모범 사례

  • 적절한 도메인 컨트롤러에 암호 동기화 설치  도메인 암호를 UNIX 암호와 일관되게 동기화하려면 주 도메인 컨트롤러에 암호 동기화를 설치해야 하며, Windows 2000 도메인의 경우에는 도메인의 모든 도메인 컨트롤러에 암호 동기화를 설치해야 합니다.

    • 도메인 컨트롤러를 도메인에 추가할 경우 가능한 한 빨리 새 도메인 컨트롤러에 암호 동기화를 설치하고 다른 도메인 컨트롤러와 일치하도록 구성해야 합니다.

    • 도메인 컨트롤러에서 암호 동기화를 제거해야 하는 경우 서버의 수준을 구성원 서버로 내린 다음 암호 동기화를 제거해야 합니다.

  • 일관된 암호 정책 사용   단방향 암호 동기화만 제공하는 경우 암호를 동기화할 원본 컴퓨터의 암호 정책이 모든 영역에 걸쳐 적어도 암호를 동기화할 대상 컴퓨터의 정책만큼 제한적이어야 합니다. 예를 들어 Windows에서 UNIX로의 동기화를 구성할 경우 Windows 암호 정책은 적어도 암호를 동기화할 UNIX 컴퓨터의 정책만큼 제한적이어야 합니다. 양방향 동기화를 지원하는 경우 암호 정책은 두 시스템에서 동일하게 제한적이어야 합니다. 암호 정책이 일관적이지 않을 경우 덜 제한적인 시스템에서 암호를 변경하면 동기화에 실패할 수 있으며, 더 제한적인 시스템에서는 해당 시스템의 정책에 맞지 않는 경우에도 암호가 변경될 수 있습니다.

    Windows 사용자는 암호가 동기화될 UNIX 시스템의 특별한 암호 제한 사항을 알고 있어야 합니다. 예를 들어 일부 UNIX 버전은 최대 암호 길이를 8자까지 지원합니다. 이러한 UNIX 제한 사항과 기본 Windows 암호 정책의 호환성을 최대화하려면 모든 UNIX 시스템이 8자를 넘는 암호를 지원하는지 확실하지 않을 경우 7자나 8자로 암호를 지정해야 합니다.

  • 사용자의 암호를 최대한 보호하도록 암호 동기화 구성

    최상의 보안을 유지하려면 다음 권장 사항을 따르십시오.

    • 암호를 동기화할 사용자를 명시적으로 나열  암호를 동기화할 수 있는 사용자를 최대한으로 제어하려면 UNIX 호스트의 sso.conf에 있는 SYNC_USERS 목록과 함께 ALL 키워드를 사용하지 마십시오. 대신, 암호 동기화가 허용되거나 차단되는 각 사용자를 명시적으로 나열해야 합니다. 암호 동기화를 실행하는 Windows 기반 컴퓨터에서 PasswordPropAllow 그룹을 만들고 암호를 동기화할 사용자 계정을 추가합니다. 자세한 내용은 사용자 계정에 대한 암호 동기화 제어를 참조하십시오.

    • 비활성 UNIX 계정의 암호를 동기화하지 않음  일부 UNIX 버전의 경우, 비활성 사용자 계정의 암호를 변경하면 해당 계정이 활성화됩니다. 따라서 Windows 기반 컴퓨터와 암호를 동기화하도록 구성된 UNIX 컴퓨터에서 사용자가 비활성 계정을 가지고 있는 경우, 사용자나 관리자가 사용자의 Windows 암호를 변경함으로써 UNIX 계정을 활성화할 수 있습니다. 이를 방지하려면 PasswordPropDeny 그룹을 사용하여 비활성 UNIX 계정의 동기화를 차단할 수 있습니다.

      또한 특정 UNIX 계정을 비활성화하는 경우, 관리자는 sso.conf의 SYNC_USERS 항목을 사용하여 해당 계정의 암호 동기화를 차단해야 합니다.

    • 관리자 암호 동기화하지 않음  Windows Administrators 그룹 구성원의 암호나 UNIX 슈퍼 사용자(superuser) 또는 루트(root) 계정의 암호는 동기화하지 마십시오.

    • Windows Server 2003 SP1(서비스 팩 1) 호환성 검사 수행  암호 동기화 속성 대화 상자의 구성 탭에서 Windows 및 NIS(Active Directory) 간 암호 동기화를 사용하도록 설정할 때 호환성 검사를 수행합니다. 엔터프라이즈에서 사용자 계정 암호의 보안을 보호하려면, Windows Server 2003 SP1 또는 이후 릴리스를 실행하지 않는 포리스트의 모든 도메인 컨트롤러를 식별하기 위해 암호 동기화를 사용하도록 허용하는 것이 좋습니다.

      Windows 및 NIS(Active Directory) 간 암호 동기화 사용 영역에서 사용을 선택하면 암호 동기화에서는 호환성 검사를 허용하라는 메시지를 표시합니다. 포리스트의 모든 도메인 컨트롤러에 설치된 Windows Server 2003 SP1 또는 이후 릴리스를 사용하면 허용되지 않은 뷰어에 대한 사용자 암호 해시의 노출 위험이 현저히 감소합니다. Windows Server 2003 SP1이 포리스트에 있는 모든 도메인 컨트롤러의 최소 기능 수준이 아닐 경우 해당 도메인의 인증된 사용자는 계정이 Active Directory 도메인 서비스(AD DS)에 마이그레이션된 모든 UNIX 사용자의 암호 해시를 볼 수 있습니다.

      허용되지 않은 사용자가 AD DS의 UNIX 기반 사용자 계정에 대한 암호 해시를 해독하는 경우에는 해당 계정의 Windows 기반 암호가 더 이상 보안되지 않습니다.

암호 동기화를 설치할 때 로컬 Administrators 그룹 및 Domain Administrators 그룹의 구성원은 PasswordPropDeny 그룹에 추가되기 때문에 이들의 암호는 동기화되지 않습니다. Administrators 그룹이나 Domain Administrators 그룹 중 하나에 사용자를 추가할 경우 PasswordPropDeny 그룹에도 해당 사용자를 추가해야 합니다.

슈퍼 사용자의 암호를 동기화하지 않으려면 모든 UNIX 기반 시스템의 sso.conf 파일에서 SYNC_USERS 문을 수정합니다.

  • 기본 포트 번호 및 암호화 키를 사용하지 않음  기본 포트 번호 및 암호화 키를 유지하면 공격자가 암호를 가로채기 위해 스푸핑 UNIX 호스트를 설정할 수 있습니다. 암호 동기화에 사용되는 포트 번호 및 암호화 키를 암호 자체와 마찬가지로 주의 깊게 보호해야 합니다.

  • sso.conf 파일 보호  각 UNIX 호스트의 sso.conf 파일에는 보안을 손상시키는 데 사용할 수 있는 중요한 구성 정보가 포함되어 있습니다. 파일의 모드 비트 마스크를 600으로 설정하는 것이 좋습니다.

  • TEMP_FILE_PATH에 의해 식별된 디렉터리가 제대로 보호되는지 확인  암호 동기화를 통해 UNIX 호스트에서 만들어진 임시 파일에는 공격자가 시스템 보안을 손상시키기 위해 사용할 수 있는 정보가 포함되어 있습니다. 따라서 sso.conf의 TEMP_FILE_PATH에서 참조하는 모든 디렉터리에는 root 계정에 대한 읽기 권한만 있어야 하며, 다른 사용자가 해당 디렉터리에 액세스할 수 없도록 해야 합니다.

  • 로그 파일이 제대로 보호되는지 확인  UNIX 호스트에서 암호 동기화는 syslogd 디먼을 사용하여 동기화 작업의 결과로 만들어지는 메시지를 기록합니다. 결과 로그에는 암호가 동기화되는 사용자의 이름과 컴퓨터 이름, 전파 오류와 같은 정보가 포함됩니다. 이러한 로그 파일은 관리자만 볼 수 있도록 보호되어야 합니다.

  • 구성을 변경한 후 암호 동기화 디먼 다시 시작  암호 동기화 디먼 구성 파일(sso.conf)을 변경할 때는 구성 변경 내용이 적용되도록 디먼을 중지하고 다시 시작해야 합니다.

  • 사용자 이름의 대/소문자 구분을 제대로 처리하도록 시스템 구성  Windows와 UNIX 사용자 이름의 철자와 대/소문자가 모두 일치하도록 하기 위해 정책을 엄격하게 적용하지 않을 경우, sso.conf 파일의 CASE_IGNORE_NAME 옵션이 1(기본값)로 설정되어 있는지 확인합니다. UNIX 사용자 이름은 대/소문자를 구분하므로 사용자 이름이 정확하게 일치하지 않으면 암호가 제대로 동기화되지 않을 수 있습니다. 이는 암호 동기화 디먼이 Windows 사용자 이름을 해당 UNIX 사용자 이름과 연결할 수 없기 때문입니다.

  • 암호 파일 형식과 이름이 일치하는지 확인  암호 동기화 디먼을 구성할 경우 암호 파일 형식(USE_SHADOW에서 지정)과 경로 이름(FILE_PATH에서 설정)이 서로 적절한지 확인해야 합니다. 예를 들어 passwd 파일이 동기화를 위해 사용되는지 나타내기 위해 대부분의 시스템에서 USE_SHADOW가 0으로 설정되면 FILE_PATH 옵션을 /etc/passwd로 설정해야 합니다. 그러나 섀도 파일이 대신 사용됨을 나타내기 위해 USE_SHADOW가 1로 설정되면 FILE_PATH 옵션을 /etc/shadow로 설정해야 합니다. IBM AIX 시스템에서 섀도 파일의 경로와 이름은 /etc/security/passwd입니다.


목차