기가 막힌 Active Directory 의 계정 관리, Unix 에도 적용할 수 없을까?

 

요즘의 IT 의 화두는 단연 보안이다.

이전에도 예산이 없어도 우선적으로 수행하는 것이 보안 관련 업무라는 것은 누구라도 다 아는 사실이다.

 

자.. 보안에 더해서... 요즘 갑자기 Microsoft 의 라이센스 이슈가 기승이다.

그 아래 깔린 이야기는 별로 상관하지 않기로 하고.. 하여간에 돈을 낼 능력이 있는 고객사를 대상으로 뭔지도 모를 알송달송한 SPLA 같은 라이센스를 들이 밀지 않나, 기존에 멀쩡하게 사용하던 DBMS 의 가격을 10배를 올리지를 않나...

 

솔직히 MS 제품을 사용한다는 것은 싼맛에 사용하는 것이 대부분인데... MS 가 요구하는 대부분의 가격은 Unix 로 구축하는 것보다는 약간 싸고, 기존의 사용 라이센스를 사용하는 것보다는 훨씬 비싼... 그래서 Unix 로 가기에도 힘든 경우가 대부분이다.

 

그래서... 여기 대안, Linux 가 있다. 예전과는 다르게 가용한 솔루션도 많고, 개발자도 많아서 기존 업무에 투입하게 어려움이 없다. 또한 Linux 가 아니라, 대용량 머신의 경우에는 오히려 Unix 가 저렴한 경우도 있다.

 

그런데... 문제는 앞서 말한 보안이다.

GUI 기반의 Windows 를 사용하면서 점점 저변을 넓혀가고 있는 Active Directory 를 사용하다 보니, 계정의 중앙화로 인한 이점은 분명히 파악한 상황에서, 스크립트 기반으로 시스템을 마음대로 만질 수 있는 Linux, Unix 가 마뜩잖다.

거기다 더해서, 서버 곳곳에 남아 있는 로컬 계정들... 휴면 계정들... Unix 를 관리해본 사용자라면 알겠지만, 휴면 계정을 보안에 가장 큰 적이지만, 함부로 청소할 수 없는 골칫 덩이다.

 

사용자들의 이런 마음을 아는 솔루션 벤더들은 계정 통합, 계정 통제 관련 수 많은 솔루션들이 나와 있다. 보안 컨설턴트 들이 무지하게 컨설팅을 한 결과인데... 대부분의 메카니즘은 중앙 계정 서버에서 왕창 계정 정보를 복사해 온다는 데 있다. (부하가 장난이 아니다.)

 

 

그렇다면 NIS 는?

계정의 중앙화라는 기능을 제공하기는 하지만, 오픈 소스 형태의 NIS 는 해커의 좋은 먹잇감일 뿐이고...

그렇다면 부하를 감안하고라도 AIM 을 써야 하나? 대안은 없나?

 

 

대안은... 있다...

모든 해킹 사고에서 언급되지 않는 계정 정보 서버가 있다면 아마도 Active Diectrory 일 것이다. 솔직히 엄청난 해킹의 주 피해자인 MS 도 Active Directory 에 대한 해킹 이력은 잘 보이지 않으니까...

해외에서는 Windows 뿐만 아니라 Linux, Unix 를 AD 의 계정 정보를 사용하도록 하는 시도가 매우 활발하다. 실제로 Active Directory Bridge 라는 솔루션 카테고리가 있으니...

 

하지만, 안타깝게도 대부분의 IT 기획 인원이 IBM, HP 머신으로 커리어를 시작한 지라, 아무리 좋은 제품이라도 MS 제품은 우습게 보기 마련이다.

그런데 요즘, MS 제품으로 서비스를 시작한 이후 MS 의 라이센스 공세 때문에 Linux 로 교체하는 사용자들이 늘어나고 있는 추세고, 이 사용자들은 AD 를 기본으로 사용하는데 매우 익숙한 사용자들이다.

 

그럼 Linux 에 AD 를?

 

Windows NT 4.0 시절부터 유닉스, 리눅스를 Windows Domain 에 조인 시키려는 시도는 많았다. 쉽게 말해 SAMBA 다. 그 제품이 요즘 한참 발전해서, Active Directory 의 클라이언트로 동작하게 하는데 전혀 문제가 없을 정도로 발전했다.

그런데.. 몇가지 문제는

1. 오픈 소스라 문제가 발생한 경우 문제의 해결이 어렵다.

- 단순히 기능 장애가 아니라, 로긴이 불가능해진 경우, 뉴스 그룹과 지인이 지식에 의존해야 하는... 거의 천수답 수준을 기대할 수 밖에 없는... 정말 힘든 상황이 발생할 수도 있다.

2. GPO 가.... 안된다.

- AD 의 기능 중 가장 중요한 것이 GPO 인데.... 사용 가능 Commend 조절, 로그인 서버 제한 등의 GPO 의 적용이 정말 어렵다.

 

솔직히 소규모가 아니고는 GPO 없이 AD 를 관리한다는 것은 매우 어렵고, 소규모 사이트라면 구태여 AD 에 조인할 필요가 없을 것이다.

 

 

그 문제의 해결은... 유료 솔루션인데... 몇가지 제조사가 있기는 하지만, 국내에서는 Dell Software 에서 제공하는 Authentication service 가 유일하다.

기능적 특징은

1. 리눅스, 유닉스의 대부분의 제품과 버전을 지원한다.

2. Kerberos 를 지원하여 보안성이 매우 높다.

3. Cached 로그인을 지원해여 AD 와의 통신 불가에도 시스템의 로긴 불능이나 장애가 발생하지 않는다.

4. Linux 와 Unix 가 AD 클라이언트로 완벽하게 통합된다.

5. Unix 와 Linux 에 정말 필수적인 GPO 사용이 가능하다

- 서버별 사용자 로긴 선택적 제한 기능

- 사용자별 서버별 사용 Commend 선택적 제한 기능

- 패스워드 정책 적용 기능...

6. 계정 생성, 삭제, 권한 부여 감사 및 알림 기능

 

 

이 정도만 되어도, 거의 필요한 기능은 다 나온 셈이다.

AD 를 한번 써 보고, 그 보안성의 탁월함을 인식했다면... 이제 한번 중구 난방으로 흩어져 관리가 엉망인 Linux, Unix 에 대해서 AD의 보안을 적용해 보기로 하자...

최소한 개발자와 유지 보수 인력이 만들어둔 휴면 계정에 대한 성가심에서 벗어날 수 있다.

그리고 쓸데 없이 로긴하는 사용자의 이력을 추적할 수 있으니.... 보안이 더더욱 강화되는 셈이다.

 

자세한 하나하나의 기능과 Feature 에 대해서는 다음 글에서 알아 보기로 하자...