Kerberos를 사용한 상호 인증

  • 아티클

상호 인증은 클라이언트 프로세스가 서비스에 대한 ID를 증명해야 하는 보안 기능이며, 클라이언트/서비스 연결을 통해 애플리케이션 트래픽이 전송되기 전에 서비스는 클라이언트에 대한 ID를 증명해야 합니다.

Active Directory Domain Services 및 Windows는 클라이언트가 서비스를 인증하는 Kerberos 메커니즘의 핵심 구성 요소인 SPN(서비스 사용자 이름)을 지원합니다. SPN은 서비스의 instance 식별하는 고유한 이름이며 서비스가 실행되는 로그온 계정과 연결되어 instance. SPN의 구성 요소는 클라이언트가 서비스 로그온 계정 없이 서비스에 대한 SPN을 작성할 수 있도록 합니다. 이렇게 하면 클라이언트에 계정 이름이 없더라도 클라이언트가 해당 계정을 인증하도록 서비스를 요청할 수 있습니다.

이 섹션에는 다음 개요가 포함되어 있습니다.

  • Kerberos를 사용한 상호 인증.
  • 고유한 SPN을 작성합니다.
  • 서비스 설치 관리자가 서비스 instance 연결된 계정 개체에 SPN을 등록하는 방법입니다.
  • 클라이언트 애플리케이션이 Active Directory Domain Services 서비스 instance SCP(서비스 연결 지점) 개체를 사용하여 서비스에 대한 SPN을 작성할 데이터를 검색하는 방법입니다.
  • 클라이언트 애플리케이션이 SSPI(보안 지원 공급자 인터페이스)와 함께 서비스 SPN을 사용하여 서비스를 인증하는 방법입니다.
  • SCP 및 SSPI를 사용하여 상호 인증을 수행하는 Windows Sockets 클라이언트/서비스 애플리케이션의 코드 예제입니다.
  • RPC 이름 서비스 및 RPC 인증을 사용하여 상호 인증을 수행하는 RPC 클라이언트/서비스의 코드 예제입니다.
  • RnR(Windows 소켓 등록 및 확인) 서비스에서 SPN을 사용하여 상호 인증을 수행하는 방법

이 섹션에서는 상호 인증에 Active Directory 도메인 서비스 사용, 특히 상호 인증에서 서비스 연결 지점 및 서비스 주체 이름의 목적에 대해 설명합니다. 상호 인증에 SSPI를 사용하는 방법 또는 RPC 및 Windows 소켓 애플리케이션에 사용할 수 있는 인증 및 보안 지원에 대한 완전한 논의는 아닙니다.

자세한 내용은 다음을 참조하세요.