Windows 인증 아키텍처
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
IT 전문가를 위한 이 개요 항목에서는 Windows 인증 대한 기본 아키텍처 체계에 대해 설명합니다.
인증은 시스템에서 사용자의 로그온 또는 로그인 정보의 유효성을 검사하는 프로세스입니다. 사용자의 이름과 암호는 권한 있는 목록과 비교되며 시스템이 일치 항목을 검색하면 해당 사용자의 사용 권한 목록에 지정된 범위까지 액세스 권한이 부여됩니다.
확장 가능한 아키텍처의 일부로 Windows Server 운영 체제는 Negotiate, Kerberos 프로토콜, NTLM, Schannel(보안 채널) 및 다이제스트를 포함하는 기본 인증 보안 지원 공급자 집합을 구현합니다. 이러한 공급자가 사용하는 프로토콜은 사용자, 컴퓨터 및 서비스의 인증을 가능하게 하며 인증 프로세스를 통해 권한 있는 사용자 및 서비스가 안전한 방식으로 리소스에 액세스할 수 있습니다.
Windows Server에서 애플리케이션은 SSPI를 사용하여 인증에 대한 호출을 추상화하여 사용자를 인증합니다. 따라서 개발자는 특정 인증 프로토콜의 복잡성을 이해하거나 애플리케이션에 인증 프로토콜을 빌드할 필요가 없습니다.
Windows Server 운영 체제에는 Windows 보안 모델을 구성하는 보안 구성 요소 집합이 포함되어 있습니다. 이러한 구성 요소는 애플리케이션이 인증 및 권한 부여 없이 리소스에 액세스할 수 없도록 합니다. 다음 섹션에서는 인증 아키텍처의 요소를 설명합니다.
로컬 보안 기관
LSA(로컬 보안 기관)는 사용자를 인증하고 로컬 컴퓨터에 로그인하는 보호된 하위 시스템입니다. 또한 LSA는 컴퓨터에서 로컬 보안의 모든 측면에 대한 정보를 기본(이러한 측면은 로컬 보안 정책이라고도 함). 또한 이름 및 SID(보안 식별자) 간 번역을 위한 다양한 서비스를 제공합니다.
보안 하위 시스템은 컴퓨터 시스템에 있는 보안 정책 및 계정을 추적합니다. do기본 컨트롤러의 경우 이러한 정책 및 계정은 do기본 컨트롤러가 있는 do기본 적용된 정책 및 계정입니다. 이러한 정책 및 계정은 Active Directory에 저장됩니다. LSA 하위 시스템은 개체에 대한 액세스 유효성을 검사하고, 사용자 권한을 검사, 감사 메시지를 생성하기 위한 서비스를 제공합니다.
보안 지원 공급자 인터페이스
SSPI(보안 지원 공급자 인터페이스)는 모든 분산 애플리케이션 프로토콜에 대한 인증, 메시지 무결성, 메시지 개인 정보 및 보안 서비스 품질에 대한 통합 보안 서비스를 가져오는 API입니다.
SSPI는 GSSAPI(일반 보안 서비스 API)의 구현입니다. SSPI는 분산 애플리케이션이 여러 보안 공급자 중 하나를 호출하여 보안 프로토콜의 세부 정보를 모르고 인증된 연결을 가져올 수 있는 메커니즘을 제공합니다.