연결 보안(Office SharePoint Server 2007)

업데이트 날짜: 2008년 10월

적용 대상: Office SharePoint Server 2007

마지막으로 수정된 항목: 2008-10-02

이 문서에서는 Microsoft Office Servers 인프라 업데이트가 설치된 Microsoft Office SharePoint Server 2007의 연결 기능에 대한 최상의 보안 방법에 대해 설명합니다. IT 전문가와 시스템 설계자 및 검색 서비스 관리자는 이 문서를 읽어야 합니다. Microsoft Office Servers 인프라 업데이트를 설치하는 방법에 대한 자세한 방법은 Microsoft Office Server 인프라 업데이트 설치(Office SharePoint Server 2007)를 참조하십시오.

검색 연결 개요

연결은 Search Server 2008에 처음으로 도입된 기능으로, Microsoft Office Servers 인프라 업데이트를 설치하면 Office SharePoint Server 2007에서도 사용할 수 있습니다. 연결된 검색을 사용하면 Open-search 1.1과 호환되는 검색 엔진을 하나 이상 쿼리하여 각 검색 엔진의 결과를 단일 검색 결과 페이지에서 별도의 웹 파트에 표시할 수 있는 하나의 쿼리를 실행할 수 있습니다. 이러한 원본은 엔터프라이즈 콘텐츠 저장소, 기타 검색 엔진 또는 콘텐츠 인덱스의 일부분일 수 있습니다. 검색 연결에 대한 자세한 내용은 연결된 검색 개요 (영문)(https://go.microsoft.com/fwlink/?linkid=122651&clcid=0x412) 및 연결 사용(Office SharePoint Server)을 참조하십시오.

인증 형식

연결된 검색에는 다양한 사용자 인증 형식(사용자별 및 일반 자격 증명)을 사용할 수 있습니다. 그러나 자격 증명을 수집하려면 사용자별 인증에서 Kerberos가 아닌 인증 형식에 대해 웹 파트 확장이 필요합니다. 위치 정의의 인증 및 자격 증명 정보 섹션에서 연결된 위치의 인증 형식을 지정합니다. 인증 형식은 다음 중 하나일 수 있습니다.

• 익명

  연결된 위치에 연결하는 데 자격 증명이 필요하지 않습니다.

• 일반

  각 연결에서 동일한 자격 증명 집합을 사용하여 연결된 위치에 연결합니다.

• 사용자별

  검색 쿼리를 전송한 사용자의 자격 증명을 사용하여 연결된 위치에 연결합니다.

일반 인증 형식 및 사용자별 인증 형식에 대해서는 다음 인증 프로토콜 중 하나를 함께 지정해야 합니다.

• 기본

  기본 인증은 HTTP 사양에 속하며 대부분의 브라우저에서 지원됩니다.

  보안 참고:
  기본 인증을 사용하는 웹 브라우저는 암호를 암호화되지 않은 형식으로 전송합니다. 이 경우 악의적인 사용자가 네트워크의 통신을 모니터링하여 일반 사용자에게 제공되는 도구를 통해 이러한 암호를 가로채 암호를 해독할 수 있습니다. 따라서 전용선이나 SSL(Secure Sockets Layer) 연결과 같이 연결이 안전한 것이 확실한 경우가 아니면 기본 인증은 사용하지 않는 것이 좋습니다.

• 다이제스트

  다이제스트 인증은 W3C(World Wide Web Consortium) 웹 사이트의 RFC 2617 사양에 정의되어 있는 HTTP 1.1 프로토콜을 사용합니다. 이 인증은 HTTP 1.1에 호환되어야 하므로, 일부 브라우저에서는 이 인증을 지원하지 않습니다. 다이제스트 인증을 사용하도록 설정한 상태에서 HTTP 1.1 요청이 호환되지 않는 브라우저가 파일을 요청하면 클라이언트에서 다이제스트 인증이 지원되지 않으므로 요청이 거부됩니다. 다이제스트 인증은 Windows 도메인에서만 사용할 수 있으며, Windows Server 2008, Microsoft Windows Server 2003 및 Microsoft Windows 2000 Server 도메인 계정에 대해서만 작동합니다. 또한 이들 계정에서는 암호를 암호화된 일반 텍스트로 저장해야 할 수 있습니다.

• NTLM

  사용자 레코드가 SAM(보안 계정 관리자) 데이터베이스 또는 Active Directory 데이터베이스에 저장됩니다. 각 사용자 계정은 두 개의 암호, 즉 LAN Manager 호환 암호 및 Windows 암호에 연결되어 있습니다. 이들 각 암호는 암호화되어 SAM 데이터베이스 또는 Active Directory 데이터베이스에 저장됩니다.

• Kerberos(사용자별 인증 형식만 해당함)

  Kerberos 프로토콜을 사용하면 각 네트워크 연결 주체가 연결 상대의 신원을 확인할 수 있습니다. NTLM을 사용하는 경우 서버에서 클라이언트의 ID를 확인할 수는 있지만 클라이언트에서 서버의 ID를 확인할 수는 없으며, 서버 간에 서로의 ID를 확인할 수도 없습니다. NTLM 인증은 서버를 신뢰할 수 있는 네트워크 환경에 사용하기 위한 것입니다.

• 폼

  폼 인증 쿠키는 단순히 폼 인증 티켓의 컨테이너일 뿐입니다. 각 요청은 티켓을 폼 인증 쿠키 값으로 전달하며, 서버에서 폼 인증이 인증된 사용자를 식별하는 데 사용됩니다. 그러나 쿠키를 사용하지 않는 폼 인증은 URL의 티켓을 암호화된 형식으로 전달합니다. 클라이언트 브라우저가 쿠키를 차단할 수도 있는 경우에 쿠키를 사용하지 않는 폼 인증을 사용합니다. 이 기능은 Microsoft .NET Framework 2.0에 처음으로 도입되었습니다.

연결된 검색의 보안 잘림

연결된 검색을 사용하는 경우에 평가해야 하는 중요한 고려 사항은 검색 결과의 보안 조정입니다. 보안 조정은 반환되는 결과가 사용자 계정 사용 권한을 기준으로 필터링되는 방식입니다. 기본적으로 검색 결과의 보안 조정은 다음 항목에서 반환하는 결과에 대해 적용됩니다.

• 로컬 팜

  연결된 위치가 Open Search 위치이며 사용자별 인증용으로 구성되어 있는 경우, Kerberos 인증을 사용 중이라면 사용자 자격 증명은 자동으로 전달됩니다. 그러나 사용자 자격 증명은 Kerberos 이외의 인증 프로토콜에 대해 자동으로 전달되지 않습니다. 이러한 시나리오에서 현재 사용자에 대해 결과에 보안 조정이 적용되도록 하려면 연결된 결과 웹 파트를 확장하여 사용자 자격 증명을 수집하십시오. 자세한 내용은 자격 증명 UI로 사용자 지정 연결된 검색 웹 파트 만들기 (영문)(https://go.microsoft.com/fwlink/?linkid=122653&clcid=0x412)를 참조하십시오.

• Kerberos 인증을 사용하지 않는 경우에는 OpenSearch 위치(로컬 팜을 제외한 모든 위치)의 검색 결과에 각 사용자에 대해 보안 조정이 적용되도록 하려면 연결된 검색 웹 파트를 확장하여 사용자 자격 증명을 수집해야 합니다.

Office SharePoint Server 2007의 보안에 대한 자세한 내용은 Office SharePoint Server 2007 보안 및 보호 및 검색을 위한 보안 고려 사항(Office SharePoint Server 2007)을 참조하십시오.