기가 막힌 Active Directory 의 계정 관리, Unix 에도 적용할 수 없을까?(2)

지난 번 글에 AD 의 유용성과 이 기능을 Linux 나 Unix 에 쓸 수 없을까... 하는 생각을 해 봤다.

(지난 글 http://masterjoe.tistory.com/entry/기가-막힌-Active-Directory-의-계정-관리-Unix-에도-적용할-수-없을까)

소규모 환경에서는 오픈 소스 기반의 SAMBA 를 사용해도 무리가 없다. 아니 소규모 환경 (약 10 대 이하의 관리 대상 서버 환경) 에서는 구태여 무리해서 Linux 를 AD 에 조인할 필요도 없다.

 

 

 

 하지만, Linux 의 서버 대수가 (가상이건 물리건) 급격하게 증가하면서 발생하는 문제.... 관리 불가능한 수준의 로컬 계정과 Root 패스워드 관리와 싸워야 한다....

 

자... AD 의 계정과 통합하기 위해서는 몇가지 사전 조건이 필요하다.

1. Kerberos 를 지원할 것... (AD 를 쓰는데... Kerberos 의 보안성을 지원하지 않는다면 의미가 없지 않을까?)

2. cached login 을 지원할 것 (만약 AD 가 잠시 잠깐 반응 속도에 문제가 생긴다면, AD 가 장애가 발생한다면, NW 에 문제가 생긴다면... 기존의 로그인 정보로 로그인이 가능하지 않으면 바로 장애로 이어진다.)

3. GPO 를 지원할 것 (GPO 없이 계정만 통합하는 것이 얼마나 관리 부하를 줄이고, 보안 위헙성을 감소시킬까? 오히려 더 위험해 지지 않을까?)

4. 사용자의 계정 정보 변경 사용 이력을 추적할 것.. (모아 놓은 계정을 혹시라도 해킹 시도를 하거나, 비정상적인 사용을 하는 경우에 선제 대응해야 한다...)

 

1,2 요건은 오픈 소스인 SAMBA 도 제공한다. 하지만, 3,4 의 경우 SAMBA 가 제공하지 않고, 더욱 중요한 점은 오픈 소스 특유의 안정성과 지원에 대한 약점을 그대로 가지는 것이다.

 그럼 여기서 국내에 유일하게 공급되고 있는 Active directory 에 Unix 를 조인해 주는 (외국에서는 이걸 'AD 브리지' 라고 부른다.) Dell authentication Manager 에 대해서 알아 보자.

 

• 인증의 통합

 

당연히 이 이야기 하려던 거니까... 추가적으로 논의는 없도록 하자. 이 제품을 사용하게 되면 변화는 세가지다.

1. AD 상에 유닉스/리눅스, 맥 용 GPO 탬플릿이 생긴다.

2. 각 클라이언트 머신에 에이전트가 설치된다.

3. 감사 콘솔이 생긴다.

 

이런 변화를 겪게 된 후, AD 에 유닉스 서버들이 멤버 서버로 등록되면서 유닉스 상의 커맨드에서 AD 계정으로 로긴이 가능하게 된다.

물론 앞에 설명한 Kerberos 를 지원하고, AD 와 일시적 통신 장애 (AD 장애, NW 장애 등) 가 발생하는 경우에도 로긴이 가능한 Cached login 을 지원한다.

 

• 추가 기능

 

솔직히 계정 정보만 사용하기 위해서 이 제품을 도입하기에는 그 필요가 너무 약하다.

그보다 더더욱 강력한 AD 의 GPO 와 필수적인 감사 기능이 더 중요할 것이다.

 

• 사용자별/서버별 로긴 가능 서버 지정

 

일단... 서버 단위 차단이 된다.

SAMBA 로 로긴을 모은 이후의 문제는 모든 사용자가 모든 서버에 다 붙을 수 있는 문제가 생긴다.

좀 심각할 수 있다. 여기서 기본 제공하는 템플릿은 특정 서버에 특정 사용자의 로긴을 제한할 수 있다.

예를 들어 웹 마스터는 웹 서버 군에만, DBA 는 DB 서버 군에만 접근을 제한해서 비정상적인 권한 사용을 예방할 수 있다.

 

• 사용자별 사용 커맨드 제한

 권한 별로 커맨드가 제한되기고 하지만...

 일반적으로 백업 그리고, 최소한의 권한을 사용하여 데몬의 수동 Restart 를 수행하여야 하는 OP 의 경우 로긴 ID 를 만들어 주기도, 그렇다고 주지 않기도 힘들다.

 이 경우 해당 사용자에에 대해서는 사용 커맨드를 제한하므로서 사용자 업무 이외으 불필요한 작업을 차단할 수 있다. 이 의미는 사용자별로 적법한 계정을 발급하는 데에는 전혀 문제가 없다는 것이고, 따라서 보안 이슈로 인해서 업무가 받을 지장을 최소화 할 수 있다는 점이다.

 

• 서비스 접근 제어

특정 서비스의 접근 역시 제한할 수 있다.

방화벽으로 막더라도 Telnet, SSH, FTP 를 차단하므로서 서버의 보안성을 더 높일 수 있다.

 

• 일괄 설정

GPI

GPO 의 기능인 일괄 설정 기능이 있다.

솔직히 말해서 AD 의 GPO 로 윈도우즈를 관리하는 것보다는 훨씬 그 범위가 좁다. 하지만 주저리 주저리 있는 GPO 중에 열개나 쓸지 모르겠다.

여기서 제공하는 관리용 CPO 템플릿은

1. 스크립트 자동 실행

2. 파일 생성, 복사, 수정, 삭제

3.  syslog  설정

4. Cron 설정

등등등 이다...

아마도 이정도만 되어도 관리에는 별로 무리가 없을 듯 하다.

 

• 감사 (Audit)

이렇게 계정을 모아 놓으면, 아무리 강력한 보안성을 가진 AD 라도 불안하기는 어쩔 수 없다.

하지만, 같이 제공되는 Change auditor 를 사용할 경우 조회, 변경등의 모든 이력이 남아, 누가 어디서 언제 로그인했는지, 계정 정보와 GPO  가 어떻게 변했는지, 실시간으로 알 수 있고, 주요 변경 발생시에는  Alert  도 발송된다.

 

• 끝으로...

 AD 가 정말 좋은 솔루션이고 가격대 비용은 평가하지 못할 정도로 크다. 보안성과 성능을 만족시키는 제품을 찾기는 참 힘드나, AD 의 경우 그 두가지를 다 잡은 것 같다.

 하지만, 유닉스, 커맨드 우선 주의의 우리 나라 환경에서 그 기능을 제대로 사용하지 못해 아쉽다.

 유닉스, 리눅스가 늘어 가면서 그 관리에 골머리를 썩히는 관리자들이라면.. 꼭 한번 도입해 보자. 보안 관리자의 불안과 업무를 한층 쉽게 도와줄 것이다.