나는 기본적으로 Active Directory가 인증을 위해 Kerberos 프로토콜을 사용한다는 것을 알고 있습니다. 나는 기본적으로 LDAP가 승인을 위해 Active Directory에 의해 사용된다고 들었다. 그러나 Active Directory에서 권한 부여를 위해 사용하는 프로토콜을 명시한 소스 나 소스를 찾을 수 없습니다.
답변:
나는 LDAP 주장이 잘못되었다고 생각한다. 승인을위한 특정 프로토콜을 인식하지 못하고 있습니다. 다음과 같이 작동합니다.
Active Directory 사용자 인증은 무단 액세스로부터 리소스를 보호합니다. 사용자 인증 프로세스 후 실제로 부여되는 액세스 유형은 사용자에게 할당 된 사용자 권한과 액세스하려는 개체에 부여 된 사용 권한에 따라 결정됩니다. 각 개체에는 연관된 액세스 제어 목록이 있습니다.
DACL- 임의 액세스 제어 목록 (DACL)은 특정 개체에 대한 액세스가 허용되거나 거부되는 사용자 계정, 그룹 목록을 지정합니다.
SACL - 시스템 액세스 제어 목록 (SACL)은 사용자 또는 그룹에 대해 감사해야하는 읽기, 쓰기 또는 삭제와 같은 작업을 정의합니다.
각 목록은 사용자 또는 그룹에 대해 허용 또는 거부 된 사용 권한을 나열하는 액세스 제어 항목으로 구성됩니다. 사용자가 로그온 할 때마다 사용자에 대한 액세스 토큰이 만들어집니다. 액세스 토큰은 개별 SID, 그룹 SID 및 사용자 권한으로 구성됩니다.
사용자가 특정 개체에 대한 액세스를 요청하면 액세스 토큰의 개별 SID 및 그룹 SID가 DACL 항목과 비교되어 사용자가 명시 적으로 액세스가 거부되었는지 확인합니다. 그런 다음 요청 된 액세스가 특별히 허용 될 수 있는지 확인합니다. 이러한 단계는 액세스 권한이 없거나 자원에 대한 액세스 권한을 부여하기에 충분한 정보가 수집 될 때까지 반복됩니다.