Download
1 / 26
260 likes | 487 Views
Directory Service Overview. 고병갑 이사 (bgko@nets.co.kr) ㈜ 넷츠. Directory 정의 - I. 사전적 의미 : 전화 번호부 , 사용자 프로필 저장소 정보기술 측면의 의미 정보기술 응용프로그램의 사용자 (Identity) 를 저장 다양한 색인 , 캐싱 , 디스크 접근 등의 기술을 통해 데이터 저장소에 빠르게 접근할 수 있도록 고안된 특별한 형식의 데이터베이스
E N D
Directory Service Overview 고병갑 이사(bgko@nets.co.kr) ㈜넷츠
Directory 정의 - I • 사전적 의미 : 전화 번호부, 사용자 프로필 저장소 • 정보기술 측면의 의미 • 정보기술 응용프로그램의 사용자(Identity)를 저장 • 다양한 색인, 캐싱, 디스크 접근 등의 기술을 통해 데이터 저장소에 빠르게 접근할 수 있도록 고안된 특별한 형식의 데이터베이스 • 저장된 데이터들은 계층이 있는 트리 형태로 디렉터리 서버에 저장이 되고 디렉터리 접근 프로토콜을 통해 조회, 수정, 삭제 등의 동작을 수행
Directory 정의 – IIStandard • X.500 • ITU에서 제정한 디렉터리 표준으로 디렉터리 접근 프로토콜(DAP)을 사용하여 시스템과 사용자간의 정보를 전송 • 이 표준은 구현된 제품들이 너무 크고 복잡하여 보편화되어 있는 PC에서 사용하기에는 무리가 있지만, 디렉터리 시스템간의 원활한 통신이 가능하고 분산 아키텍처 설계가 용이하여 광범위한 디렉터리 서비스 구현에 적합 • LDAP • X.500의 복잡성을 대신하여 IETF(Internet Engineering Task Force)에서는 인터넷을 기반으로 하고 X.500의 불필요한 동작을 단순화한 LDAP 표준을 제정하였다. LDAP은 X.500과 같이 CPU의 부하를 많이 발생시키지 않으면서 필요한 디렉터리 서비스 기능을 제공한다.
Directory 정의 – IIIDifference • LDAP은 TCP/IP 위에서 수행되고, X.500 DAP은 OSI 스택 위에서 수행. • LDAP은 단순화된 바인드(bind) 동작을 제공. • LDAP 클라이언트는 패스워드를 사용하지 않고 익명으로 바인드 하거나 평문(clear text)의 패스워드를 사용할 수 있음. • X.500은 암호기술을 사용하는 보안 메커니즘을 사용 • LDAP은 X.500의 Read와 List 동작을 제공하지 않음. • LDAP은 X.500에 비해 비교적 간단한 인코딩을 사용
Directory or Database • Transactional store or Not • High read performance • Dynamic or Static Information • Standard Schema or not
Directory Service 분류 • Confusion of Directory Concept • 일반적인 분류 White Paper User Admin E-Mail Network Resource Directory Directory Directory Directory
Directory Service 분류 사용자 및 네트워크 자원 관리 관리 권한의 위임이나 프린터 같은 네트워크 자원들을 찾는 등의 작업을 쉽게 하는, 확장 가능한 계층적 구조의 정보 저장소 제공 보안 인증과 권한 부여 서비스 데이터를 보호하면서도 인터넷을 통한 비즈니스를 하는데 어려움을 최소화할 수 있는, 유연한 인증 서비스와 일관성 있는 권한 부여 서비스 제공 디렉터리 통합 디렉터리의 개수를 줄임으로써, 기업은 사용자, 컴퓨터, 응용 프로그램 및 디렉터리 활성 디바이스들에 대한 정보 공유와 일반 관리 작업들을 더 향상시킴 디렉터리 활성 기반 구조 네트워킹 하드웨어와 공유 파일 시스템 같은 요소들을 활성화함으로써 향상된 서비스 질을 제공하며, 디렉터리에 저장된 사용자, 컴퓨터, 네트워크 등의 정보에 접근하기 위해 더 많은 기능들을 제공 디렉터리 활성 응용 프로그램 더 단순화된 응용 프로그램 구성과 관리가 가능해지므로, 기능성이 향상되고 네트워크 컴퓨팅 환경 내의 다른 디렉터리 활성 컴포넌트와도 상호 상승작용이 가능함
Directory Service 분류 Hub & Spoke Method Metadirectory Synchronization / consistency Synchronization / consistency Application Directories Core HR Mail NOS User & Resource Management Security Services Centralized Directory Management Directory Enabled Infrastructure Directory Enabled Applications Special purpose Directory Service Multipurpose Directory Service
Directory Service의 필요성 • 다중 디렉터리, 다중 데이터베이스 • e-business, extranet / e-commerce 서비스 사용자 및 리소스의 증가 • 다중 디렉터리 및 데이터베이스 • 플랫폼에 대한 의존성 • Active Directory in Windows 2000, Novell Directory Services (NDS) in NetWare • 어플리케이션에 대한 직접적인 의존성 • 특정 application의 경우 단지 하나의 디렉터리 만을 지원함 • 어플리케이션에 대한 간접적인 의존성 • 특정 vendor의 경우 몇몇의 디렉터리 만을 지원함 • 업무 처리를 위한 적합성 • 실시간 성능, 높은 확장성 등 특정 업무에 필요한 독특한 디렉터리 특성 기업 시스템은 특정 업무 처리에 집중되어 있기 때문에 총체적으로 사용자 증가에 따른 확장성을 보장하지 못함. [Giga Information Group]
SM assessment & analysis also has some opportunity Directory Service의 필요성 일관되지 않은 보안 정책 수립 및 적용 디렉터리 간 사용자 정보의 불일치로 인한 업무 혼선 및 경영 가치 저하 산재된 디렉터리 및 사용자 데이터베이스 서로 다른 관리자에 의한 개별적인 디렉터리 및 사용자 정보 통제 및 관리 리소스 접근에 대한 복잡한 절차 및 통제로 인한 업무 효율 저하 디렉터리 재구축 및 중복된 개발로 인한 부적절한 시점의 서비스 공급
Directory Service의 필요성 Multipurpose Directory Service Infrastructure • 사용자 생산성 및 권한 향상 • 사용자에게 필요한 시점에 데이터 및 어플리케이션에 대한 접근 제공 • 개인화 및 self-service를 통한 보다 손쉬운 정보 활용 제공 • Consumer User의 구매 향상 일관된 접근 제어 정책의 수립 및 전사적 적용으로 기업보안 강화 • 어플리케이션 개발 향상 • 인증, 연동, 보안 컴포넌트의 재사용으로 어플리케이션 개발 주기를 향상 • 새로운 서비스 및 기존 어플리케이션의 외부 이용을 보다 빠르게 함 • 비즈니스 경쟁력 증대 지속적인 데이터 정합성 유지로 이한 IT 관리 효율 증대 및 help desk 비용 감소
Directory 활용예 Source: IDC, 2003, IDENTITY MANAGEMENT LIFE CYCLE Workflow/Process/Management Single sign-On Delegated/Self Service Personalization Privacy/Security Metadirectory Attributes Policies Preference • Name • Phone • Email • Level • Authorization • Option In • Option Out Manage Privacy Provisioning Manage Policy Employees Contractors Customers Suppliers Partners IS/IT/HR/Accounting/Sales Directory : LDAP v3, Database, M/F Applications Data Document
Directory 활용예 Source: Gartner Research
LDAP DB Others 사용자 • Web 사용자 • C/S 사용자 • Host 사용자 • 시스템 관리자 Typical Usage in Domestic SPM 기업 내 Identity ID Migration Provisioning 통합 Directory or DB Data Access API SET SSO 구축
SOAP WS-Security SAML Attribute/Assertions Authentication Authorization/Policies Privacy Preferences 가까운 미래 - Federation Source: IDC, 2003, STANDARDIZED IDENTITY FEDERATION 회사 A 회사 B Legacy Directories Legacy Directories RCAF, AD, NDS RCAF, AD, NDS LDAP XML LDAP XML Internet • Internet을 통한 기업간 Identity 연합 • 표준 기반의 기술 채택으로 ID 연합의 유연성 확보
Web Service Consumers PartnerA Internet www.PartnerA.com PartnerB Internet Web Service Container User www. PartnerB.com SSO Web Service B Federation &Federated Security • Federation ? • 서로 다른 조직간의 사용자 인증 공유 • 각각 사용자 Pool 보유, 인증만 공유 • Federation 종류 Document Based Federation Browser Based Federation
Federation의 필요성 • B->E • Support outsourcing of services to employees • Example - 401K, HR, Payroll, Travel, Health Plan, & Other services • Reduce costs & improves employee satisfaction & productivity • Connect legacy internal systems between business units • Reduce costs and simplify data access • B->B • Improve collaboration with suppliers, resellers, & business customers • Example - Provide financing “hub” for auto dealerships or for mortgage brokers • Improve speed, cost, agility, revenue opportunities • B->C • Bring together products & services to present broad selection • Example – Comprehensive financial offerings of investment, insurance, & banking services from multiple companies • Expand product offering & improve customer service • Improve cost, revenue, & customer satisfaction/stickiness
Federation방안 • Decide where to start • Partners .vs. Internal Bus • Where big business bang • Where good partnership already exists • Leverage the ubiquitous network/technology • Internet/internet technology • Use document-based (Web services) and/or browser-based federation • Use standards: SAML, Liberty, WS-*, Web services, others… • Don’t invent proprietary methods
Federation 기술계획 • Across company boundaries/security domains • How to secure? • How to scale across multiple partnerships? • How to create/manage/delete user identities? • How to pass user information? • How to confirm sufficient authentication is conducted? • How to authorize users/resources for appropriate access? • How to provide SSO? • How to personalize the Web experience? • How to audit & report on usage?
Company D Company C Company B Company A Company B Company A Authentication Authentication Internet Company A Internet Company B Internet Authentication Hub Company User Provides Authentication User Company D Company C Authentication Authentication Internet Federation Model
가까운 미래 – IAM (Identity & Access Management) • 사용자의 요구 증대 • SSO, Access Control 등 • Directory Service기능 확대
Directory Vendors… Source: Gartner Research, 2002, Extranet/Intranet Directory Services Magic Quadrant
Metadirectory Vendors Source: Gartner Research, 2002, The 2H02 Metadirectory Service Magic Quadrant
IAM Vendors Source: Gartner Research, 2002, Extranet Access Management 2H02 Magic Quadrant
Session Summary • IT Paradigm의 변화 • Productivity Manageability • Information Technology = Business Value • IT Planning에서 중요한 요소 • Robust Infrastructure • 사용자계정정보의 Infra 구축 • 가장 효과적인 Directory Service Infra 구축
