NAS로 파일서버 4부 - 권한설정 by NASCafe

공유폴더를 조직의 사용자에게 합리적으로 보안 성을 유지하면서 권한을 관리하는 것이 다소 복잡하게 느껴질 수 있습니다. 단순하게 구성할 수도 있고 업무내용이 복잡하고 사용자가 소속된 팀이나 임시적 프로젝트가 병행되는 경우 등에서는 용량 관리 및 권한관리가 잘 정리된 테이블에 입각하지 않으면 혼선을 빚을 수 있으므로 사전에 체계적인 계획서를 만들어 두고 운영할 필요가 있습니다.

 

또한 보안 성 강화를 위하여 아래사항을 염두에 두고 반영하도록 합니다.

 

[TiP] 공유를 기초로 한 파일서버의 기본 목적상 공유는 보안과 배치될 수 밖에 없습니다. 업무 효율을 위하여 공유를 하면서도 보안 성을 유지하기 위하여 체계적인 폴더 접속 권한 체계를 구축하여야 합니다. 이것은 NAS ACL관리에서 설정합니다.

[TiP]아이디 비번만으로 불안한 경우 몇 가지 추가적인 보안 성을 갖출 수 있습니다. 특정 IP의 접속을 차단하던가 아니면 정해진 IP주소로만 접속을 가능하게 하여 보안 성을 강화할 수 있습니다.

[TiP]내부에서만 사용한다면 웹 서버, 웹파일메니저 등의 기능은 비활성화하고 ssh, telnet도 필요할 경우만 오픈하고 평소엔 모두 비활성화하여 해킹의 위험을 줄이는 것이 좋습니다.

[TiP]외부 접속이 필요하더라도 공유기에서 DMZ로 하지 말고 필요한 포트만 포워딩 하여 사용합니다. 이 역시 불필요한 포트들이 외부에 개방되어 해킹이나 좀비로 운영되지 않도록 예방 차원입니다.

[TiP]수시로 로그정보를 점검하여 이상한 접속시도가 있는지 점검합니다.

[TiP]휴지통 기능을 활성화하여 실수로 지운 파일의 복원을 가능하도록 합니다. 그리고 휴지통은 평소에는 관리자만 권한을 가지도록 합니다.

 

권한관리(ACL)의 설명은 아래와 같이 예를 기준으로 테이블정리를 해보도록 하겠습니다.

 

예를 들어 전산부에 a1,,,a10이 있고

회계팀에 b1,,,b5가 있고

두 부서가 공유할 자료가 있고 공유하지 말아야 할 것이 있다면

 

먼저 사용자 계정을 a1,,,a10,,b1,,,b5를 생성하고

공유폴더를 A(전산), B(회계), P(모두)를 생성하고

 

A폴더 액세스 제어에서 사용자 계정 a1,,,a10 각각 등록하면서 읽기전용, 읽기/쓰기, 거부를 설정합니다.

B 마찬가지 입니다.

P 손님액세스 완전한 액세스로 하면 모든 사람이 들어오므로 방문자에게도 오픈 됩니다.

그러므로 가능한 손님 액세스는 거부하고 P폴더에 모든 아이디를 액세스로 일일이 등록하시는 것이 옳습니다.

 

이 등록 과정이 불편하여 편리하게 하고자 할 경우 그룹 아이디를 사용하는데

 

그룹아이디를 GA, GB를 생성학고

그룹아이디 GA a1,,,10를 포함하고 GB b1,,b5를 포함하여

 

A폴더에 GA를 권한 등록하면 등록 과정은 편리하지만 문제는 혼란스러울 수 있으므로 ACL테이블을 마리 만들어 정책적으로 잘 관리하여야 합니다.

A폴더에 GA를 읽기/쓰기 주고 a2를 거부로 하시면 a2 A그룹이지만 A폴더에 접근이 안됩니다. 비허용 우선으로 권한이 적용됩니다.

 

[TiP] 그룹등록은 실제 로그인은 안되지만 권한 설정을 집단으로 적용할 수 있도록 하는 기능입니다.

 

계정 ACL테이블

l  계정a01 A그룹소속이면서 project1 참가

l  계정c01 A그룹소속이면서 project1,2 동시참가

폴더 ACL테이블

l  A,B,,,팀이나 부서를 위한 공유 그룹폴더

l  P1,P2,,, 특정 프로젝트 단위로 공유할 폴더

l  Fa01,,,, 순수 개인용 폴더

l  [tip] 대부분의 NAS 최상위 폴더에 대해서만 권한설정이 가능합니다. 그러나 Thecus NAS제품들은 1 하위폴더에도 권한설정이 가능합니다.

 

사용자는 자신의 그룹아이디로 로그인하지 않고 반드시 개인 아이디로 로그인하여야 합니다.

위 테이블에서 c01이 최초로 NAS에 접속(윈도우 탐색기상 네트워크 환경에서 찾아서 클릭 또는 시작>실행에서 \\ip주소\Fc01) 하면

자신의 개인폴더 Fc01, 그룹폴더 C, 프로젝트 폴더 P1, P2에 들어갈 수 있습니다.

계정테이블에서 c01 GC, GP1, GP2에 소속되었기 때문입니다.

 

, P2폴더의 파일은 읽기전용으로만 액세스됩니다. 왜냐하면 폴더 ACL테이블에서 P2폴더에 대한 소유자가 GP2이고 c01 GP2 소속이지만 차별아이디에서 c01 read Only이기 때문입니다.

 

또한 b1,b6 B그룹 소속이지만 A그룹 폴더 A에 읽기쓰기 권한을 가집니다.

또한 a5,a6,,a10 A그룹 소속이지만 A폴더의 파일을 읽기만 가능하며 a7,a8는 아예 폴더를 열 수 없습니다.

 

이상의 복잡한 권한 테이블 관리는 위와 같은 정책테이블을 먼저 만든 후 NAS의 공유폴더 관리, 그룹아이디 관리, 사용자아이디 관리에서 설정하면 됩니다.

1.        사용자계정 등록

2.        그룹 등록

3.        그룹에 사용자 소속 추가

4.        공유폴더 생성

5.        공유폴더에 그룹 권한 설정

6.        공유폴더에 차별적 사용자 계정 권한 설정

7.        개인용 공유폴더에 개인 사용자 계정 권한 추가

 

의 순서로 하시면 됩니다. 이 순서를 바꾸어 작업하면 혼란을 초래할 수도 있습니다.

 

정교한 정책은 NAS 의 가치를 한층 높은 수준에서 활용하실 수 있도록 합니다. 서버에 대한 전문적인 기술이 필요한 것이 아니라 위와 같은 정교한 정책의 구성이 더욱 필요한 장비가 NAS입니다.



덧글

댓글 입력 영역

NASCafe


NAS공동구매

ostation_banner

나스카페