DevOps 지식 허브
DevOps 지식 허브

로컬 사용자와 중앙 집중식 인증 비교: 올바른 Linux 설정 선택

Linux 환경에서 로컬 `/etc/passwd` 사용자 관리와 LDAP 또는 Active Directory를 활용한 중앙 집중식 인증 사이의 중대한 결정을 심층적으로 다룹니다. 이 가이드는 두 설정 모두의 장점, 단점, 확장성 문제 및 보안 측면을 상세히 설명합니다. SSSD의 역할을 포함하여, 로컬의 단순함을 선택할 시점과 디렉터리 서비스가 제공하는 필수적인 일관성을 선택할 시점에 대한 실용적인 지침을 얻으십시오.

40 조회수

로컬 사용자 vs. 중앙 집중식 인증: 올바른 Linux 설정 선택

사용자 ID 및 접근 제어를 관리하는 것은 Linux 시스템 관리의 기본적인 작업입니다. 성장하는 모든 환경에서 핵심 결정은 종종 사용자 인증 방식에 달려 있습니다. 각 머신에서 개별적으로 관리되어야 하는지(로컬 인증), 아니면 단일하고 권위 있는 소스에서 관리되어야 하는지(중앙 집중식 인증) 말이죠.

이 글은 전통적인 /etc/passwd 파일 구조에 의존하는 방식과 LDAP 또는 Active Directory와 같은 디렉터리 서비스를 통합하는 두 가지 주요 방법을 포괄적으로 비교합니다. 확장성, 보안 및 관리 오버헤드에 대한 장단점을 이해하는 것은 조직의 특정 요구 사항에 맞는 최적의 인증 전략을 선택하는 데 중요합니다.

로컬 인증 이해 (/etc/passwd 모델)

로컬 사용자 관리는 독립 실행형 Linux 머신에서 사용자 계정을 처리하는 기본적이고 가장 간단한 방법입니다. 모든 사용자 및 그룹 정보는 로컬 파일 시스템에 직접 저장됩니다.

로컬 인증 작동 방식

사용자 자격 증명, 사용자 ID(UID), 그룹 ID(GID), 홈 디렉터리 및 기본 셸은 특정 시스템 파일 내에서 관리됩니다.

  • /etc/passwd: 필수 사용자 계정 정보(사용자 이름, UID, GID, 홈 디렉터리, 셸)를 저장합니다.
  • /etc/shadow: 암호화된 비밀번호 해시와 비밀번호 만료 정보를 저장합니다(이 파일은 root만 읽을 수 있습니다).
  • /etc/group: 그룹 정보를 저장합니다.

로컬 인증의 장점

  1. 단순성과 속도: 한두 대의 머신에 설정하기 매우 쉽습니다. 사용자 추가는 useradd와 같은 도구를 사용하거나 파일을 수동으로 편집하는 것만큼 간단합니다(도구 사용이 선호됨).
  2. 오프라인 가용성: 네트워크가 다운되거나 중앙 인증 서버에 연결할 수 없는 경우에도 사용자가 로그인할 수 있습니다.
  3. 외부 종속성 없음: 추가 인프라, 전용 서버 또는 복잡한 네트워크 구성이 필요하지 않습니다.

로컬 인증의 단점

  1. 확장성 악몽: 수십 또는 수백 대의 서버가 있는 환경에서는 일관성을 유지하는 것이 불가능해집니다. 사용자가 20대의 서버에 접근해야 한다면, 20개의 별개이고 동일한 계정을 가져야 합니다.
  2. 보안 위험: 접근 권한을 취소하려면 영향을 받는 모든 머신에 개별적으로 로그인해야 합니다. 하나의 서버를 잊으면 승인되지 않은 계정이 활성 상태로 남습니다.
  3. 일관성 없는 UID/GID: 여러 시스템에 걸쳐 UID를 수동으로 관리하면 종종 충돌이 발생하여 파일 시스템(예: NFS)을 공유할 때 권한 문제가 생깁니다.

실용적인 예: 로컬 사용자 추가

analyst1이라는 새 사용자를 로컬로 추가하려면:

sudo useradd -m -s /bin/bash analyst1
sudo passwd analyst1
# Set the password when prompted

중앙 집중식 인증 이해

중앙 집중식 인증은 사용자 ID를 확인하는 책임을 전용의 네트워크 접근 가능한 서비스에 위임합니다. 사용자가 Linux 머신에 로그인하려고 할 때, 해당 머신은 중앙 디렉터리 서버에 확인을 요청합니다.

주요 중앙 집중식 기술

Linux 환경에서 중앙 집중식 인증을 지배하는 두 가지 주요 기술은 다음과 같습니다.

  1. LDAP (Lightweight Directory Access Protocol): OpenLDAP과 같은 도구를 사용하여 종종 구현되는 공급업체 중립적인 프로토콜입니다. 매우 유연하지만 상당한 설정과 지식이 필요합니다.
  2. Active Directory (AD): Microsoft의 독점 디렉터리 서비스입니다. Linux 머신은 주로 Kerberos를 사용하여 기본 인증을 수행하고, SSSD 또는 Winbind를 사용하여 AD 사용자를 로컬 POSIX 속성에 매핑함으로써 AD와 통합할 수 있습니다.

중앙 집중식 인증의 장점

  1. 단일 진실 공급원: 사용자 생성, 수정 및 삭제가 한 곳에서 이루어져 모든 연결된 시스템에서 즉각적인 일관성을 보장합니다.
  2. 확장성: 사용자당 관리 오버헤드를 늘리지 않고도 5대의 서버에서 5천 대의 서버로 쉽게 확장할 수 있습니다.
  3. 향상된 보안 및 규정 준수: 기업 전체에서 접근 권한 취소가 즉시 이루어집니다. 중앙 집중식 시스템은 고급 보안 정책(예: MFA, 복잡한 비밀번호 요구 사항)과 쉽게 통합됩니다.
  4. UID/GID 일관성: 중앙 집중식 시스템은 POSIX 속성(UID, GID, 홈 디렉터리)을 중앙에서 관리하여 공유 스토리지를 사용할 때 충돌을 제거합니다.

중앙 집중식 인증의 단점

  1. 네트워크 종속성: 디렉터리 서버나 네트워크 연결이 실패하면 중앙 집중식 자격 증명에만 의존하는 사용자는 로그인할 수 없을 수 있습니다(캐싱으로 완화 가능, 아래 SSSD 참조).
  2. 복잡성: 초기 설정에는 전용 인프라, 네트워크 구성 및 특수 클라이언트 소프트웨어(예: SSSD 또는 Kerberos 라이브러리)가 필요합니다.
  3. 초기 비용: LDAP는 오픈 소스일 수 있지만, 강력한 AD 환경을 설정하고 유지 관리하는 데는 라이선스 및 전문 지식이 필요합니다.

올바른 전략 선택: 환경 규모 및 요구 사항

최적의 선택은 조직의 규모, 복잡성 및 보안 요구 사항에 따라 크게 달라집니다.

특징 로컬 인증 (/etc/passwd) 중앙 집중식 인증 (LDAP/AD)
환경 규모 1–5 서버 5+ 서버 / 엔터프라이즈
관리 오버헤드 높음 (서버별 유지 관리) 낮음 (단일 제어 지점)
보안 정책 시행 일관성 시행 어려움 우수 (전역 정책)
오프라인 접근 우수 캐싱 필요 (예: SSSD)
초기 설정 난이도 매우 낮음 높음

로컬 인증 사용 시기

로컬 인증은 다음 상황에 이상적입니다:

  • 작은 연구실 또는 개인 워크스테이션: 한두 명의 신뢰할 수 있는 사용자만 접근해야 하는 환경.
  • 고립된 시스템: 디렉터리 서버로의 네트워크 연결이 불가능하거나 바람직하지 않은 에어갭 머신 또는 IoT 장치.
  • 임시 배스천 호스트: 완전한 디렉터리 통합 스택을 배포하기에는 과도한, 잠시 사용되는 시스템.

중앙 집중식 인증 구현 시기

중앙 집중식 인증은 다음 상황에 필수적입니다:

  • 기업 환경: 사용자가 여러 서버, 네트워크 공유 또는 서비스에 접근해야 하는 모든 환경.
  • 규정 준수 요구 사항: 일관된 접근 제어 및 감사 추적이 필수적인 감사 또는 엄격한 규정 준수 대상 환경.
  • 대규모 배포: 사용자 라이프사이클(온보딩/오프보딩) 관리가 즉각적이고 자동화되어야 하는 경우.

중앙 집중식 인증 구현: 주요 도구

AD 또는 LDAP와 통합하는 최신 Linux 시스템의 경우, sssd (System Security Services Daemon) 패키지가 업계 표준 클라이언트입니다. 이는 nss_ldappam_ldap와 같은 이전 도구를 대체합니다.

SSSD의 역할

SSSD는 로컬 시스템 서비스와 원격 디렉터리 제공업체(LDAP 또는 AD) 사이의 다리 역할을 합니다. 주요 기능은 다음과 같습니다.

  1. 캐싱: SSSD는 인증 데이터를 로컬에 캐시합니다. 디렉터리 서버와의 연결이 끊어져도 최근에 로그인한 사용자는 구성된 기간 동안 로컬로 계속 인증할 수 있어 오프라인 접근 단점을 해결합니다.
  2. PAM/NSS 통합: Pluggable Authentication Modules(PAM) 및 Name Service Switch(NSS)와 원활하게 통합되어 표준 Linux 명령(login, ssh)이 원격 계정과 투명하게 작동하도록 합니다.

실용적인 예: SSSD 구성 스니펫 (개념)

Active Directory와 통합하는 것은 종종 SSSD가 Kerberos를 인증에 사용하고 AD 도메인에 연결하도록 구성하는 것을 포함합니다. 구성 파일이 방대하더라도 핵심 아이디어는 연결을 설정하는 것입니다:

# /etc/sssd/sssd.conf snippet for AD integration
[domain/example.com]
cache_credentials = True
ldap_search_base = dc=example,dc=com
auth_to_local = match_user

[sssd]
services = nss, pam
domain_blacklist = 169.254.169.254

사용자 관리 모범 사례

선택한 경로에 관계없이 다음 모범 사례를 준수하십시오.

  • Root 사용 피하기: 일상적인 관리 작업에 로컬 root 계정을 사용하지 마십시오. 중앙 집중식 계정과 sudo 메커니즘을 활용하십시오.
  • 정기 감사: 로컬 계정을 사용하는 경우, /etc/passwd/etc/shadow에서 무단 또는 오래된 항목이 있는지 정기적으로 감사하십시오.
  • 최소 권한의 원칙: 사용자에게 역할에 필요한 최소한의 권한만 부여되도록 하십시오. 중앙 집중식 시스템은 그룹 멤버십을 통해 이를 더 쉽게 시행할 수 있습니다.
  • UID 표준화: 중앙 집중식 계정과 함께 로컬 계정을 사용해야 하는 경우, 로컬 UID가 중앙 집중식 사용자를 위해 예약된 표준 범위(예: 1000 이상)와 겹치지 않도록 하십시오.

결론

작고 정적인 환경에서는 로컬 /etc/passwd 관리의 단순성이 매력적입니다. 그러나 조직이 여러 Linux 시스템에 걸쳐 일관된 접근 관리를 필요로 하는 순간, LDAP 또는 Active Directory를 통한 중앙 집중식 인증은 사치가 아닌 필수가 됩니다.

SSSD와 같은 최신 도구를 활용함으로써 관리자는 디렉터리 서비스의 확장성 및 보안 이점을 얻는 동시에 완전한 네트워크 장애의 위험을 완화하여 강력하고 관리하기 쉬운 Linux 인프라를 위한 길을 열 수 있습니다.