Cisco Cisco Email Security Appliance C190 User Guide
25-33
Cisco AsyncOS 9.1 for Email 사용 설명서
25 장 LDAP 쿼리
SMTP 인증을 위한 AsyncOS 구성
•
•
•
SMTP 인증 구성
LDAP 서버를 인증하려는 경우 Add LDAP Server Profile(LDAP 서버 프로파일 추가) 또는 Edit
LDAP Server Profile(LDAP 서버 프로파일 편집) 페이지에서 SMTPAUTH 쿼리 유형을 선택하거나
LDAP Server Profile(LDAP 서버 프로파일 편집) 페이지에서 SMTPAUTH 쿼리 유형을 선택하거나
ldapconfig
명령을 사용하여 SMTP 인증 쿼리를 생성합니다. 구성한 LDAP 서버마다 SMTP 인증
프로파일로 사용할 SMTPAUTH 쿼리를 구성할 수 있습니다.
SMTP 인증 쿼리는 LDAP 바인딩과 특성으로 비밀번호 사용하는 방식을 사용합니다. 특성으로 비
밀번호를 사용하는 경우 어플라이언스는 LDAP 디렉토리에서 비밀번호 필드를 가져옵니다. 비밀
번호는 일반 텍스트로 저장되고 암호화되거나 해시될 수 있습니다. LDAP 바인딩을 사용할 때 어
플라이언스는 클라이언트가 제공한 자격 증명을 사용하여 LDAP 서버에 로그인합니다.
밀번호를 사용하는 경우 어플라이언스는 LDAP 디렉토리에서 비밀번호 필드를 가져옵니다. 비밀
번호는 일반 텍스트로 저장되고 암호화되거나 해시될 수 있습니다. LDAP 바인딩을 사용할 때 어
플라이언스는 클라이언트가 제공한 자격 증명을 사용하여 LDAP 서버에 로그인합니다.
관련 주제
•
비밀번호를 특성으로 지정
OpenLDAP에서 규칙은 RFC 2307을 따르며 인코딩된 비밀번호에 중괄호로 묶인 코딩 유형이 앞에
추가되는 방식입니다(예: "{SHA}5en6G6MezRroT3XKqkdPOmY/BfQ="). 이 예에서 비밀번호 부분
은 SHA를 적용한 이후에 일반 텍스트 비밀번호를 base64 인코딩했습니다.
추가되는 방식입니다(예: "{SHA}5en6G6MezRroT3XKqkdPOmY/BfQ="). 이 예에서 비밀번호 부분
은 SHA를 적용한 이후에 일반 텍스트 비밀번호를 base64 인코딩했습니다.
어플라이언스는 비밀번호를 얻기 전에 SASL 메커니즘과 MUA와 협상하고 어플라이언스와 MUA
는 사용 방법을 결정합니다(LOGIN, PLAIN, MD5, SHA, SSHA 및 CRYPT SASL 메커니즘이 지원
됨). 그런 다음 어플라이언스는 비밀번호를 가져오기 위해 LDAP 데이터베이스를 쿼리합니다.
LDAP에서 비밀번호에는 중괄호로 묶인 접두사가 포함될 수 있습니다.
는 사용 방법을 결정합니다(LOGIN, PLAIN, MD5, SHA, SSHA 및 CRYPT SASL 메커니즘이 지원
됨). 그런 다음 어플라이언스는 비밀번호를 가져오기 위해 LDAP 데이터베이스를 쿼리합니다.
LDAP에서 비밀번호에는 중괄호로 묶인 접두사가 포함될 수 있습니다.
•
접두사가 없는 경우, 어플라이언스는 비밀번호가 일반 텍스트로 LDAP에 저장되어 있다고 가
정합니다.
정합니다.
•
접두사가 있는 경우, 어플라이언스는 해시된 비밀번호를 가져오고 MUA가 제공한 사용자 이
름 및/또는 비밀번호에 해시를 수행하고 해시된 버전을 비교합니다. 어플라이언스는 비밀번호
필드에서 해시된 비밀번호 앞에 해시 메커니즘 유형을 추가하는 RFC 2307 규칙에 따라 SHA1
및 MD5 해시 유형을 지원합니다.
름 및/또는 비밀번호에 해시를 수행하고 해시된 버전을 비교합니다. 어플라이언스는 비밀번호
필드에서 해시된 비밀번호 앞에 해시 메커니즘 유형을 추가하는 RFC 2307 규칙에 따라 SHA1
및 MD5 해시 유형을 지원합니다.
•
일부 LDAP 서버(예: OpenWave LDAP 서버)는 암호화된 비밀번호 앞에 암호화 유형을 붙이지
않습니다. 대신, 암호화 유형을 별도의 LDAP 특성으로 저장합니다. 이러한 경우, 비밀번호를
SMTP 대화에서 얻은 비밀번호와 비교할 때 어플라이언스가 가정할 기본 SMTP AUTH 암호화
방법을 지정할 수 있습니다.
않습니다. 대신, 암호화 유형을 별도의 LDAP 특성으로 저장합니다. 이러한 경우, 비밀번호를
SMTP 대화에서 얻은 비밀번호와 비교할 때 어플라이언스가 가정할 기본 SMTP AUTH 암호화
방법을 지정할 수 있습니다.
어플라이언스는 SMTP 인증 Exchange에서 임의의 사용자 이름을 가져와 지워졌거나 해시된 비밀
번호 필드를 가져오는 LDAP 쿼리로 변환합니다. 그런 다음 SMTP 인증 자격 증명에서 제공된 비
밀번호에 필요한 해시를 수행하고 이 결과를 LDAP에서 검색한 결과와 비교합니다(해시 유형 태
그 포함, 가능한 경우 제거됨). 결과가 일치하는 경우 SMTP 인증 대화가 계속 진행됩니다. 결과가
일치하지 않으면 오류 코드가 발생합니다.
번호 필드를 가져오는 LDAP 쿼리로 변환합니다. 그런 다음 SMTP 인증 자격 증명에서 제공된 비
밀번호에 필요한 해시를 수행하고 이 결과를 LDAP에서 검색한 결과와 비교합니다(해시 유형 태
그 포함, 가능한 경우 제거됨). 결과가 일치하는 경우 SMTP 인증 대화가 계속 진행됩니다. 결과가
일치하지 않으면 오류 코드가 발생합니다.