KR101213806B1 - 경량 디렉토리 액세스 프로토콜 트래픽의 보안 - Google Patents

경량 디렉토리 액세스 프로토콜 트래픽의 보안 Download PDF

Info

Publication number
KR101213806B1
KR101213806B1 KR1020050099590A KR20050099590A KR101213806B1 KR 101213806 B1 KR101213806 B1 KR 101213806B1 KR 1020050099590 A KR1020050099590 A KR 1020050099590A KR 20050099590 A KR20050099590 A KR 20050099590A KR 101213806 B1 KR101213806 B1 KR 101213806B1
Authority
KR
South Korea
Prior art keywords
ldap
delete delete
available
policies
policy
Prior art date
Application number
KR1020050099590A
Other languages
English (en)
Other versions
KR20060049122A (ko
Inventor
아리엘 카츠
론 몬드리
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US10/975,292 external-priority patent/US20060092948A1/en
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20060049122A publication Critical patent/KR20060049122A/ko
Application granted granted Critical
Publication of KR101213806B1 publication Critical patent/KR101213806B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4523Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

LDAP 관리가 설명된다. 일 구현에 있어서, 방법은 클라이언트와 서버 사이의 통신을 위해 LDAP에 따라 구성된 데이터를 인터셉트하는 단계를 포함한다. 데이터에 지정된 LDAP 액션의 수행이 허용되는지를 판정하기 위해 데이터에 하나 이상의 정책이 적용된다. 수행이 인증되지 않을 때, LDAP 액션은 수정되어, 수정된 LDAP 액션의 수행이 허용된다. 일 구현에 있어서, 방법은 특정 LDAP 액션의 실행이 허용되는지를 지정하는 사용자로부터의 입력을 수신하기에 적절한 사용자 인터페이스를 표시하는 단계를 포함한다. 네트워크 상에서 LDAP 트래픽을 관리하기 위한 정책이 입력에 기초하여 구성된다.
경량 디렉토리 액세스 프로토콜, 트래픽, 네트워크, 사용자 인터페이스

Description

경량 디렉토리 액세스 프로토콜 트래픽의 보안{SECURING LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL TRAFFIC}
도 1은 LDAP 트래픽이 전달될 수 있는 예시적인 구현의 환경을 나타내는 도면.
도 2는 도 1의 복수의 클라이언트, 복수의 서버 및 LDAP 필터링 장치가 회사 인트라넷 내에 구현되고 인터넷을 통해 복수의 컴퓨팅 장치에 액세스 가능한 환경을 나타내는 도면.
도 3은 도 1의 LDAP 필터링 장치가 복수의 클라이언트에게 LDAP 디렉토리를 제공하기 위한 전용 서버로서 회사 인트라넷 내에 구현되는 환경을 나타내는 도면.
도 4는 도 1의 LDAP 필터 모듈이 클라이언트와 서버 간의 LDAP를 이용하여 네트워크를 통해 전달되는 트래픽을 관리하도록 실행되는 예시적인 구현의 절차를 나타내는 흐름도.
도 5는 허용되지 않는 LDAP 액션의 수행을 위해 LDAP 필터 모듈에 의해 인터셉트된 요청이 수정되어 요청에 의해 지정되는 수정된 LDAP 액션이 허용되는 예시적인 구현의 절차를 나타내는 흐름도.
도 6은 정책에 의해 허용되지 않는 LDAP 액션의 수행으로부터 야기되는 LDAP 필터 모듈에 의해 인터셉트된 응답이 수정되어, 수정된 응답이 정책을 따르는 예시 적인 환경의 절차를 나타내는 흐름도.
도 7은 사용자가 사용자 인터페이스를 통해 정책에 포함시키기 위한 하나 이상의 특성을 선택함으로써 사용자 인터페이스를 통해 정책을 설계하는 예시적인 환경의 절차를 나타내는 흐름도.
도 8-10은 정책을 구성하기 위해 도 1의 LDAP 필터 모듈의 실행을 통해 출력될 수 있는 예시적인 사용자 인터페이스의 페이지들을 나타내는 도면.
도 11-20은 정책을 구성하기 위해 도 1의 LDAP 필터 모듈의 실행을 통해 출력될 수 있는 다른 예시적인 사용자 인터페이스의 페이지들 및 대화 상자를 나타내는 도면.
<도면의 주요 부분에 대한 부호 설명>
102: 클라이언트 104: 서버
106: 네트워크 124: LDAP 필터 모듈
402: 데이터 406: LDAP 액션
132: 정책 412: 결과
본 발명은 데이터 관리 분야에 관한 것으로서, 보다 상세하게는 경량 디렉토리 액세스 프로토콜 트래픽의 보안(securing lightweight directory access protocol traffic)에 관한 것이다.
경량 디렉토리 액세스 프로토콜("LDAP"로도 지칭됨)은 애플리케이션 모듈(예를 들어, 운영 체제 컴포넌트, 독립형(stand-alone) 애플리케이션 등)이 다양한 데이터에 액세스하기 위해 사용할 수 있는 인터넷 프로토콜이다. 예를 들어, 애플리케이션 모듈은 LDAP 서버로부터 연락 정보(contact information)에 액세스할 수 있다. LDAP 서버는 디렉토리 형식의 정보가 저장, 검색, 표시 및 갱신되는 것을 허용한다. 예를 들어, LDAP 서버는 어떤 조직 또는 조직 단체를 위한 중앙 디렉토리의 목적으로서 개발사용될 수 있다. 또한, LDAP 서버는 사용자 및 컴퓨터 계정 식별자의 관리에 이용될 수 있으며, 따라서 사용자 인증을 위해 개발사용될 수 있다.
그러나, 몇몇 구현에 있어서, LDAP 서버는 잠재적으로 신뢰할 수 없는 클라이언트로부터 보호되지 않는 데이터를 포함할 수 있으며, 따라서 LDAP 서버 및 이 서버로부터 액세스 가능한 데이터가 악의를 가진 자들로부터의 공격에 노출될 수 있다. 예를 들어, LDAP 서버는 LDAP 디렉토리에 사용자 계정 정보, 회사의 서버 위치 등과 같은 민감한 데이터를 포함할 수 있는 회사의 내부 정보를 포함하도록 구성될 수 있다. 따라서, 회사의 환경 내부에 (예를 들어, 회사 인트라넷을 통해) 위치한 클라이언트는 예를 들어 서버 관리 및 사용자 인증을 위해 원하는 데이터를 얻기 위해 LDAP 디렉토리에 액세스할 수 있다. 그러나, 이러한 환경의 외부에 (예를 들어, 인터넷을 통해) 위치한 클라이언트도 예를 들어 전자 상거래를 위한 사용자 계정에 액세스하기 위해 이러한 데이터에 대한 액세스를 원할 수 있다. 따라서, LDAP 서버가 회사 인트라넷의 내부에 위치할 수 있지만, LDAP 디렉토리는 회사 인트라넷 외부의 클라이언트들에게 여전히 노출될 수 있어, 이러한 데이터를 얻으 려고 시도하는 해커의 공격에 노출될 수 있다.
따라서, LDAP를 이용하는 트래픽을 보호하는 데 사용될 수 있는 기술이 계속 요구되고 있다.
경량 디렉토리 액세스 프로토콜에 따라 구성된 트래픽을 보호하도록 실행가능한 경량 디렉토리 액세스 프로토콜 필터 모듈(LDAP 필터 모듈)이 설명된다. 예를 들어, LDAP 필터 모듈은 LDAP에 따라 데이터를 조직하는 LDAP 디렉토리와 LDAP 디렉토리에 대한 액세스를 요청하는 애플리케이션 사이에 배치될 수 있다. LDAP 필터 모듈은 실행시 예를 들어 LDAP 디렉토리에 대해 수행될 수 있는 LDAP 액션들을 제한하기 위한 하나 이상의 정책을 실시하기 위하여 요청 및/또는 요청에 대한 응답을 인터셉트하고 파싱할 수 있다. 예를 들어, 정책이 지정할 수 있는 것으로는, 특정 LDAP 동작이 수행될 수 없다는 것(예컨대, 수정), 특정 LDAP 동작이 특정 LDAP 객체에 대해 수행될 수 없다는 것(예컨대, 사용자 명칭 삭제), 특정 LDAP 객체가 비인증 사용자에 의해 액세스될 수 없다는 것(예컨대 비밀번호) 등등을 들 수 있다. 따라서, LDAP 필터 모듈은 LDAP 디렉토리와 애플리케이션 사이의 트래픽을 관리할 수 있다.
LDAP 필터 모듈에 의해 구현되는 정책을 구성하기 위한 사용자 인터페이스가 또한 제공될 수 있다. 예를 들어, 사용자 인터페이스는 LDAP 액션들에 대한 복수의 설명을 제공할 수 있다. 사용자는 사용자 인터페이스와 상호작용하여, 설명된 LDAP 액션이 수행되는지의 여부를 지시하기 위하여 설명들 중 하나 이상을 선택한 다. 이러한 상호작용은 트래픽을 관리하기 위하여 LDAP 필터 모듈에 의해 구현될 수 있는 정책을 적절히 구성하는 데 이용될 수 있다.
본 설명에 있어서, 동일 참조 번호는 동일한 구조 및 컴포넌트를 참조하는 데 사용된다.
도 1은 LDAP 트래픽이 전달될 수 있는 예시적인 구현의 환경(100)을 나타내는 도면이다. 도시된 환경(100)은 복수의 클라이언트 102(n)를 나타내고 있는데, 여기서 n은 1에서 N까지의 임의의 정수일 수 있다. 복수의 클라이언트 102(n)는 네트워크(106)를 통해 복수의 서버 104(m)와 통신 연결된 것으로 도시되는데, 여기서 m은 1에서 M까지의 임의의 정수일 수 있다. 복수의 클라이언트 102(n) 및 서버 104(m) 각각은 다양한 방법으로 구성될 수 있다. 예를 들어, 클라이언트들 102(n) 중 하나 이상은 데스크탑 컴퓨터, 이동국, 오락 기기, 표시장치에 통신 연결된 셋톱 박스, 게임 콘솔, 무선 전화 등과 같이 네트워크(106)를 통해 통신할 수 있는 컴퓨팅 장치로서 구성될 수 있다. 클라이언트들 102(n)로서는, 상당한 메모리 및 프로세서 리소스를 가진 풀 리소스 장치(예를 들어, 개인용 컴퓨터, 게임 콘솔 등)와 제한된 메모리 및/또는 프로세싱 리소스를 가진 로우 리소스 장치(예컨대, 통상의 셋톱 박스)를 망라한 그 어떤 것도 무방하다. 아래의 설명을 위해, 클라이언트들 102(n)은 또한 각각의 클라이언트를 조작하는 사람 및/또는 엔티티와 연관될 수 있다. 즉, 클라이언트 102(n)은 사용자 및/또는 기계를 포함하는 논리 클라이언트를 이르는 것일 수도 있다.
마찬가지로, 복수의 서버 104(m)도 풀 리소스 장치에서 로우 리소스 장치까지의 범위를 망라하는 다양한 형태로 구성될 수 있다. 따라서, 서버 및 클라이언트라는 용어가 반드시 당해 서버 및 클라이언트에 의해 제공되는 메모리 및 프로세서 리소스의 용량을 각각 나타내는 것은 아니다. 예컨대, 클라이언트들 102(n) 중 하나 이상은 상당한 프로세서 및 메모리 리소스를 포함하도록 구성될 수 있는 반면, 서버들 104(m) 중 하나 이상은 제한된 프로세서 및 메모리 리소스를 포함하도록 구성될 수 있다.
클라이언트 102(n)는 각각의 프로세서 108(n) 및 메모리 110(n)를 갖는 것으로 도시되어 있다. 마찬가지로, 서버 104(m)도 각각의 프로세서 112(m) 및 메모리 114(m)를 갖는 것으로 도시되어 있다. 프로세서들은 이들이 형성되는 재료 또는 이들에서 사용되는 프로세싱 메카니즘에 의해 제한되지 않는다. 예컨대, 프로세서는 반도체 및/또는 트랜지스터(예컨대, 전자 집적 회로(IC))를 포함할 수 있다. 이러한 맥락에서, 프로세서 실행가능 명령어들은 전자적으로 실행가능한 명령어들일 수 있다. 대안으로, 프로세서의 또는 프로세서를 위한 메카니즘, 및 따라서 컴퓨팅 장치의 또는 컴퓨팅 장치를 위한 메카니즘은 양자 컴퓨팅, 광학 컴퓨팅, 기계 컴퓨팅(예를 들어, 나노 기술 이용) 등을 포함할 수 있지만 이에 한정되지 않는다. 또한, 각각의 클라이언트 102(n) 및 서버 104(m)의 각각에 대해 단일 메모리 110(m), 114(m)가 도시되어 있지만, 메모리 110(m), 114(m)는 RAM, 하드 디스크 메모리, 착탈식 매체 메모리 등과 같은 다양한 타입의 메모리 장치 및 이들의 조합을 나타내는 것일 수 있다.
네트워크(106)는 LDAP와 같은 디렉토리 액세스 프로토콜에 따라 데이터 통신을 제공하도록 구성된다. LDAP는 클라이언트 102(n)와 서버 104(m)가 네트워크(106)를 통해 서로 통신하는 것을 가능하게 하는 메시지 지향 디렉토리 액세스 프로토콜이다. LDAP는 예를 들어 클라이언트 102(n)가 서버 104(m)로부터 이용가능한 LDAP 디렉토리 116(m)와 상호작용하는 것을 허용하기 위하여 전송 제어 프로토콜/인터넷 프로토콜(TCP/IP) 상에서 실행되도록 구성될 수 있다. LDAP 디렉토리 116(m)는 LDAP를 이용하여 액세스할 수 있는 임의의 디렉토리를 나타내며, 따라서 특정 소프트웨어 공급자에 의해 구현되는 디렉토리 타입과 같은 임의의 특정 디렉토리 타입으로 제한되지 않는다.
일 구현에 있어서, LDAP 디렉토리 116(m)는 계층(즉, 트리) 구조에 따라 조직된다. 계층 구조는 회사의 조직도, 지리적 경계 등과 같은 다양한 구조를 반영하도록 구성될 수 있다. 예컨대, LDAP 디렉토리 116(m)는 복수의 객체 118(o)를 포함할 수 있는데, 여기서 o는 1에서 O까지의 임의의 정수일 수 있다. 객체들 118(o)(즉 엔트리들) 각각은 명칭에 의해 지정되는 하나 이상의 속성의 집합인데, 이 명칭은 해당 집합에 대한 식별 명칭(DN)으로 지칭될 수 있다. 식별 명칭은 대응 객체를 명백하게 지칭하는 데 사용된다. 일 구현에 있어서, 객체들 118(o)의 속성들 각각은 타입 및 하나 이상의 값을 갖는다. 타입은 일반 명칭에 대해 "cn", 이메일에 대해 "mail" 등과 같은 명칭 또는 연상 기호를 통해 일반적으로 기술된다. 값은 속성에 대응하는 다양한 데이터를 포함할 수 있다. 예컨대, mail 속성은 값 test@test.com을 포함할 수 있다.
LDAP를 이용하여 다양한 액션이 수행될 수 있는데, 이들 액션은 아래의 설명에서는 "LDAP 액션"으로 지칭된다. 예를 들어, LDAP 기능 모델은 질문 동작, 갱신 동작, 그리고 인증 및 제어 동작과 같은 다양한 LDAP 동작을 지원한다. 질문 동작의 예는 "검색" 및 "비교"를 포함한다. 검색 동작은 예를 들어 복수의 객체 118(o) 중 하나만을 찾고, LDAP 디렉토리 116(m)의 계층 구조 내의 서브 트리 내에 위치하는 복수의 객체를 검색하는 등에 이용될 수 있다. 비교 동작은 특정 객체 118(o)가 특정 값을 포함하는지를 비교하는 데 이용될 수 있다.
갱신 동작의 예는 "추가", "삭제", "수정" 및 "재명명"(즉, 명칭 수정)을 포함한다. 이들 동작은 각각 객체 118(o)를 추가, 삭제, 변경 및 재명명할 수 있는 능력을 제공한다. 인증 및 제어 동작의 예는 "결합(bind)", "분리(unbind)" 및 "포기(abandon)"를 포함한다. 결합 동작은 수행시 클라이언트 102(n)가 인증 정보를 전달함으로써 자신을 서버 104(m)에게, 보다 구체적으로는 LDAP 디렉토리 116(m)에게 식별시키는 것을 허용한다. 분리 동작의 실행은 서버 104(m)가 인증 정보를 폐기하는 것을 허용한다. 포기 동작은 이전에 전송된 LDAP 동작의 수행이 더 이상 바람직하지 않다는 것을 서버 104(m)에게 지시할 수 있는 능력을 클라이언트 102(n)에게 제공한다. 예컨대, 클라이언트 102(n)는 검색 동작을 개시하여 특정 객체 118(o)를 찾은 후, 포기 동작을 개시하여 서버 104(m)에 의한 검색 동작의 종료를 유발할 수 있다. 9개의 LDAP 동작이 설명되었지만, LDAP 확장 동작, LDAP 제어, 그리고 단순 인증 및 보안 계층(SASL; simple authentication and securing layer) 지원을 제공하는 LDAP 동작과 같은 추가적인 LDAP 동작들도 LDAP 액션의 사 상 및 범위 내에 있다.
LDAP는 각양각색의 상이한 플랫폼 간의 통신을 제공하는 데 이용될 수 있으며, 따라서 "플랫폼 무관(platform independent)"인 것으로 간주될 수 있다. 따라서, 본 명세서에 설명되는 기능들은 플랫폼 무관하며, 이는 다양한 프로세서를 가진 다양한 상용 컴퓨팅 플랫폼 상에서 전략들이 구현될 수 있다는 것을 의미한다. 예를 들어, 클라이언트 102(n) 및 서버 104(m)는 전술한 바와 같이 다양한 방법으로 구성될 수 있으며, LDAP를 이용하여 서로 통신할 수 있다. 따라서, LDAP 통신 모듈 120(n)(프로세서 108(n) 상에서 실행되는 것으로 도시되며 클라이언트 102(n) 상의 메모리 110(n)에 저장될 수 있음)은 대응 컴퓨팅 장치에 의해 사용되는 각각의 구성에 관계없이 네트워크(106)를 통해 LDAP 통신 모듈 122(n)(프로세서 112(m) 상에서 실행되는 것으로 도시되며 서버 104(m) 상의 메모리 114(m)에 저장될 수 있음)와 통신할 수 있다. LDAP 통신 모듈 120(n), 122(m)은 LDAP에 따라 데이터(예컨대 메시지)를 전달할 수 있는 임의의 모듈을 나타낸다. 예컨대, LDAP 통신 모듈 120(n)은 클라이언트 102(n)에 의해 실행될 수 있는 애플리케이션 내에 구현될 수 있다.
전술한 바와 같이, LDAP를 이용한 통신은 메시지를 이용하여 수행될 수 있다. 예컨대, 클라이언트 102(n)는 네트워크(116)를 통해 서버 104(m)로 전달되는 요청을 형성하기 위해 LDAP 통신 모듈 120(n)을 실행할 수 있다. 서버 104(m)는 LDAP 통신 모듈 122(m)을 실행하여 LDAP 디렉토리 116(m)에 액세스하여 네트워크(116)를 통해 클라이언트 102(n)로 역전달되는 하나 이상의 응답을 형성함으로써 요청을 처리할 수 있다. 응답은 예를 들어 대답(예를 들어 이메일 어드레스) 또는 대답이 발견될 수 있는 네트워크 위치를 참조하는 포인터를 포함할 수 있다. 그러나 이전에는 LDAP 디렉토리 116(m)에 대한 액세스가 보호되지 않았다. 결과적으로, LDAP 디렉토리 116(m) 내의 객체들 118(o)에 대한 액세스는 보호되지 않았다. 따라서, 일단 클라이언트 102(n)가 LDAP 디렉토리 116(m)에 대한 액세스를 획득한 경우, 클라이언트 102(n)는 객체들 118(o) 각각에 액세스할 수 있었는데, 이들 중 일부는 사용자의 신용카드 정보, 집 주소, 비밀 번호 등과 같은 민감한 정보를 포함할 수 있다.
클라이언트 102(n)와 서버 104(m) 사이에 전달되는 데이터를 관리하기 위하여, 따라서 LDAP 디렉토리 116(m) 내의 객체들 118(o)에 대한 비인증 액세스를 방지하기 위하여, 환경(100)은 LDAP 필터 모듈(124)을 이용할 수 있다. LDAP 필터 모듈(124)은 프로세서(126) 상에서 실행되는 것으로 도시되며, 이 예에서 복수의 클라이언트 102(n)와 복수의 서버 104(m) 사이의 네트워크(106)에 통신 연결된 것으로 도시된 LDAP 필터링 장치(130)의 메모리(128)에 저장될 수 있다. LDAP 필터 모듈(124)은 실행시, LDAP 필터링 장치(130)의 메모리(128) 내의 데이터베이스(134)에 저장되는 것으로 도시된 복수의 정책 132(1), ..., 132(p),..., 132(P) 중 하나 이상에 따라 트래픽을 관리한다.
복수의 정책 132(1)-132(P)은 네트워크(116)에 의해 이용되는 LDAP를 통해 수행될 수 있는 허용가능 및 허용불능 액션들을 설명하도록 다양한 방법으로 구성될 수 있다. 복수의 정책 132(1)-132(P) 각각은 도 1에서 복수의 LDAP 액션 136(1),..., 136(p),..., 136(P) 중 하나를 각각 참조하는 것으로 도시된다. LDAP 액션 136(1)은 예를 들어 특정 LDAP 동작(138)이 수행되도록 허용되는지를 참조하는 것으로 도시된다. 예컨대, 정책 132(1)에 의해 참조되는 LDAP 액션 136(1)은 "수정" LDAP 동작이 LDAP 디렉토리 116(m)에 대해 허용되지 않음을 지시할 수 있다. 따라서, 정책 132(1)은 LDAP 필터 모듈(124)에 의해 참조될 때 LDAP 디렉토리 116(m) 상의 "수정" LDAP 동작의 수행을 방지하는 데 이용될 수 있다.
다른 예에서, 정책 132(p)은 LDAP 동작(140) 및 특정 LDAP 객체(142) 양자를 포함하는 LDAP 액션 136(p)을 참조할 수 있다. 예컨대, 정책 132(p)은 모든 "수정" LDAP 동작의 실행을 방지하는 것이 아니라 특정 객체 118(o)(예컨대, "사용자 로그온 명칭")를 수정할 수 있는 능력을 제한하는 반면 다른 객체들(예컨대 사용자 비밀번호)의 수정을 허용할 수 있다. 또한, 정책 132(P)은 예컨대 인터넷을 통해 클라이언트들 102(n) 중 하나 이상이 접속할 때 클라이언트 102(n)로부터의 로케이터 핑이 서버들 104(m) 중 하나 이상을 찾는 것을 단지 허용함으로써 "다른" 144 타입의 LDAP 액션 136(P)을 기술할 수 있다.
LDAP 필터 모듈(124), LDAP 필터링 장치(130), 복수의 클라이언트 102(n), 및 복수의 서버 104(m)는 각양각색의 상이한 환경에서 구현될 수 있다. 예컨대, LDAP 필터 모듈(124)은 전용 LDAP 서버 상에 네트워크 방화벽 장치(도 2와 관련하여 도시되는 예)로서 구현될 수 있다.
일반적으로, 본 명세서에 설명되는 기능들 중 임의 기능은 소프트웨어, 펌웨어(예를 들어 고정 논리 회로), 수동 처리, 또는 이들 구현의 조합을 이용하여 구 현될 수 있다. 본 명세서에서 사용되는 "모듈", "기능" 및 "논리"라는 용어는 일반적으로 소프트웨어, 펌웨어 또는 소프트웨어 및 펌웨어의 조합을 나타낸다. 소프트웨어 구현의 경우, 모듈, 기능 또는 논리는 프로세서(예컨대, CPU 또는 CPU들) 상에서 실행될 때 지정된 작업을 수행하는 프로그램 코드를 나타낸다. 프로그램 코드는 메모리 110(n), 114(m), 128와 같은 하나 이상의 컴퓨터 판독가능 메모리 장치에 저장될 수 있다. 전술한 바와 같이, 후술하는 LDAP 관리 전략의 기능들은 플랫폼 무관한데, 이는 전략들이 다양한 프로세서를 가진 다양한 상용 컴퓨팅 플랫폼 상에서 구현될 수 있다는 것을 의미한다.
도 2는 도 1의 복수의 클라이언트 102(n), 복수의 서버 104(m) 및 LDAP 필터링 장치(130)가 회사 인트라넷 내에 구현되어 인터넷을 통해 복수의 컴퓨팅 장치에 대한 액세스를 제공하는 환경(200)을 나타내는 도면이다. 도 2의 환경(200)에는, 전자 상거래, 피고용자에 대한 원격 액세스 등과 같은 다양한 기능을 제공하는 데 사용될 수 있는 "전단(front-end)/후단(back-end)" 서버 아키텍쳐가 도시되어 있다. 이 아키텍쳐에서, 서버 작업은 전단 및 후단 서버들(202, 204)에 분산된다.
전단 서버(202)는 예컨대 인터넷(208)을 통해 복수의 컴퓨팅 장치 206(1),..., 206(a),... 206(A)로부터 요청을 수신하도록 구성될 수 있다. 도 1의 복수의 클라이언트 102(n)는 도 2에서 복수의 후단 서버(204) 중 하나 이상에 의한 처리를 위해 네트워크(106)를 통해 요청을 전달하는 전단 서버(202)로서 구성된다. 따라서, 도 2의 환경에서, 전단 서버(202)는 후단 서버(204)의 클라이언트이다. 후단 서버들(204) 중 적어도 하나는 도 1의 서버 104(m)로서 구성되며, 따라서 LDAP 디렉토리 116(m)를 포함한다. 일 구현에 있어서, LDAP 디렉토리 116(m)는 전자 상거래를 위한 사용자 계정 정보와 같이 클라이언트 102(n)(즉, 전단 서버(202))에 의해 요청되는 데이터를 제공한다. 다른 구현에 있어서, LDAP 서버 104(m)는 후단 서버들(204) 중 상이한 서버 상에서 원하는 데이터를 찾을 수 있는 곳을 기술하는 데이터를 제공한다. 즉, 이 구현예의 LDAP 디렉토리 116(m)는 다른 후단 서버(204)의 네트워크 어드레스를 지시한다. 따라서, LDAP 디렉토리 116(m)는 클라이언트 102(n)가 LDAP 디렉토리 116(m)에 액세스하여 사용자 계정 정보와 같은 원하는 데이터의 네트워크 위치를 발견할 수 있도록 구성될 수 있다.
복수의 컴퓨팅 장치 206(1)-206(A)에 대한 전단 서버(202)의 노출로 인한 공격으로부터 후단 서버(204)를 보호하기 위하여, LDAP 필터링 장치(130)는 네트워크 방화벽 장치(210)로서 구성될 수 있다. 네트워크 방화벽 장치(210)는 네트워크(106) 상에서 전단 및 후단 서버들(202, 204) 사이에 배치되는 것으로 도시된다. 네트워크 방화벽 장치(210)는 LDAP 필터 모듈(124)을 실행하여, 서버들(202, 204) 사이의 트래픽을 관리하며, 따라서 컴퓨팅 장치들 206(1)-206(A)에 의한 후단 서버(204)로의 비인증 액세스를 제한한다. 예컨대, LDAP 필터 모듈(124)은 LDAP를 이용하여 전달되는 데이터의 필터링, 요청 및 응답의 인증 등을 제공할 수 있다.
도 3은 도 1의 LDAP 필터링 장치(130)가 복수의 클라이언트 102(1)-102(N)에게 LDAP 디렉토리(134)를 제공하기 위한 서버로서 회사 인트라넷(302) 내에 구현되는 환경(300)을 나타내는 도면이다. 도 2의 환경(200)에서, LDAP 필터링 장치(103)는 "독립형" 네트워크 방화벽 장치로서 구현되었다. LDAP 필터 모듈(124)의 기능도 도 3에 도시된 바와 같이 복수의 서버 104(m) 중 하나 이상 내에 통합될 수 있다. 예를 들어, 복수의 클라이언트 102(1)-102(N)는 각각의 LDAP 통신 모듈 120(1)-120(N)을 실행하여 복수의 서버 104(m)에 의해 구현되는 LDAP 디렉토리 116(m)에 의해 참조되는 데이터를 찾기 위한 요청을 형성할 수 있다. 예시적인 환경들(100, 200, 300)은 도 1, 2, 3과 각각 관련하여 설명되었지만, 예를 들어 도 1의 LDAP 필터링 장치(130)의 프록시로서의 구현을 통해, 그 사상 및 범위를 벗어나지 않고 다양한 다른 예시적인 환경도 의도된다.
예시적인 절차
다음은 이전에 설명된 시스템 및 장치를 이용하여 구현될 수 있는 LDAP 트래픽 관리 기술을 설명한다. 절차들 각각의 양태들은 하드웨어, 펌웨어 또는 소프트웨어, 또는 이들의 조합으로 구현될 수 있다. 절차들은 하나 이상의 장치에 의해 수행되는 동작들을 지정하는 한 세트의 블록들로 도시되며, 각각의 블록에 의해 동작들을 수행하기 위해 도시된 순서로 반드시 제한되지는 않는다. 다음의 예시적인 절차는 그 사상 및 범위를 벗어나지 않고 다양한 다른 환경에서 구현될 수 있다는 점도 유의해야 한다.
도 4는 도 1의 LDAP 필터 모듈(124)이 클라이언트와 서버 사이에서 LDAP를 이용하여 네트워크를 통해 전달되는 트래픽을 관리하도록 실행되는 예시적인 구현의 절차(400)를 나타내는 흐름도이다. LDAP 필터 모듈(124)은 서버 104(m)와 클라이언트 102(n) 사이에서 전달되는 데이터(402)를 모니터링하도록 실행된다(블록 404). 예컨대, 데이터(402)는 LDAP 액션을 수행하기 위한 클라이언트 102(n)에서 서버 104(m)로의 통신에 대한 요청으로서 구성될 수 있다. 다른 예에서, 데이터(402)는 클라이언트 102(n)로부터 생성된 요청에 응답하여 서버 104(m)에 의해 수행되는 LDAP 액션의 결과(예컨대, LDAP 동작의 수행의 결과)로서 구성될 수 있다.
LDAP 필터 모듈(124)은 실행시 데이터 내에 지정된 LDAP 액션(406)이 하나 이상의 정책 132(p)에 따라 허용되는지를 판정한다(블록 408). 예컨대, LDAP 필터 모듈(124)은 LDAP 액션(406)을 복수의 정책 132(p) 각각과 비교하여 클라이언트 102(n)로부터 생성된 특정 액션을 수행하라는 요청이 허용되는지를 판정할 수 있다. 예를 들어, 정책들 132(p) 중 하나 이상은 소정의 동작들이 소정의 클라이언트들에 의해서만 수행될 수 있음을 지정할 수 있다. 따라서, LDAP 필터 모듈(124)은 요청이 네트워크 관리자, "신뢰받는(trusted)" 사용자 등과 같은 클라이언트에 의해 수신되었는지를 판정할 수 있다. 또한, 데이터(402)는 LDAP 액션(406)의 수행 결과일 수 있다. 따라서, LDAP 필터 모듈(124)은 클라이언트 102(n)가 그러한 결과를 수신하도록 인증되는지를 판정하도록 실행될 수 있다.
LDAP 필터 모듈(124)의 실행을 통해 다양한 다른 판정이 이루어질 수 있다. 예컨대, LDAP 필터 모듈(124)은 인증 동작 시퀀스를 검사하여 (예컨대, 정책들 132(p) 중 하나에 따라) 최소 인증 레벨에 도달하였는지를 판정함으로써 적절한 레벨의 인증을 실시할 수 있다. 예컨대, 클라이언트 102(n)가 그 자신을 "익명(anonymous)"으로서 식별하거나 "기본(base)" 자격증(credentials)을 이용하는 경우, LDAP 필터 모듈(124)은 최소 레벨의 원하는 인증을 얻는데 실패라는 의미로 인 증을 거절할 수 있다. 다른 예에서, LDAP 필터 모듈(124)은 서명/밀봉된 LDAP 트래픽을 허용할 것인지를 결정할 수 있다. 또 다른 예에서, LDAP 필터 모듈(124)은 데이터(402)가 LDAP 사양을 따르는지에 대한 판정이 이루어지도록 LDAP 사양 정확성을 강요할 수 있다. 사양을 따르지 않는 경우, 데이터는 도 5 및 6과 관련하여 추가로 설명되는 바와 같이 사양을 따르도록 수정될 수 있다. 또 다른 예에서, LDAP 필터 모듈(124)은 공백 기반 질의(null based queries)와 같은 LDAP 디렉토리 116(m) 상의 공지된 행위를 방지할 수 있다. 또한, LDAP 필터 모듈(124)은 표준 LDAP 서버 포트는 물론 글로벌 카탈로그 양자에 작용할 수 있다. 예컨대, 글로벌 카탈로그는 전체 도메인(예컨대, LDAP 서버들의 세트)에 대한 인증 객체 저장소로서 작용하는 윈도우 도메인 제어기(예컨대, LDAP 서버)이다. 즉, 도메인 제어기는 가상 계층 구조 저장소의 루트로서 작용할 수 있다.
지정된 LDAP 액션이 허용될 때, LDAP 액션(406)의 수행은 클라이언트 102(n)가 판정을 인식하지 못하도록 LDAP 필터 모듈(124)에 의해 허용된다(블럭 410). 예를 들어, 데이터(402)가 요청으로서 구성될 때, LDAP 필터 모듈(124)은 서버 104(m)가 지정된 LDAP 액션(406)을 수행하도록 해 주는 요청을 전송할 수 있다. 다른 예에서, 데이터(402)가 결과(412)로서 구성될 때, LDAP 필터는 트래픽을 관리하기 위하여 클라이언트 102(n)에게 LDAP 필터 모듈(124)의 실행을 통지하지 않고 네트워크(106)를 통한 클라이언트 102(n)로의 결과(412)의 통신을 허용할 수 있다. 따라서, LDAP 필터 모듈(124)의 실행은 클라이언트 124(n) 및/또는 서버 104(m)에 대해 "투명(transparent)"할 수 있다.
지정된 LDAP 액션(406)이 허용되지 않을 때, 하나 이상의 대응 액션이 수행된다(블록 414). 예컨대, LDAP 필터 모듈(124)은 LDAP 액션(406)이 허용되지 않는 것으로 판정한 때 클라이언트 102(n)와 서버 104(m)의 네트워크 접속을 종료(416)할 수 있다. 다른 예에서, LDAP 필터 모듈(124)은 데이터(402)를 수정하여 수정된 데이터가 LDAP 액션의 완료에 적합하게 할 수 있다. 예컨대, LDAP 필터 모듈(124)은 요청에 의해 지정되는 LDAP 동작들이 수행될 수 있도록 요청을 수정할 수 있는데, 이에 대한 추가적인 설명은 도 5와 관련하여 있을 것이다. 또 다른 예에서, LDAP 필터 모듈(124)은 응답이 클라이언트 102(n)에게 전달되도록 허용되는 데이터를 포함하도록 응답을 수정할 수 있는데, 이에 대한 추가 설명은 도 6과 관련하여 있을 것이다.
도 5는 허용되지 않은 LDAP 액션의 수행을 위해 LDAP 필터 모듈에 의해 인터셉트된 요청이 수정되어 요청에 의해 지정되는 수정된 LDAP 액션이 허용되도록 하는 예시적인 구현의 절차(500)를 나타내는 흐름도이다. 클라이언트에서 서버로의 통신에 대한 요청이 LDAP 필터 모듈에 의해 인터셉트된다(블록 502). 예컨대, LDAP 필터 모듈은 클라이언트와 서버 사이의 네트워크 상에 배치되는 네트워크 방화벽 장치로서 구성될 수 있다.
인터셉션에 응답하여, 복수의 정책 중 하나의 정책이 LDAP 필터 모듈에 의해 선택된다(블록 504). 이어서, LDAP 필터 모듈은 요청에서 지정된 LDAP 액션에 정책을 적용하여(블록 506), LDAP 액션이 허용되는지를 판정한다(판정 블록 508).
LDAP 액션이 허용되는 경우, LDAP 필터 모듈은 다른 정책이 이용가능한지를 판정한다(판정 블록 510). 다른 정책이 이용가능한 경우, 정책은 전술한 바와 같이 LDAP 액션에 적용된다(블록 506). 이것은 다른 정책이 이용가능하지 않을 때까지(판정 블록 510), LDAP 액션이 허용되는(판정 블록 508) 각각의 정책에 대해 계속될 수 있다. 이 시점에서, 요청은 LDAP 액션의 수행을 위해 전달될 수 있다(블록 512).
LDAP 액션이 허용되지 않는 경우(판정 블록 508), 요청이 수정되어 수정된 LDAP 액션을 지정하는 수정된 요청이 형성된다(블록 514). 예컨대, 요청은 복수의 LDAP 동작의 수행을 지정할 수 있는데, 이들 중 하나는 "수정" 동작이다. 그러나, 정책은 수정 동작이 허용되지 않도록 지정할 수 있다. 따라서, 수정 동작을 지정하는 요청 부분은 제거되어 요청에서 지정된 다른 LDAP 액션들의 수행이 허용될 수 있다. 다른 예에서, 요청은 특정 LDAP 동작 및 이 LDAP 동작을 수행할 복수의 객체를 지정할 수 있다. 그러나, 정책은 수정 동작이 지정된 LDAP 객체들 중 하나에 대해 수행될 수 없는 것으로 지정할 수 있다. 따라서, 그 특정 LDAP 객체에 대한 수정 동작이 요청으로부터 제거되어, 수정된 요청이 정책을 따르도록 할 수 있다. 요청/응답의 수정이 지원되지 않는 다른 구현에 있어서(예컨대, 트래픽의 엔드-투-엔드(end-to-end) 서명이 없는 경우), LDAP 필터 모듈은 전술한 바와 같이 요청을 계속 차단할 수 있다.
도 6은 정책에 의해 허용되지 않는 LDAP 액션을 수행한 결과 나타나는 LDAP 필터 모듈에 의해 인터셉트된 응답이 수정되어 수정된 응답이 정책을 따르도록 하는 예시적인 구현의 절차(600)를 나타내는 흐름도이다. 먼저, 사용자의 공개 암호 화 증명서에 대한 요청이 클라이언트에서 서버로 전달된다(블록 602). 이에 따라, 서버는 공개 암호화 증명서를 포함하는 사용자의 계정 정보를 포함하는 응답을 형성한다(블록 604).
LDAP 필터 모듈은 실행시 서버로부터 응답을 인터셉트한다(블록 606). 이어서, LDAP 필터 모듈은 하나 이상의 정책을 응답에 적용하여(608), 클라이언트로의 응답의 통신이 허용되는지를 판정한다(판정 블록 610). 예컨대 정책은 사용자의 신용 정보가 특정 증명서에 의해 서명된 그 정보에 대한 요청에 응답으로서만 전달되도록 지정할 수 있다. 그러나, 이 예에서는 전달된 요청(블록 602)은 그러한 증명서를 포함하지 않는다. 따라서, 응답이 수정되어, 수정된 응답의 클라이언트로의 전달이 하나 이상의 정책에 따라 허용되도록 한다(블록 612). 이전 예에서 계속하여, 응답으로부터 신용 정보를 제거하여 정책을 따르는 공개 암호화 증명서만을 가진 수정된 응답을 형성한다. 따라서, 응답은 클라이언트에게로 전달될 수 있다(블록 614). 요청 및 응답을 수정하기 위한 다양한 기술이 설명되었지만, 그 사상 및 범위를 벗어나지 않고 다양한 다른 기술도 의도된다.
도 7은 사용자가 사용자 인터페이스를 통해 정책 내에 포함시킬 하나 이상의 특성을 선택함으로써 사용자 인터페이스를 통해 정책을 설계하는 예시적인 구현의 절차(700)를 나타내는 흐름도이다. 도 1의 LDAP 필터 모듈(124)은 LDAP 필터 모듈에 의한 구현을 위한 정책을 생성하도록 구성된 사용자 인터페이스를 출력하도록 실행된다(블록 702). 예컨대, 네트워크 관리자(이하 "관리자")는 사용자 인터페이스와 상호작용하여 정책을 구성한다.
따라서, LDAP 필터 모듈은 관리자로부터 하나 이상의 입력을 수신하여, 정책에 따른 구현을 위한 특성들을 선택할 수 있다(블록 704). 예컨대, 관리자는 특정 LDAP 동작, 특정 LDAP 객체, LDAP 동작 및 객체 등과 같은 어떤 액션들이 정책에 따라 허용될 수 있고 허용될 수 없는지를 지정할 수 있다. 입력에 응답하여, LDAP 필터 모듈은 수신된 입력을 반영하도록 정책을 구성한다(블록 706). 이어서, 구성된 정책은 LDAP 필터 모듈에 의해 사용되어, 서버와 클라이언트 사이의 트래픽을 적절히 관리할 수 있다(블록 708). 정책을 구성하기 위하여 LDAP 필터 모듈(124)에 의해 다양한 사용자 인터페이스가 출력될 수 있는데, 그 예는 다음 장에서 설명된다.
LDAP 정책 구성
도 8 내지 20은 도 1 내지 7의 LDAP 필터 모듈(124)에 의해 출력될 수 있는 사용자 인터페이스의 예시적인 구현을 나타내는 도면이다. 사용자 인터페이스는 예를 들어 어떠한 LDAP 액션들이 허용가능한지 또는 허용가능하지 않은지를 선택하는 것과 같이 정책의 구성을 위해 사용자가 특성을 선택하도록 다양한 기술을 제공할 수 있다. 예컨대, 사용자 인터페이스는 정책을 적절히 구성하기 위하여 사용자에 의해 선택될 수 있는 복수의 LDAP 기능의 설명을 제공할 수 있다. 예컨대, 도 8에 도시된 바와 같이, 사용자 인터페이스는 LDAP 결합 동작 중 이용될 수 있는 복수의 인증 메카니즘을 설명하는 "인증" 페이지(800)를 포함할 수 있다. 사용자는 커서 제어 장치(예컨대 마우스)로 해당 박스를 "체크"함으로써 인증 메카니즘들 중 하나 이상을 선택할 수 있다. 따라서, 인증 메카니즘들 중 어느 것이 사용자에 의해 선택되었는지에 따라 해당 정책이 구성될 수 있다.
도 9는 "동작" 페이지(900)를 나타내는 사용자 인터페이스의 도면이다. 동작 페이지(900)는 정의될 수 있는 논리 LDAP의 논리적 그룹핑을 표시한다. 또한, "편집" 버튼을 선택함으로써, 사용자는 도 10의 사용자 인터페이스의 "선택" 페이지(1000)에 도시된 바와 같이 특정 LDAP 동작을 선택할 수 있다. 선택 페이지(1000)는 또한 복수의 체크 박스를 포함하는데, 이 예에서 각각의 박스는 도 10에 도시된 바와 같이 "결합", "검색"("공백 기반 질의 허용"이라는 제목의 하위 선택(nested selection)을 가진 것으로 도시됨), "비교", "수정", "DN 수정", "추가" 및 "삭제"로서 도시된 특정 LDAP 동작의 선택을 위한 것이다.
사용자 인터페이스는 또한 도 11에 도시된 바와 같이 LDAP 필터 모듈을 통해 암호화된 LDAP 트래픽을 허용할지의 여부, LDAP 로케이터 핑(즉, 클라이언트에 의한 LDAP 서버의 검출을 위해 임의의 명령을 이용하는 것과 같은 "핑" 트래픽)을 허용할지의 여부 등과 같은 추가적인 LDAP 액션들의 선택을 위한 트래픽 페이지(1100)를 포함할 수 있다. 따라서, 사용자는 도 8-11에 도시된 페이지들(800,900, 1000, 1100) 중 하나 이상을 선택하여 트래픽을 관리하기 위해 LDAP 필터 모듈에 의해 구현될 정책을 구성할 수 있다.
도 12-20은 정책을 구성하기 위하여 LDAP 필터 모듈(124)에 의해 출력될 수 있는 사용자 인터페이스의 다른 예시적인 구현을 나타낸다. 도 12는 LDAP 필터 모듈을 설명하고 사용자가 LDAP 필터 모듈을 인에이블/디스에이블시키는 것을 가능하 게 하는 사용자 인터페이스의 "일반" 페이지(1200)를 나타내는 도면이다.
도 13에는 사용자 인터페이스의 리퍼럴(referral) 페이지(1300)가 도시되어 있다. 리퍼럴은 LDAP 디렉토리에 관리 문제 및 잠재적 보안 위험 양자를 제기할 수 있다. 예컨대, 리퍼럴은 외부적으로 액세스될 수 없는 서버 명칭을 노출시키는 데 사용될 수 있고, 공격자가 내부 인터넷 프로토콜(IP) 어드레스 또는 명칭으로부터 내부 디렉토리 리소스에 대하여 많은 것을 알 수 있게 할 수 있다. 이러한 발생가능한 보안 위험을 해결하기 위하여, 리퍼럴 페이지(1300)는 응답 내의 리퍼럴 정보를 제어하기 위하여 사용자가 선택가능한 다양한 옵션을 제공할 수 있다.
예컨대, LDAP 필터링 장치가 리퍼럴 에러의 경우에 LDAP 클라이언트로서 기능하고 올바른 디렉토리 서버에게 관련 객체를 재질의할 수 있도록 프록시 선택이 제공될 수 있다. 그러나, 이것은 결과인 응답에 참조 또는 리퍼럴을 추가하는 것으로 나타날 수 있다. 따라서, 외부 클라이언트에게 반환되는 최종 응답은 리퍼럴 정보를 포함하지 않도록 구성될 수 있다.
내부 서버 정보가 노출되지 않도록 응답으로부터 리퍼럴을 제거하기 위하여 "리퍼럴 제거" 선택이 제공될 수 있다. 리퍼럴 에러의 경우, 에러의 발생을 지시하는 정보가 다른 설명 정보를 포함하지 않고 클라이언트에게 반환될 수 있다. 즉, 일 구현에 있어서, 클라이언트에게 반환되는 정보는 리퍼럴 에러만을 기술한다. 또한, LDAP 검색 동작 응답의 결과에 포함된 모든 참조 정보는 응답으로부터 필터링될 수 있다. 다른 구현에 있어서는 그러한 필터링 없이 에러가 반환될 수 있다. 예컨대, 이러한 접근법은 설계에 의해 의도적으로 응답 내에 리퍼럴을 허용하지 않 는 관리자에게 유용할 수 있다.
클라이언트가 참조된(즉, "지칭된") 디렉토리 서버를 재결합하고 재질의할 수 있도록 "리퍼럴 유지" 선택도 제공될 수 있다. 예컨대, 이러한 접근법은 리퍼럴이 외부적으로 이용가능한 서버에 대응하는 경우에 바람직할 수 있다.
사용자 인터페이스는 또한 도 14에 도시된 바와 같이 LDAP 필터 모듈이 SSL 트래픽을 통해 LDAP에 어드레스하는 방법을 구성하기 위한 보안 소켓 계층(SSL) 페이지(1400)를 제공할 수 있다. 예컨대, SSL 페이지(1400)는 LDAP 필터 모듈이 착신(incoming) 및 발신(outgoing) SSL 트래픽을 수정하지 않도록 "터널(tunnel)" 옵션을 포함할 수 있다.
SSL 페이지(1400)는 또한 "브리징 옵션(bridging option)"을 포함할 수 있다. 웹 프록시 HTTPS(hyper text transfer protocol secure sockets) 지원과 유사하게, LDAP 필터 모듈은 보안 LDAP(이하 "LDAPS") 트래픽과 연관된 서버 증명서를 노출시킬 수 있다. 이 경우, LDAP 필터 모듈은 착신 LDAP SSL 트래픽에 대한 종점(endpoint)일 것이다. 정규 LDAP 요청과 같은 복호화된 트래픽은 타당성 및 액세스 제어에 대해 검사된 후 전송될 수 있다. 또한, DLAP 모듈은 클라이언트 증명서를 인증하기 위한 옵션을 제공할 수도 있다.
도 14는 LDAP 필터 모듈(124)의 사용자 인터페이스에 의해 제공될 수 있는 "동작" 페이지(1400)의 도면이다. 예컨대, LDAP 필터 모듈은 실행시 동작 페이지(1400)에 따라 구성되는 정책에 대해 요청 LDAP 동작을 검사할 수 있다.
동작 페이지(1400)는 정의된 LDAP 동작들 각각에 대한 허용(allow)/거부 (denial) 상태를 각각 정의하는 3개의 논리 그룹으로 분할된다. 일 구현에 있어서, 관리자는 새로운 그룹을 추가하거나 임의의 기존 그룹을 삭제할 수 없다. 그러나, 관리자는 "사용자 지정(custom)" 그룹의 내용을 편집할 수 있다. 다른 2개의 논리 그룹의 내용("판독"과 "판독 및 기입"으로 도시됨)은 "편집"을 선택한 후에 브라우징될 수 있지만, 고정된 시맨틱(fixed semantics) 때문에 변경될 수 없다. 판독 그룹은 판독 시맨틱을 가진 LDAP 동작들(예컨대 검색 및 비교)을 기술한다. 일 구현에 있어서, 확장 동작들이 판독 그룹에 의해 허용된다.
동작 페이지(1400)는 또한 "LDAP v2 동작 허용" 및 "클라이언트가 제어를 전송하는 것을 허용"이라고 표시된 2개의 체크 박스를 포함하는 것으로 도시되어 있다. 몇몇 예에서, LDAP 구현은 버젼에 종속적이다. 예컨대, 시스템은 프로토콜의 버젼 2만이 지원되도록 구성될 수 있는 반면, 다른 구현은 버젼 3을 지원할 수 있다. 버젼 2는 일반적으로 보다 덜 안전한 것으로 간주된다(예컨대, 결합 인증 메카니즘으로서 SASL를 지원하지 않으며 단순한 인증만을 허용한다). 따라서, 관리자는 체크 박스의 이용을 통해 버젼 2 동작들을 차단할 수 있다. "제어 허용" 선택과 관련하여, 클라이언트는 각각의 명령의 일부로서 제어를 전송할 수 있다. 이들 제어는 쿠키(예컨대 다수의 호출을 요청하는 경우에 결합 상태를 관리하기 위하여)로서 기능하거나 특정 동작들에 대한 서버 구현의 확장을 허용할 수 있다. 따라서, "LDAP v2 동작 허용" 및 "클라이언트의 제어 전송 허용"은 관리자가 제어 기능을 완전히 턴오프하는 것을 가능하게 해 주거나 또는 관리자가 어느 특정 제어가 정책에 의해 허용되는지를 정의하는 것을 허용한다.
도 15의 동작 페이지(1500)에 도시된 "편집" 버튼을 선택하면 도 16의 대화 상자(1600)을 출력을 유발한다. 이 대화 상자(1600)는 사용자 지정 그룹핑을 위해 선택(예컨대, 체크함) 및 비선택(예컨대, 체크하지 않음)을 허용하여, 해당 LDAP 동작을 수행하는 것을 허용하거나 거부한다. 또한, 그룹은 전체적으로 인에이블되거나 디스에이블될 수 있다.
검색 동작은 보안 관련 특성들의 추가적인 구성을 허용하는데, 그 예는 "공백 기반 질의", "별명 비참조(dereference aliases)" 및 "질의 내의 기본 DN 검색 범위만 허용"으로서 도시된다. 예컨대, LDAP는 객체가 다른 객체를 지시하도록 별명으로서 정의되는 것을 허용한다. 그러나, 이러한 별명은 관리자가 실수로 이러한 객체를 액티브 제어 리스트(ACL)에 의해 잘 보호되지 않는 내부 객체를 지시하도록 하는 시나리오에서는 위험할 수 있다. 따라서, 이러한 특성은 별명 비참조 객체가 검색 동작에서 허용되지 않도록 구성될 수 있다. "질의 내의 기본 DN 검색 범위만 허용"을 체크하면, 검색 LDAP 동작이 예를 들어 검색 요청 내에서 단일 DN보다 큰 범위를 정의하는 것과 같은 식으로 지정된 기본 DN 외에 추가로 객체를 액세스하기 위하여 와일드 카드를 사용할 수 없도록 지정된다. 예컨대, 이것은 사용자 리스트, 신용 정보 등과 같은 객체들의 민감한 집합들을 노출시킬 수 있는 와일드 카드 검색으로부터 조직의 디렉토리 정보 트리(DIT; directory information tree)를 보호하는 데 사용될 수 있다.
확장 동작은 대화 상자(1600)를 통해 "인에이블"되거나 "디스에이블"될 수 있다. 예컨대, LDAP는 특정 LDAP 구현에 추가 동작이 추가되는 것을 허용할 수 있 다. 예컨대 확장 동작은 고유 객체 식별자(OID; object identifier)에 의해 식별될 수 있다. 대화 상자(1600) 내의 "확장 동작"은 선택시 도 17의 대화 상자(1700)를 출력하도록 유발하는 해당 "선택" 버튼을 갖는 것으로 도시된다. 이 대화 상자(1700)는 관리자에게 OID에 따라 수동으로 동작을 추가/제거하고, 디렉토리 서버를 선택하고 특정 특성을 통해 확장 동작 리스트를 판독하고, 서버에서 클라이언트로 전송된 원하지 않는(unsolicited) 이벤트를 관리할 수 있는 능력을 제공한다.
도 18은 LDAP 필터 모듈(124)의 사용자 인터페이스로서 출력될 수 있는 "인증" 페이지(1800)의 도면이다. 인증 페이지(1800)는 관리자가 클라이언트 결합 요청에서 LDAP 필터 모듈에 의해 허용되는 인증의 "레벨"을 선택하는 것을 허용하도록 구성된다. 예컨대, 클라이언트의 결합 요청이 적절한 인증 레벨을 포함하지 않는 경우, LDAP 필터 모듈은 그 요청을 LDAP 서버(즉, LDAP 디렉토리에 대한 액세스를 제공하는 서버)로 전달하지 않고 요청을 거절할 수 있다. 예컨대, 관리자는 익명의 요청(예컨대, 공백을 패스워드로 하는 결합 요청)을 허용하지 않거나, "결합" 동작을 먼저 완료하지 않고 LDAP 동작들이 수행되는 것을 허용하지 않을 수 있다.
인증 페이지(1800)는 사용자에 의한 선택을 위한 복수의 인증 메카니즘을 도시한다. 도시된 바와 같이, 인증 메카니즘은 추가 또는 제거될 수도 있다. 도시된 인증 페이지(1800)의 "선택" 버튼은 관리자가 지원되는 SASL 메카니즘들이 열거되는 디렉토리 서버를 선택하는 것을 허용한다. 리스트되지 않은 새로운 메카니즘들이 열거되는 경우, 이러한 인증 메카니즘은 관리자에 의한 선택을 위하여 인증 페이지(1800)에 추가될 수 있다.
일 구현에 있어서, LDAP 필터 모듈(124)은 LDAP 필터링 장치(130) 상에서 실행되어 실제 관리자로서 작용하며, 이에 따라 이러한 의미에서 LDAP 서버로서 거동하여 클라이언트의 인증을 수행한다. 이 구현에 있어서, LDAP 디렉토리 액세스를 위해 허용되는 것으로 간주되는 한 세트의 사용자 보안 식별자들(SID; security identifiers)이 정의된다. LDAP 필터링 치(130)는 (예컨대 도 2의 네트워크 방화벽 장치(210)로서 구성될 때) 인증을 수행하고, 인증된 사용자 액세스 토큰을 허용되는 사용자들의 리스트와 비교할 수 있다. 비교가 성공한 경우, 요청은 추가 처리를 위해 전달될 수 있다.
도 19는 LDAP 필터 모듈(124)에 대한 사용자 인터페이스의 일부로서 출력될 수 있는 "액세스 제어" 페이지(1900)의 도면이다. 액세스 제어 페이지(1900)는 특정 상황에서 및/또는 특정 특성들을 요청할 때 대응 LDAP 동작에 관계없이 특정 DNS에 대한 액세스를 제어하는 데 사용될 수 있다. 예컨대, 액세스 제어 페이지(1900)는 LDAP 액세스 규칙들로 구성된 간단한 글로벌 액세스 정책(즉, 사용자 세트 또는 IP와 연관되지 않음)을 정의할 수 있다. 예컨대, 각각의 액세스 규칙은 다음에 기초하여 액세스를 허용/거부할 수 있다:
1) 기본 DN
2) 규칙이 적용되는 액세스 범위(예컨대, 기본 DN, 다이렉트 아동 리스트, 서브 트리 내의 각 객체 등)
3) 요청된 특성 리스트
규칙들은 "제1 매칭(first match)"이 승자가 되도록 정렬될 수 있다. 규칙들 중 어느 것도 검색 동작에 매칭되지 않는 경우, 액세스는 디폴트로 거절될 수 있다.
규칙들은 도 19의 액세스 정책 페이지(1900) 내에 도시된 업 다운 화살표를 통해 재정렬될 수 있다. "액세스 범위" 필드의 이용을 더 설명하기 위하여, 다음의 예를 고려한다. 제1 예에서, 기본 DN은 "CN=users, DN=some_corp, DN=com"과 동일하다. 액세스 범위는 "단일 레벨"로 설정되며, 요청된 특성 리스트는 클래스 "X"의 특성 "P1", "P2"로 설정된다. 이것은 이러한 규칙이 특성 P1 및 P2를 가진 기본 DN 아래의 모든 다이렉트 객체에 적용된다는 것을 의미한다. DN의 다이렉트 객체들의 범위 밖의 또는 상이한 특성들에 대한 임의의 요청은 규칙과 무관하다. 제2 예에서, 기본 DN은 "루트"와 동일하다. 액세스 범위는 "서브 트리"로서 설정되며, 요청된 특성 리스트는 "모든 특성"(및 모든 클래스)으로 설정된다. 이것은 디렉토리에 대한 임의의 액세스가 항상 허용되거나 거부된다는 것을 의미한다. 검색을 위해 특정 특성들이 허용되는 시나리오에서, 각각의 다른 특성은 응답으로부터 절단될 수 있다. 예컨대, LDAP 필터 모듈은 도 6과 관련하여 전술한 바와 같이 응답을 클라이언트에게 반환하기 전에 응답을 편집할 수 있다.
도 19의 액세스 정책 페이지(1900) 내의 "편집" 버튼을 선택하면, 대화 상자(2000)가 표시되며, 그 예가 도 20에 도시되어 있다. 도 20의 대화 상자(2000)는 관리자가 특정 액션에 대한 규칙의 적용을 지정하고, DN 명칭을 지정하고, 액세스 범위 및 클래스 명칭을 설정하고, 특성이 있다면 어떠한 특성들이 규칙에 적용 가능할지를 선택하는 것을 가능하게 한다. 예시적인 사용자 인터페이스들이 설명되 었지만, 사용자 인터페이스는 LDAP 필터 모듈에 의한 구현을 위한 정책의 구성을 제공하도록 다양한 방법으로 구성될 수 있음은 자명하다.
결론
본 발명은 구조적 특징 및/또는 방법적 작용에 특유한 언어로 설명되었지만, 첨부된 청구범위에 정의된 발명은 설명된 특정 기능 또는 작용으로 한정되는 것이 아니라는 것을 이해해야 한다. 오히려, 특정 기능 및 작용은 청구된 발명을 구현하는 예시적인 형태로서 개시되어 있다.
본 발명에 따르면, LDAP에 따라 구성된 트래픽을 보호하도록 실행가능한 LDAP 필터 모듈이 제공된다.

Claims (89)

  1. 특정 경량 디렉토리 액세스 프로토콜(lightweight directory access protocol; LDAP) 액션의 실행 허용 여부를 지정하는 사용자로부터의 입력들을 수신하기 위한 사용자 인터페이스를 노출하는 단계 - 상기 사용자 인터페이스의 노출 단계는 사용자에 의해 선택가능한 복수의 설명을 포함함 -
    상기 입력들에 기초하여, 네트워크 상에서 LDAP 트래픽을 관리하기 위한 정책(policy)을 구성하는 단계;
    클라이언트로부터 서버로 전송되는 요청을 인터셉트하는 단계 - 상기 요청은 LDAP 액션을 표시함 -;
    상기 LDAP 액션이 허용되는지 여부를 판정하기 위해 상기 LDAP 액션에 대해 상기 정책을 적용하는 단계 - 상기 정책은 하나 이상의 이용가능한 정책들 중 선택됨 -; 및
    상기 LDAP 액션이 허용되는 이벤트에서,
    상기 하나 이상의 정책들 중 다른 정책이 이용가능한지를 판정하고 이용가능하다면 상기 LDAP 액션에 대해 상기 다른 정책을 적용하고,
    더 이상 이용가능한 정책이 없을 때까지, 상기 하나 이상의 정책들 중 또다른 정책이 이용가능한지를 판정하고 이용가능하다면 상기 LDAP 액션에 대해 상기 또다른 정책을 적용하는 것을 계속하며,
    상기 LDAP 액션의 수행을 위해 상기 요청을 전송하는 단계; 및
    상기 LDAP 액션이 허용되지 않는 이벤트에서,
    상기 요청을 수정된 LDAP 액션을 지정하도록 수정하고,
    상기 하나 이상의 정책들 중 적어도 하나를 선택하며,
    상기 하나 이상의 정책들 중 상기 적어도 하나를 상기 수정된 LDAP 액션에 대해 적용하고,
    상기 하나 이상의 정책들 중 다른 정책이 이용가능한지를 판정하고 이용가능하다면 상기 수정된 LDAP 액션에 대해 상기 다른 정책을 적용하며,
    더 이상 이용가능한 정책이 없을 때까지, 상기 하나 이상의 정책들 중 또다른 정책이 이용가능한지를 판정하고 이용가능하다면 상기 수정된 LDAP 액션에 대해 상기 또다른 정책을 적용하는 것을 계속하고,
    상기 수정된 LDAP 액션의 수행을 위해 상기 요청을 전송하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서, 상기 LDAP 액션은 특정 LDAP 동작을 지정하는, 방법.
  3. 제2항에 있어서, 상기 특정 LDAP 동작은 검색(search), 비교(compare), 추가(add), 삭제(delete), 수정(modify), 재명명(rename), 결합(bind), 분리(unbind) 및 포기(abandon)를 포함하는 그룹에서 선택되는, 방법.
  4. 제1항에 있어서, 상기 LDAP 액션은 특정 LDAP 객체에 대해 수행되도록 허용되는 특정 LDAP 동작을 지정하는, 방법.
  5. 제1항에 있어서, 상기 복수의 설명 중 하나 이상은 복수의 인증 레벨 중 적어도 하나에 따라 클라이언트를 인증하기 위해 선택가능한 복수의 인증 메커니즘을 설명하는, 방법.
  6. 제1항에 있어서, 상기 복수의 설명 중 하나 이상은 LDAP 결합 동작 동안 사용될, 상기 사용자에 의해 선택가능한 복수의 인증 메커니즘을 설명하는, 방법.
  7. 제1항에 있어서, 상기 복수의 설명 중 하나 이상은 상기 사용자에 의한 선택을 통해 정의될 수 있는 논리 LDPA 동작 그룹들을 설명하는, 방법.
  8. 제1항에 있어서, 하나의 설명은 암호화된 LDAP 트래픽을 허용하도록 선택가능하고, 또다른 설명은 특정 LDAP 포트를 통한 핑 트래픽(ping traffic)만을 허용하도록 선택가능한, 방법.
  9. 제1항에 있어서, 적어도 하나의 설명은 LDAP 디렉토리를 이용하여 형성되는 응답에 포함된 리퍼럴(referral) 정보를 제어하도록 선택가능한, 방법.
  10. 제1항에 있어서, 적어도 하나의 설명은 보안 소켓 계층(secure sockets layer; SSL) 트래픽을 제어하도록 선택가능한, 방법.
  11. 제1항에 있어서, 적어도 하나의 설명은 어떤 LDAP 버젼이 허용되는지를 제어하도록 선택가능한, 방법.
  12. 제1항에 있어서, 적어도 하나의 설명은 특정 LDAP 객체에 대한 액세스를 제어하도록 선택가능한, 방법.
  13. 컴퓨터 상에서 실행될 때, 제1항에 기재된 방법을 수행하도록 상기 컴퓨터를 구성하는, 컴퓨터 실행가능 명령어들이 구현되어 있는 하나 이상의 컴퓨터 판독가능 기록 매체.
  14. 컴퓨터 상에서 실행될 때, 방법을 수행하도록 상기 컴퓨터에게 지시하는 컴퓨터 실행가능 명령어들을 포함하는 하나 이상의 컴퓨터 판독가능 기록 매체로서, 상기 방법은,
    네트워크 상에서 LDAP 트래픽을 관리하는 복수의 정책 중 하나 이상을 구성하기 위한 사용자 인터페이스를 출력하는 단계 - 출력시, 상기 사용자 인터페이스는, 사용자에 의해 선택가능한 복수의 설명을 제공함으로써, 상기 사용자가 LDAP 동작의 수행이 허용되는지 여부를 표시하고, 특정 LDAP 객체에 대해 특정 LDAP 동작의 수행이 허용되는지 여부를 표시할 수 있도록 구성됨 -;
    상기 사용자에 의해 선택되는 하나 이상의 설명에 따라 하나 이상의 정책들을 구성하는 단계;
    클라이언트에서 서버로 전송되는 요청을 인터셉트하는 단계 - 상기 요청은 LDAP 동작을 표시함 -;
    상기 하나 이상의 정책들 중 적어도 하나를 선택하는 단계;
    상기 LDAP 동작이 허용되는지 여부를 판정하기 위해 상기 LDAP 동작에 대해 상기 하나 이상의 정책들 중 상기 적어도 하나를 적용하는 단계; 및
    상기 LDAP 동작이 허용되는 이벤트에서,
    상기 하나 이상의 정책들 중 다른 정책이 이용가능한지를 판정하고 이용가능하다면 상기 LDAP 동작에 대해 상기 다른 정책을 적용하고,
    더 이상 이용가능한 정책이 없을 때까지, 상기 하나 이상의 정책들 중 또다른 정책이 이용가능한지를 판정하고 이용가능하다면 상기 LDAP 동작에 대해 상기 또다른 정책을 적용하는 것을 계속하며,
    상기 LDAP 동작의 수행을 위해 상기 요청을 전송하는 단계; 및
    상기 LDAP 동작이 허용되지 않는 이벤트에서,
    수정된 LDAP 동작을 지정하도록 상기 요청을 수정하고,
    상기 하나 이상의 정책들 중 적어도 하나를 선택하며,
    상기 하나 이상의 정책들 중 상기 적어도 하나를 상기 수정된 LDAP 동작에 대해 적용하고,
    상기 하나 이상의 정책들 중 다른 정책이 이용가능한지를 판정하고 이용가능하다면 상기 수정된 LDAP 동작에 대해 상기 다른 정책을 적용하며,
    더 이상 이용가능한 정책이 없을 때까지, 상기 하나 이상의 정책들 중 또다른 정책이 이용가능한지를 판정하고 이용가능하다면 상기 수정된 LDAP 동작에 대해 상기 또다른 정책을 적용하는 것을 계속하고,
    상기 수정된 LDAP 동작의 수행을 위해 상기 요청을 전송하는 단계
    를 포함하는, 하나 이상의 컴퓨터 판독가능 기록 매체.
  15. 제14항에 있어서, 상기 LDAP 동작은 검색, 비교, 추가, 삭제, 수정, 재명명, 결합, 분리 및 포기를 포함하는 그룹에서 선택되는, 하나 이상의 컴퓨터 판독가능 기록 매체.
  16. 프로세서;
    상기 프로세서에 연결된 메모리 - 상기 메모리에서 컴퓨터 실행가능 명령어들이 구현되며, 상기 컴퓨터 실행가능 명령어들은, 상기 프로세서에 의해 실행되는 경우, 네트워크 트래픽을 보안하도록 컴퓨터를 구성함 -;
    상기 메모리에 저장된 하나 이상의 모듈
    을 포함하는 시스템으로서,
    상기 하나 이상의 모듈은,
    복수의 설명을 갖는 사용자 인터페이스를 출력하도록 구성되는 제1 컴퓨터 실행가능 명령어들 - 상기 복수의 설명은 LDAP를 이용하는 네트워크 상에서 허용가능한 트래픽을 정의하는 정책을 구성하기 위해 사용자에 의해 선택가능함 -;
    상기 구성된 정책에 따라 LDAP 트래픽을 관리하도록 구성된 제2 컴퓨터 실행가능 명령어들;
    상기 시스템이 액션들을 수행하도록 구성하는 제3 컴퓨터 실행가능 명령어들 - 상기 액션들은,
    클라이언트에서 서버로 전송되는, LDAP 동작을 표시하는 요청을 인터셉트하는 단계;
    이용가능한 하나 이상의 정책들 중 적어도 하나를 선택하는 단계;
    상기 LDAP 동작이 허용되는지 여부를 판정하기 위해 상기 LDAP 동작에 대해 상기 하나 이상의 정책들 중 상기 적어도 하나를 적용하는 단계;
    상기 LDAP 동작이 허용되는 이벤트에서,
    상기 하나 이상의 정책들 중 다른 정책이 이용가능한지를 판정하고 이용가능하다면 상기 LDAP 동작에 대해 상기 다른 정책을 적용하고,
    더 이상 이용가능한 정책이 없을 때까지, 상기 하나 이상의 정책들 중 또다른 정책이 이용가능한지를 판정하고 이용가능하다면 상기 LDAP 동작에 대해 상기 또다른 정책을 적용하는 것을 계속하며,
    상기 LDAP 동작의 수행을 위한 상기 요청을 전송하는 단계; 및
    상기 LDAP 동작이 허용되지 않는 이벤트에서,
    수정된 LDAP 동작을 지정하도록 상기 요청을 수정하고,
    이용가능한 상기 하나 이상의 정책들 중 적어도 하나를 선택하며,
    상기 하나 이상의 정책들 중 상기 적어도 하나를 상기 수정된 LDAP 동작에 대해 적용하고,
    상기 하나 이상의 정책들 중 다른 정책이 이용가능한지를 판정하고 이용가능하다면 상기 수정된 LDAP 동작에 대해 상기 다른 정책을 적용하며,
    더 이상 이용가능한 정책이 없을 때까지, 상기 하나 이상의 정책들 중 또다른 정책이 이용가능한지를 판정하고 이용가능하다면 상기 수정된 LDAP 동작에 대해 상기 또다른 정책을 적용하는 것을 계속하고,
    상기 수정된 LDAP 동작의 수행을 위해 상기 요청을 전송하는 단계
    를 포함하는, 시스템.
  17. 제16항에 있어서, 상기 제2 컴퓨터 실행가능 명령어들은 네트워크 방화벽 장치(network firewall device) 상에서 실행가능한, 시스템.
  18. 제16항에 있어서, 상기 제2 컴퓨터 실행가능 명령어들은 LDAP 서버 상에서 실행가능한, 시스템.
  19. 제16항에 있어서, 상기 사용자 인터페이스는 사용자로 하여금 특정 LDAP 동작의 수행이 허용되는지 여부를 지정하도록 할 수 있게 구성되는, 시스템.
  20. 제16항에 있어서, 상기 사용자 인터페이스는 사용자로 하여금 특정 LDAP 객체와의 상호작용이 허용되는지 여부를 지정하도록 할 수 있게 구성되는, 시스템.
  21. 제16항에 있어서, 상기 사용자 인터페이스는 사용자로 하여금 특정 LDAP 객체에 대해 특정 LDAP 동작이 수행되는 것이 허용되는지 여부를 지정하도록 할 수 있게 구성되는, 시스템.
  22. 제19항 또는 제21항에 있어서, 상기 특정 LDAP 동작은 검색, 비교, 추가, 삭제, 수정, 재명명, 결합, 분리 및 포기를 포함하는 그룹에서 선택되는, 시스템.
  23. 제16항에 있어서, 상기 복수의 설명 중 하나 이상은 복수의 인증 레벨 중 적어도 하나에 따라 클라이언트를 인증하기 위해 선택가능한 복수의 인증 메커니즘을 설명하는, 시스템.
  24. 제16항에 있어서, 상기 복수의 설명 중 하나 이상은 LDAP 결합 동작 동안 사용될, 상기 사용자에 의해 선택가능한 복수의 인증 메커니즘을 설명하는, 시스템.
  25. 제16항에 있어서, 상기 복수의 설명 중 하나 이상은 상기 사용자에 의한 선택을 통해 정의될 수 있는 논리 LDAP 동작 그룹들을 설명하는, 시스템.
  26. 제16항에 있어서, 하나의 설명은 암호화된 LDAP 트래픽을 허용하도록 선택가능하고, 다른 설명은 특정 LDAP 포트를 통한 핑 트래픽만을 허용하도록 선택가능한, 시스템.
  27. 제16항에 있어서, 적어도 하나의 설명은 LDAP 디렉토리를 이용하여 형성되는 응답에 포함된 리퍼럴 정보를 제어하도록 선택가능한, 시스템.
  28. 제16항에 있어서, 적어도 하나의 설명은 보안 소켓 계층(SSL) 트래픽을 제어하도록 선택가능한, 시스템.
  29. 제16항에 있어서, 적어도 하나의 설명은 어떤 LDAP 버젼이 허용되는지를 제어하도록 선택가능한, 시스템.
  30. 삭제
  31. 삭제
  32. 삭제
  33. 삭제
  34. 삭제
  35. 삭제
  36. 삭제
  37. 삭제
  38. 삭제
  39. 삭제
  40. 삭제
  41. 삭제
  42. 삭제
  43. 삭제
  44. 삭제
  45. 삭제
  46. 삭제
  47. 삭제
  48. 삭제
  49. 삭제
  50. 삭제
  51. 삭제
  52. 삭제
  53. 삭제
  54. 삭제
  55. 삭제
  56. 삭제
  57. 삭제
  58. 삭제
  59. 삭제
  60. 삭제
  61. 삭제
  62. 삭제
  63. 삭제
  64. 삭제
  65. 삭제
  66. 삭제
  67. 삭제
  68. 삭제
  69. 삭제
  70. 삭제
  71. 삭제
  72. 삭제
  73. 삭제
  74. 삭제
  75. 삭제
  76. 삭제
  77. 삭제
  78. 삭제
  79. 삭제
  80. 삭제
  81. 삭제
  82. 삭제
  83. 삭제
  84. 삭제
  85. 삭제
  86. 삭제
  87. 삭제
  88. 삭제
  89. 삭제
KR1020050099590A 2004-10-28 2005-10-21 경량 디렉토리 액세스 프로토콜 트래픽의 보안 KR101213806B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US10/975,292 2004-10-28
US10/975,292 US20060092948A1 (en) 2004-10-28 2004-10-28 Securing lightweight directory access protocol traffic
US10/997,433 US7577132B2 (en) 2004-10-28 2004-11-24 User interface for securing lightweight directory access protocol traffic
US10/997,433 2004-11-24

Publications (2)

Publication Number Publication Date
KR20060049122A KR20060049122A (ko) 2006-05-18
KR101213806B1 true KR101213806B1 (ko) 2012-12-18

Family

ID=35615608

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050099590A KR101213806B1 (ko) 2004-10-28 2005-10-21 경량 디렉토리 액세스 프로토콜 트래픽의 보안

Country Status (5)

Country Link
US (1) US7577132B2 (ko)
EP (1) EP1653710B1 (ko)
JP (1) JP4880278B2 (ko)
KR (1) KR101213806B1 (ko)
AT (1) ATE519323T1 (ko)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8862866B2 (en) 2003-07-07 2014-10-14 Certicom Corp. Method and apparatus for providing an adaptable security level in an electronic communication
GB0610113D0 (en) * 2006-05-20 2006-06-28 Ibm Method and system for the storage of authentication credentials
US9124602B2 (en) 2007-01-05 2015-09-01 International Business Machines Corporation Method and apparatus for creating custom access control hierarchies
JP5014847B2 (ja) 2007-03-19 2012-08-29 株式会社リコー 情報処理装置及び情報処理方法
KR100807354B1 (ko) * 2007-07-04 2008-02-28 주식회사 넷츠 통합계정 관리를 위한 실시간 규칙그룹 지원장치
US8230455B2 (en) * 2007-07-11 2012-07-24 International Business Machines Corporation Method and system for enforcing password policy for an external bind operation in a distributed directory
US8156484B2 (en) * 2007-08-22 2012-04-10 International Business Machines Corporation LDAP server performance object creation and use thereof
US8224996B2 (en) * 2008-12-29 2012-07-17 International Business Machines Corporation Directory viewports
US8645401B2 (en) 2009-08-13 2014-02-04 Cox Communications, Inc. Technical electronic discovery action model
US8516138B2 (en) 2010-08-31 2013-08-20 International Business Machines Corporation Multiple authentication support in a shared environment
EP2622496B1 (en) * 2010-09-30 2018-07-18 Saudi Arabian Oil Company System and method for controlling access to a plant network
US9838351B2 (en) 2011-02-04 2017-12-05 NextPlane, Inc. Method and system for federation of proxy-based and proxy-free communications systems
US9203799B2 (en) 2011-03-31 2015-12-01 NextPlane, Inc. Method and system for advanced alias domain routing
US9716619B2 (en) 2011-03-31 2017-07-25 NextPlane, Inc. System and method of processing media traffic for a hub-based system federating disparate unified communications systems
US9077726B2 (en) 2011-03-31 2015-07-07 NextPlane, Inc. Hub based clearing house for interoperability of distinct unified communication systems
US9407663B1 (en) * 2011-09-28 2016-08-02 Emc Corporation Method and apparatus for man-in-the-middle agent-assisted client filtering
WO2013063721A1 (en) * 2011-11-03 2013-05-10 Telefonaktiebolaget L M Ericsson (Publ) Method, device and central server for providing service for ldap client
US8898796B2 (en) 2012-02-14 2014-11-25 International Business Machines Corporation Managing network data
US9705840B2 (en) 2013-06-03 2017-07-11 NextPlane, Inc. Automation platform for hub-based system federating disparate unified communications systems
US9819636B2 (en) * 2013-06-10 2017-11-14 NextPlane, Inc. User directory system for a hub-based system federating disparate unified communications systems
US9443093B2 (en) * 2013-06-20 2016-09-13 Amazon Technologies, Inc. Policy enforcement delays
US9736159B2 (en) * 2013-11-11 2017-08-15 Amazon Technologies, Inc. Identity pool bridging for managed directory services
US9785669B2 (en) 2014-05-21 2017-10-10 International Business Machines Corporation Revising policy statements using hyperlinks
US10015162B2 (en) * 2015-05-11 2018-07-03 Huawei Technologies Co., Ltd. Firewall authentication of controller-generated internet control message protocol (ICMP) echo requests
US10250596B2 (en) * 2016-06-29 2019-04-02 International Business Machines Corporation Monitoring encrypted communication sessions
US11310192B1 (en) * 2019-12-20 2022-04-19 Stealthbits Technologies Llc Systems and methods for second protocol communication over LDAP

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6154776A (en) 1998-03-20 2000-11-28 Sun Microsystems, Inc. Quality of service allocation on a network
US6665674B1 (en) 2000-02-02 2003-12-16 Nortel Networks Limited Framework for open directory operation extensibility
US6680942B2 (en) 1999-07-02 2004-01-20 Cisco Technology, Inc. Directory services caching for network peer to peer service locator

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7418731B2 (en) 1997-11-06 2008-08-26 Finjan Software, Ltd. Method and system for caching at secure gateways
US6263362B1 (en) * 1998-09-01 2001-07-17 Bigfix, Inc. Inspector for computed relevance messaging
US6567857B1 (en) 1999-07-29 2003-05-20 Sun Microsystems, Inc. Method and apparatus for dynamic proxy insertion in network traffic flow
US6622170B1 (en) * 1999-09-10 2003-09-16 International Business Machines Corporation System and method for DEN/LDAP client database access with a backoff capability
US6950819B1 (en) * 1999-11-22 2005-09-27 Netscape Communication Corporation Simplified LDAP access control language system
EP1113648A3 (en) 1999-12-30 2003-07-09 Nortel Networks Corporation Generic registration of plug-ins for a directory server
US6609121B1 (en) 2000-07-17 2003-08-19 International Business Machines Corporation Lightweight directory access protocol interface to directory assistance systems
US6799197B1 (en) * 2000-08-29 2004-09-28 Networks Associates Technology, Inc. Secure method and system for using a public network or email to administer to software on a plurality of client computers
US7002973B2 (en) * 2000-12-11 2006-02-21 Acme Packet Inc. System and method for assisting in controlling real-time transport protocol flow through multiple networks via use of a cluster of session routers
JP2002207694A (ja) * 2001-01-05 2002-07-26 Nec Corp 情報転送追跡装置、個人情報管理システム、その方法及びプログラムを記録した記録媒体
US20020124057A1 (en) 2001-03-05 2002-09-05 Diego Besprosvan Unified communications system
US6732105B1 (en) 2001-07-27 2004-05-04 Palmone, Inc. Secure authentication proxy architecture for a web-based wireless intranet application
AU2002330721A1 (en) 2001-08-08 2003-02-24 Flash Networks Ltd. A system and a method for accelerating communication of tcp/ip based content
US7035846B2 (en) 2002-09-23 2006-04-25 International Business Machines Corporation Methods, computer programs and apparatus for caching directory queries
US20040167859A1 (en) 2003-02-14 2004-08-26 Richard Mirabella Software license management system configurable for post-use payment business models
US20040215775A1 (en) 2003-04-24 2004-10-28 Bookfactory, Llc, A California Limited Liability Corporation System, method and computer program product for network resource processing
US8880893B2 (en) 2003-09-26 2014-11-04 Ibm International Group B.V. Enterprise information asset protection through insider attack specification, monitoring and mitigation
US20050091343A1 (en) 2003-10-22 2005-04-28 Bookfactory, Llc System, method and computer program product for network resource processing
US7620630B2 (en) 2003-11-12 2009-11-17 Oliver Lloyd Pty Ltd Directory system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6154776A (en) 1998-03-20 2000-11-28 Sun Microsystems, Inc. Quality of service allocation on a network
US6680942B2 (en) 1999-07-02 2004-01-20 Cisco Technology, Inc. Directory services caching for network peer to peer service locator
US6665674B1 (en) 2000-02-02 2003-12-16 Nortel Networks Limited Framework for open directory operation extensibility

Also Published As

Publication number Publication date
JP4880278B2 (ja) 2012-02-22
US7577132B2 (en) 2009-08-18
ATE519323T1 (de) 2011-08-15
EP1653710B1 (en) 2011-08-03
US20060168255A1 (en) 2006-07-27
KR20060049122A (ko) 2006-05-18
JP2006127504A (ja) 2006-05-18
EP1653710A1 (en) 2006-05-03

Similar Documents

Publication Publication Date Title
KR101213806B1 (ko) 경량 디렉토리 액세스 프로토콜 트래픽의 보안
US11397805B2 (en) Lateral movement path detector
TWI336043B (en) Delegated administration of a hosted resource
US5950195A (en) Generalized security policy management system and method
US7320141B2 (en) Method and system for server support for pluggable authorization systems
US8020192B2 (en) Administration of protection of data accessible by a mobile device
JP5260634B2 (ja) 段階的認証システム
US7185361B1 (en) System, method and computer program product for authenticating users using a lightweight directory access protocol (LDAP) directory server
WO2007016436A2 (en) Segmented network identity management
ES2768049T3 (es) Procedimientos y sistemas para asegurar y proteger repositorios y directorios
US9886590B2 (en) Techniques for enforcing application environment based security policies using role based access control
US20040073668A1 (en) Policy delegation for access control
US20100031317A1 (en) Secure access
GB2317539A (en) Firewall for interent access
CN1822590A (zh) 保护轻量级目录访问协议的通信
Cherry Securing SQL Server: protecting your database from attackers
WO2022119872A1 (en) Persistent source values for assumed alternative identities
Santos et al. Privacy–preserving identity federations in the cloud: a proof of concept
US20120324569A1 (en) Rule compilation in a firewall
Bindiganavale et al. Role based access control in enterprise application-security administration and user management
Szabó Penetration testing of AWS-based environments
CN118056380A (zh) 在计算机网络之内限制横向遍历
Peiris et al. How to cheat at designing security for a Windows server 2003 network
Slabihoud et al. Forefront TMG 2010 Common Criteria Evaluation
Leandro et al. Privacy-preserving Identity Federations in the Cloud-A Proof of Concept Daniel Ricardo dos Santos*, Tiago Jaime Nascimento, Carla Merkle Westphall, Marcos

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151118

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161123

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171117

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20181115

Year of fee payment: 7