼리 및 결과 서비스(쿼리 처리 노드)의 일부입니다. FSA 작업자는 사용자의 자격 증명을 기반으로 사용자 검색 보안 필터를 생성합니다. 이를 위해 FSA 작업자는 보안 주체 별칭 지정을 통해 한 저장소의 사용자/그룹을 다른 저장소에 매핑하여 FSA 사용자 저장소에서 사용자의 그룹 구성원 정보를 가져옵니다.
참고
FSA에서는 사용자를 인증하지 않습니다. 인증은 SharePoint Server 검색 프런트 엔드에서 수행합니다. 인증 방법 계획(SharePoint Server 2010)을 참조하십시오.
이 섹션의 내용
일반 FAST Search Authorization 설정 관리
클레임 기반 보안 사용자 저장소 관리
Lotus Notes 보안 사용자 저장소 관리
보안 주체 별칭 매핑 관리
일반 FAST Search Authorization 설정 관리
FSA(FAST Search Authorization)의 일반 구성 설정을 확인하거나 변경해야 하는 경우가 종종 있습니다. 몇 가지 cmdlet을 사용하여 로그 파일 구성 및 시스템 기본값과 같은 일반 설정을 관리할 수 있습니다.
일반 FAST Search Authorization 설정용 cmdlet
참고
cmdlet을 사용하려면 FAST Search Server 2010 for SharePoint가 설치된 컴퓨터에서 로컬 FASTSearchAdministrators 그룹의 구성원이어야 하는 최소 요구 사항을 만족하는지 확인합니다.
FAST Search Server 2010 for SharePoint에서 항목 수준 보안을 관리하는 데 사용할 수 있는 cmdlet은 다음과 같습니다.
| 작업 | cmdlet |
|---|---|
다음과 같은 일반 보안 설정을 검색하고 확인합니다.
사용자 저장소의 종류에 따라 일부 설정은 적용되지 않을 수 있습니다. |
|
현재 FSA 작업자 노드의 보안 구성 상태를 확인하거나 설정합니다. 보안 구성 상태는 보안 검색을 위해 노드가 제대로 구성되어 있는지 여부를 나타냅니다. 쿼리 노드는 이 상태가 true인 경우에만 검색 요청을 승인합니다. |
|
쿼리 시간에 사용자 저장소가 지정되지 않은 경우 사용되는 기본 사용자 저장소를 확인하고 변경합니다. |
|
보안 사용자 저장소 하나 또는 모든 사용자 저장소 목록을 검색합니다. |
|
공용으로 표시되는 항목에 대한 필터를 검토하고 변경합니다. |
|
지정한 사용자의 사용자 검색 보안 필터를 검색합니다. |
|
사용자가 속해 있는 모든 그룹의 목록을 검색합니다. Get-FASTSearchSecurityUserStoreGroupExpansion은 한 사용자 저장소에서 사용자가 구성원으로 속해 있는 모든 그룹을 검색합니다. Get-FASTSearchSecurityCompleteGroupExpansion은 사용자, 사용자가 포함된 확장된 그룹, 다른 확장된 그룹이 포함된 모든 그룹, 별칭자가 매핑한 사용자 및 그룹을 제공합니다. 두 cmdlet은 모두 사용자 검색 보안 필터 문제를 해결하는 데 사용됩니다. |
|
Windows SID(보안 식별자)를 디코딩하거나 인코딩하여 사용자 ID나 그룹 ID를 검색합니다. Get-FASTSearchSecurityEncodedSid는 사용자나 그룹에 대한 Base64로 인코딩된 보안 식별자나 Windows SID를 반환합니다. Get-FASTSearchSecurityDecodedSid는 인코딩된 SID(보안 식별자)를 디코딩하여 사용자/그룹 ID(일반 이름)와 Windows SID를 반환합니다. 두 cmdlet은 모두 문제 해결에 사용됩니다. |
|
모든 FSA 관리자 및 FSA 작업자 로그에 기록되는 정보의 양을 제어하는 로그 설정을 확인하고 변경합니다. |
|
하나 이상의 FSA 작업자(사용자 검색 보안 필터를 생성하는 Windows 서비스)의 URI와 상태를 확인합니다. |
|
특정 사용자 검색 보안 필터의 캐싱에 대한 정보를 검색합니다. |
클레임 기반 보안 사용자 저장소 관리
FAST Search Server 2010 for SharePoint에서는 클레임 기반 인증을 지원합니다. 클레임 기반 인증은 클레임 공급자와 응용 프로그램 간에 트러스트 관계를 설정하는 일련의 작업입니다. 클레임 인증을 사용하는 경우 사용자 ID를 조회하기 위해 특정 엔터프라이즈 디렉터리에 연결할 필요가 없습니다. 대신 응용 프로그램에 필요한 모든 ID 정보와 함께 사용자 요청이 도착합니다. 이러한 ID 특성으로는 이름, 전자 메일 주소, 구성원 자격 등이 있으며 이들을 총칭하여 클레임이라고 합니다. 클레임이 도착할 때 사용자는 이미 인증되었으며 FSA에서는 SharePoint 프런트 엔드에서 제공하는 클레임을 기반으로 액세스 제어 결정을 내립니다.
FSA에서는 사용자, 그룹 및 콘텐츠 사용 권한이 논리적으로 그룹화되어 있는 보안 사용자 저장소를 사용합니다. 이러한 보안 사용자 저장소는 타사 콘텐츠 저장소에 대한 보안 게이트웨이 역할을 함으로써 콘텐츠에 무단으로 액세스할 수 없도록 보호합니다. 클레임 인증을 사용하도록 선택하면 기본 사용자 저장소로 클레임 사용자 저장소가 생성됩니다.
클레임 사용자 저장소 cmdlet
참고
cmdlet을 사용하려면 FAST Search Server 2010 for SharePoint가 설치된 컴퓨터에서 로컬 FASTSearchAdministrators 그룹의 구성원이어야 하는 최소 요구 사항을 만족하는지 확인합니다.
클레임 사용자 저장소를 관리하는 데 사용할 수 있는 cmdlet은 다음과 같습니다.
| 작업 | cmdlet |
|---|---|
새 클레임 콘텐츠를 FSA 구성에 추가합니다. |
|
클레임 콘텐츠 보안 구성을 편집합니다. |
|
하나 이상의 클레임 사용자 저장소 구성을 검색하고 확인합니다. |
|
클레임 콘텐츠 사용자 저장소를 삭제합니다. |
Lotus Notes 보안 사용자 저장소 관리
FSA(FAST Search Authorization)의 사용자 저장소는 사용자, 그룹 및 콘텐츠 사용 권한을 논리적으로 그룹화한 것으로, 타사 콘텐츠 저장소에 대한 보안 게이트웨이 역할을 함으로써 콘텐츠에 무단으로 액세스할 수 없도록 보호합니다. Lotus Notes 사용자 저장소는 Lotus Notes 데이터베이스 모음에 대한 사용자 자격 증명을 캐시합니다.
FSA에서는 Lotus Notes 사용자 저장소를 사용하여 사용자 검색 보안 필터를 생성합니다. 이 필터는 사용자 쿼리에 연결되어 해당 사용자의 자격 증명을 기반으로 액세스 제어를 실행합니다. FAST Search Lotus Notes 사용자 디렉터리 커넥터를 실행하기 전에 새 Lotus Notes 사용자 저장소를 만들어 Lotus Domino 서버에서 다운로드된 사용자 및 그룹 정보로 이 저장소가 채워지도록 해야 합니다.
Lotus Notes 사용자 저장소 cmdlet
참고
cmdlet을 사용하려면 FAST Search Server 2010 for SharePoint가 설치된 컴퓨터에서 로컬 FASTSearchAdministrators 그룹의 구성원이어야 하는 최소 요구 사항을 만족하는지 확인합니다.
Lotus Notes 사용자 저장소를 관리하는 데 사용할 수 있는 cmdlet은 다음과 같습니다.
| 작업 | cmdlet |
|---|---|
FSA에 사용자 저장소를 만들어 Lotus Notes 콘텐츠에 대한 항목 수준 보안을 제공합니다. |
|
Lotus Notes 사용자 저장소 구성을 편집합니다. |
|
이전에 정의된 모든 Lotus Notes 사용자 저장소를 검색하고 확인합니다. |
|
Lotus Notes 자격 증명을 FSA에 업로드하는 CCTK 포트 번호를 확인합니다(CCTK=Content Connector Toolkit). |
|
Lotus Notes 보안 사용자 저장소를 삭제합니다. |
보안 주체 별칭 매핑 관리
보안 주체 별칭 지정은 사용자 저장소 간의 동등을 정의합니다.
사용자 보안 필터를 생성하는 동안 그룹 확장 정보가 요청되면 FSA(FAST Search Authorization)에서는 각 사용자 저장소를 검색하여 쿼리를 수행 중인 사용자에게 적용되는 모든 보안 ID를 수집합니다. 대부분의 사용자는 여러 사용자 저장소에 존재합니다. 예를 들어 Windows 사용자에게 다른 ID를 가진 Lotus Notes 계정이 있을 수 있습니다. 쿼리 결과를 좁히려면 FSA에서 모든 저장소에 있는 사용자 ID와 그룹을 알고 있어야 합니다. FSA에는 한 사용자 저장소의 사용자/그룹을 다른 사용자 저장소에 있는 동등한 ID에 매핑하는 보안 주체 별칭 지정이라는 프로세스가 포함되어 있습니다. 보안 주체 별칭 지정을 사용하면 사용자나 그룹이 인증된 사용자 저장소에 관계없이 보안 ID를 수집할 수 있습니다. 예를 들어 클레임 사용자 저장소에 있는 jbrown이라는 사용자를 Lotus Notes 사용자 저장소에 있는 brownj라는 사용자와 동등한 사용자로 매핑할 수 있습니다.
보안 주체 별칭 지정은 두 가지 종류로 나뉩니다.
XML: XML 파일을 사용하여 각 고유 보안 ID를 다른 저장소에 있는 동등한 보안 ID에 매핑합니다(권장 방법).
정규식(regex): 정규식 패턴을 사용하여 한 사용자 저장소에서 다른 사용자 저장소로의 매핑을 정의합니다. 이 별칭 지정은 사용자 ID가 특정 패턴에 따라 생성된 경우 사용자/그룹 집합에 대해 한 보안 저장소에서 다른 보안 저장소로 패턴 일치를 수행하는 데 사용됩니다.
보안 주체 별칭 지정 cmdlet
참고
cmdlet을 사용하려면 FAST Search Server 2010 for SharePoint가 설치된 컴퓨터에서 로컬 FASTSearchAdministrators 그룹의 구성원이어야 하는 최소 요구 사항을 만족하는지 확인합니다.
보안 주체 별칭 지정 작업에 사용할 수 있는 cmdlet은 다음과 같습니다.
| 작업 | cmdlet |
|---|---|
매핑을 확인 및 관리하고 문제를 해결합니다. |
|
XML 파일 형식을 사용하여 사용자나 그룹을 한 사용자 저장소에서 다른 사용자 저장소에 매핑합니다. |
|
정규식 매핑을 사용하여 사용자나 그룹을 한 사용자 저장소에서 다른 사용자 저장소에 매핑합니다. |
|
XML 별칭 매핑을 변경합니다. |
|
정규식 별칭 매핑을 변경합니다. |
|
XML 보안 주체 별칭 매핑을 확인합니다. |
|
정규식 보안 주체 별칭 매핑을 확인합니다. |
|
정규식 별칭 매핑을 만들거나 변경할 때 사용할 정규식 패턴(New-FASTSearchSecurityRegexAliaser 및 Set-FASTSearchSecurityRegexAliaser에 대한 입력)을 만듭니다. |
|
매핑을 제거합니다. |