사용자 인증
식별 및 인증을 사용하여 사용자의 ID를 설정합니다.
각 사용자는 시스템에 로그인해야 합니다. 계정에 사용자가 있는 경우, 사용자는 계정의 사용자 이름과 비밀번호를 제공합니다(보안 시스템에서 모든 계정에는 비밀번호가 있어야 하며 그렇지 않은 경우 무효화됨). 비밀번호가 올바른 경우, 사용자는 이 계정으로 로그인됩니다. 사용자는 계정의 특권 및 액세스 권한을 확보합니다. /etc/passwd 및 /etc/security/passwd 파일은 사용자 비밀번호를 유지보수합니다.
기본적으로 사용자는 파일 레지스트리에 정의됩니다. 이는 사용자 계정 및 그룹 정보가 플랫-ASCII 파일에 저장됨을 의미합니다. 플러그인 로드 모듈의 소개 내용을 참조하여 사용자를 다른 레지스트리에 정의할 수도 있습니다. 예를 들어, LDAP 플러그인 모듈이 사용자 관리를 위해 사용되면, 사용자 정의는 LDAP 저장소에 저장됩니다. 이 경우, /etc/security/user 파일에는 사용자의 항목이 없습니다(사용자 속성 SYSTEM 및 registry에는 이에 대한 예외가 있음). 합성 로드 모듈(즉, 인증 및 데이터베이스 파트가 있는 로드 모듈)이 사용자 관리에 사용되면, 데이터베이스 절반은 AIX® 사용자 계정 정보가 관리되는 방식을 결정하며, 인증 절반은 인증 및 비밀번호 관련 관리를 설명합니다. 또한 인증 절반은 특정 로드 모듈 인터페이스(newuser, getentry, putentry 등)를 구현하여 인증 고유의 사용자 계정 관리 속성을 설명할 수 있습니다.
인증 메소드는 SYSTEM 및
/etc/security/user 파일에 정의된 레지스트리 속성에 의해 제어됩니다. 시스템 관리자는 authcontroldomain
속성을
/etc/security/login.cfg 파일에 정의하여
authcontroldomain
에서 SYSTEM과 레지스트리 속성을 검색할 수 있도록 합니다.
예를 들어 authcontroldomain=LDAP
을 사용하면 시스템이 LDAP에서
사용자의 SYSTEM과 레지스트리를 검색하여 사용자에게 사용된 인증 메소드를 판별할 수 있습니다.
authcontroldomain
설정이 무시되고
SYSTEM과 레지스트리가 항상 /etc/security/user 파일에서 검색되는 로컬에 정의된 사용자는 예외입니다.
authcontroldomain
속성에 허용 가능한 토큰은
파일 또는 /usr/lib/security/methods.cfg 파일의 스탠자 이름입니다.
SYSTEM 속성의 값은 문법을 통해 정의됩니다.
이 문법을 사용하여, 시스템 관리자는 하나 이상의 메소드를 결합하여 특정 사용자를 시스템에
인증할 수 있습니다. 잘 알려진 메소드 토큰은 compat
, DCE
, files
및 NONE
입니다.
시스템 디폴트는 compat
입니다. 디폴트 SYSTEM=compat
는
로컬 데이터베이스를 사용하여 인증하도록 시스템에 지시하지만 이를 해석할 수 없는 경우
NIS(Network Information Services) 데이터베이스가 시도됩니다. files
토큰은
인증하는 동안 로컬 파일만을 사용하도록 지정하는 반면, SYSTEM=DCE
는
DCE
인증 플로우를 사용합니다.
NONE
토큰은 메소드 인증을 끕니다. 모든 인증을 끄려면,
NONE
토큰이 사용자 스탠자의
SYSTEM
및 auth1
행에 표시되어야
합니다.
두 개 이상의 메소드를 지정하고 논리 구성자 AND
및 OR
를 사용하여
이를 결합할 수 있습니다. 예를 들어, SYSTEM=DCE
OR compat
는
DCE
또는 로컬 인증(crypt())이 주어진 순서대로 성공하는 경우 사용자가 로그인할 수 있음을
표시합니다.
마찬가지로 시스템 관리자는 SYSTEM 속성에 인증 로드 모듈 이름을 사용할 수 있습니다. 예를 들어
SYSTEM 속성이 SYSTEM=KRB5files
OR compat
로
설정되면, AIX
호스트는 먼저 인증을 위해 Kerberos 플로우를 시도하며
실패하는 경우 표준 AIX
인증을 시도합니다.
SYSTEM 및 registry 속성은 항상 로컬 파일 시스템의 /etc/security/user 파일에 저장됩니다. AIX 사용자가 LDAP에 정의되고 이에 따라 SYSTEM 및 registry 속성이 설정된 경우 사용자는 /etc/security/user 파일에 항목을 갖습니다.
사용자의 SYSTEM 및 registry 속성은 chuser 명령을 사용하여 변경될 수 있습니다.
SYSTEM 속성의 허용 가능한 토큰은 /usr/lib/security/methods.cfg 파일에 정의될 수 있습니다.
SYSTEM=compat
에 설정됩니다. 인증의 대체 메소드는 /etc/security/user에 표시되는 SYSTEM 속성에 의해 시스템으로 통합됩니다. 예를 들어, 분산 컴퓨팅 환경(DCE)은 비밀번호 인증을 필요로 하지만 etc/passwd 및 /etc/security/passwd에 사용된 암호화 모델과 다른 방식으로 이들 암호를 검증합니다. DCE를 사용하여 인증하는 사용자는 /etc/security/user 에서 SYSTEM=DCE로 설정된 해당 스탠자를 가질 수 있습니다.
기타 SYSTEM 속성값은
compat, files 및 NONE입니다.
compat
토큰은
로컬 데이터베이스로 이름 해석(및 후속 인증)을 수행하는 경우 사용되며, 해석을 찾을 수 없는 경우
NIS(Network Information Services) 데이터베이스가 시도됩니다. files
토큰은 인증하는 동안 로컬 파일만 사용하도록 지정합니다. 마지막으로 NONE
토큰은 메소드 인증을 끕니다. 모든 인증을 끄려면,
NONE
토큰이 사용자 스탠자의
SYSTEM 및 auth1 행에 표시되어야
합니다.
SYSTEM 속성에 허용 가능한 기타 토큰은 /usr/lib/security/methods.cfg에서 정의할 수 있습니다.
SYSTEM = "compat"
으로 설정됩니다.비밀번호 보호에 대한 자세한 정보는 운영 체제 및 장치 관리의 내용을 참조하십시오.
로그인 사용자 ID
이 사용자에 기록된 모든 감사 이벤트는 이 ID로 레이블되며 감사 레코드를 생성할 때 검사할 수 있습니다. 로그인 사용자 ID에 대한 자세한 정보는 운영 체제 및 장치 관리의 내용을 참조하십시오.