기업이나 조직은 본연의 사업목적을 위해 다양한 정보시스템을 운용하고 있다.
대부분의 조직에서 필수적으로 사용되는 그룹웨어나 이메일은 물론 사업목적에 따라 ERP, 영업관리, 생산관리, 회원관리 등 매우 다양한 정보시스템을 운용한다. 임직원이 해당 정보시스템에 접속하기 위해서는 ID(Identity)라 불리는 사용자 계정을 각각의 정보시스템에 생성해 접속하며 보안을 비밀번호를 입력하도록 하고 있다. 때문에 한명의 임직원이 이들 정보시스템을 사용하기 위해서는 각각의 정보시스템에 별도로 ID를 만들고 비밀번호를 설정해야만 한다.
모든 정보시스템을 하나로 통합하여 만들고 사용한다면 하나의 ID와 비밀번호만 관리하면 되겠지만 각각의 정보시스템들은 만들어진 시기도 개발업체도 제각각이다. 그래서 해당 정보시스템들을 하나로 통합하는 것은 거의 불가능하다. 그렇다 보니 임직원의 입/퇴사, 부서이동 등에 따라 정보시스템들에 사용자 계정을 생성하고 삭제하는 작업이 빈번하게 일어나고 권한부여에 대한 관리가 매우 어려워진다.
때로는 퇴사자 계정이 삭제되지 않고 남아 있기도 하고 부서이동으로 인해 권한을 회수해야 하는데 회수가 되지 않고 방치되기도 하는 등 계정관리가 부실해지고 이로인해 내부자에 의해 기업의 기밀이나 고객정보, 개인정보가 유출되기도 한다. 그래서 등장한 솔루션이 통합계정관리(Identity Management)솔루션이다.
하지만 통합계정관리솔루션은 매우 고가의 솔루션인데 반해 도입한다해서 이미 운용중인 정보시스템에 그리 유연하게 연동되지 않으며 관리도 쉽지도 않다. 조직의 사용자 계정 관리 스타일을 최대한 솔루션의 컨셉에 맞춰줘야 하는데 형상이 고정되어 있는 솔루션을 조직 스타일에 어거지로 맞추려다 보니 과도한 커스터마이징을 공급사에 요구한다.
하지만 솔루션을 판매하고 기술지원하는 공급사들은 전문 개발사가 아니며 형상이 이미 고정된 솔루션이기 때문에 커스터마이징에 한계가 있는 경우가 많다. 이로인해 제대로 커스터마이징이 이루어지지 않는 경우가 많기 때문에 큰맘먹고 비싼 돈 들여 구축한 통합계정관리시스템이 제 역할을 다하지 못하기도 한다.
대부분의 통합계정관리솔루션은 사용자의 계정정보를 타 정보시스템과 연동하기 위해 위해 자체적으로 국제 표준 LDAP(Lightweight Directory Access Protocol)을 지원하는 계정DB를 갖고 있거나 다른 LDAP을 지원하는 솔루션을 계정DB로 사용할 수 있도록 지원한다.
이때 사용할 수 있는 LDAP서비스가 바로 마이크로소프트의 액티브 디렉터리(Active Directory) 서비스다. 액티브 디렉터리 서비스는 마이크로소프트의 Windows 기반 사용자 컴퓨터들에게 LDAP기반의 통합인증서비스를 제공하기 위해 개발한 서비스로서 거의 국제 표준 LDAP으로 사용된다고 봐도 무방하다.
ISO27001, PIMS, ISMS 인증 등 다양한 보안인증심사나 기업의 IT 내부감사 과정에서 사용자 계정에 대한 라이프사이클 관리 실태, 운용중인 Windows 기반의 PC에 대한 보호정책 적용 실태를 파악할 때 필수적으로 들여다봐야 하는 정보시스템이 바로 통합계정관리를 위해 사용되는 Windows Active Directory다.
기본적으로 AD의 역할과 정책적용 등에 대해 알고있긴 하지만 많은 기업의 AD를 살펴보면서 여러가지 테스트하고 싶은 케이스들이 있기 때문에 테스트 환경을 구축하게 되었다. 그 과정에서 Active Directory 구성 과정을 기억해두기 위해 이번 포스팅을 올린다.
Windows 2012 Server의 Active Directory 구성하기
액티브디렉터리를 구성하기 위해서는 먼저 Windows 2012 서버를 설치해야 한다. 그리고 다른 AD서버를 바라보지 않는 최상위 액티브디렉터리 서버 혹은 폐쇄망에서 외부 인터넷과 연동되지 않는 도메인을 구성하기 위해서는 아래와 같이 IPV4의 TCP/IP 설정에서 “기본 설정 DNS 서버”를 잠시 자기 자신으로 설정해두어야 한다.
외부 DNS로 설정해 둘 경우 인터넷에 실제로 존재하지 않는 도메인 주소를 외부 DNS서버에서 찾으려하기 때문에 오류가 발생한다.
DNS 서버 주소를 자기 자신으로 변경하고 서버 관리자를 실행한 뒤 로컬서버의 설정을 변경해야 한다.
로컬서버를 선택한 뒤 컴퓨터 이름을 클릭해 서버의 이름(hostname)을 적당한 이름으로 변경한다.
컴퓨터 설명과 컴퓨터 이름만 변경하고 소속그룹은 그대로 둔다. Active Directory 설정 과정에서 작업 그룹이 도메인으로 자동으로 변경된다.
컴퓨터 이름을 변경하면 리부팅해야 한다는 메시지가 뜬다. 서버를 리부팅하고 관리자로 로그인 한 뒤 다시 서버관리자를 실행한다.
서버 관리자에서 2번. 역할 및 기능 추가를 클릭한다.
마법사가 시작되며 역할 및 기능 추가 전에 읽어야할 내용을 보여준다. 가능하다면 꼼꼼히 정독하기 바란다. 엔지니어로서 가져야 할 중요한 습관이다.
모두 읽었다면 “다음”을 클릭한다.
“역할 기반 또는 기능 기반 설치”를 체크하고 “다음”을 클릭한다.
역할 및 기능을 설치할 서버를 선택한다. 기본적으로 “서버 풀에서 서버 선택”이 체크되어 있으며 서버 목록이 나온다. 자기 자신을 선택한다.
“다음”을 클릭하면 서버의 역할을 선택하는 창이 실행된다. 역할 목록에서 “Active Directory 도메인 서비스”를 선택하면 추가적으로 반드시 설치해야 하는 종속 기능 및 역할이 표시되며 동의를 구한다.
“기능 추가” 버튼을 클릭한다.
“Active Directory 도메인 서비스”에 체크(v)가 되어 있다.
“다음”을 클릭하면 .Net Framework 4.5 등 추가할 기능 목록을 보여준다.
“다음”을 클릭한다.
AD DS(Active Directory Domain Service)에 대해 설명해 준다. 내용을 정독하길 권한다.
“다음”을 클릭한다.
마지막으로 확인 창을 보여주고 설치할 것인지 묻는다.
“설치” 버튼을 선택한다.
설치 진행률을 보여준다. 꽤나 오래 걸릴 수도 있다.
설치가 완료되면 서버 관리자로 돌아간다.
서버 관리자 상단에 보면 아래 화면과 같이 주황색 느낌표가 있는 삼각형 표시가 보인다. 그 주의 표시를 클릭하면 “배포 후 구성”에 필요한 작업이 보인다.
바로 “이 서버를 도메인 컨트롤러로 승격”하는 작업이 필요하다. 해당 문구를 클릭한다.
AD 도메인 서비스 구성 마법사가 실행된다.
이 서버는 다른 AD 도메인 서비스와 연동되지 않는 조직의 최상위 도메인 컨트롤러 역할을 하게 되므로 아래 화면과 같이 “새 포리스트를 추가합니다.”를 선택한다.
그리고 도메인 이름을 원하는 도메인 이름으로 지정한다. 나는 내 이 블로그의 도메인인 “blogger.pe.kr”를 입력했다. 집에서 외부와는 연동없이 사용할 것이므로 인터넷에 존재하는 실제 도메인 주소를 넣어도 문제는 없으나 썩~권장되지는 않는다.
“다음”을 선택하면 DNS 옵션 창이 보인다. 역시 상단의 메시지가 모두 보이지 않는다. 가능하면 전체 내용을 읽는 습관을 들여야 한다.
“더 많이 표시”를 클릭하면 전체 경고 메시지가 보인다.
내용을 이해했다면 “확인”을 선택하고 “다음”을 선택한다.
입력한 도메인에서 자동으로 NetBIOS 이름을 추출해 준다. 조금 오래 걸릴 수도 있다.
AD DS의 DB, 로그 파일 경로와 SYSVOL 공유폴더의 경로를 묻는다. 기본값으로 그냥 설정한다.
“다음”을 선택한다.
지금까지 입력한 내용을 검토하도록 내요을 보여준다.
“다음”을 선택한다.
마지막으로 앞에서 보여줬던 몇개의 경고 메시지를 보여준다. 단순 경고 이므로 “설치”를 선택하여 DNS 서비스를 설치한다.
모든 설치와 구성이 완료되면 자동으로 리부팅 메시지가 보여진다.
“확인”을 선택히 리부팅하면 된다.
리부팅이 되고 나면 이제 원격에서 원격 데스크톱으로 접속을 해본다. AD의 도메인 계정으로 접속이 되는지 확인할 수 있다.
사용자 자격증명을 입력한다.
원격 컴퓨터의 인증서가 서버의 호스트네임인 AD01과 입력했던 도메인주소 (blogger.pe.kr)(로 보인다.
AD 계정으로 원격접속 후 IP의 TCP/IP IPV4 속성을 보면 “기본 설정 DNS 서버 주소”가 로컬호스트를 의미하는 127.0.0.1로 변경되어 있었다.
원래 DNS 서버 주소였던 KT DNS서버로 다시 변경했다.
여기까지가 AD서버를 설치하고 AD 서비스 구성을 설정하는 과정을 알아보았다.
다음으로 해야할 일은 AD에 OU를 생성하고 계정을 생성한 뒤 내부 사용자 PC에 AD의 일반 사용자 계정으로 접속이 가능한지를 확인하는 일이다. 다음 포스팅도 조만간 올리자.
o 연관 포스트
Active Directory를 인증서버(Radius)로 사용하기
Active Directory 사용자 계정 생성 및 클라이언트 PC를 AD 멤버로 Join하고 로그인하기
#ActiveDirectory #AD서버