용어

액세스 제어

특정 클라이언트나 클라이언트 그룹에 대해 특정 데이터에 대한 액세스 권한을 부여하거나 제한하는 시스템 기능입니다.

영역

1. ID 관리 영역의 줄임말입니다. 2. Kerberos 객체로, 같은 이름을 공유하는 다른 영역의 KDC/TGS 서비스에서 운용되는 고유한 클라이언트 및 서버 집합입니다(kservice 참조).

영역 Oracle Context

Oracle Internet Directory에서 ID 관리 영역의 일부분인 Oracle Context입니다.

외부 인증

Kerberos 또는 RADIUS 등 타사의 인증 서비스를 사용하여 사용자 ID를 확인합니다.

원격 컴퓨터

로컬 컴퓨터가 아닌 네트워크의 컴퓨터입니다.

인스턴스

실행 중인 모든 Oracle Database는 Oracle 인스턴스와 연관되어 있습니다. 컴퓨터 유형에 상관없이 데이터베이스 서버에서 데이터베이스가 시작되면 Oracle은 SGA(시스템 전역 영역)라는 메모리 영역을 할당하고 Oracle 프로세스를 시작합니다. SGA와 Oracle 프로세스의 조합을 인스턴스라고 합니다. 메모리 및 인스턴스의 프로세스는 연관된 데이터베이스의 데이터를 효율적으로 관리하고 한 명 이상의 데이터 베이스 사용자에게 제공합니다.

인증

컴퓨터 시스템의 사용자, 장치 또는 다른 엔티티의 ID를 확인하는 프로세스로, 시스템의 리소스에 액세스 권한을 부여하기 위한 선행 프로세스로 자주 사용됩니다. 인증된 메시지의 수신자가 메시지의 출처(발신자)를 확인할 수 있습니다. 인증을 통해 외부 업체에서 발신자를 가장하지 못하도록 방지할 수 있습니다.

인증 방법

분산 환경에서 사용자, 클라이언트 또는 서버의 ID를 확인하는 보안 방법입니다. 전사적인 사용자 보안에서는 다음과 같은 인증 방법이 지원됩니다.

• Kerberos

• 암호

• SSL(Secure Socket Layer)

인증서

데이터베이스에 액세스하기 위해 사용되는 사용자 이름, 암호 또는 인증서입니다.

자동 로그인 전자 지갑

액세스할 때 인증서를 제공하지 않고 서비스에 대해 PKI 기반 또는 암호 기반 액세스를 활성화하는 Oracle Wallet Manager 기능입니다. 이 자동 로그인 액세스는 해당 전자 지갑에 대해 자동 로그인 기능이 비활성화될 때까지 유효합니다. 파일 시스템 권한은 자동 로그인 전자 지갑에 필요한 보안을 제공합니다. 전자 지갑에 대해 자동 로그인이 활성화되면 해당 전자 지갑을 생성한 운영 체제 사용자만 전자 지갑을 사용할 수 있습니다. 일부 전자 지갑은 Single Sign-On 기능을 제공하므로 "SSO 전자 지갑"이라고 합니다. Oracle Wallet Manager는 Oracle Advanced Security 및 Oracle Application Server에서 제공되는 도구입니다.

전사적인 도메인

데이터베이스와 전사적인 롤 그룹으로 구성된 디렉토리 구조입니다. 데이터베이스는 항상 하나의 전사적인 도메인에만 있어야 합니다. 전사적인 도메인은 하나의 공통 디렉토리 데이터베이스를 공유하는 컴퓨터 모음인 Windows 2000 도메인과 다릅니다.

전사적인 도메인 관리자

새 전사적인 도메인 관리자를 추가하는 권한을 포함하여 특정 전사적인 도메인을 관리하도록 인증된 사용자입니다.

전사적인 롤

전사적인 사용자에게 지정된 액세스 권한입니다. 전사적인 도메인의 하나 이상의 데이터베이스에서 Oracle 롤 기반 인증 집합입니다. 전사적인 롤은 디렉토리에 저장되며 하나 이상의 전역 롤을 포함합니다.

전사적인 사용자

디렉토리에서 정의 및 관리되는 사용자입니다. 각 전사적인 사용자는 전사적으로 고유한 ID를 가집니다.

전송 가능한 TGT(Ticket-Granting Ticket)

Kerberos에서 FORWARDABLE 플래그가 설정된 서비스 티켓입니다. 이 플래그를 사용하면 사용자가 암호를 다시 입력할 필요없이 인증을 전송할 수 있습니다.

전역 롤

디렉토리에서 관리되는 롤이지만 해당 권한은 단일 데이터베이스 내에 있습니다. 전역 롤은 다음 구문을 사용하여 데이터베이스에서 생성됩니다.

CREATE ROLE <role_name> IDENTIFIED GLOBALLY;

전자 지갑

전자 지갑은 개별 엔티티에 대한 보안 인증서를 저장하고 관리하는데 사용되는 데이터 구조입니다. WRL(Wallet Resource Locator)은 전자 지갑을 찾는데 필요한 모든 정보를 제공합니다.

접속 문자열

접속을 위해 사용자가 서비스에 보내는 사용자 이름, 암호 및 네트 서비스 이름 등의 정보입니다. 예를 들면 다음과 같습니다.

CONNECT username/password@net_service_name

주체

Kerberos 인증서 집합이 지정된 클라이언트 또는 서버를 식별하는 문자열입니다. 일반적으로kservice/kinstance@REALM의 세 부분으로 구성되며 사용자의 경우 사용자 이름은 kservice입니다. kservice, kinstance 및 영역을 참조하십시오.

초기 티켓

Kerberos 인증 시 초기 티켓 또는 TGT(Ticket Granting Ticket)은 추가 서비스 티켓의 요청 권한에 따라 사용자를 식별합니다. 초기 티켓이 없으면 어떠한 티켓도 얻을 수 없습니다. okinit 프로그램을 실행하고 암호를 입력하면 초기 티켓이 검색됩니다.

티켓

소유자를 식별하는 데 도움이 되는 일부 정보입니다. 서비스 티켓을 참조하십시오.

포리스트

서로 신뢰하는 하나 이상의 Active Directory 트리 그룹입니다. 포리스트의 모든 트리는 공통 스키마, 구성 및 전역 카탈로그를 공유합니다. 포리스트가 여러 트리를 포함한 경우 해당 트리는 연속적인 이름 공간을 구성하지 않습니다. 지정된 포리스트의 모든 트리는 전이적 양방향 신뢰 관계를 통해 서로 신뢰합니다.

프록시 인증

방화벽과 같이 중간 계층이 있는 환경에서 일반적으로 사용되는 프로세스로, 일반 사용자는 중간 계층에 대해 인증한 다음 프록시 사용자로 디렉토리에 대해 인증합니다. 중간 계층은 프록시 사용자로 디렉토리에 로그인합니다. 프록시 사용자는 ID를 전환하고 디렉토리에 로그인한 후에 일반 사용자 ID로 전환할 수 있습니다. 그런 다음 특정 일반 사용자에 해당하는 권한을 사용하여 일반 사용자 대신 작업을 수행합니다.

항목

디렉토리의 작성 블록으로, 디렉토리 사용자에 관련된 객체 정보가 포함됩니다.

ACL(액세스 제어 목록)

사용자가 정의하는 액세스 그룹 지시어입니다. 이 지시어는 특정 클라이언트나 클라이언트 그룹 또는 둘 다에 대해 특정 데이터에 대한 액세스 레벨을 부여합니다.

DIT(디렉토리 정보 트리)

LDAP 디렉토리에 있는 항목의 DN으로 구성된 계층적 트리와 같은 구조입니다. DN(식별 이름)을 참조하십시오.

DN(식별 이름)

디렉토리 항목의 고유한 이름입니다. 디렉토리 정보 트리의 루트 항목에 이르기까지 상위 항목의 모든 개별 이름으로 구성됩니다. DIT(디렉토리 정보 트리)를 참조하십시오.

HTTP

하이퍼텍스트 전송 프로토콜로, 월드 와이드 웹에서 텍스트, 그래픽 이미지, 사운드, 비디오 및 기타 멀티미디어 파일 등을 교환하기 위한 규칙 집합입니다. 인터넷에서 정보 교환을 위한 기본 요소인 TCP/IP 프로토콜과 비교하여 HTTP는 응용 프로그램 프로토콜입니다.

HTTPS

일반 HTTP 응용 프로그램 층에서 SSL(Secure Socket Layer)을 하위 층으로 사용합니다.

ID

엔티티에 대한 공개 키 및 기타 공개 정보의 조합입니다. 공개 정보에는 전자 메일 주소와 같은 사용자 식별 데이터가 포함됩니다. 사용자는 필요한 경우 엔티티로 인증됩니다.

ID 관리

온라인 또는 디지털 엔티티의 생성, 관리 및 사용 과정입니다. ID 관리에는 생성(디지털 ID 프로비전)에서 관리(전자 리소스 액세스와 관련된 조직 정책 적용) 및 종료에 이르는 디지털 ID의 전체 수명 주기를 안전하게 관리하는 과정이 포함됩니다.

ID 관리 영역

Oracle Internet Directory의 하위 트리로, Oracle Context를 비롯한 사용자 및 그룹의 추가 하위 트리를 포함합니다. 각 트리는 ACL(액세스 제어 목록)로 보호됩니다.

KDC

Key Distribution Center(키 배포 센터)의 약어입니다. Kerberos 인증 시 KDC는 사용자 주체 목록을 관리하고 kinit(okinit는 Oracle 버전) 프로그램을 통해 사용자의 초기 티켓에 연결됩니다. KDC 및 Ticket Granting Service는 동일한 엔티티로 결합되며 간단히 KDC라고 부릅니다. Ticket Granting Service는 서비스 주체 목록을 관리하며 사용자가 이러한 서비스를 제공할 서버를 인증하려고 할 때 연결됩니다. KDC는 반드시 안전한 호스트에서 실행되어야 하는 신뢰할 수 있는 인증 기관으로, TGT(Ticket-Granting Tickets) 및 서비스 티켓을 생성합니다.

Kerberos

분산 환경에서 보안을 강화하도록 Massachusetts Institute의 Technology's Project Athena로 개발된 네트워크 인증 서비스입니다. Kerberos는 신뢰받는 타사 인증 시스템으로 공유 보안을 기반으로 하며 안전성을 보장합니다. 또한 사용자에게 Single Sign-On 기능 및 데이터베이스 링크 인증을 제공하고(MIT Kerberos의 경우에만) 중앙 암호 저장 영역을 제공하며 컴퓨터 보안을 강화합니다.

keytab 파일

하나 이상의 서비스 키를 포함하는 Kerberos 키 테이블 파일입니다. 호스트 또는 서비스는 사용자가 자신의 암호를 사용하는 것과 같은 방법으로 keytab 파일을 사용합니다.

kinstance

Kerberos 인증 서비스의 인스턴스화 또는 위치입니다. 임의의 문자열이지만 일반적으로 서비스의 호스트 시스템 이름이 지정됩니다.

kservice

임의의 Kerberos 서비스 객체 이름입니다.

LDAP

LDAP(Lightweight Directory Access Protocol)를 참조하십시오.

ldap.ora 파일

Oracle Net Configuration Assistant에서 생성하는 파일이며 다음과 같은 디렉토리 서버 액세스 정보를 포함합니다.

• 디렉토리 서버의 유형

• 디렉토리 서버의 위치

• 클라이언트 또는 서버에서 사용할 기본 ID 관리 영역 또는 포트를 포함한 Oracle Context입니다.

LDAP(Lightweight Directory Access Protocol)

확장 가능한 표준 디렉토리 액세스 프로토콜입니다. 이 프로토콜은 LDAP 클라이언트 및 서버가 통신하기 위해 사용하는 공통 언어입니다. Oracle Internet Directory 같은 산업 표준 디렉토리 제품을 지원하는 디자인 규칙 프레임워크입니다.

listener.ora 파일

다음을 식별하는 리스너의 구성 파일입니다.

• 리스너 이름

• 접속 요청을 수락하는 프로토콜 주소

• 리스너가 수신하는 서비스

listener.ora 파일은 일반적으로 UNIX 플랫폼의 $ORACLE_HOME/network/admin 및 Windows의 ORACLE_BASE\ORACLE_HOME\network\admin에 있습니다.

Oracle Context

1. cn=OracleContext라는 LDAP 호환 인터넷 디렉토리의 항목으로, 모든 Oracle 소프트웨어 관련 정보를 보관합니다.

한 디렉토리에 하나 이상의 Oracle Context가 있을 수 있으며 일반적으로 ID 관리 영역에 위치합니다.

PKI

PKI(공개 키 기반 구조)를 참조하십시오.

PKI(공개 키 기반 구조)

공개 키 암호화의 원리를 사용하는 정보 보안 기술입니다. 공개 키 암호화에는 공유 공개/개인 키 쌍을 사용하여 정보를 암호화/해제하는 과정이 포함됩니다. 공용 네트워크 내에서 안전한 개인 통신을 제공합니다.

SSL(Secure Socket Layer)

네트워크 접속 보안을 위해 Netscape Communications Corporation에서 설계한 산업 표준 프로토콜입니다. SSL은 PKI(공개 키 기반 구조)를 사용하여 인증, 암호화 및 데이터 무결성을 제공합니다.

SSO(Single Sign-On)

사용자를 한 번만 인증하면 다른 데이터베이스 또는 응용 프로그램에 연속적으로 접속할 때 투명하게 발생하는 강력한 인증과 결합되는 기능입니다. Single Sign-On을 사용하면 사용자가 단일 접속 동안 입력했던 단일 암호를 사용하여 여러 계정 및 응용 프로그램에 액세스할 수 있습니다(단일 암호, 단일 인증).

sqlnet.ora 파일

다음을 지정하는 클라이언트 또는 서버의 구성 파일입니다.

• 비정규화된 서비스 이름 또는 네트 서비스 이름에 첨부되는 클라이언트 도메인

• 클라이언트가 이름을 확인할 때 사용하는 이름 지정 방법의 순서

• 사용할 로깅 및 추적 기능

• 접속 경로

• 기본 Oracle Names Server

• 외부 이름 지정 매개변수

• Oracle Advanced Security 매개변수

sqlnet.ora 파일은 일반적으로 UNIX 플랫폼의 $ORACLE_HOME/network/admin 및 Windows 플랫폼의 ORACLE_BASE\ORACLE_HOME\network\admin 에 있습니다.

SSO

SSO(Single Sign-On)를 참조하십시오.

SGA(시스템 글로벌 영역)

Oracle 인스턴스에 대한 데이터 및 제어 정보를 포함하는 공유 메모리 구조 그룹입니다.

SID(시스템 식별자)

Oracle 인스턴스의 고유 이름입니다.

WRL(Wallet Resource Locator)

WRL(Wallet Resource Locator)은 전자 지갑을 찾는데 필요한 모든 정보를 제공합니다. 전자 지갑이 있는 운영 체제 디렉토리 경로입니다.