게시판 본문 Active Directory Service Interface - Read Only

re: 안녕하세요 (adsi 보안 오류)
작성자: 송원석
작성일시: 2006-06-17 12:47,  조회수: 3,343
안녕하세요? 송원석입니다. ^_^

말씀하신 것과 같은 상황이시라면 보안 관련 문제가 거의 확실한 것 같습니다. 그리고 이런 경우에는 명확하게 답변을 드리기가 어려운 경우가 많죠. 먼저 오류가 발생하는 원인에 대해서 간단하게 생각해보도록 하겠습니다. 물론 지금부터의 분석은 제가 실제로 시스템을 파악하고서 말씀드리는 것이 아니므로 다분히 일반론적인 얘기일 수 있다는 점에 주의하십시오. ^_^

문제를 해결하시기 위해서는 먼저 AD 의 도메인 구조를 파악하셔야 할 것 같습니다. 예를 들자면 이런 것입니다. AD 서버와 웹 서버가 같은 도메인입니까? 아니면 AD 서버가 존재하긴 하지만 웹 서버는 AD 서버와는 무관한 독립 실행형 서버인가요? 사실 이 독립 실행형 서버라는 용어 자체가 요즘은 잘 사용되지 않는 용어이기는 하지만 아무튼 이 말의 의미는 어떠한 AD 도메인에도 속하지 않은 서버를 말하는 것입니다. 이 점이 중요한 이유는 AD 서버와 웹 서버, 두 서버에서 모두 신뢰받는 계정을 정의해주는 것이 바로 문제를 해결하는 핵심이기 때문입니다.

웹 서버에서 운영되는 IIS 의 가상 웹 서버는, 즉 이 경우엔 인증을 구현하시려는 ASP 프로그램을 서비스하고 있는 웹 사이트는 설정에 따라 'IUSR_머신이름' 계정이나 'IWAM_머신이름' 계정으로 실행됩니다. 그런데 이 계정들은 게스트 권한만을 가지고 있습니다. 그러면 이번에는 AD 서버쪽을 살펴보겠습니다. AD 서버의 정보를 접근하기 위해서는 당연히 그에 합당한 권한이 요구됩니다. 그런데, 복잡하게 생각할 필요도 없이 앞에서 말씀드렸던 'IUSR_머신이름' 계정이나 'IWAM_머신이름' 계정과 같이 게스트 그룹의 계정들에는 이러한 권한이 없죠. 게다가 이 계정들은 AD 서버의 계정도 아닌, 전혀 별개의 서버인 웹 서버의 계정이니 더 이상 말씀드릴 필요도 없이 턱없이 권한이 부족하리라는 것을 쉽게 아실 수 있으실 것입니다.

다시 한 번 정리를 해보자면 현재의 상황은 이렇습니다. 게스트 권한만을 갖고 있는 웹 서버의 'IUSR_머신이름' 계정이나 'IWAM_머신이름' 계정으로, 상당한 수준의 권한이 요구되는 AD 서버의 정보들을 읽기 위해서 접근하고 있는 상황인 것이죠. 따라서 프로그램이 올바르게 동작하지 않는 것입니다. 따라서 어떤 면에서는 문제를 해결하는 방법은 간단합니다. 바로 필요한 권한을 가지고 있는 어떠한 계정으로 ASP 프로그램을 실행시키기만 하면 되겠죠. 바로 이 때 도메인의 구성이 중요해집니다. 만약 AD 서버와 웹 서버가 같은 도메인이라면 도메인 수준의 계정을 하나 정의하여 설정을 해주면 되겠죠. 그러나 그렇지 않다면 도메인 트러스트를 구성하거나, 아니면 양쪽 서버에 똑같은 아이디와 비밀번호로 구성된 별도의 계정을 생성하고 권한을 설정한 다음, IIS 의 실행 계정을 변경해주어야 할 것입니다. 이 부분에 대한 구체적인 방법에 대해서는 구글 등을 검색해보시고, 제 홈페이지의 다음의 문서들도 참고해보시기 바랍니다.

http://www.egocube.pe.kr/Lecture/Content/component/200203150011
http://www.egocube.pe.kr/Lecture/Content/component/200408040001

그리고 말씀해주신 코드를 살펴보면 ADO 를 사용하여 AD 서버에 접근하고 계신데, 이 게시판의 이전 글들을 찾아보시면 다른 방법을 사용하면서도 비슷한 문제를 고민하고, 또 해결하신 다른 분들의 글들을 많이 찾아보실 수 있으실 것입니다. 분명히 참고가 되시리라고 생각합니다.

감사합니다.

IP 주소: 61.84.82.25
전체 421 건의 게시물, 17 페이지로 구성된 Active Directory Service Interface 게시판의 7 페이지입니다.
게시물
277

re: AD를 통한 웹인증을 하려는데요

송원석

2007-03-22 6,125
276

SMTP 서비스를 컨트롤 할수 있는 방법 좀 알고 싶습니다.

Song

2007-02-07 3,112
275

re: SMTP 서비스를 컨트롤 할수 있는 방법 좀 알고 싶습니다.

송원석

2007-02-08 3,381
274

안녕하세요 (adsi 보안 오류)

이창수

2006-06-16 3,766

re: 안녕하세요 (adsi 보안 오류)

송원석

2006-06-17 3,343
272

iis, dns 자동화에 대해

김수연

2006-02-25 843
271

re: iis, dns 자동화에 대해

송원석

2006-02-26 3,632
270

IIS에 호스트 해더 자동추가

chakankim

2006-02-22 3,497
269

re: IIS에 호스트 해더 자동추가

송원석

2006-02-22 3,429
268

AD와 Exchange에서의 SMTP계정 추가

깍꾸

2006-02-08 1,183
267

re: AD와 Exchange에서의 SMTP계정 추가

송원석

2006-02-08 3,393
266

AD의 비밀번호 변경에 관한 질문이요!

짜리

2006-01-20 1,737
265

re: AD의 비밀번호 변경에 관한 질문이요!

송원석

2006-01-20 3,548
264

re: AD의 비밀번호 변경에 관한 질문이요! [1]

짜리

2006-01-23 1,156
263

2003의 FTP User account에 대해서..

theman

2006-01-06 839
262

re: 2003의 FTP User account에 대해서..

송원석

2006-01-06 3,691
261

/adsi/userlist.asp, 줄 318

김정훈

2005-12-16 3,649
260

re: /adsi/userlist.asp, 줄 318

송원석

2005-12-16 3,348
259

re: /adsi/userlist.asp, 줄 318

김정훈

2005-12-17 1,184
258

re: /adsi/userlist.asp, 줄 318

송원석

2005-12-19 3,449
257

re: /adsi/userlist.asp, 줄 318

김정훈

2005-12-20 6,808
256

re: /adsi/userlist.asp, 줄 318 [1]

송원석

2005-12-21 4,275
255

using ActiveDs에 대해서...

감사하는이

2005-12-12 1,384
254

re: using ActiveDs에 대해서...

송원석

2005-12-12 4,032
253

컴포넌트를 아주 유용하게 사용중이였는데요..

사요

2005-12-09 4,810