리눅스 최신판들은 대부분 PAM(Pluggable Authentication Module)을 채택하고 있다. PAM은 사용자 인증 프로세스를 모듈화한 일종의 애플리케이션서비스프로바이더(ASP)로서 유연한 리눅스 인증구조를 실현할 열쇠다.
선마이크로시스템스가 PAM을 개발했으며 리눅스(레드햇·드비안·수세), 프리 버클리소프트웨어디스트리뷰션유닉스(BSD), 넷 BSD 등의 무료 운용시스템에서 폭넓게 사용되고 있다. 최근에는 선 솔라리스, IBM AIX, HP UX, 애플 맥OSX에도 포함되기 시작했다.
이를 통해 리눅스 사용자는 윈도NT 도메인에 대한 보안 인증을 확보하는 시스템을 준비(셋업)할 수 있다. 즉 리눅스 계정과 별도의 NT 도메인 계정을 가져야 했던 네트워크 운영자(사용자)의 불편을 해소해주게 된 것이다.
리눅스는 하나의 변절 플랫폼이어서 상호운용성에서 약세를 보였다. 따라서 사용자들은 파일을 안전하게 공유하기 위해 리눅스용 패스워드 세트와 다른 플랫폼용 세트를 모두 구비해야 했지만 PAM이 등장함에 따라 윈도·유닉스·매킨토시 플랫폼과 파일을 보다 원활하게 공유할 수 있을 전망이다.
PAM은 시스템이 사용자 신원을 확인하는 절차인 인증단계를 제어함으로써 계정에 상호운용성을 부여한다. 특정 사용자가 시스템 자원을 사용할 수 있도록 하는 데이터를 포함한 한 개 세트의 정보(계정)에 대한 환경변수와 자원제한의 범주를 넓혀놓는 것으로 이해할 수 있다.
예를 들어 레드햇 리눅스 7.2시스템은 인증을 수행하는 모든 애플리케이션이 PAM을 사용한다. 명령어를 입력함으로써 시스템에 내장된 실행프로그램이 PAM라이브러리를 사용하고 있는지를 확인할 수도 있다.
레드햇 리눅스 7.2시스템의 PAM에는 액세스 허용과 거부를 결정하기 위해 실행되는 4가지 단계가 있다. 사용자 인증을 시도할 때 사용되는 오스(auth), 사용자 ID와 같은 계정정보를 필요로 할 때 이용되는 어카운트, 사용자 암호를 바꿀 때 쓰는 패스워드, 사용자 로그인&아웃에 필요한 세션 등이다. 이 기술은 다양한 환경을 설정하거나 네트워크 디스크 드라이브를 장착할 때마다 한 가지 이상이 적용된다. 단계별로 필요한 항목을 순서에 따라 불러오는 것이다.
PAM의 인증 제어방법도 다양하다. 규칙으로 정한 표준(규정)과 어긋날 때 즉각적으로 접근을 거부하는 레퀴지트, 1차적으로 접근이 거부돼도 나머지 종류의 규정과 계속 맞춰보는 리콰이어드, 규정에 맞을 때 접근을 허용하지만 어긋날 때에는 다른 규정으로 돌아가는 서피션트, 규정에 따른 결과를 아예 무시하는 옵셔널이 있다. 여기서 옵셔널은 사용자 인증과 관계없이 추가 셋업을 할 때 이용된다.
기업의 정보시스템 운영자들은 앞으로 PAM을 활용함으로써 서버메시지블록(SMB)방식으로 윈도 서버에서도 인증되도록 조정한 리눅스 시스템을 구축할 수 있을 것이다. 구체적으로 윈도NT 3.51, 윈도NT 4, 윈도NT 2000을 비롯해 윈도XP 서버, 윈도2000 어드밴스드 서버 등과 리눅스 서버를 일원화된 인증체계로 묶어낼 수 있다.
또한 포스트오피스프로토콜(POP)이나 인터넷메시지액세스프로토콜(IMAP)을 채택한 전자우편 서비스에서 발생하는 어떤 종류의 접속이든지 윈도 서버로 인증되도록 리눅스 서버를 구성할 수 있게 된다. 이는 전자우편 액세스 처리를 위해 윈도 도메인 안에 리눅스 서버를 셋업함으로써 윈도 기반의 전자우편 솔루션을 별도로 구입할 필요가 없는 이득도 가져다준다.
이밖에도 PAM을 이용해 마이크로소프트의 아웃룩 익스프레스, 넷스케이프 메신저, 퀄컴 유도라 등과 같은 전자우편 클라이언트에 대해서도 리눅스 서버를 구성할 수 있다.
<이은용기자 eylee@etnews.co.kr>