Kerberos 인증 구성: 단계별 구성(SharePoint Server 2010)
적용 대상: SharePoint Server 2010
마지막으로 수정된 항목: 2016-11-30
이 문서에서 설명할 시나리오에서는 SharePoint Server 2010 환경을 구축하여 기업에서 발생할 수 있는 다양한 일반 시나리오에서 위임을 구성하는 방법을 보여 줍니다. 이 실습에서는 다음 섹션에서 설명하는 것과 비슷한 수평 확장된 SharePoint 팜을 작성한다고 가정합니다.
참고
특정 팜 토폴로지에서는 일부 구성 단계가 변경되거나 작동하지 않을 수 있습니다. 예를 들어 단일 서버 설치에서는 Windows Identity Foundation C2WTS 서비스를 지원하지 않으므로, 이 팜 구성에서는 Windows 토큰 위임에 대한 클레임 시나리오를 사용할 수 없습니다.
환경과 팜 토폴로지
다음 다이어그램에서는 아래 섹션의 시나리오를 구성할 때 사용되는 팜 토폴로지를 보여 줍니다. 이 팜 토폴로지는 여러 계층 간에 부하 분산되고 수평 확장되어 다중 서버, 다중 홉 시나리오에서 ID 위임이 작동하는 방식을 보여 줍니다.
참고
데모의 팜 구성은 프로덕션 환경용 토폴로지를 디자인하는 방법을 보여 주는 예제 또는 참조 아키텍처로 사용할 수 없습니다. 예를 들어 데모 토폴로지는 단일 서버에서 모든 SharePoint Server 2010 서비스 응용 프로그램을 실행하므로, 이러한 서비스에 대해 단일 오류 지점이 생성됩니다. 프로덕션 SharePoint Server 환경을 디자인 및 작성하는 방법에 대한 자세한 내용은 SharePoint Server 2010 - 물리적 및 논리적 아키텍처(영문일 수 있음) 및 SharePoint Server 2010용 토폴로지(영문일 수 있음)를 참조하십시오.
참고
시나리오의 연습에서는 SharePoint Server를 실행하는 모든 컴퓨터와 아래 시나리오에 사용되는 데이터 원본이 단일 도메인에 있다고 가정합니다. 다중 도메인/다중 포리스트 구성에 대한 설명 및 연습은 이 문서에서 다루지 않습니다.
환경 사양
데모 환경의 모든 컴퓨터는 가상화되어 Windows Server 2008 R2 Hyper-V에서 실행됩니다. 이들 컴퓨터는 Windows Server 2008 포리스트 및 도메인 기능 수준에서 실행되는 단일 Windows 도메인(vmlab.local)에 연결됩니다.
클라이언트 컴퓨터
- Windows 7 Professional(64비트)
SharePoint Server 프런트 엔드 웹
Windows Server 2008 R2 Enterprise(64비트)
서비스:
- 웹 응용 프로그램 서비스
Windows NLB를 통해 부하 분산됨
SharePoint Server 응용 프로그램 서버
Windows Server 2008 R2 Enterprise(64비트)
Microsoft SharePoint Server 2010(RTM)
서비스:
Windows Token Service에 대한 WIF 클레임
Managed Metadata Service
SharePoint 인덱스
SharePoint 쿼리
Excel Services
Visio Graphics Service
Business Connectivity Services
PerformancePoint Services
SQL 서비스
Windows Sever 2008 R2 Enterprise(64비트)
Microsoft SQL Server 2008 R2 Enterprise(64비트)
활성/수동 구성
SQL Server 서비스:
SQL Data Engine
SQL Server Analysis Services
SQL Agent
SQL Browser
SQL Reporting Server
Windows Server 2008 R2 Enterprise(64비트)
Microsoft SQL 2008 R2 Enterprise(64비트)
Microsoft SharePoint Server 2010(RTM)
Windows NLB(부하 분산됨)
Reporting Services SharePoint 통합 모드
Reporting Services(수평 확장 모드)
웹 응용 프로그램 사양
연습의 시나리오에서는 시나리오 1에서 구성할 SharePoint Server 2010 웹 응용 프로그램 집합을 참조합니다. 아래의 웹 응용 프로그램은 데모 환경의 두 SharePoint Server 웹 프런트 엔드에서 Windows NLB를 사용하여 부하 분산됩니다.
http://sp10CA 팜의 중앙 관리 웹 응용 프로그램입니다. 시나리오 1에서는 이 웹 응용 프로그램의 구성을 연습하지 않습니다.
http://portal 및 https://portal 데모 게시 포털이 있는 웹 응용 프로그램으로, 표준 포트(HTTP 80, HTTPS 443)에서 실행되는 웹 응용 프로그램에 대해 위임을 구성하는 방법을 보여 주는 데 사용됩니다.
http://teams:5555 데모 팀 사이트가 포함된 웹 응용 프로그램입니다. 비표준 포트(이 예제에서는 포트 5555)에서 실행되는 웹 응용 프로그램에 대해 위임을 구성하는 방법을 보여 주는 데 사용됩니다.
SSL 구성
일부 연습 시나리오에서는 SSL을 사용하여 HTTPS를 통해 위임을 구성하는 방법을 보여 줍니다. 이러한 시나리오에서는 사용하는 인증서가 신뢰할 수 있는 루트 인증 기관(내부 또는 공용)의 인증서이거나, 사용하는 인증서를 신뢰하도록 모든 컴퓨터를 구성했다고 가정합니다. 이 문서에서는 인증서 신뢰를 적절하게 구성하는 방법을 설명하지 않으며, SSL 인증서 설치와 관련된 문제 디버깅에 대한 지침도 제공하지 않습니다. 이러한 항목을 별도로 검토하여 SSL 구성을 테스트한 후에 SSL로 보호된 서비스에 대해 Kerberos 제한 위임을 구성하는 것이 좋습니다. 자세한 내용은 다음을 참조하십시오.
Active Directory 인증서 서비스 개요(https://go.microsoft.com/fwlink/?linkid=196660&clcid=0x412)
Active Directory 인증서 서비스 단계별 가이드(https://go.microsoft.com/fwlink/?linkid=196661&clcid=0x412)
IIS 7에서 서버 인증서 구성(https://go.microsoft.com/fwlink/?linkid=196662&clcid=0x412)
IIS 7에서 SSL을 설정하는 방법: 보안 구성: IIS 7 설치 및 구성: 공식 Microsoft IIS 사이트(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=193447&clcid=0x412)(영문일 수 있음)
사이트에 바인딩 추가(IIS 7)(https://go.microsoft.com/fwlink/?linkid=196663&clcid=0x412)
웹 사이트의 호스트 헤더 구성(IIS 7)(https://go.microsoft.com/fwlink/?linkid=196664&clcid=0x412) - (SSL에서 호스트 헤더를 사용하는 방법)
IIS 7에서 자체 서명된 서버 인증서 만들기(https://go.microsoft.com/fwlink/?linkid=196665&clcid=0x412)
부하 분산
SharePoint Server 프런트 엔드 웹 및 SQL Server Reporting Services 서버의 부하 분산은 Windows Server 2008 NLB(네트워크 부하 분산)를 사용하여 구현했습니다. 이 문서에서는 NLB 구성 방법 및 NLB 모범 사례를 다루지 않습니다. NLB에 대한 자세한 내용은 네트워크 부하 분산 개요를 참조하십시오.
SQL 별칭 지정
이 시나리오에서는 팜 작성 시에는 SQL 클라이언트 별칭을 사용하여 SQL 클러스터에 연결했습니다. 이러한 방식은 일반적인 모범 사례로, SQL 별칭 지정을 사용할 때 Kerberos 인증을 구성하는 방식을 보여 주기 위해 수행되었습니다. 시나리오 2에서는 환경이 이러한 방식으로 구성되어 있다고 가정하지만, 아래 시나리오를 완료하기 위해 반드시 SQL 별칭을 사용할 필요는 없습니다. SQL 별칭을 구성하는 방법에 대한 자세한 내용은 방법: 클라이언트에서 사용할 서버 별칭 만들기(SQL Server 구성 관리자)를 참조하십시오.
시나리오 연습 수행 팁
아래의 시나리오에서는 SharePoint Server 플랫폼의 여러 기능에 대해 Kerberos 위임을 구성하는 데 필요한 다양한 작업을 연습합니다. 각 섹션을 진행할 때 다음 사항을 기억하십시오.
모든 시나리오에서는 사용자가 들어오는 클래식 인증(Kerberos)을 사용할 수 있도록 웹 응용 프로그램을 구성했다고 가정합니다. 아래의 시나리오 중 일부의 경우에는 클래식 인증을 사용해야 하며, 들어오는 클레임 인증을 사용하는 경우 설명대로 작동하지 않습니다.
위임을 수행하지 말고 SharePoint Server 서비스를 먼저 작동시켜 서비스 응용 프로그램이 올바르게 구성되어 있는지 확인한 후에 위임과 관련한 보다 중요한 구성을 수행하십시오.
각 단계를 면밀하게 확인하여 건너뛰는 단계가 없도록 하십시오.
시나리오 1을 연습한 다음 해당 시나리오에 설명된 디버깅 도구를 사용해 보십시오. 다른 시나리오에서 구성 문제를 확인하는 데 디버깅 도구를 사용할 수 있습니다.
시나리오 2를 반드시 연습하십시오. 시나리오 2에서는 Kerberos 인증을 허용하도록 구성된 SQL Server 실행 컴퓨터와, 이 시나리오에서 일부 이후 시나리오용으로 설정하는 테스트 데이터베이스가 필요합니다.
SetSPN -X 및 SetSPN -Q를 사용하여 각 시나리오의 SPN 구성을 항상 다시 점검하십시오. 자세한 내용은 부록을 참조하십시오.
구성 문제를 디버그할 때는 항상 서버 이벤트 로그 및 ULS 로그를 확인하십시오. 일반적으로 이러한 로그에는 발생한 문제를 빠르게 파악하는 데 도움이 되는 항목이 포함되어 있습니다.
SharePoint Foundation->클레임 인증 및 문제가 발생하는 경우 분류할 서비스 응용 프로그램에 대한 진단 로깅을 설정하십시오.
각 시나리오는 서비스 응용 프로그램 캐시의 영향을 받을 수 있다는 점을 기억하십시오. 구성을 변경했는데 플랫폼 동작이 바뀌지 않는 경우 서비스의 응용 프로그램 풀 또는 Windows 서비스를 다시 시작해 보십시오. 그래도 아무런 변화가 없으면 시스템을 다시 부팅해야 할 수 있습니다.
Kerberos 티켓은 요청 시 캐시됩니다. NetMon 같은 도구를 사용하여 TGT 및 TGS 요청을 보는 경우 예상했던 요청 트래픽이 표시되지 않으면 티켓 캐시를 비워야 할 수 있습니다. 시나리오 1 Kerberos 인증 구성: 핵심 구성(SharePoint Server 2010)에서 KLIST 및 KerbTray 유틸리티를 사용하여 이 작업을 수행하는 방법을 설명합니다.
Kerberos 트래픽을 캡처하려면 관리 권한으로 NetMon을 실행하십시오.
고급 디버깅 시나리오의 경우에는 Windows 토큰 서비스에 대한 클레임 에 대해 WIF 추적을, 그리고 SharePoint 서비스 응용 프로그램(WCF 서비스)에 대해 WCF 추적을 설정할 수 있습니다. 자세한 내용은 다음 항목을 참조하십시오.