%20%ED%81%B4%EB%A0%88%EC%9E%84%EC%9D%84%20%ED%8F%AC%ED%95%A8%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95.png)
상호 TLS를 통해 Windows 클라이언트 집합을 인증하기 위해 X.509 클라이언트 인증서를 사용하고 있습니다. 이 세트의 일부인 클라이언트~해야 한다예를 들어 그룹 멤버십이나 상위 OU를 통해 AD에서 어떻게든 관리할 수 있습니다.
참고: 질문은 사용자 인증서가 아닌 컴퓨터 인증서에 적용됩니다. 즉, 모든 사용자는 해당 컴퓨터에서 HTTPS 요청을 시작할 때 이 인증서를 사용할 수 있어야 합니다. (이는 mTLS 인증 체계의 일부가 아닌 사용자 로그온 방법에 추가됩니다.)
서버는 인증 클라이언트 컴퓨터가 이 집합의 구성원임을 알 수 있어야 합니다. 서버는 Linux 기반 컨테이너이며 AD/도메인의 일부가 아니므로 우리가 가진 것은 X.509 인증서의 정보뿐입니다.
Windows 인증서 템플릿은 X.509 인증서의 일부로 이러한 주장을 전달하는 방법을 제공합니까? 그러한 인증서를 얻을 수 있는 컴퓨터 세트를 제한할 수 있는 것 같지만 서버가 인증서를 식별할 수 있도록 이러한 인증서를 표시하는 방법을 찾지 못했습니다.
- X.509 인증서에는 관리 템플릿 이름이나 ID가 포함되어 있지 않아 서버에서도 이를 확인하도록 설정할 수 없습니다.
- 주제 구성에는 유연성이 제한적인 것 같습니다. 특히 AD 정보를 주제 필드에 매핑하는 방법이 없습니다. 그게 이상적이겠습니다. 여기서 제가 뭔가를 놓치고 있는 걸까요?
- 이러한 템플릿에 특정 중간 CA를 사용하려고 생각했지만 이러한 기본 요구 사항에 비해 너무 복잡해 보입니다.
어쩌면 템플릿을 통해 설정할 수 있는 X.509 인증서의 또 다른 측면이 있을까요? 아니면 그룹/OU와 다른 클레임을 사용할 수 있나요?
답변1
내 대답은 아니오 야. 그룹 멤버십은 정적이 아니며 인증서 보유자의 신원의 일부가 아닌 동적 속성입니다. 결과적으로 그룹 구성원 자격을 인증서에 포함할 수 없습니다. 이 정보는 ID에 속하지 않기 때문입니다. 그리고 소속그룹이 변경될 때마다 인증서를 재발급해 주셔야 합니다. 인증서는 꽤 오랜 기간 동안 유효합니다. 이것은 매우 결함이 있는 해결책입니다.
즉, 모든 사용자는 해당 컴퓨터에서 HTTPS 요청을 시작할 때 이 인증서를 사용할 수 있어야 합니다.
이는 로컬 시스템 또는 네트워크 서비스 계정으로 실행되는 애플리케이션에서 TLS 요청이 전송되는 경우에만 작동합니다. 이러한 인증서를 사용하려면 예를 들어 소스 코드를 통해 기본이 아닌 클라이언트 인증서를 사용하도록 TLS 클라이언트를 명시적으로 구성해야 합니다.
서버는 Linux 기반 컨테이너이며 AD/도메인의 일부가 아닙니다.
흥미로운 점은 Linux 기반 서버가 실제 그룹 멤버십을 어떻게 확인해야 합니까?
상호 TLS의 클라이언트 인증서는 인증 방법입니다. 인증서의 필드는 서버가 연결되어야 하는 계정 정보에 매핑됩니다.
Linux 서버는 AD의 일부가 아니므로 클라이언트 인증서를 AD 사용자 계정에 바인딩하고 그룹 구성원 자격을 확인할 수 없습니다. 서버는 그러한 그룹이 실제로 존재하는지조차 알 수 없습니다. Linux 서버에서 사용할 수 있는 별도의 ID 데이터베이스가 있어야 하며 Linux 서버는 어떻게든 클라이언트 인증서를 별도의 ID 데이터베이스의 ID에 바인딩해야 합니다. 그리고 이 별도의 신원 데이터베이스에 있는 정보만 고객 인증에 사용됩니다.
이는 귀하의 요구 사항이 다음과 같다는 것을 의미합니다.
컴퓨터의 그룹 구성원 자격은 AD에서 관리되어야 합니다.
그리고
서버는 Linux 기반 컨테이너이며 AD/도메인의 일부가 아닙니다.
상호 배타적이므로 함께 사용할 수 없습니다. Linux 서버가 AD를 인식하도록 만들거나 Linux 서버에서 사용할 수 있는 ID에 대한 정보를 인증서에 포함합니다. 그리고 인증서에 그룹 멤버십이 포함되는 것을 강력히 피하겠습니다. 그룹 멤버십은 장기 인증서가 아닌 단기 토큰에서 사용해야 합니다.