사용자 인증

식별 및 인증을 사용하여 사용자의 ID를 설정합니다.

각 사용자는 시스템에 로그인해야 합니다. 계정에 사용자가 있는 경우, 사용자는 계정의 사용자 이름과 비밀번호를 제공합니다(보안 시스템에서 모든 계정에는 비밀번호가 있어야 하며 그렇지 않은 경우 무효화됨). 비밀번호가 올바른 경우, 사용자는 이 계정으로 로그인됩니다. 사용자는 계정의 특권 및 액세스 권한을 확보합니다. /etc/passwd 및 /etc/security/passwd 파일은 사용자 비밀번호를 유지보수합니다.

기본적으로 사용자는 파일 레지스트리에 정의됩니다. 이는 사용자 계정 및 그룹 정보가 플랫-ASCII 파일에 저장됨을 의미합니다. 플러그인 로드 모듈의 소개 내용을 참조하여 사용자를 다른 레지스트리에 정의할 수도 있습니다. 예를 들어, LDAP 플러그인 모듈이 사용자 관리를 위해 사용되면, 사용자 정의는 LDAP 저장소에 저장됩니다. 이 경우, /etc/security/user 파일에는 사용자의 항목이 없습니다(사용자 속성 SYSTEM 및 registry에는 이에 대한 예외가 있음). 합성 로드 모듈(즉, 인증 및 데이터베이스 파트가 있는 로드 모듈)이 사용자 관리에 사용되면, 데이터베이스 절반은 AIX® 사용자 계정 정보가 관리되는 방식을 결정하며, 인증 절반은 인증 및 비밀번호 관련 관리를 설명합니다. 또한 인증 절반은 특정 로드 모듈 인터페이스(newuser, getentry, putentry 등)를 구현하여 인증 고유의 사용자 계정 관리 속성을 설명할 수 있습니다.

인증 메소드는 SYSTEM 및 /etc/security/user 파일에 정의된 레지스트리 속성에 의해 제어됩니다. 시스템 관리자는 authcontroldomain 속성을 /etc/security/login.cfg 파일에 정의하여 authcontroldomain에서 SYSTEM과 레지스트리 속성을 검색할 수 있도록 합니다. 예를 들어 authcontroldomain=LDAP을 사용하면 시스템이 LDAP에서 사용자의 SYSTEM과 레지스트리를 검색하여 사용자에게 사용된 인증 메소드를 판별할 수 있습니다. authcontroldomain 설정이 무시되고 SYSTEM과 레지스트리가 항상 /etc/security/user 파일에서 검색되는 로컬에 정의된 사용자는 예외입니다.

authcontroldomain 속성에 허용 가능한 토큰은 파일 또는 /usr/lib/security/methods.cfg 파일의 스탠자 이름입니다.

SYSTEM 속성의 값은 문법을 통해 정의됩니다. 이 문법을 사용하여, 시스템 관리자는 하나 이상의 메소드를 결합하여 특정 사용자를 시스템에 인증할 수 있습니다. 잘 알려진 메소드 토큰은 compat, DCE, files 및 NONE입니다.

시스템 디폴트는 compat입니다. 디폴트 SYSTEM=compat는 로컬 데이터베이스를 사용하여 인증하도록 시스템에 지시하지만 이를 해석할 수 없는 경우 NIS(Network Information Services) 데이터베이스가 시도됩니다. files 토큰은 인증하는 동안 로컬 파일만을 사용하도록 지정하는 반면, SYSTEM=DCE는 DCE 인증 플로우를 사용합니다.

NONE 토큰은 메소드 인증을 끕니다. 모든 인증을 끄려면, NONE 토큰이 사용자 스탠자의 SYSTEM 및 auth1 행에 표시되어야 합니다.

두 개 이상의 메소드를 지정하고 논리 구성자 AND 및 OR를 사용하여 이를 결합할 수 있습니다. 예를 들어, SYSTEM=DCE OR compat는 DCE 또는 로컬 인증(crypt())이 주어진 순서대로 성공하는 경우 사용자가 로그인할 수 있음을 표시합니다.

마찬가지로 시스템 관리자는 SYSTEM 속성에 인증 로드 모듈 이름을 사용할 수 있습니다. 예를 들어 SYSTEM 속성이 SYSTEM=KRB5files OR compat로 설정되면, AIX 호스트는 먼저 인증을 위해 Kerberos 플로우를 시도하며 실패하는 경우 표준 AIX 인증을 시도합니다.

SYSTEM 및 registry 속성은 항상 로컬 파일 시스템의 /etc/security/user 파일에 저장됩니다. AIX 사용자가 LDAP에 정의되고 이에 따라 SYSTEM 및 registry 속성이 설정된 경우 사용자는 /etc/security/user 파일에 항목을 갖습니다.

사용자의 SYSTEM 및 registry 속성은 chuser 명령을 사용하여 변경될 수 있습니다.

SYSTEM 속성의 허용 가능한 토큰은 /usr/lib/security/methods.cfg 파일에 정의될 수 있습니다.

인증의 대체 메소드는 /etc/security/user에 표시되는 SYSTEM 속성에 의해 시스템으로 통합됩니다. 예를 들어, 분산 컴퓨팅 환경(DCE)은 비밀번호 인증을 필요로 하지만 etc/passwd 및 /etc/security/passwd에 사용된 암호화 모델과 다른 방식으로 이들 암호를 검증합니다. DCE를 사용하여 인증하는 사용자는 /etc/security/user 에서 SYSTEM=DCE로 설정된 해당 스탠자를 가질 수 있습니다.

기타 SYSTEM 속성값은 compat, files 및 NONE입니다. compat 토큰은 로컬 데이터베이스로 이름 해석(및 후속 인증)을 수행하는 경우 사용되며, 해석을 찾을 수 없는 경우 NIS(Network Information Services) 데이터베이스가 시도됩니다. files 토큰은 인증하는 동안 로컬 파일만 사용하도록 지정합니다. 마지막으로 NONE 토큰은 메소드 인증을 끕니다. 모든 인증을 끄려면, NONE 토큰이 사용자 스탠자의 SYSTEM 및 auth1 행에 표시되어야 합니다.

SYSTEM 속성에 허용 가능한 기타 토큰은 /usr/lib/security/methods.cfg에서 정의할 수 있습니다.

비밀번호 보호에 대한 자세한 정보는 운영 체제 및 장치 관리의 내용을 참조하십시오.