[ Azure Identity Service ]

제일 낯선 너…

참고

2. 액티브 디렉토리, 도메인 컨트롤러(DC), 글로벌 카탈로그(GC), 그룹

Azure Active Directory Domain Services(Azure AD DS) 활성화

AD (Active Directory) 개념, 용어, 장점, AD DS 정리

[Windows] Active Directory는 무엇인가? — 1

사용자 권한 관리가 왜 중요할까?

작은 스타트업 개발자인 나에게는 사용자 권한을 관리한다는 것 자체가 낯설었다. 하지만 조직의 규모가 커질수록 Object(User, Computer, 공유 폴더, 프린터 등)의 개수가 많아지기 때문에 관리의 어려움이 생긴다. 원래의 경우라면, 사용자가 공유 자원의 위치(IP주소)와 해당 서버의 로컬 사용자 계정 정보를 모두 알고 있어야 정상적으로 접근이 가능하다. 하지만 사실 모든 공유자원의 위치와 계정정보를 각각 따로 기억하는 것은 쉬운 일이 아니다. 이와 같은 문제점을 해결하기 위해 중앙 서버에 공통된 데이터베이스를 생성하여, 각 서버와 클라이언트는 해당 데이터 베이스를 공유하여 Object를 검색하고, 중앙에서 사용자 인증 및 권한 부여 처리가 가능하도록 처리하는 서비스가 필요하다.

윈도우에서는 이런 기능을 하는 서비스를 AD(Active Directory)라고 한다. 엑티브 디렉터리는 이러한것을 몽땅 패키지로 묶어 주어 한번의 인증으로 이 모든것을 사용할 수 있도록 해준다. 예를들어 서울에 있는 본사와 지방에 있는 각 지사들도 하나의 도메인으로 묶어 모두 관리가 가능 하다는 것이다. 꼭 같은 로컬에서만 관리하지 않아도 된다. AD 서비스에서 사용하는 용어는 다음과 같다.

• Object(개체): User, Computer, 공유 폴더, 프린터 등 각종 자원
• Directory: Object(개체) 정보를 저장할 수 있는 정보 저장소
• Directory Service: Object(개체) 생성, 검색, 관리, 사용할 수 있는 서비스
• AD DS: Windows 기반의 Computer 인증과 데이터 베이스를 사용하여 다양한 네트워크 서비스 제공

• Domain
  Active Directory의 가장 기본이 되는 단위이다.
  AD가 설치된 윈도우서버가 하나의 도메인이라고 보면 된다.
  관리를 하기위한 하나의 큰 단위의 범위를 표현하며, 관리를 위해서 지역적인 범위로 구분될 수 있다. 도메인이 여러개 있을 경우 부모 도메인과 자식 도메인으로 구분할 수 있다.
• Tree
  Domain에 대한 집합을 의미합니다. Root Domain과 하위의 SubDomain이 있으며, Active Directory 에서는 Root Domain을 “부모 도메인(Parent Domain”이라 하고, SubDomain을 “자식 도메인(Child Domain)”이라 합니다.
• Forest
  Domain Tree에 대한 집합을 의미합니다. Domain Tree간에는 Trust라는 관계형성을 통해 Domain Forest로 구성됩니다.
• Site
  도메인이 논리적인 범주라면, 사이트는 물리적인 범주에 가깝다. 부모도메인이 ictsec.com이라면 자식 도메인을 생성할 경우 같은 도메인 이더라도 busan.ictsec.com처럼 다른 사이트로 구성이 된다. 사이트는 지리적으로 떨어져 있으며, IP 주소 대가 다르다.
• Trust
  도메인 또는 포리스트 사이에 신뢰할 지 여부에 대한 관계를 나타내는 의미로 사용된다.
  트러스트 안 도메인 사이에는 상호 양방향 전이 트러스트를 갖는다. (도메인끼리 서로 신뢰)
• 조직구성 단위(OU)
  도메인 내부에서 사용되는 일종의 폴더와 같은 개념으로 이해할 수 있다.
  권한 위임과 그룹 정책을 적용할 수 있는 최소한의 단위이다.
• 글로벌 카탈로그(Global catalog)
  AD 트러스트 내의 도메인들에 포함된 개체에 대한 정보를 수집하여 저장되는 통합 저장소이다.
  사용자의 경우 이름, 아이디, 비밀번호 등의 정보가 글로벌 카탈로그에 저장된다.

User Service

• Active Directory 에 사용자에 대한 각종 프로필(계정, 패스워드, 메일주소, 전화번호, 부서, 직급 등)을 등록하여 주소록 서비스, 계정 기반 서비스를 제공합니다.
• 내 PC에서 로그인하던 계정을 타 PC에서 계정 생성 없이 로그인이 가능합니다.
• Windows 기반 Service와 관련된 계정 기반 로그인을 통합하여 사용하고 주소록을 제공합니다.

Policy Service

• Active Directory 에 등록된 Windows Server, Client 에 대해 각종 정책을 적용할 수 있다.
• 각종 프로그램 자동 배포 및 설치
• Windows Server와 Client 간의 방화벽 정책 할당

Connection Service

• Windows Service에 따른 Replication 설정시 Server와 Server간의 연결
• Exchange Server 구축 시 Active Directory 와 연결하여 사용자 정보 및 사용자 권한 연동

Active Directory

• 윈도우 서버에서 사용자, 그룹 등을 포함한 여러 관리 정보들 쉽게 찾을 수 있도록 모아두는 전반적 체계
• 여러 자원을 일괄적으로 관리 가능
• 윈도우 운영체제가 설치된 클라이언트들을 묶어 관리하기 편리함
• 도메인(Domain)이라는 단위로 컴퓨터 자원 관리 가능
• 규모가 작은 기업에서 구성할 경우 네트워크 패킷 증가, 속도 감소와 같은 문제 발생 가능
• 도입을 위해서는 충분한 학습이 필요

장점

• 여러 컴퓨터를 하나로 묶어 통합 관리
• 사용자 계정에 대한 인증 관리를 중앙에서 할 수 있어 보안상 안전
• 그룹 정책을 이용하여 각 컴퓨터를 중앙에서 관리, 공유 자원에 대한 정보 검색이 편리하다.
• 관리위임, 디렉토리 정보 복제, DNS와의 통합 관리 등
• 서버가 많아질수록 인증 절차가 점점 복잡해지지만 AD DS을 이용하면 단일화된 로그인 처리가 가능하다. (하나의 서버에서 모든 인증 처리를 할 수 있다.)
• 네트워크 환경에서 Domain 자원을 공유할 수 있다. 네트워크 상으로 나눠져 있는 여러 가지 Object(개체)를 중앙에서 모든 관리를 수행해서 본사 및 지사 직원들은 더 이상 자신의 PC에 모든 정보를 보관할 필요가 없어진다. 지사에 출장을 갈 경우 자신의 아이디로 로그인만 하면 타인의 PC가 자신의 PC환경과 마찬가지로 변경된다.

종류

• AD DS(AD Domain Services) : AD 구성시 해당 역할을 추가한 후 설정
• AD FS(AD Federation services) : 도메인 페더레이션 및 웹 기반 단일 로그인 관리
• AD LDS(AD Lightweight Directory Services) : LDAP라고 하는 디렉토리 방식 구현
• AD RMS(AD rights Management Services) : AD 정보보호 및 권한 관리
• AD CS(AD Certificate Services) : 공개키 및 인증서 관리

Active Directory Domain

내 PC에 로그인 하던 계정을 다른 PC에서 계정생성 없이 기존 사용하던 그대로의 환경을 가지고 로그인하고 싶다면 내 PC와 다른 PC 모두 Active Directory Domain에 가입되어 있어야 합니다.

Active Directory Domain에 가입하려면 Windows Server, Client, 각종 Device 들의 DNS 서버를 Active Directory 서버로 변경해야 합니다. Active Directory 에는 DNS 기능도 같이 포함하고 있습니다.

Device들의 DNS를 변경해야 하는 이유는 Active Directory Server를 찾아 Domain에 가입해야 되는 부분과 향후 Windows Server들이 가입되어 Service를 운영할 때 Device들이 원활히 Domain내에서 제공하는 Windows Service를 찾을 수 있도록 하기 위함입니다.

도메인 컨트롤러(Domain Controller)

해당 도메인에 위치하여 도메인안의 여러 리소스들을 사용하고자 하는 사용자에게 이름과 암호를 입력받아 도메인안에서 맘껏 돌아다닐 수 있도록 해주는 하나의 인증 서비스이다.

윈도 서버 시스템 상에서 도메인 컨트롤러(domain controller, 줄여서 DC)는 윈도 서버 도메인 안에서 보안 인증 요청(로그인, 이용 권한 확인 등)에 응답하는 서버이다.

Active Directory에서 도메인 서비스를 구현할 경우 도메인에 하나 이상의 DC(Domain Controller)를 설치해야 한다.

Managed Identity

On-Premise to Azure

Azure AD Connect

Azure AD Connect installs an on-premises service which orchestrates synchronization between Active Directory and Azure Active Directory. The Microsoft Azure AD Sync synchronization service (ADSync) runs on a server in your on-premises environment. The credentials for the service are set by default in the Express installations but may be customized to meet your organizational security requirements. These credentials are not used to connect to your on-premises forests or Azure Active Directory. Choosing the ADSync service account is an important planning decision to make prior to installing Azure AD Connect.

Azure AD Sync

Our company and Other Companies

B2C

Guest Account

cf. 사용자 관리가 아닌 리소스 관리 계층구조