Microsoft Entra Domain Services에서 KCD(Kerberos 제한 위임) 구성

애플리케이션을 실행할 때 해당 애플리케이션이 다른 사용자의 컨텍스트에서 리소스에 액세스해야 할 수 있습니다. AD DS(Active Directory Domain Services)는 이 사용 사례를 사용하도록 설정하는 Kerberos 위임이라는 메커니즘을 지원합니다. 그런 다음, KCD(Kerberos 제한 위임)는 이 메커니즘을 기반으로 하여 사용자의 컨텍스트에서 액세스할 수 있는 특정 리소스를 정의합니다.

Microsoft Entra Domain Services 관리되는 도메인은 기존 온-프레미스 AD DS 환경보다 더 안전하게 잠겨 있으므로 더 안전한 리소스 기반 KCD를 사용합니다.

이 문서에서는 Domain Services 관리되는 도메인에서 리소스 기반 Kerberos 제한 위임을 구성하는 방법을 보여 줍니다.

필수 조건

이 문서를 완료하려면 다음 리소스가 필요합니다.

Kerberos 제한 위임 개요

Kerberos 위임을 사용하면 한 계정이 다른 계정을 가장하여 리소스에 액세스할 수 있습니다. 예를 들어 백 엔드 웹 구성 요소에 액세스하는 웹 애플리케이션은 백 엔드 연결을 만들 때 다른 사용자 계정으로 자신을 가장할 수 있습니다. Kerberos 위임은 가장 계정에서 액세스할 수 있는 리소스를 제한하지 않으므로 안전하지 않습니다.

Kerberos 제한 위임(KCD)은 지정된 서버 또는 애플리케이션이 다른 ID를 가장할 때 연결할 수 있는 서비스 또는 리소스를 제한합니다. 기존 KCD에는 서비스에 대한 do기본 계정을 구성하려면 do기본 관리자 권한이 필요하며, 단일 할 일기본 실행되도록 계정을 제한합니다.

기존 KCD에도 몇 가지 문제가 있습니다. 예를 들어 이전 운영 체제에서는 서비스 관리자가 소유한 리소스 서비스에 위임된 프런트 엔드 서비스를 알 수 있는 유용한 방법이 없었습니다. 리소스 서비스에 위임할 수 있는 프런트 엔드 서비스는 잠재적인 공격 지점입니다. 리소스 서비스에 위임하도록 구성된 프런트 엔드 서비스를 호스트한 서버가 손상된 경우 리소스 서비스도 손상될 수 있습니다.

관리되는 do기본 관리자 권한에는 기본 권한이 없습니다. 따라서 기존 계정 기반 KCD는 관리되는 작업기본 구성할 수 없습니다. 리소스 기반 KCD를 대신 사용할 수 있으며, 이는 더 안전합니다.

리소스 기반 KCD

Windows Server 2012 이상에서는 서비스 관리자에게 해당 서비스에 대해 제한된 위임을 구성할 수 있는 기능을 제공합니다. 이 모델을 리소스 기반 KCD라고 합니다. 이 접근 방식을 사용하여 백 엔드 서비스 관리자는 KCD를 사용하여 특정 프런트 엔드 서비스를 허용하거나 거부할 수 있습니다.

리소스 기반 KCD는 PowerShell을 사용하여 구성됩니다. 가장 계정이 컴퓨터 계정인지 사용자 계정/서비스 계정인지에 따라 Set-ADComputer 또는 Set-ADUser cmdlet을 사용합니다.

컴퓨터 계정에 대한 리소스 기반 KCD 구성

이 시나리오에서는 contoso-webapp.aaddscontoso.com 컴퓨터에서 실행되는 웹앱이 있다고 가정해 보겠습니다.

웹앱은 할 일기본 사용자의 컨텍스트에서 contoso-api.aaddscontoso.com 컴퓨터에서 실행되는 웹 API에 액세스해야 합니다.

다음 단계를 완료하여 이 시나리오를 구성합니다.

  1. 사용자 지정 OU를 만듭니다. 관리되는 do기본 내의 사용자에게 이 사용자 지정 OU를 관리할 수 있는 권한을 위임할 수 있습니다.

  2. 웹앱을 실행하는 가상 머신과 웹 API를 실행하는 가상 머신을 모두 관리되는 do기본 조인합니다.기본 이전 단계의 사용자 지정 OU에 이러한 컴퓨터 계정을 만듭니다.

    참고 항목

    웹앱 및 웹 API에 대한 컴퓨터 계정은 리소스 기반 KCD를 구성할 수 있는 권한이 있는 사용자 지정 OU에 있어야 합니다. 기본 제공 Microsoft Entra DC 컴퓨터 컨테이너의 컴퓨터 계정에 대해서는 리소스 기반 KCD를 구성할 수 없습니다.

  3. 마지막으로 Set-ADComputer PowerShell cmdlet을 사용하여 리소스 기반 KCD를 구성합니다.

    도메인 조인 관리 VM에서 Microsoft Entra DC 관리자 그룹의 구성원인 사용자 계정으로 로그인하고 다음 cmdlet을 실행합니다. 필요에 따라 사용자 고유의 컴퓨터 이름을 제공합니다.

    $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
    Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
    

사용자 계정에 대한 리소스 기반 KCD 구성

이 시나리오에서는 appsvc라는 서비스 계정으로 실행되는 웹앱이 있다고 가정해 보겠습니다. 웹앱은 do기본 사용자의 컨텍스트에서 backendsvc라는 서비스 계정으로 실행되는 웹 API에 액세스해야 합니다. 다음 단계를 완료하여 이 시나리오를 구성합니다.

  1. 사용자 지정 OU를 만듭니다. 관리되는 do기본 내의 사용자에게 이 사용자 지정 OU를 관리할 수 있는 권한을 위임할 수 있습니다.

  2. 백 엔드 웹 API/리소스를 실행하는 가상 머신을 관리되는 do기본 기본 조인합니다. 사용자 지정 OU 내에서 컴퓨터 계정을 만듭니다.

  3. 사용자 지정 OU 내에서 웹앱을 실행하는 데 사용되는 서비스 계정(예 : appsvc)을 만듭니다.

    참고 항목

    다시 말하지만, 웹 API VM의 컴퓨터 계정과 웹앱에 대한 서비스 계정은 리소스 기반 KCD를 구성할 수 있는 권한이 있는 사용자 지정 OU에 있어야 합니다. 기본 제공된 Microsoft Entra DC 컴퓨터 또는 Microsoft Entra DC 사용자 컨테이너의 계정에 대해서는 리소스 기반 KCD를 구성할 수 없습니다. 이는 또한 Microsoft Entra ID에서 동기화된 사용자 계정을 사용하여 리소스 기반 KCD를 설정할 수 없음을 의미합니다. Domain Services에서 특별히 만들어진 서비스 계정을 만들고 사용해야 합니다.

  4. 마지막으로 Set-ADUser PowerShell cmdlet을 사용하여 리소스 기반 KCD를 구성합니다.

    도메인 조인 관리 VM에서 Microsoft Entra DC 관리자 그룹의 구성원인 사용자 계정으로 로그인하고 다음 cmdlet을 실행합니다. 필요에 따라 사용자 고유의 서비스 이름을 제공합니다.

    $ImpersonatingAccount = Get-ADUser -Identity appsvc
    Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
    

다음 단계

Active Directory 도메인 Services에서 위임이 작동하는 방식에 대한 자세한 내용은 Kerberos 제한된 위임 개요를 참조하세요.