6월 27일 특정 계정으로 웹 서버 홈디렉토리, EFS 실습

홈폴더 : 리눅스의 홈 디렉토리와 동일. 단, 리눅스와 달리 사용자를 추가해도 자동으로 

         생성되지 않고 수동으로 만들어주어야 한다.

 

사용목적 : 보안상 이유로 각자의 PC에 데이터를 저장치 않고, 반드시 회사 내 파일 서버에

            있는 홈 폴더에 저장을 하게 한다.

<실습1> 모든 직원은 boston의 홈 폴더 하위의 자신의 아이디와 동일한 폴더에 

        파일을 저장하자. 

자신이 만든 파일에 대해서는 모든 권한이며, 다른 사용자가 만든 파일은 읽기만 하자.

<실습2> http://blog.northwind.com/user4 강소라의 개인 블로그 만들기

목적: srv2 서버에 위치한 개인 홈폴더를 사용자의 개인 블로그로 만들자

2-1) srv2 서버에 홈 폴더를 생성하고 공유설정(모든 권한)

2-2) 강소라 프로필 속성 편집 \\boston\홈\%username% 적용

2-3) IIS 역할 추가: 기본설정에서 경로를 변경해 준다.

2-4) DNS서버(london)에서 srv2 호스트 blog 추가 

2-5) srv3 서버에서 user4로 로그온하여 메모장을 이용해 default.htm파일을 만들고

2-6) 자신의 홈 폴더로 전송한다.

2-7) http://blog.northwind.com/user4\로 엑세스하면 장그래 블로그를 볼 수 있다.

*DNS: 숫자로 구성된 IP주소는 암기, 사용하기 불편하기 때문에 고안된 이름풀이 서빗

컴퓨터 이름 1) 호스트 이름: 라우팅 가능한 이름 FQDN형식

www.naver.com => IP주소

            2) NetBIOS : 랜 전용 

실습 시작 . 

2-1) srv2 서버에 홈 폴더를 생성하고 공유설정(모든 권한)

=> 폴더를 생성하고 우클릭-고급공유-권환을 클릭하여 모든 권한 설정.

2-2) 해당 유저 프로필 속성 편집 \\boston\홈\%username% 적용

=> 해당 유저 속성(서버 관리 AD DS - 사용자 및 컴퓨터- northwind 사용자-사업부

-유저 변요한 더블 클릭. 아래에 연결을 체크하고 디렉토리를 설정한다.

2-3) IIS 역할 추가: 기본설정에서 경로를 변경해 준다.

2-4) DNS서버(london)에서 srv2 호스트 blog 추가 

blog라고 입력하면 FQDN에 아래와 같이 입력이 되다. domain 이름이 northwind.com이기 때문이다.

2-5) srv3 서버에서 user4로 로그온하여 메모장을 이용해 default.htm파일을 만들고

2-6) 자신의 홈 폴더로 전송한다.

2-7) http://blog.northwind.com/user4\로 엑세스하면 장그래 블로그를 볼 수 있다.

user3에서 추가한 웹 페이지 모습

AD DS에서 user 생성 시 명령어로 생성이 가능하다.

먼저 dsadd ou "ou=영업부,dc=northwind,dc=com"

=> northwind - 조직구성단위에 영업부를 생성.

 cn           = command.

 ou           = 고객 명. 

 dc           = domain control.

 upn          = 사용자 도메인 이름(확실치 않음)?

 samid       = sam 파일. 

 pwd         = 패스워드.

 canchpwd   = 패스워드 정책?(확실치 않음).

 

 파일 암호화 EFS(Encrypt >< 복호화)

 스니핑을 해도 내용을 알 수 없게 하는 것

 - 공개키 = 이중키, 공개키로 암호화하여 개인키로 복화화하는 방식. 소인수분해

            한국은 전자상거래 결제시에는 반드시 공개키 방식이어야 한다.

(계좌이체) 구축 비용이 비싸다. 공인인증서 

 

 - 단일키(개인키) = 비밀키, 암호화와 복호화를 할 때 사용하는 키가 동일하다.

                    빠르다. 키가 하나이므로 분실하면 안 된다.

(예1) 특정 서버(srv2)에 user1 사원이 담당하는 2018년 신규 프로젝트 파일이 저장되어 있다.

      비밀을 유지하기 위해 장그래는 파일 암호화를 사용했다. 발표전까지는 자신 이외에 아무도

      볼 수 없다.

* 특정 사용자로서 로그온을 하여 새 파일을 만들고 (파일 소유권을 가진다.)

  암호화 속성을 사용. ---> 자신 외에는 아무도 해당 파일을 열어 볼 수 없다.

  ---> 사용권한도 변경이 된다. 

  

  northwind\user2 로 로그온하여 장그래 파일 열어보자.

  northwind\administrator로 로그온하여 장그래 파일 열어보자.

  => 일단, 둘 다 안됨. 엑세스 거부 됨. 

(예2) 만약 관리자가 실수로 장그래의 계정을 삭제했다면 암호화된 파일을 열기 위해 

      동일한 속성의 장그래 계정을 다시 만들더라도 열 수 없다.

(이유) 모든 개체가 최초 생성될 당시 고유번호를 발급받게 된다. SID는 절대 중복 사용될 수 없다.

        또한 한 번 삭제된 SID는 다시 만들 수도 없다.

-rwxrwxr-x 파일소유권을 가진 살망이 모든 권한 Full Control

==> 파일 복구 에이젼트

SID 장그래 계정 삭제와 동시에 SID도 함께 삭제 --> 복구 x

=============================================================

S-1-5-21-680965171-1554889309-1836984643-1104

SID

=============================================================

S-1-5-21-680965171-1554889309-1836984643-1105

다음과 같은 실습 진행하기 

<실습>

Srv3 서버의 C:\home 폴더 생성

user2의 속성을 편집 \\Srv3\\home\%username% 개인 홈폴더 생성

자신의 홈폴더를 암호화하고 인증서를 [USB]폴더 안에 키 백업을 하시오.

administrator로 위의 키를 사용하여 암호화 속성을 해제시키시오.

일단, Srv3 서버의 C:\home 폴더 생성(user2로 생성 )

user2의 속성을 편집 \\Srv3\\home\%username% 개인 홈폴더 생성은 생략하였다. 위의 내용과 

중복되기 때문이다.

user2에서 암호화를 한다.

user2에 usb라는 폴더를 생성하고 키를 생성하는 절차는 아래와 같다. 

파일 암호화 인증서 관리를 실행. 

아래에서 암호화 키 주체, 발급자를 확인한다. 암호화된 파일을 만든 유저가 백업을 해야 한다.

여기서는 user2로 진행하였기에 user2가 발급자, 발급대상이다. 기간은 100년. 

다음과 같이 백업할 경로를 지정. 여기서는 테스트로 usb라는 폴더를 만들어 실습을 진행하였다.

열쇠라는 키를 생성한다. 이름은 상관없다. 확장자 명을 .pfx이다. 

키에 대한 암호를 설정한다. 

백업이 완료된 모습이다.

administartor로 접속한다.

암호화 키를 administrator가 가져와서 암호화된 파일에 접근을 하는 절차를 거쳐야 된다.

mmc를 실행한다.

mmc(microsoft management console) 

 

=> m - microsoft

=> m - management

=> c - console

파일 - 스냅인을 추가/제거- 인증서 클릭 - 추가 

user2에서 생성하였던 암호화 키를 가져온다.

생성하였던 암호화 키를 가져오면 된다.

해당 암호화 키에 password를 입력한다.

administrator 계정은 접근이 가능하다. 암호화 키를 가져왔기 때문이다. 

이제 암호화 해제를 한다. 해제가 가능한 이유는 administrator 에서 키를 불러냈기 때문에 가능하다. 

그리고 해제를 하는 이유는 User2가 퇴사를 했을때, User2만 접근 가능한 파일을 해제하여 다시 다른 사용자가

사용하게끔 만들어야 하기 때문이다.

데이터 보호를 위해 내용을 암호화 체크를 해제한다. 

다른 user로 접속해도 볼 수 있다.