21세기 초, MS 운영체제에서 대거 수많은 보안 문제들이 대두되었다.
특히 MS Windows 2000. 과거 불안하게 동작되었던 운영체제의 기반을 싹다 갈아 엎고 만들어서 인지, 안정적으로 돌아가는 운영체제라는 희대의 찬사와 함께, MS를 운영체제 회사로 자리매기게 해주었다. 그러나, 보안 문제가 심각하게 대두되면서 보다 강력하게 보안문제를 해결하기 위해 Windows 2003에서는 그에 따른 철저한 계정 정책을 만들었다.
초기에는 모든 서비스들은 Local System이라는 계정으로 동작해서, 모든 자원을 주무르도록 하였으나, Windows 2003에서는 Local Service와 Network Service라는 계정을 제공하여, 제한적인 권한을 주어 제한 내에서 동작할 경우 ( 특정 폴더나, NIC 등의 단순한 자원 접근 시 ) 가급적 이 제한 계정에서 동작하도록 강력하게 권장한다.
그런데, AD에 Join되어 있는 MOSS Farm에서 이런 제한적인 Local 계정으로 접속하였을 때 문제가 없을까 라는 의문이 생겼다. 금일 고객사에 방문하여 고객사가 안고 있는 문제를 분석하는 도중에 발견하게 되었는데, 그 쪽에서는 MS Exchagne의 Federation 기능 - 인증 대리자 역할. 즉 Exchange에 접속할 때 사용되는 Credention(아이디와 패스워드로 인증된 결과물)의 생성이 필요 없이, MOSS로그인 사용자와 Exchange 사용자가 같다라고 표현 해줄 수 있는 일종의 대리자 - 을 활성화 하기 위해 MOSS의 웹 응용 프로그램 실행 계정을 Network Service계정으로 했다고 한다.
그런데, Network Service라는 것은 로컬 계정이기 때문에( http://msdn.microsoft.com/en-us/library/ms684272(VS.85).aspx) IIS를 통해 AD에서 자원을 가져올 수 없다. 그런데 이 설정 방법은 MOSS에 대한 기술 지원을 한 MS의 한 엔지니어가 권장한 방법이라고 말씀하셨다. 도무지 이해가 안되서 되묻기도 했지만....일단 현재 파악해야 하는 문제와는 별개라고 판단되어 대충 얼버무리고 함구하고 나오긴 했으나, 의문감이 배가 되고 있다.
금일 테스트 결과에 따라서 나오겠지만, 현재로는 아마도... 이상하다고 생각된다.
과연 어느쪽이 옳은 걸까?
* Update : 2008 / 05 / 14
SSP ( 공유 서비스 제공자 : Shared Service Provider )를 만들려면 NetworkService 계정으로 만들어진 웹 응용 프로그램은 안된다. 반드시 AD에 접근 가능한 계정이여야 만들어진다.