시스템 관리형 keytab을 사용한 Active Directory 인증에서 Azure Arc 지원 SQL Server - 필수 구성 요소
이 문서에서는 AD(Active Directory) 인증을 사용하여 Azure Arc 지원 데이터 서비스 배포를 준비하는 방법을 설명합니다. 특히 이 문서에서는 Kubernetes 리소스를 배포하기 전에 구성해야 하는 Active Directory 개체에 대해 설명합니다.
소개에서는 두 가지 통합 모드에 대해 설명합니다.
- 시스템 관리형 keytab 모드를 사용하면 시스템에서 각 SQL Managed Instance에 대한 AD 계정을 만들고 관리할 수 있습니다.
- 고객 관리형 keytab 모드를 사용하면 각 SQL Managed Instance에 대한 AD 계정을 만들고 관리할 수 있습니다.
요구 사항 및 권장 사항은 두 통합 모드에 대해 다릅니다.
Active Directory 개체 | 고객 관리형 keytab | 시스템 관리형 keytab |
---|---|---|
OU(조직 구성 단위) | 권장 | Required |
Active Directory Connector용 Active Directory DSA(도메인 서비스 계정) | 필요하지 않음 | Required |
SQL Managed Instance를 위한 Active Directory 계정 | 각 관리되는 인스턴스에 대해 생성됨 | 시스템은 각 관리되는 인스턴스에 대한 AD 계정을 만듭니다. |
DSA 계정 - 시스템 관리형 keytab 모드
Active Directory에서 필요한 모든 개체를 자동으로 만들려면 AD 커넥터에 DSA(도메인 서비스 계정)가 필요합니다. DSA는 제공된 OU(조직 구성 단위) 내에서 사용자 계정을 만들고, 관리하고, 삭제할 수 있는 특정 권한이 있는 Active Directory 계정입니다. 이 문서에서 이 Active Directory 계정의 권한을 구성하는 방법을 설명합니다. 예제에서는 이 문서의 예로 DSA 계정을 arcdsa
라고 합니다.
자동 생성된 Active Directory 개체
Arc 지원 SQL Managed Instance 배포는 시스템 관리형 keytab 모드에서 계정을 자동으로 생성합니다. 각 계정은 SQL Managed Instance를 나타내며 SQL 수명 동안 시스템에서 관리됩니다. 이러한 계정은 각 SQL에 필요한 SPN(서비스 사용자 이름)을 소유합니다.
아래 단계에서는 Active Directory 도메인 컨트롤러가 이미 있다고 가정합니다. 도메인 컨트롤러가 없는 경우 도움이 될 수 있는 단계는 이 가이드에 포함되어 있습니다.
Active Directory 개체 만들기
AD 인증을 사용하여 Arc 지원 SQL Managed Instance를 배포하기 전에 다음 작업을 수행합니다.
- 모든 Arc 지원 SQL Managed Instance 관련 AD 개체에 대한 OU(조직 구성 단위)를 만듭니다. 또는 배포 시에 기존 OU를 선택할 수도 있습니다.
- AD 커넥터에 대한 AD 계정을 만들거나 기존 계정을 사용하고 이 계정에 이전 단계에서 만든 OU에 대한 올바른 권한을 제공합니다.
OU 만들기
시스템 관리형 keytab 모드에는 지정된 OU가 필요합니다. 고객 관리형 keytab 모드의 경우 OU를 사용하는 것이 좋습니다.
도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를 엽니다. 왼쪽 패널에서 OU를 만들려는 디렉터리를 마우스 오른쪽 단추로 클릭하고, 새로 만들기 > 조직 구성 단위를 선택한 다음, 마법사의 안내에 따라 OU를 만듭니다. 또는 PowerShell을 사용하여 OU를 만들 수 있습니다.
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
이 문서의 예에서는 OU 이름으로 arcou
를 사용합니다.
DSA(도메인 서비스 계정) 만들기
시스템 관리형 keytab 모드의 경우 AD 도메인 서비스 계정이 필요합니다.
도메인 서비스 계정으로 사용할 Active Directory 사용자를 만듭니다. 이 계정에는 특정 권한이 필요합니다. 기존 Active Directory 계정이 있는지 확인하거나 Arc 지원 SQL Managed Instance가 필요한 개체를 설정하는 데 사용할 수 있는 새 계정을 만듭니다.
AD에서 새 사용자를 만들려면 마우스 오른쪽 단추로 도메인 또는 OU를 클릭하고, 새로 만들기>사용자를 차례로 선택하면 됩니다.
이 계정은 이 문서에서 arcdsa라고 합니다.
DSA에 대한 사용 권한 설정
시스템 관리형 keytab 모드의 경우 DSA에 대한 사용 권한을 설정해야 합니다.
DSA에 대한 새 계정을 만들었든 아니면 기존 Active Directory 사용자 계정을 사용 중이든 관계없이 계정에 필요한 특정 권한이 있습니다. DSA는 OU에서 사용자, 그룹 및 컴퓨터 계정을 만들 수 있어야 합니다. 다음 단계에서 Arc 지원 SQL Managed Instance 도메인 서비스 계정 이름은 arcdsa
입니다.
Important
DSA의 이름을 선택할 수 있지만 AD 커넥터가 배포된 후에는 계정 이름을 변경하지 않는 것이 좋습니다.
도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터 열고 보기를 클릭하고 고급 기능을 선택합니다.
왼쪽 패널에서 도메인,
arcou
에서 사용할 OU로 차례로 이동합니다.마우스 오른쪽 단추로 OU를 클릭하고 속성을 선택합니다.
참고 항목
마우스 오른쪽 단추로 OU를 클릭하고 보기를 선택하여 고급 기능을 선택했는지 확인합니다.
보안 탭으로 이동합니다. 고급 기능을 선택하고 OU를 마우스 오른쪽 단추로 클릭하고 보기를 선택합니다.
추가...를 선택하고 arcdsa 사용자를 추가합니다.
arcdsa 사용자를 선택하고 모든 권한을 지운 다음, 고급을 선택합니다.
추가 선택
보안 주체 선택을 선택하고 arcdsa를 삽입하고 확인을 선택합니다.
형식을 허용으로 설정합니다.
적용 대상을 이 개체 및 모든 하위 개체로 설정합니다.
아래쪽으로 스크롤하여 모두 지우기를 선택합니다.
위쪽으로 다시 스크롤하여 다음을 선택합니다.
- 모든 속성 읽기
- 모든 속성 쓰기
- 사용자 개체 만들기
- 사용자 개체 삭제
확인을 선택합니다.
추가를 선택합니다.
보안 주체 선택을 선택하고 arcdsa를 삽입하고 확인을 선택합니다.
형식을 허용으로 설정합니다.
적용 대상을 하위 사용자 개체로 설정합니다.
아래쪽으로 스크롤하여 모두 지우기를 선택합니다.
위쪽으로 다시 스크롤하여 암호 재설정을 선택합니다.
확인을 선택합니다.
- 확인을 두 번 더 선택하여 열려 있는 대화 상자를 닫습니다.