천방지축 IT 이야기

이기종 및 타서비스간의 하나의 아이디로 통합하려면, 어떻게 처리 하면 좋을까?

 결론 부터 말하면, LDAP 이다. 그 이유는 LDAP 은 윈도우 뿐만 아니라. 리눅스, MAC, *NIX 계열에서 모두 사용이 가능하다는 이야기이다.

그렇다. 답은 LDAP 을 사용하면, 가능 하다는 이야기이다.

윈도우에서는 Active Directory(이하 AD)가 LDAP 표준을 사용하여 제공하게 된다. OSX(맥 운영체제)에서도 LDAP 을 지원한다. (LDAP 서버로 사용가능 한지는 모른다.)

그리고 리눅스 계열은 OpenLDAP 을 사용해서 LDAP 서버를 구축 및 클라이언트로도 사용이 가능하다. 또한  구축도 쉽게 이루어 질 수 있다. (요것은 구현해봤다!)

그러한 이유는 PAM 에서 LDAP 유저를 사용할 수 있게끔 간단하게 지정만 해주면, LDAP 을 사용할 수 있다는 이야기 이다.

그렇지만, 윈도우 AD를 사용해서 LDAP 서버역할을 해내면 어떻게 해결해야 할지 모르는 문제가 생긴다-_-;;
그 이유는 윈도우 AD는 User의 정보를 넘겨주지 못하고, kerberos 라는 표준을 이용해서 티켓을 발급하여, 티켓개념의 Single-Sign-On 만을 제공하기 때문이다.

그래서 리눅스와 윈도우를 통합하기 위해서는 리눅스에서 kerberos 를 사용해야 한다.(이 부분은 구축하지 못했으므로 자세한 사항을 언급하지 못하겠다. SSH 도 PAM 을 통해서 인증을 받는데.. 티켓을 받게 되면 인증 부분이 필요없고, 그 앞단에서 인증한후 SSH 를 사용할 수 있게 된다는 이야기이다.)

간단하게 OpenLDAP 이란 무엇인지 알아보자.

LDAP 은 쉽게 말해서 표준 프로토콜이다. 이 프로토콜은 특이한 점이 있다. 데이터들을 버클리DB를 통해서 저장한다. 버클리 DB는 B*트리를 기반으로 제작되어진 DB이다. B* 트리구조로 되어져 있으며, 읽기에는 최고의 속도를 자랑한다. 하지만, B* 트리 특성상 새로운 값 입력시 너무 느리다는 단점이 있다.(구조가 변하기 때문에...) 그래서 LDAP 을 보통의 DB(Oracle,My-SQL 등)를 사용해서 사용하는 방법이 있다.

사용자의 정보는 어떻게 저장되어 있는가?


위 그림을 보자 계층적 구조로 사용자의 정보를 입력되어져 있다. 그렇기 때문에 더 빠른 정보를 읽어 올 수 있으며, 효율적으로 User를 관리 할 수 있다.

이러한 LDAP 은 범용적이기도 하다. 무슨 이야기이냐 하면, Apache 및 PHP 등의 응용프로그램단에서도 인증서비스를 지원할 수 있다는 이야기이다. 즉 하나의 아이디를 통해서 사용가능하다는 이야기다.

위 말이 어렵다면, 예를 들어서 설명해보이겠다. 우리는 싸이월드나 네이트온을 사용할 때 보통 하나의 아이디로 둘다 로그인이 가능하다. 이렇게 하나의 아이디를 통해서 인증을 할 수 있는게 LDAP 을 사용하면 이루어 질 수 있다는 이야기다.

LDAP 의 사용으로 기업의 이점?

LDAP을 사용하게 되면, 기업과 사용자의 이점은 무엇인가? 보안 문제를 쉽게 해결하며, 하나의 서버에서 인증을 해주기 때문에 그린 IT에 대응 할 수 있으며, 인력이나 서버관리 비용이 줄어들수 있다.

사용자의 입장에서는 하나의 아이디를 통해서 다양한 서비스를 이용할 수 있고, 재가입을 막고, 아이디와 패스워드 관리가 비교적 쉬워진다는 이야기 입니다.

LDAP의 단점은 무엇인가?

아이러니 하게도 보안이다. 하나의 보안이 뚫리게 되면, 사용자의 모든 정보가 다 노출될 수 있는 단점이 생긴다. 그게 무슨 이야기냐 하면, LDAP 에는 다양한 정보를 갖고, 약간의 정보가 필요한 서비스에게 정보를 제공해 줄 것이다. 거기에 쇼핑몰까지 연결되어져 있다고 생각해보자. 그렇게 되면, 쇼핑몰에서 쓰기 위한 추가적인 정보도 LDAP 서버에 저장되어야 할 것이다. 그럼 모든 정보가 하나의 LDAP 서버에 있게 되는게 이게 크래킹이라도 된다면 엄청난 파장이 불러 올 것이다.

또한 LDAP 은 평문전송을 하기 때문에 가로채기시 사용자의 아이디 및 비번을 찍어서 볼 가능성도 있다. (이렇기 때문에 윈도우 AD에서는 케르베로스 티켓을 사용하는 듯 하다.)

그럼에도 불구 하고 LDAP 을 사용해야하는 이유는?

나의 생각은 이렇다. 여러 서버에 있는 보안 프로그램 및 방화벽을 한곳에 집중적으로 투자하여 운영하게 되면 조금더 나은 보안이 이루어 지며, 그로 인해 관리비용은 비슷하지만, 사용자의 서비스가 편리해지고 사용자의 정보관리 또한 쉬워진다는 이야기다.

그리고 LDAP 의 평문전송은 이미 해결책이 나와있다. LDAPs 라고 불리우는지는 모르겠지만, 우리가 흔이 말하는 인터넷 인증서처럼 인증서를 발급받아 공개키 방식의 암호작업을 해서 전송이 이루어지기 때문에 문제가 생기지는 않는다.

그리고 사용자는 편리한 서비스를 원한다. 단번의 로그인으로 여러가지 서비스를 사용하는 것과 아이디와 비밀번호를 하나로 사용한다는 것은 매리트 있는 이야기이기 때문에 보안에 관해서 조금더 신경을 쓰게 된다면, 모든 부분은 해결할 수 있다.

LDAP 과 케르베로스를 동시에 사용하게 된다면?

LDAP과 케르베로스를 사용하게 된다면, LDAP 서버에서 인증을 받은 후 케르베로스를 통해서 티켓만으로 모든 서비스를 받을 수 있다. 인증된 티켓은 유효시간안에 다양한 서비스를 받을 수 있는 것이다. 쉽게 말해서 우리가 전철이나 기차, 버스를 타는 것과 같다고 생각 하면 된다.

캬울 취득 ㅋㅋㅋ

공부도 열심히 했지만, 워낙에 적중률이 높은 그 자료가 있어서..

도움이 되었다는 ㅋㅋㅋ


암튼 엘픽 취득 ㅋㅋ 엘픽이라고 부르면 누가 뭐라고 할라나?ㅋㅋㅋ

엘피아이씨 취득취득 취득 베베

LPIC level 101 시험 본거 대충 적어 보아요;

주관식 문제인데 설명이 대충 설명 한거고, 그리고 틀린것도 있는거 같네요;; 답은 무조건 맞습니다.

정보가 될지 몰라서 대충 이렇게 남겨볼께요~

주관식에 관련된 문제만 적어보네요^^;;

왼쪽 LPIC 로고는 자격증을 쥐득 못하면 사용하지 못한다고 어디서 주어들어서-_-;;;

101은 합격했기때문에 반만 사용 합니다.(문제 될건 없겠죠?ㅋ)

 

주관식 답	대충 설명-_-;;
19	우선순위 -20~ 19 라는거 묻는 내용
dd	다운받은 이미지를 부트 플로피 만들때 무슨 명령어쓰냐
fg	vi 편집기가 백그라운드에있는데 (한개 프로세스만 있다는 조건) vi 포어그라운드로불러오는 명령어
killall -s SIGUSR1 apache2
od	8진법으로 dump 뜨는 명령어
swapoff	스왑을 쓰지 않으려면?
mkswap	스왑만들때 쓰는 명령어
yum.repos.d	yum 디렉토리의 설정을 위한 처리를 할때 사용되는 것
ldd /usr/lib/libpng12.so	공유라이블러리 의존성을 출력해주는 명령어
/tmp	디렉토리를 나눠서 사용해야하는데 전부 쓸 수 있는 그런 곳
grub.conf	grub을 위한 설정파일은?
reconfigure	데비안 패키지 설정하는 방법
update	yum 업데이트 방법-_-;;;;;;;; 이문제가 제일 어이없음
rpm2cpio	rpm 을 cpio 로 바꾸는 명령어
/custom-grub/boot/grub	새로운 메뉴를 설정했을 때 지원되는 디렉토리 기술하시오(?)
077	파일 600 디렉토리 700 에 대한 umask 값은 ?
guotaon	quota 를 사용하게 하려면?
mtab	마운트 되어있는 디바이스 리스트
telinit	유저레벨 root 레벨로 바꾸는 명령어
/etc/inittab	런레벨 설정하는 곳
bus	/proc/ ? /usb
messages	네트워크 드라이버 모듈의 로그를 볼 수 있는 곳
cmdline	파일시스템 리스트 파라미터
dmesg	커널의 부팅 기록을 남겨놓은 걸 볼때 사용하는 명령어

뭐 이정도로 나왔습니다.

도움이 다들 되실꺼 같아서 올렸고요~

시험 일자는 2009년 10월 30일에 시험 본거 입니다. 지금 방금 보고 올리는 글 ㅋ

예전에 비해서 최신 덤프가 적중률도 높고, 맞지 않는 문제는 싹 뺀거 같네요.

덤프 버전은 쿨덤프구요 09년 8월 31일에 나온게 최신 덤프라고 하더라고요~;;

점수는 상당히 잘 나왔습니다.

제일 어려운 문제는 /etc/inittab 이였던거 같습니다. 생각이 안나서 뭐였지 뭐였지 라고 했음-_-;;

암튼 Linux에 한걸음 더 가까이 간거 같은 느낌이랄까?

화이팅 하겠습니다.

#!/bin/sh
clear
echo    "*************************************************************"
echo    "Please choose from the following options; type the"
echo    "option number and hit the <Enter> key."
echo    "
echo    "
echo    "  1) To Run this script"
echo    "  2) Exit"
echo    "*************************************************************"

if [ "$(whoami)" != "root" ] ; then
  echo "Error: You must be root to run this command." >&2
  exit 1
fi

read option

if [ $? -eq 1 ]
then
clear
        echo "You need to be root before running this script."
        echo "Please restart this script as root and all will be fine."
exit
fi


if [ "$option" = "1" ]
then
## This is going to be future implementation of chosing password at creation
echo "Type password for the new users."


grub-md5-crypt

echo "Please MD5 type passwd Copy & Paste"

read pass
echo $pass

echo "Type in the path for the file (ex. /root/user.txt)"
read users
echo "Type in the group name. If there is not a group, Press to [Enter] key"
read group

        groupadd $group 2>/dev/null >/dev/null
        for i in `sed 's/\(..\).*@\(..\).*/\1\2/' $users`
do
if [ $group ]
then
        useradd -g $group -p $pass -s /bin/bash -m -d /home/$group/$i $i 2>/dev/null >/dev/null
else
        useradd -p $pass -s /bin/bash -m -d /home/$i $i 2>/dev/null >/dev/null
fi


done

echo "Done!"

elif ["$option" = "2"]
then
        echo "exiting script"
exit
fi



읽어주셔서 감사합니다. 혹시라도 더 좋은 방법 있으시면 조언좀 부탁드릴께요~

# chpasswd

1). 용도
사용자의 패스워드를 변경하는 명령어로 보통 여러 사용자들을 한번에 패스워드를 변경할 때 사용

2). 용법
# chpasswd [-e] [ < 파일 ]
 = chpasswd 는 'userID : Password' 형태로 지정해야 함.
 즉, 다시 말해 파일에 'userID:Password' 형태로 기록해놔야한다는 뜻이다.

3). option
- e : 암호화된 패스워드를 사용할 경우에 사용한다.

4). example
# chpasswd < passwd.txt
 = passwd.txt 에 userID 와 password 가 들어있다.!