(6) Active Directory 설정하기
Active Directory가 제공하는 것들
※ 본 내용은 Mastering Windows Server 2003에서 발췌하여 요약한 내용입니다.
보안: 네트워크 자원들의 사용 권한에 대한 기록 유지
네트워크의 첫번째 역할은 파일과 같은 자원들부터 데이터베이스, 공유 프린터, 팩스 서비스 등과 같은 복잡한 자원들을 저장하기 위한 중앙 저장소에 대한 서비스를 제공하는 것입니다.. 두번째 역할은 보안으로 첫번째 역할인 중앙 저장소 서비스를 보다 안전하게 사용할 수 있도록 보장합니다. 사용자가 중앙 저장소의 안전한 사용을 위해 AD는 다음 2가지를 제공합니다.
인증(Authentication)
AD는 사용자 로그온 정보를 사용하여 액세스 가능한 사용자인지를 증명하도록 요구합니다.
권한부여(Authorization)
사용자 증명이 확인되면 ACL(Access Control List)를 통해 자원에 접근 권한을 확인하여 자원에 대한 적법한 작업이 진행되도록 합니다.
사용자와 기타 네트워크 개체들의 디렉터리 유지
Windows NT 4.0과 Windows 2000, Windows XP 그리고 AD가 설치되지 않은 Windows Server 2003은 SAM(Security Accounts Manager)이라는 이름의 단일 파일을 이용하여 사용자들의 로그온 이름, 전체 이름, 암호, 로그온 시간, 계정 만기 일자, 설명, 주 그룹, 프로필 정보 등을 관리합니다. 하지만 AD가 설치된 Windows Server 2003은 도메인 컨트롤러(DC; Domain Controller)라고 부르며 SAM 대신 Active Directory라고 하는 데이터베이스에 사용자 정보를 저장합니다. NTDS.DIT라는 파일에 대부분의 사용자 정보를 저장하는데 NTDS.DIT는 Access Database 기반에서 변경된 데이터베이스로써 텍스트 파일인 SAM보다 좀더 다양한 사용자 정보를 저장합니다.
도메인 컨트롤러의 인증 서비스(Authentication Service)
AD는 Microsoft 기반의 서버가 신뢰할 수 있는 인증을 제공하기 위하여 중앙의 계정 데이터베이스를 제공합니다. 개별 서버에 사용자 정보를 유지하는 것은 관리적인 측면에서 많은 노력과 비용이 들며 도메인을 통해 적은 수의 서버에 사용자 계정과 암호 데이터베이스를 유지하여 관리 비용을 줄일 수 있습니다.
도메인 컨트롤러는 다음과 같은 컴퓨터 입니다.
- NT Server의 어떤 버전을 실행한다. Active Directory의 최종 기능을 사용하기 위해 Windows Server 2003에서 동작하는 Domain Controller(DC)를 사용하기를 원하겠지만 때때로 Windows Server 2003, 2000, NT 4.0 등의 다양한 환경에서 동작할 수 있다.
- 도메인 정보에 대한 데이터베이스를 유지한다.
- 도메인 정보의 일관성을 보장하기 위한 복사본을 유지한다. 네트워크에 존재하는 DC들은 새로운 사용자의 추가와 같은 데이터베이스 변경이 있을 때마다 도메인 내의 모든 DC들의 일관성 유지를 위해 복제(replication)라고 부르는 작업을 진행한다.
- 다른 서버들이 로그온 사용자를 신뢰할 수 있는 서비스를 제공한다.
트러스트(Trust)
도메인내의 워크스테이션들과 서버들은 "도메인의 구성원(meber)"이 되기 위해 도메인에 합류되어야 합니다. 구성원이 아닌 시스템들은 각자의 로컬 SAM 파일을 이용하여 인증을 할 수 있을 뿐입니다. 하지만 도메인의 구성원들은 각자의 로컬 SAM 파일을 이용한 인증을 처리하거나 도메인의 DC에게 질의하여 인증을 처리할 수도 있습니다. 도메인에 참여하는 것은 PC와 DC 상이에 신뢰 관계(Trust Relationship)를 구축합니다. 이러한 신뢰 관계 구축을 위해서는 도메인 컨트롤러와 구성원간의 도메인 레벨의 관리자와 워크스테이션 레벨의 관리자 간에 상호 동의가 있어야 합니다. 워크스테이션을 도메인에 참여하기 위해서는 워크스테이션의 로컬 관리자 계정으로 로그인하여 도메인 관리자 계정을 이용하여야 합니다. 결론적으로 로컬 관리자와 도메인 관리자 간의 인증이 필요합니다.
트러스트는 시스템과 도메인 간의 트러스트 관계 구축뿐만 아니라 도메인과 도메인 사이의 트러스트 관계 구축에도 사용됩니다. Active Directory는 트러스트 관계를 자동화하여 NT 4 이전 버전에서 트러스트를 수동으로 작업했던 것에 비해 한층 편리하고 안정적인 성능을 제공합니다.
다양한 벤더를 위한 인증 서비스
AD는 산업 표준 인터페이스인 LDAP; Lightweight Directory Access Protocol을 채택하여 Oracle이나 Lotus 등 다른 벤더의 제품들도 NT 기반의 보안 기술과 통합할 수 있도록 합니다.
네트워크에 있는 자원 검색
서버 검색 : 클라이어트 / 서버 만남
클라이언트/서버 환경은 오늘날의 네트워크의 주류를 형성하고 있으며 AD는 클라이언트가 보다 손쉽게 원하는 서비스를 제공하는 네트워크 상에 가장 가까이 존재하는 서버를 탐색할 수 있도록 합니다.
이름 풀이와 DNS
AD는 네트워크내의 자원의 이름 풀이를 위해 인터넷 표준인 DNS를 사용합니다.
새로운 유형의 하위 관리자를 생성하기
네트워크가 점점 커짐에 따라 AD를 관리하기 위해 좀더 많은 수의 관리자가 필요해지며 이 관리자들의 저마다의 역할을 부여받아 제한된 범위에서 주어진 관리 역할을 담당하게 됩니다. 참고로 다음 작업들은 신참 관리자들이나 네트워크 보조 직원들에게 맡기기에 충분한 작업들입니다.
암호 재설정
보안상의 이유로 사용자들에게 주기적으로 암호를 바꾸도록 요구할 수 있습니다. 그경우 최근 설정한 암호를 잃어버리는 사용자가 발생하기 마련인데 이러한 단순 작업은 신참 관리자에게 맡기기 적당한 난이도의 작업입니다.
백업 모니터링
길고도 지루한 백업 작업 역시 몇몇 보조 관리 직원들을 두어 백업이 진행되는 동안 백업 매체를 교환하고 라벨을 붙여 정리하는 등의 작업을 맡길 수 있습니다.
위의 작업과 같은 제한된 권한이 필요한 작업의 경우 AD는 보안 옵션의 배열을 변경하여 이러한 작업에 필요한 권한을 특정 사용자에게 부여하는 것이 가능합니다.
권한 위임 : 도메인에 대한 제어권 분산
네트워크의 성장에 따라 지역적인 권한의 분산이 필요하게 됩니다. NT 4.0의 경우 도메인을 이용하여 그룹을 생성하고 도메인간에 트러스트를 구성하여 이러한 문제를 해결하였습니다. 그러나 AD는 OU라고 불리는 조직 단위를 사용하여 이러한 문제를 좀 더 세련되게 처리합니다.
연결성과 복제 문제
AD는 다양한 전송 속도를 제공하는 네트워크 간의 연결을 사이트라는 관점으로 네트워크를 표현하여 보다 유연한 연결성을 제공합니다.
컴퓨터 이름 단순화(이름 체계 통일)
인터넷 표준 이름 찾기 서비스인 DNS를 이용하여 기존에 사용하던 NetBIOS와 WINS서버 등을 대체하였습니다. Widnows 2000 이상의 운영체제로 이뤄진 네트워크에서는 DNS만을 이용하여 이름 체계를 통일할 수 있습니다. WINS 서버는 Windows 2000 이전의 운영체제들으리 위해 사용됩니다.
중앙 집중적인 지원 도구 활용
NT 4.0에서 제공하던 '시스템 정책'은 AD에서는 '그룹 정책'으로 대체되었습니다.
AD는 Zero Administration 정보를 저장한다
NT 4.0이 제공하던 불편한 '시스템 정책'은 관리자의 개입을 필요로 하였지만 AD에서 사용하는 '그룹 정책'은 관리자의 개입없이 자동화하여 관리자의 필요를 최소화하고 있습니다. '그룹 정책'을 사용하여 '원격 설치 서비스(RIS)'와 같은 소프트웨어 자동 설치 기능을 제공하여 관리자의 개입을 최소화 합니다.
AD는 디렉터리 연동 네트워킹을 제공한다
TCP/IP에서 QoS(Quality of Service)를 이용하여 인트라넷에서 네트워크의 대역폭을 통제할 수 있는 방법을 제공합니다. AD내에 특정 사용자나 특정 응용 프로그램을 위해 특정 요일의 특정 시간에 대역폭을 많이 제공받을 수 있도록 설정한 정보를 저장하여 대역폭 통제를 가능하게 합니다.
이상 Active Directory를 이용하여 얻을 수 있는 잇점에 대한 이슈를 정리해보았습니다.