database.sarang.net
UserID
Passwd
Database
DBMS
MySQL
PostgreSQL
Firebird
Oracle
Informix
Sybase
MS-SQL
DB2
Cache
CUBRID
ㆍLDAP
ALTIBASE
Tibero
DB 문서들
스터디
Community
공지사항
자유게시판
구인|구직
DSN 갤러리
도움주신분들
Admin
운영게시판
최근게시물
LDAP Q&A 2410 게시물 읽기
No. 2410
LDAP 인증 기능에 대하여 질문입니다.
작성자
나종현(trymp)
작성일
2009-02-19 15:03ⓒ
2009-02-19 15:07ⓜ
조회수
6,156

LDAP 인증 기능에 대하여 질문입니다.

anonymous authentication

simple authentication

simple authentication over SSL/TLS

simple authentication and Security Layer (SASL) 


위에 4가지가 LDAP 에서 쓰이는 인증 유형이라고 들었습니다.

1) 첫번째인 anonymous authentication 이것의 개념이 무었인지 모르겠습니다.

그냥 패스워드 입력 없이도 무조건 인증받게 해주는 것인지, 아니면 다른 무언가가 있는지 모르겠습니다.

2) simple authentication 은 패킷을 보니까, 패스워드가 보이던데요. 실제로 이 인증방법도 쓰이나요?

3) 위의 4가지 인증방법을 LDAPv2 에서도 모두 지원하나요?

고수님들의 많은 조언 부탁드립니다.

감사하겠습니다.

이 글에 대한 댓글이 총 3건 있습니다.

서진디에스에이 www.seojindsa.kr의 송상준입니다.

1) 첫번째인 anonymous authentication 이것의 개념이 무었인지 모르겠습니다.

==> 아이디/패스워드 없이 데이터가 보이는데 이는 ACL을 쓰지않았다면 다 보이죠 일반적으로

2) simple authentication 은 패킷을 보니까, 패스워드가 보이던데요. 실제로 이 인증방법도 쓰이나요?
내부에서 사용시 그냥 씁니다 평문으로 ID/PW를 사용하는겁니다.


3) 위의 4가지 인증방법을 LDAPv2 에서도 모두 지원하나요?
==> 버전2는 거의 안쓰는데... 확장 Operation은 V3부터 지원하므로 3,4는 안될 가능성이 높습니다.

송상준(sjsong)님이 2009-02-19 18:35에 작성한 댓글입니다.
1) 첫번째인 anonymous authentication 이것의 개념이 무었인지 모르겠습니다.

-> 초기 버젼의 Ldap서버들의 경우에 일부 지원했습니다. (예를 들어 MS Windows 2000 AD)
    여기서 anonymous란 Dns Resolver(클라이언트)가  DNS서버에 query를 날리면 
    인증없이 query에 대한 답변을 해주는 방식을 이야기 합니다. 

    즉 초기 Ldap 프로토콜의 특성상 말그대로 '디렉터리 서비스'의 역활을 하기위해서 입니다. 
    다만 모든 Operation을 허용하는것은 아니고 Get (Retrive) Operation에 대해서는 
    null Session으로도 응답을 받는 것이 가능했습니다. (지금은 더이상 지원하지 않습니다만...)

    이후 Kerberose나 NTML등과 같이 신뢰가 가능한 클라이언트에 대해서만 응답이 가능하도록 
    변경되었습니다. 


2) simple authentication 은 패킷을 보니까, 패스워드가 보이던데요. 
    실제로 이 인증방법도 쓰이나요?

-> Simple을 사용하면 당연히 보입니다. 
    즉 DB처럼 일단 연결을 열고 Operation을 주고 받아야 하는데요. 이때 연결계정정보와 패스워드를 
    보내는 방식을 이야기하는 것입니다. 

    그러나 각 벤더마다 이 부분의 처리가 차이가 많습니다. 
    (Simple사용시 실제입력한 패스워드가 보이는 제품이 무언지는 잘모르겠습니다만, .... )
    일단 Simple의 경우가 사용되기 위해서는 
    LDAP서버와 클라이언트가 통신하는 망이 신뢰가능한 망 (Private Network)이라는 전제하에 
    사용되는 것입니다. 이 부분은 SE난 시스템관리자가 결정해야할 부분입니다. 

    MS의 최신 LDAP서버나 클라이언트인 경우 by Design에 의해 트러스터 RPC통신이 가능한 경우, 
    즉 도메인 Join이 되어있는 경우만 Simple이 가능하다고 보시면 됩니다. 

    또한 실제로 MS LDAP의 경우는 실제 패스워드를 네트워크 상으로 보내지 않습니다. 
    패스워드 MD5 Hash를 보낸다고 보시면됩니다. (즉 Simple이여도 패킷 sniffer를 해도 패스워드를 알기란 극히 힘들지요. Hash Function은 irreversible 함수인거는 아시지요?, 물론 무식한 사전대입법은 가능합니다만. ^^; )

    이마저도 부담스러운경우 TLS, LDAPS(SSL)등을 사용하여 암호화까지 해버리는 것입니다.

3) 위의 4가지 인증방법을 LDAPv2 에서도 모두 지원하나요?
    - LDAP 3 부터입니다.
김호범(trueccie)님이 2009-02-26 13:50에 작성한 댓글입니다.
이 댓글은 2009-02-26 13:53에 마지막으로 수정되었습니다.

LDAP의 서진디에스에이(www.seojindsa.kr)의 송상준입니다.

호범님 가끔 들리세요.. ㅋㅋ 오늘 답변 짱이었습니다.


AD를 전혀 신경을 안쓰고 있었는데 ㅋㅋ

가끔들리세요... 이야기 하신거 테스트 해보고있음다.....

anonymous authentication 은 

 LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection

Bind를 꼭 하라고 하네요. ㅋㅋ

    MS의 최신 LDAP서버나 클라이언트인 경우 by Design에 의해 트러스터 RPC통신이 가능한 경우, 
    즉 도메인 Join이 되어있는 경우만 Simple이 가능하다고 보시면 됩니다. 

라고 하셨는데 2008부터인가요?

2003은 Simple로 하니 일반적인 데이터는 보이네요. (SSL 사용하지 않아도)

JAVA로 테스트......중

중요한 어트리뷰트는 안보이네요. 역시 이부분은 SSL로 접근해야 보일거 같은데요.ㅋㅋ

송상준(sjsong)님이 2009-02-27 01:59에 작성한 댓글입니다.
이 댓글은 2009-02-27 19:16에 마지막으로 수정되었습니다.
[Top]
No.
제목
작성자
작성일
조회
2413SunOnLdap 5.2의 자료를 오라클로 이동.. [4]
박홍우
2009-02-27
5629
2412ldaps 와 startTLS의 차이점은 무었인가요? [2]
나종현
2009-02-20
5877
2411PHPLDAPADMIN [2]
최영길
2009-02-19
4846
2410LDAP 인증 기능에 대하여 질문입니다. [3]
나종현
2009-02-19
6156
2409SSH 로그인 이후, 질문이 있습니다.
최영길
2009-02-18
4330
2408ldap api에 대해 알고 싶어요~ [3]
알고싶어요~
2009-02-12
4970
2407LDAP 서치 질문요 ^^ [1]
윤동민
2008-12-29
4452
Valid XHTML 1.0!
All about the DATABASE... Copyleft 1999-2019 DSN, All rights reserved.
작업시간: 0.069초, 이곳 서비스는
	PostgreSQL v11.5로 자료를 관리합니다