sign in
join
게시판 본문 Active Directory Service Interface - Read Only 
| re: 안녕하세요 (adsi 보안 오류) |
|---|
|
작성자: 송원석
작성일시: 2006-06-17 12:47,
조회수: 3,146
|
|
안녕하세요? 송원석입니다. ^_^
말씀하신 것과 같은 상황이시라면 보안 관련 문제가 거의 확실한 것 같습니다. 그리고 이런 경우에는 명확하게 답변을 드리기가 어려운 경우가 많죠. 먼저 오류가 발생하는 원인에 대해서 간단하게 생각해보도록 하겠습니다. 물론 지금부터의 분석은 제가 실제로 시스템을 파악하고서 말씀드리는 것이 아니므로 다분히 일반론적인 얘기일 수 있다는 점에 주의하십시오. ^_^ 문제를 해결하시기 위해서는 먼저 AD 의 도메인 구조를 파악하셔야 할 것 같습니다. 예를 들자면 이런 것입니다. AD 서버와 웹 서버가 같은 도메인입니까? 아니면 AD 서버가 존재하긴 하지만 웹 서버는 AD 서버와는 무관한 독립 실행형 서버인가요? 사실 이 독립 실행형 서버라는 용어 자체가 요즘은 잘 사용되지 않는 용어이기는 하지만 아무튼 이 말의 의미는 어떠한 AD 도메인에도 속하지 않은 서버를 말하는 것입니다. 이 점이 중요한 이유는 AD 서버와 웹 서버, 두 서버에서 모두 신뢰받는 계정을 정의해주는 것이 바로 문제를 해결하는 핵심이기 때문입니다. 웹 서버에서 운영되는 IIS 의 가상 웹 서버는, 즉 이 경우엔 인증을 구현하시려는 ASP 프로그램을 서비스하고 있는 웹 사이트는 설정에 따라 'IUSR_머신이름' 계정이나 'IWAM_머신이름' 계정으로 실행됩니다. 그런데 이 계정들은 게스트 권한만을 가지고 있습니다. 그러면 이번에는 AD 서버쪽을 살펴보겠습니다. AD 서버의 정보를 접근하기 위해서는 당연히 그에 합당한 권한이 요구됩니다. 그런데, 복잡하게 생각할 필요도 없이 앞에서 말씀드렸던 'IUSR_머신이름' 계정이나 'IWAM_머신이름' 계정과 같이 게스트 그룹의 계정들에는 이러한 권한이 없죠. 게다가 이 계정들은 AD 서버의 계정도 아닌, 전혀 별개의 서버인 웹 서버의 계정이니 더 이상 말씀드릴 필요도 없이 턱없이 권한이 부족하리라는 것을 쉽게 아실 수 있으실 것입니다. 다시 한 번 정리를 해보자면 현재의 상황은 이렇습니다. 게스트 권한만을 갖고 있는 웹 서버의 'IUSR_머신이름' 계정이나 'IWAM_머신이름' 계정으로, 상당한 수준의 권한이 요구되는 AD 서버의 정보들을 읽기 위해서 접근하고 있는 상황인 것이죠. 따라서 프로그램이 올바르게 동작하지 않는 것입니다. 따라서 어떤 면에서는 문제를 해결하는 방법은 간단합니다. 바로 필요한 권한을 가지고 있는 어떠한 계정으로 ASP 프로그램을 실행시키기만 하면 되겠죠. 바로 이 때 도메인의 구성이 중요해집니다. 만약 AD 서버와 웹 서버가 같은 도메인이라면 도메인 수준의 계정을 하나 정의하여 설정을 해주면 되겠죠. 그러나 그렇지 않다면 도메인 트러스트를 구성하거나, 아니면 양쪽 서버에 똑같은 아이디와 비밀번호로 구성된 별도의 계정을 생성하고 권한을 설정한 다음, IIS 의 실행 계정을 변경해주어야 할 것입니다. 이 부분에 대한 구체적인 방법에 대해서는 구글 등을 검색해보시고, 제 홈페이지의 다음의 문서들도 참고해보시기 바랍니다. http://www.egocube.pe.kr/Lecture/Content/component/200203150011 http://www.egocube.pe.kr/Lecture/Content/component/200408040001 그리고 말씀해주신 코드를 살펴보면 ADO 를 사용하여 AD 서버에 접근하고 계신데, 이 게시판의 이전 글들을 찾아보시면 다른 방법을 사용하면서도 비슷한 문제를 고민하고, 또 해결하신 다른 분들의 글들을 많이 찾아보실 수 있으실 것입니다. 분명히 참고가 되시리라고 생각합니다. 감사합니다. |
|
IP 주소: 61.84.82.25
|
전체 421 건의 게시물,
17 페이지로 구성된
Active Directory Service Interface 게시판의
7 페이지입니다.
|
게시물 | |||
|---|---|---|---|---|
| 277 | 2007-03-22 | 5,700 | ||
| 276 | 2007-02-07 | 2,923 | ||
| 275 | 2007-02-08 | 3,179 | ||
| 274 | 2006-06-16 | 3,563 | ||
 |
2006-06-17 | 3,146 | ||
| 272 |
김수연 |
2006-02-25 | 843 | |
| 271 | 2006-02-26 | 3,434 | ||
| 270 | 2006-02-22 | 3,303 | ||
| 269 | 2006-02-22 | 3,219 | ||
| 268 |
깍꾸 |
2006-02-08 | 1,183 | |
| 267 | 2006-02-08 | 3,201 | ||
| 266 |
짜리 |
2006-01-20 | 1,737 | |
| 265 | 2006-01-20 | 3,354 | ||
| 264 |
짜리 |
2006-01-23 | 1,156 | |
| 263 |
theman |
2006-01-06 | 839 | |
| 262 | 2006-01-06 | 3,477 | ||
| 261 | 2005-12-16 | 3,443 | ||
| 260 | 2005-12-16 | 3,154 | ||
| 259 |
김정훈 |
2005-12-17 | 1,184 | |
| 258 | 2005-12-19 | 3,260 | ||
| 257 | 2005-12-20 | 6,615 | ||
| 256 | 2005-12-21 | 4,070 | ||
| 255 |
감사하는이 |
2005-12-12 | 1,384 | |
| 254 | 2005-12-12 | 3,840 | ||
| 253 | 2005-12-09 | 4,612 |
re: AD를 통한 웹인증을 하려는데요
확인
취소