다음을 통해 공유


Kerberos 제한 위임에 대해 Analysis Services 구성

Kerberos 인증에 대해 Analysis Services를 구성하는 경우 데이터를 쿼리할 때 Analysis Services에서 사용자 ID를 가장하도록 하거나 Analysis Services에서 하위 서비스에 사용자 ID를 위임하도록 하는 데 관심을 갖고 있을 가능성이 높습니다. 각 시나리오에는 약간 다른 구성 요구 사항이 필요합니다. 두 시나리오에 공통적으로 필요한 것은 구성이 제대로 수행되었는지 확인하는 작업입니다.

팁

SQL Server용 Microsoft Kerberos 구성 관리자는 SQL Server과의 Kerberos 관련 연결 문제를 해결하는 진단 도구입니다. 자세한 내용은 SQL Server용 Microsoft Kerberos 구성 관리자를 참조하십시오.

이 항목에는 다음과 같은 섹션이 포함되어 있습니다.

  • Analysis Services에서 사용자 ID를 가장할 수 있도록 허용

  • 트러스트된 위임에 대해 Analysis Services 구성

  • 가장된 ID 또는 위임된 ID에 대한 테스트

[!참고]

위임은 Analysis Services에 대한 연결이 단일 홉이거나 솔루션에서 SharePoint Secure Store Service 또는 Reporting Services가 제공하는 저장된 자격 증명을 사용하는 경우 필요하지 않습니다. 모든 연결이 Excel에서 Analysis Services 데이터베이스로의 직접 연결이거나 저장된 자격 증명을 기반으로 하는 경우 제한된 위임을 구성하지 않고도 Kerberos(또는 NTLM)를 사용할 수 있습니다.

사용자 ID가 여러 컴퓨터 연결을 통해 이동해야 하는 경우("이중 홉"이라고 함)에는 Kerberos 제한 위임이 필요합니다. Analysis Services 데이터 액세스가 사용자 ID를 조건으로 하고 연결 요청이 위임하는 서비스에서 발생한 경우 다음 섹션의 검사 목록을 사용하여 Analysis Services에서 원래 호출자를 가장할 수 있는지 확인하십시오. Analysis Services 인증 흐름에 대한 자세한 내용은 Microsoft BI 인증 및 ID 위임을 참조하십시오.

보안 모범 사례로, Microsoft는 항상 제한되지 않은 위임보다는 제한된 위임을 권장합니다. 제한되지 않은 위임은 서비스 ID가 모든 다운스트림 컴퓨터, 서비스 또는 응용 프로그램(제한된 위임을 통해 명시적으로 정의된 서비스가 아닌)에서 다른 사용자를 가장하도록 허용하므로, 주요 보안 위험이 됩니다.

Analysis Services에서 사용자 ID를 가장할 수 있도록 허용

Reporting Services, IIS 또는 SharePoint와 같은 상위 서비스가 Analysis Services에서 사용자 ID를 가장할 수 있도록 허용하려면 해당 서비스에 대한 Kerberos 제한 위임을 구성해야 합니다. 이 시나리오에서 Analysis Services는 위임하는 서비스에서 제공하는 ID를 사용하여 현재 사용자를 가장하고 사용자 ID의 역할 멤버 자격을 기반으로 결과를 반환합니다.

태스크

설명

1단계: 계정이 위임에 적합한지 확인

서비스를 실행하는 데 사용되는 계정이 Active Directory에서 올바른 속성을 갖고 있는지 확인합니다. Active Directory의 서비스 계정은 중요한 계정으로 표시되지 않거나 위임 시나리오에서 특정하게 제외되어야 합니다. 자세한 내용은 사용자 계정 이해를 참조하십시오.

중요 정보중요

일반적으로 모든 계정 및 서버는 동일한 Active Directory 도메인에 속하거나 동일한 포리스트의 트러스트된 도메인에 속해야 합니다. 그러나 Windows Server 2012에서는 도메인 경계를 넘어 위임을 지원하므로 도메인 기능 수준이 Windows Server 2012인 경우 도메인 경계를 넘어 Kerberos 제한 위임을 구성할 수 있습니다. 또는 HTTP 액세스를 위해 Analysis Services를 구성하고 클라이언트 연결에서 IIS 인증 방법을 사용할 수도 있습니다. 자세한 내용은 IIS(인터넷 정보 서비스) 7.0에서 Analysis Services에 대한 HTTP 액세스 구성를 참조하세요.

2단계: SPN 등록

제한된 위임을 설정하기 전에 Analysis Services 인스턴스에 대한 SPN(서비스 사용자 이름)을 등록해야 합니다. 중간 계층 서비스에 대한 Kerberos 제한 위임을 구성할 때 Analysis Services SPN이 필요합니다. 자세한 내용은 Analysis Services 인스턴스에 대한 SPN 등록을 참조하십시오.

SPN(서비스 사용자 이름)은 Kerberos 인증에 대해 구성된 도메인의 서비스에 대한 고유 ID를 지정합니다. 통합 보안을 사용하는 클라이언트 연결은 일반적으로 SPN을 SSPI 인증의 일부로 요청합니다. 요청은 Active Directory DC(도메인 컨트롤러)로 전달되고 KDC는 클라이언트가 제공하는 SPN이 Active Directory의 SPN 등록과 일치하는 경우 티켓을 부여합니다.

3단계: 제한된 위임 구성

사용하려는 계정의 유효성을 검사하고 해당 계정에 대한 SPN을 등록한 후에는 IIS, Reporting Services 또는 SharePoint 웹 서비스와 같은 상위 서비스를 제한된 위임에 대해 구성하고 Analysis Services SPN을 위임이 허용되는 특정 서비스로 지정합니다.

SharePoint 모드의 Reporting Services 또는 Excel Services와 같이 SharePoint에서 실행되는 서비스는 Analysis Services 다차원 또는 표 형식 데이터를 소비하는 통합 문서와 보고서를 호스팅하는 경우가 많습니다. 이러한 서비스에 대한 제한된 위임 구성은 일반적인 구성 태스크이며 Excel Services에서 데이터 새로 고침을 지원하는 데 필요합니다. 다음 링크에서는 SharePoint 서비스는 물론, Analysis Services 데이터에 대한 다운스트림 데이터 연결을 요청할 가능성이 있는 다른 서비스에 대한 지침을 제공합니다.

4단계: 연결 테스트

테스트할 때 서로 다른 ID로 원격 컴퓨터에서 연결하고 업무용 사용자와 동일한 응용 프로그램을 사용하여 Analysis Services를 쿼리하십시오. SQL Server 프로파일러를 사용하여 연결을 모니터링할 수 있습니다. 요청에 대한 사용자 ID가 표시되어야 합니다. 자세한 내용은 이 섹션의 가장된 ID 또는 위임된 ID에 대한 테스트를 참조하십시오.

트러스트된 위임에 대해 Analysis Services 구성

Kerberos 제한 위임에 대해 Analysis Services를 구성하면 Analysis Services에서 관계형 데이터베이스 엔진과 같은 하위 서비스에 대해 클라이언트 ID를 가장할 수 있으므로 클라이언트가 직접 연결된 것처럼 데이터를 쿼리할 수 있습니다.

Analysis Services에 대한 위임 시나리오는 DirectQuery 모드에 대해 구성된 테이블 형식 모델로 제한됩니다. Analysis Services에서 다른 서비스로 위임된 자격 증명을 전달할 수 있는 시나리오는 이 경우뿐입니다. 앞의 섹션에서 언급한 SharePoint 시나리오와 같은 다른 모든 시나리오에서는 Analysis Services가 위임 체인의 수신 쪽에 있습니다. DirectQuery에 대한 자세한 내용은 DirectQuery 모드(SSAS 테이블 형식)를 참조하십시오.

[!참고]

일반적인 오해는 ROLAP 저장소, 처리 작업 또는 원격 파티션에 대한 액세스의 경우 어떤 식으로든 제한된 위임이 필요하다는 것입니다. 그러나 사실이 아닙니다. 이러한 모든 작업은 서비스 계정(또는 처리 계정)으로 직접 실행됩니다. 이러한 작업에 대한 권한이 서비스 계정(예: 서비스에서 데이터를 처리할 수 있도록 관계형 데이터베이스에 대한 db_datareader 권한 부여)에 직접 부여된 경우 Analysis Services의 이러한 작업에 위임은 필요하지 않습니다. 서버 작업 및 권한에 대한 자세한 내용은 서비스 계정 구성(Analysis Services)을 참조하세요.

이 섹션에서는 트러스트된 위임에 대해 Analysis Services를 설정하는 방법에 대해 설명합니다. 이 작업을 완료한 후 Analysis Services는 테이블 형식 솔루션에 사용된 DirectQuery 모드를 지원하기 위해 SQL Server에 위임된 자격 증명을 전달할 수 있습니다.

시작하기 전 주의 사항:

두 전제 조건이 충족되었으면 다음 단계를 계속 수행합니다. 제한된 위임을 설정하려면 도메인 관리자여야 합니다.

  1. Active Directory 사용자 및 컴퓨터에서 Analysis Services가 실행되는 서비스 계정을 찾습니다. 서비스 계정을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

    설명을 위해 다음 스크린샷에서는 OlapSvc와 SQLSvc를 사용하여 Analysis Services와 SQL Server를 각각 나타냅니다.

    OlapSvc는 SQLSvc로의 제한된 위임에 대해 구성될 계정입니다. 이 작업을 완료하면 OlapSvc가 서비스 티켓의 위임된 자격 증명을 SQLSvc로 전달할 수 있는 권한을 갖게 되며 데이터를 요청할 때 원래 호출자를 가장합니다.

  2. 위임 탭에서 지정한 서비스에 대한 위임용으로만 이 사용자 트러스트를 선택하고 Kerberos만 사용을 선택합니다. 추가를 클릭하여 Analysis Services에서 자격 증명을 위임할 수 있는 서비스를 지정합니다.

    위임 탭은 사용자 계정(OlapSvc)이 서비스(Analysis Services)에 할당되고 서비스에 대한 SPN이 등록된 경우에만 나타납니다. SPN을 등록하려면 서비스가 실행 중이어야 합니다.

    Active Directory의 계정 속성 페이지

  3. 서비스 추가 페이지에서 사용자 또는 컴퓨터를 클릭합니다.

    Active Directory의 서비스 추가 페이지

  4. 사용자 또는 컴퓨터 선택 페이지에서 Analysis Services 테이블 형식 모델 데이터베이스에 데이터를 제공하는 SQL Server 인스턴스를 실행하는 데 사용되는 계정을 입력합니다. 확인을 클릭하여 서비스 계정을 적용합니다.

    원하는 계정을 선택할 수 없는 경우 SQL Server가 실행 중이고 해당 계정에 대한 SPN이 등록되어 있는지 확인합니다. 데이터베이스 엔진의 SPN에 대한 자세한 내용은 Kerberos 연결의 서비스 사용자 이름 등록을 참조하십시오.

    Active Directory에서 사용자 또는 컴퓨터 선택

  5. 이제 SQL Server 인스턴스가 서비스 추가에 나타납니다. 해당 계정을 사용하는 모든 서비스도 목록에 나타납니다. 사용할 SQL Server 인스턴스를 선택합니다. 확인을 클릭하여 인스턴스를 적용합니다.

    Active Directory에서 서비스 추가

  6. 이제 Analysis Services 서비스 계정의 속성 페이지는 다음 스크린샷과 유사합니다. 확인을 클릭하여 변경 내용을 저장합니다.

    입력된 계정 속성 페이지

  7. 다른 ID로 원격 클라이언트 컴퓨터에서 연결하여 성공적인 위임에 대해 테스트하고 테이블 형식 모델을 쿼리합니다. SQL Server Profiler에서 요청에 대한 사용자 ID가 표시됩니다.

가장된 ID 또는 위임된 ID에 대한 테스트

SQL Server Profiler를 사용하여 데이터를 쿼리하는 사용자의 ID를 모니터링할 수 있습니다.

  1. Analysis Services 인스턴스에서 SQL Server Profiler를 시작한 다음 새 추적을 시작합니다.

  2. 이벤트 선택에서 Audit Login 및 Audit Logout이 보안 감사 섹션에서 선택되었는지 확인합니다.

  3. 원격 클라이언트 컴퓨터에서 응용 프로그램 서비스(예: SharePoint 또는 Reporting Services)를 통해 Analysis Services에 연결합니다. Audit Login 이벤트는 Analysis Services에 연결하는 사용자의 ID를 보여 줍니다.

철저하게 테스트하려면 네트워크에서 Kerberos 요청 및 응답을 캡처할 수 있는 네트워크 모니터링 도구를 사용해야 합니다. Kerberos에 대해 필터링된 네트워크 모니터 유틸리티(netmon.exe)가 이 작업에 사용될 수 있습니다. Netmon 3.4 및 기타 도구를 사용하여 Kerberos 인증을 테스트하는 방법은 Kerberos 인증 구성: 핵심 구성(SharePoint Server 2010)을 참조하십시오.

또한 Active Directory 개체 속성 대화 상자의 위임 탭에 있는 각 옵션에 대한 자세한 설명은 Active Directory의 가장 혼란스러운 대화 상자(영문)를 참조하세요. 또한 이 문서에서는 LDP를 사용하여 테스트하고 테스트 결과를 해석하는 방법도 설명합니다.

참고 항목

개념

Analysis Services에 연결

Analysis Services 인스턴스에 대한 SPN 등록

연결 문자열 속성(Analysis Services)

관련 자료

Microsoft BI 인증 및 ID 위임

Kerberos를 사용한 상호 인증