액세스 토큰을 사용하여 사용자 그룹 정보 얻기(Windows)

액세스 토큰은 프로세스 또는 스레드의 보안 컨텍스트를 설명하는 오브젝트입니다. 액세스 토큰의 정보에는 프로세스 또는 스레드와 연관된 사용자 계정의 ID 및 특권이 포함됩니다.

로그온할 때, 시스템은 암호를 보안 데이터베이스에 저장된 정보와 비교하여 확인합니다. 암호가 인증되면 시스템은 액세스 토큰을 생성합니다. 사용자의 이름으로 실행되는 모든 프로세스는 이 액세스 토큰의 사본을 사용합니다.

또한 액세스 토큰은 캐시된 신임 정보를 기반으로 확보할 수 있습니다. 사용자가 시스템에서 인증되면 운영 체제에서 신임 정보를 캐시합니다. 도메인 제어기에 접속할 수 없는 경우 마지막 로그온의 액세스 토큰을 캐시에서 참조할 수 있습니다.

액세스 토큰은 사용자가 속하는 모든 그룹 즉, 로컬 그룹 및 다양한 도메인 그룹(전역 그룹, 도메인 로컬 그룹, 범용 그룹)에 관한 정보를 포함합니다.

참고: 클라이언트 인증을 사용하는 그룹 검색은 액세스 토큰 지원이 사용 가능한 경우에도 원격 연결을 사용하여 지원되지 않습니다.

액세스 토큰 지원을 사용하려면 db2set 명령을 사용하여 DB2_GRP_LOOKUP 레지스트리 변수를 갱신해야 합니다. DB2_GRP_LOOKUP은 쉼표로 구분된 최대 두 개의 매개변수를 포함할 수 있습니다.

첫 번째 매개변수는 일반적인 그룹 검색을 위한 것이며 " ", "LOCAL" 또는 "DOMAIN" 값을 사용할 수 있습니다.
두 번째 매개변수는 토큰 스타일 그룹 검색용으로, "TOKEN", "TOKENDOMAIN" 또는 "TOKENLOCAL" 중 하나의 값을 사용할 수 있습니다.

두 번째 매개변수(TOKEN, TOKENDOMAIN 또는 TOKENLOCAL)가 지정된 경우 이 매개변수가 기본 그룹 열거보다 우선합니다. DB2_GRP_LOOKUP의 첫 번째 매개변수가 지정된 경우 토큰 그룹 열거에 실패하면 기존 그룹 검색이 수행됩니다.

TOKEN, TOKENDOMAIN 및 TOKENLOCAL 값의 의미는 다음과 같습니다.

TOKENLOCAL
토큰을 사용하여 로컬 시스템에 있는 그룹을 열거합니다(기존 "LOCAL" 그룹 검색과 같음).
TOKENDOMAIN
토큰을 사용하여 사용자가 정의되어 있는 위치(로컬 사용자의 경우 로컬 시스템, 도메인 사용자의 경우 도메인)에 그룹을 나열합니다. 이는 기존 " " 또는 "DOMAIN" 그룹 검색과 동일합니다.
TOKEN
이 토큰은 도메인과 로컬 시스템 둘 다에 있는 그룹을 열거하는 데 사용됩니다. 로컬 사용자의 경우 리턴된 그룹에 로컬 그룹이 포함됩니다. 도메인 사용자의 경우 리턴된 그룹에 도메인과 로컬 그룹이 둘 다 포함됩니다. 기존 그룹 검색과 같은 점은 없습니다.

예를 들어, 다음 DB2_GRP_LOOKUP 설정을 사용하면 액세스 토큰이 로컬 그룹 열거를 지원합니다.

   db2set DB2_GRP_LOOKUP=LOCAL,TOKENLOCAL

다음 예에서는 사용자 ID가 정의되어 있는 위치(도메인에서 계정이 정의된 경우)와 로컬 시스템에서 그룹 열거가 지원됩니다.

   db2set DB2_GRP_LOOKUP=,TOKEN

마지막 예에서는 액세스 토큰이 사용자가 정의되어 있는 위치에서의 도메인 그룹 열거를 지원합니다.

   db2set DB2_GRP_LOOKUP=DOMAIN,TOKENDOMAIN

참고: 액세스 토큰 지원은 CLIENT 인증을 제외한 모든 인증 유형에서 사용할 수 있습니다.