Windows 인증 아키텍처
IT 전문가를 위한 이 개요 토픽에서는 Windows 인증의 기본 아키텍처 체계에 대해 설명합니다.
인증이란 시스템에서 사용자의 로그온 또는 로그인 정보의 유효성을 검사하는 프로세스입니다. 사용자의 이름 및 암호는 권한 있는 목록과 비교되며 시스템이 일치 항목을 검색하면 해당 사용자의 사용 권한 목록에 지정된 범위까지 액세스 권한이 부여됩니다.
확장 가능한 아키텍처의 일부로 Windows Server 운영 체제는 Negotiate, Kerberos 프로토콜, NTLM, Schannel(보안 채널) 및 다이제스트를 포함한 기본 인증 보안 지원 공급자 집합을 구현합니다. 이러한 공급자에서 사용하는 프로토콜을 통해 사용자, 컴퓨터 및 서비스를 인증할 수 있고 권한이 부여된 사용자와 서비스는 인증 프로세스를 통해 안전하게 리소스에 액세스할 수 있습니다.
Windows Server에서 애플리케이션은 SSPI를 사용해서 인증에 대한 호출을 추상화하여 사용자를 인증합니다. 따라서 개발자는 특정 인증 프로토콜의 복잡성을 이해하거나 애플리케이션에 인증 프로토콜을 빌드하지 않아도 됩니다.
Windows Server 운영 체제는 Windows 보안 모델을 구성하는 보안 구성 요소 집합을 포함합니다. 이러한 구성 요소는 애플리케이션이 인증 및 권한 부여가 없으면 리소스에 액세스할 수 없도록 합니다. 다음 섹션에서는 인증 아키텍처의 요소에 대해 설명합니다.
로컬 보안 기관
LSA(로컬 보안 기관)란 사용자를 인증하고 로컬 컴퓨터에 로그인하는 보호된 하위 시스템입니다. 또한 LSA는 컴퓨터의 모든 로컬 보안 관련 정보를 유지 관리하며 로컬 보안 정책이라고 통칭합니다. 또한 이름 및 SID(보안 식별자) 간 번역을 위한 다양한 서비스도 제공합니다.
보안 하위 시스템은 컴퓨터 시스템에 있는 보안 정책과 계정을 추적합니다. 도메인 컨트롤러의 경우 이러한 정책 및 계정은 도메인 컨트롤러가 있는 도메인에 적용되는 정책입니다. 이러한 정책 및 계정은 Active Directory에 저장됩니다. LSA 하위 시스템은 개체에 대한 액세스의 유효성을 검사하고 사용자 권한을 확인하며 감사 메시지를 생성하기 위한 서비스를 제공합니다.
보안 지원 공급자 인터페이스
SSPI(보안 지원 공급자 인터페이스)는 모든 분산 애플리케이션 프로토콜의 인증, 메시지 무결성, 메시지 개인 정보 및 보안 서비스 품질에 대한 통합 보안 서비스를 가져오는 API입니다.
SSPI는 GSSAPI(일반 보안 서비스 API)의 구현입니다. SSPI는 분산 애플리케이션이 여러 보안 공급자 중 하나를 호출하여 보안 프로토콜의 세부 정보 없이 인증된 연결을 가져올 수 있는 메커니즘을 제공합니다.