연결 보안(Search Server 2008)

업데이트 날짜: 2008년 10월

적용 대상: Microsoft Search Server 2008

마지막으로 수정된 항목: 2008-10-02

이 문서에서는 Microsoft Search Server 2008의 연결 기능과 관련된 최상의 보안 방법에 대해 설명합니다. 이 문서는 IT 전문가 및 시스템 설계자와 검색 서비스 관리자를 대상으로 합니다.

검색 연결 개요

연결된 검색을 사용하면 최종 사용자가 OpenSearch 1.1과 호환되는 하나 이상의 검색 엔진을 쿼리할 수 있는 쿼리를 하나 실행하고 서로 다른 웹 파트에 있는 각 검색 엔진의 결과를 단일 검색 결과 페이지에 표시할 수 있습니다. 이때 이 원본은 콘텐츠 인덱스의 일부이거나 엔터프라이즈 콘텐츠 저장소 또는 기타 검색 엔진일 수 있습니다. 검색 연결에 대한 자세한 내용은 연결된 검색 개요 (영문)(https://go.microsoft.com/fwlink/?linkid=122651&clcid=0x412) 및 연결 작업(Search Server 2008)을 참조하십시오.

인증 유형

사용자별 자격 증명 및 일반 자격 증명과 같은 여러 유형의 사용자 인증을 연결된 검색에 대해 사용할 수 있습니다. 그러나 자격 증명을 수집하려면 사용자별 인증에서 Kerberos 인증이 아닌 인증 유형에 대한 웹 파트를 확장해야 합니다. 연결된 위치의 인증 유형은 위치 정의의 인증 및 자격 증명 섹션에서 지정합니다. 인증 유형은 다음 중 하나입니다.

• 익명

  연결된 위치에 연결하는 데 자격 증명이 필요하지 않습니다.

• 일반

  연결된 위치에 연결할 때마다 동일한 자격 증명 집합을 사용합니다.

• 사용자별

  연결된 위치에 연결하는 데 검색 쿼리를 제출한 사용자의 자격 증명을 사용합니다.

일반 및 사용자별 인증 유형에서는 다음 인증 프로토콜 중 하나를 지정해야 합니다.

• 기본

  기본 인증은 HTTP 사양에 포함되며 대부분의 브라우저에서 지원됩니다.

  보안 참고:
  기본 인증을 사용하는 웹 브라우저는 암호화되지 않은 양식으로 암호를 전송합니다. 악의적인 사용자가 공개적으로 사용할 수 있는 도구로 네트워크의 통신을 모니터하여 이 암호를 가로채고 디코딩할 수 있습니다. 따라서 기본 인증은 전용 회선이나 SSL(Secure Sockets Layer) 연결과 같이 연결이 안전함을 확신할 수 없으면 사용하지 않는 것이 좋습니다.

• 다이제스트

  다이제스트 인증은 W3C(World Wide Web 컨소시엄) 웹 사이트의 RFC 2617 사양에 정의된 대로 HTTP 1.1 프로토콜에 의존합니다. 다이제스트 인증을 사용하려면 HTTP 1.1을 준수해야 하므로 일부 브라우저에서는 이 인증 유형을 지원하지 않습니다. 다이제스트 인증을 사용하도록 설정된 경우 HTTP1 1.1을 준수하지 않는 브라우저에서 파일을 요청하면 클라이언트에서 다이제스트 인증을 지원하지 않으므로 요청이 거부됩니다. 다이제스트 인증은 Windows 도메인에서만 사용할 수 있습니다. 다이제스트 인증은 Microsoft Windows Server 2008, Microsoft Windows Server 2003 및 Microsoft Windows 2000 Server 도메인 계정에서만 작동하며 계정의 암호는 암호화된 일반 텍스트로 저장되어야 합니다.

• NTLM

  사용자 레코드는 SAM(보안 계정 관리자) 데이터베이스 또는 Active Directory 데이터베이스에 저장됩니다. 각 사용자 계정은 LAN Manager 호환 암호 및 Windows 암호, 이 두 개의 암호와 연결되며 각 암호는 암호화되어 SAM 데이터베이스 또는 Active Directory 데이터베이스에 저장됩니다.

• Kerberos(사용자별 인증 유형만 해당)

  Kerberos 프로토콜을 사용하면 네트워크 연결의 한쪽 끝에 있는 파티에서 다른 쪽 끝에 있는 파티가 요청한 대상인지를 확인할 수 있습니다. NTLM을 사용하는 경우 서버가 해당 클라이언트 ID를 확인할 수 있어도 클라이언트가 서버 ID를 확인하거나 한 서버에서 다른 서버 ID를 확인할 수는 없습니다. NTLM 인증은 서버가 신뢰될 수 있는 것으로 간주되는 네트워크 환경에서 대해 디자인되었습니다.

• 폼

  폼 인증 쿠키는 폼 인증 티켓의 컨테이너입니다. 각 요청에서 티켓을 폼 인증 쿠키 값으로 전달하며 서버에서 폼 인증은 각 요청을 사용하여 인증된 사용자를 식별합니다. 그러나 쿠키를 사용하지 않는 폼 인증은 암호화된 형식으로 URL에서 티켓을 전달합니다. 클라이언트 브라우저는 쿠키를 차단할 수 있으므로 쿠키를 사용하지 않는 폼 인증이 사용되는 것입니다. 이 기능은 Microsoft .NET Framework 2.0에서 도입되었습니다.

연결된 검색의 보안 조정

연결된 검색을 사용할 때 평가해야 하는 중요한 고려 사항은 검색 결과의 보안 조정입니다. 보안 조정은 반환되는 결과를 사용자 계정 사용 권한에 따라 필터링할 때 사용하는 방법입니다. 기본적으로 다음을 통해 반환되는 결과의 경우 검색 결과의 보안 조정이 유지됩니다.

• 로컬 팜

  연결된 위치가 OpenSearch 위치이고 위치가 사용자별 인증에 대해 구성된 경우 Kerberos 인증을 사용하면 사용자의 자격 증명이 자동으로 전달됩니다. 그러나 사용자 자격 증명은 Kerberos 이외의 인증 프로토콜에 대해 자동으로 전달되지 않습니다. 이 시나리오에서 현재 사용자에 대해 결과를 보안 조정하려면 연결된 결과 웹 파트를 확장하여 사용자 자격 증명을 수집합니다. 자세한 내용은 자격 증명 UI로 사용자 지정 연결된 검색 웹 파트 만들기 (영문)(https://go.microsoft.com/fwlink/?linkid=122653&clcid=0x412)를 참조하십시오.

• Kerberos 인증을 사용하지 않는 경우에는 OpenSearch 위치(로컬 팜을 제외한 모든 위치)의 검색 결과가 각 사용자에 대해 보안 조정되도록 하려면 연결된 검색 웹 파트를 확장하여 사용자 자격 증명을 수집해야 합니다.

Search Server 2008 보안에 대한 자세한 내용은 Search Server 2008의 보안 및 보호 및 검색을 위한 보안 고려 사항(Search Server 2008)을 참조하십시오.