# 중앙 집중형 디렉터리 서비스

## 개요

**중앙 집중형 디렉터리 서비스**(Centralized Directory Service)는 네트워크 내의 사용자, 기기, 애플리케이션, 리소스 등의 정보를 중앙에서 통합적으로 관리하고 제공하는 시스템입니다. 이는 조직의 IT 인프라에서 보안, 접근 제어, 인증 및 권한 부여를 효율적으로 수행하기 위한 핵심 요소로, 특히 대규모 기업이나 기관에서 필수적인 역할을 합니다.

중앙 집중형 디렉터리 서비스는 사용자 계정 정보(예: 사용자 이름, 비밀번호, 그룹 소속, 연락처 정보 등)를 하나의 중앙 저장소에 저장하고, 이를 기반으로 다양한 시스템과 애플리케이션이 인증 및 권한 확인을 수행할 수 있도록 지원합니다. 이 방식은 분산된 환경에 비해 관리의 일관성과 보안성을 크게 향상시킵니다.

## 주요 기능

### 1. 사용자 및 그룹 관리
중앙 집중형 디렉터리 서비스는 사용자 계정의 생성, 수정, 삭제를 중앙에서 수행할 수 있도록 하며, 그룹 기반 접근 제어(Group-Based Access Control)를 통해 권한을 효율적으로 관리합니다. 예를 들어, ‘재무팀’ 그룹에 속한 사용자는 특정 재무 시스템에만 접근할 수 있도록 정책을 설정할 수 있습니다.

### 2. 인증(Authentication)
사용자가 시스템에 로그인할 때, 디렉터리 서비스는 제공된 자격 증명(예: ID 및 비밀번호)을 중앙 저장소와 비교하여 유효성을 검증합니다. 이 과정은 **LDAP**(Lightweight Directory Access Protocol), **Kerberos**, **SAML**(Security Assertion Markup Language) 등의 프로토콜을 통해 수행됩니다.

### 3. 권한 부여(Authorization)
사용자의 정체성이 확인된 후, 디렉터리 서비스는 그 사용자가 어떤 자원에 접근할 수 있는지 결정합니다. 이는 역할 기반 접근 제어(RBAC, Role-Based Access Control) 또는 특성 기반 접근 제어(ABAC) 방식으로 구현될 수 있습니다.

### 4. 단일 로그인(SSO, Single Sign-On)
중앙 집중형 디렉터리 서비스는 SSO를 가능하게 하여, 사용자가 여러 시스템에 로그인할 때 매번 자격 증명을 입력하지 않아도 되도록 합니다. 예를 들어, Microsoft의 **Azure AD**나 **Okta**와 같은 서비스는 애플리케이션 간 통합 인증을 제공합니다.

## 주요 기술 및 프로토콜

### LDAP (Lightweight Directory Access Protocol)
LDAP는 디렉터리 서비스에 접근하고 관리하기 위한 개방형 프로토콜입니다. 주로 **OpenLDAP**, **Microsoft Active Directory**, **Apache Directory Server** 등에서 사용됩니다. LDAP는 트리 구조로 데이터를 조직하며, 각 항목은 고유한 DN(Distinguished Name)을 가집니다.

```ldap
dn: cn=John Doe,ou=Users,dc=example,dc=com
objectClass: person
cn: John Doe
sn: Doe
uid: jdoe
userPassword: {SSHA}hashed_password
```

### Kerberos
MIT에서 개발된 네트워크 인증 프로토콜로, 신뢰할 수 있는 제3자(키 분배 센터, KDC)를 통해 사용자와 서비스 간의 상호 인증을 수행합니다. Active Directory는 Kerberos를 기본 인증 메커니즘으로 사용합니다.

### SAML 및 OAuth 2.0
웹 기반 애플리케이션과의 통합을 위해 **SAML**과 **OAuth 2.0**과 같은 프로토콜이 사용됩니다. SAML은 XML 기반의 인증 토큰을 교환하며, OAuth는 권한 위임을 위한 토큰 기반 인증을 제공합니다.

## 대표적인 중앙 집중형 디렉터리 서비스 솔루션

| 솔루션 | 제공자 | 특징 |
|--------|--------|------|
| Microsoft Active Directory | Microsoft | Windows 환경에서의 표준, Group Policy 지원, Kerberos 기반 인증 |
| OpenLDAP | 오픈소스 커뮤니티 | 플랫폼 독립적, 높은 유연성, 커스터마이징 용이 |
| Azure Active Directory | Microsoft | 클라우드 기반, SSO 및 다중 요인 인증(MFA) 지원 |
| Google Cloud Identity | Google | G Suite와 통합, 웹 기반 애플리케이션 중심 |
| Red Hat Directory Server | Red Hat | 엔터프라이즈급 보안, SELinux 통합 |

## 장점과 한계

### 장점
- **관리 효율성**: 사용자 계정과 권한을 중앙에서 관리하므로 정책 일관성 유지가 용이합니다.
- **보안 강화**: 비밀번호 정책, 다중 인증(MFA), 접근 로그 감사 등을 중앙에서 적용할 수 있습니다.
- **자동화 지원**: 스크립트나 API를 통해 사용자 프로비저닝 및 탈퇴를 자동화할 수 있습니다.

### 한계
- **단일 장애 지점**(SPOF): 중앙 서버에 장애가 발생하면 전체 인증 시스템이 마비될 수 있습니다. 따라서 고가용성(HA) 구성을 필수로 해야 합니다.
- **복잡한 초기 설정**: 대규모 환경에서는 디렉터리 스키마 설계와 통합이 복잡할 수 있습니다.
- **확장성 제약**: 수십만 명 이상의 사용자를 관리할 경우 성능 최적화가 필요합니다.

## 관련 보안 고려사항

- **디렉터리 데이터 암호화**: 저장 및 전송 중인 데이터는 반드시 암호화되어야 하며, TLS(SSL)을 통한 LDAPS 사용이 권장됩니다.
- **접근 제어 정책**: 관리자 계정은 최소한으로 제한하고, 감사 로그를 지속적으로 모니터링해야 합니다.
- **정기적인 감사 및 백업**: 디렉터리의 변경 이력 추적과 재해 복구를 위한 정기 백업이 필수적입니다.

## 결론

중앙 집중형 디렉터리 서비스는 현대 IT 인프라의 핵심 구성 요소로, 보안성과 관리 효율성을 동시에 제공합니다. 특히 하이브리드 클라우드 환경이 보편화됨에 따라, 온프레미스와 클라우드를 아우르는 통합 디렉터리 서비스의 중요성은 더욱 커지고 있습니다. 조직은 비즈니스 요구와 기술 스택에 맞는 적절한 솔루션을 선택하고, 보안 및 가용성 측면에서 철저한 설계와 운영이 필요합니다.

## 참고 자료
- [RFC 4511 - Lightweight Directory Access Protocol (LDAP)](https://tools.ietf.org/html/rfc4511)
- Microsoft Docs: [What is Azure Active Directory?](https://learn.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-whatis)
- MIT Kerberos Documentation: [https://web.mit.edu/kerberos/](https://web.mit.edu/kerberos/)