AGDLP

AGDLP

AGDLP("account, global, domain local, permission"의 약칭)는 네이티브 모드 Active Directory(AD) 도메인에 중첩된 그룹을 사용하여 역할 기반 액세스 제어(RBAC)를 구현하기 위한 마이크로소프트의 권고를 간략하게 요약한다. 사용자 및 컴퓨터 계정은 비즈니스 역할을 나타내는 글로벌 그룹의 구성원으로, 리소스 권한 또는 사용자 권한 할당을 설명하는 도메인 로컬 그룹의 구성원이 된다. AGUDP("account, global, universal, domain local, permission"의 경우)와 AGLP("account, global, local, permission"의 경우)는 각각 Active Directory 포리스트Windows NT 도메인에서 유사한 RBAC 구현 계획을 요약한다.

세부 사항

역할 기반 액세스 제어(RBAC)는 일상적인 계정 관리 작업을 단순화하고 보안 감사를 용이하게 한다.[1] 시스템 관리자는 개별 사용자 계정에 권한을 직접 할당하지 않는다. 대신, 개인은 조직 내에서 자신의 역할을 통해 액세스 권한을 얻으므로 사용자 계정을 생성, 수정 또는 삭제할 때 잠재적으로 많은 수의 리소스 권한 및 사용자 권한 할당을 편집할 필요가 없다. 기존의 접근 제어 목록과 달리, RBAC의 권한은 낮은 수준의 데이터 객체 접근 방법 대신 특정 애플리케이션이나 시스템 내에서 의미 있는 운영을 설명한다. 역할과 권한을 중앙 집중식 데이터베이스디렉토리 서비스에 저장하면 역할 구성원 자격과 역할 권한을 확인하고 제어하는 프로세스가 간소화된다.[2] 감사인은 특정 접근 제어의 자원별 구현 세부사항을 이해할 필요 없이 단일 위치에서 권한 할당을 분석할 수 있다.

단일 AD 도메인의 RBAC

마이크로소프트의 RBAC 구현은 Active Directory에 포함된 다양한 보안 그룹 범위를 활용한다.[3][4]

글로벌 보안 그룹
글로벌 범위를 가진 도메인 보안 그룹은 도메인 내의 비즈니스 역할 또는 직무 기능을 나타낸다. 이러한 그룹은 동일한 도메인의 계정 및 기타 글로벌 그룹을 포함할 수 있으며, 포리스트의 모든 도메인에 있는 리소스에 의해 사용될 수 있다. 글로벌 카탈로그 복제를 유발하지 않고 자주 변경할 수 있다.
도메인 로컬 보안 그룹
도메인 로컬 범위를 가진 도메인 보안 그룹은 할당되는 낮은 수준의 권한 또는 사용자 권한을 설명한다. 이러한 그룹은 동일한 도메인의 시스템에서만 사용할 수 있다. 도메인 로컬 그룹은 동일한 도메인의 도메인 로컬 그룹뿐만 아니라 모든 도메인의 계정, 전역 그룹 및 범용 그룹을 포함할 수 있다.

비즈니스 역할을 나타내는 글로벌 그룹은 사용자 또는 컴퓨터 계정만 포함해야 한다. 마찬가지로 리소스 사용 권한이나 사용자 권한을 설명하는 도메인 로컬 그룹에는 비즈니스 역할을 나타내는 글로벌 그룹만 포함되어야 한다. 계정이나 사업 역할은 그 후의 권리분석을 복잡하게 만들기 때문에 절대로 직접 허가나 권리를 부여해서는 안 된다.

AD 숲의 RBAC

다중 도메인 환경에서 AD 포리스트 내의 서로 다른 도메인은 WAN 링크나 VPN 연결을 통해서만 연결할 수 있으므로, 글로벌 카탈로그 서버라고 하는 특수 도메인 컨트롤러는 비용이 많이 들거나 속도가 느린 도메인 간 디렉토리 검색을 줄이기 위해 특정 디렉토리 오브젝트 클래스 및 속성 유형을 캐시한다.[5] 글로벌 카탈로그 서버에 의해 캐시된 개체는 범용 그룹을 포함하지만 글로벌 그룹이 아닌 범용 그룹을 포함하므로, 범용 그룹의 구성원 정보를 글로벌 그룹의 유사한 쿼리보다 훨씬 빠르게 검색할 수 있다. 그러나 유니버설 그룹(Universal Group)의 변경으로 글로벌 카탈로그 복제가 촉발(잠재적으로 비용이 많이 드는)되고, 유니버설 그룹(Universal Group)의 변경은 대부분의 대기업에서 부적절한 숲 전체의 보안 권한을 요구한다. 이 두 가지 제한은 유니버설 보안 그룹이 기업의 비즈니스 역할의 유일한 대표자로서 글로벌 보안 그룹을 완전히 대체하는 것을 방지한다. 대신, 이러한 환경에서 RBAC 구현은 약칭 AGUDP에서 알 수 있듯이 도메인별 글로벌 보안 그룹을 유지하면서 전사적으로 역할을 나타내기 위해 범용 보안 그룹을 사용한다.

비 AD 도메인의 RBAC

윈도우즈 NT 4.0 이하 버전의 도메인은 글로벌(도메인 수준) 및 로컬(도메인이 아닌) 그룹만 가지고 있으며 도메인 수준에서 그룹 중첩을 지원하지 않는다.[6] 약칭 AGLP는 구 도메인의 RBAC 구현에 적용되는 이러한 제한을 가리킨다: 글로벌 그룹은 비즈니스 역할을 나타내는 반면, 로컬 그룹(도메인 멤버 서버에서 직접 생성)은 권한이나 사용자 권한을 나타낸다.

공유 폴더인 \\nyc-ex-svr-01\groups\bizdev; Active Directory에 (기존) 글로벌 보안 그룹 "Business Development Team Member"로 대표되는 조직의 마케팅 부서 내의 비즈니스 개발 그룹, 그리고 그룹 전체가 공유 폴더에 대한 읽기/쓰기 액세스 권한을 갖도록 요구하는 요구 사항, 관리자는 다음과 같이 하십시오. AGDLP는 다음과 같이 접근 제어를 구현할 수 있다.

  1. Active Directory에 "\\nyc-ex-svr-01\groups\bizdev에 대한 권한 변경"이라는 새 도메인 로컬 보안 그룹을 만드십시오.
  2. 도메인 로컬 그룹에 "bizdev" 폴더의 NTFS "변경" 권한 세트(읽기, 쓰기, 실행/수정, 삭제)를 부여하십시오. (NTFS 권한공유 권한과 다르다는 점에 유의하십시오.)
  3. 글로벌 그룹 "Business Development Team Member"를 도메인 로컬 그룹 "\\nyc-ex-svr-01\groups\bizdev"의 구성원으로 만드십시오.

이 예를 사용하여 RBAC의 이점을 강조하기 위해, 비즈니스 개발 팀이 "bizdev" 폴더에 대한 추가 권한을 필요로 하는 경우, 시스템 관리자는 최악의 경우 폴더에 대한 액세스 권한을 가진 사용자가 있는 만큼 ACE를 편집하는 대신 단일 ACE(액세스 제어 항목)만 편집하면 된다.

참조

  1. ^ Ferraiolo, D.F.; Kuhn, D.R. (October 1992). "Role Based Access Control" (PDF). 15th National Computer Security Conference. pp. 554–563.
  2. ^ Sandhu, R.; Coyne, E.J.; Feinstein, H.L.; Youman, C.E. (August 1996). "Role-Based Access Control Models" (PDF). IEEE Computer. 29 (2): 38–47. CiteSeerX 10.1.1.50.7649. doi:10.1109/2.485845.
  3. ^ Microsoft Corporation (2007-03-16). "Group Scopes: Active Directory". Microsoft Technet. Archived from the original on 14 March 2009. Retrieved 2009-04-28.
  4. ^ Melber, Derek (2006-05-18). "How to Nest Users and Groups for Permissions". WindowsSecurity.com. Retrieved 2009-04-28.
  5. ^ Microsoft Corporation (2005-01-21). "Understanding the Global Catalog: Active Directory". Microsoft Technet. Retrieved 2005-10-21.
  6. ^ Stanek, William R. "Understanding User and Group Accounts". Microsoft Technet. Archived from the original on 27 April 2009. Retrieved 2009-04-28.