CredSSP 문제 해결
Azure Stack HCI 관리 및 유지 관리 작업을 평가하는 동안 Contoso의 정보 보안 팀이 새로운 운영 모델의 보안 관련 영향을 검토하고 있습니다. 특별히 관심을 갖는 영역 중 하나는 인증입니다. Contoso는 Windows 및 Linux 기반 워크로드에 대한 ID 공급자로 AD DS를 사용하며, 기본 인증 프로토콜은 Kerberos입니다. 정보 보안 팀은 다른 인증 프로토콜에 종속될 수 있는 Azure Stack HCI 작업을 식별하고 그러한 프로토콜의 사용으로 인한 잠재적 영향을 확인하도록 요청했습니다. 평가 기간 동안 일시적으로 CredSSP 기반 인증으로 전환해야 하는 시나리오가 여러 차례 발생했습니다. 이제 CredSSP의 필요성을 확인하고 그 사용과 관련하여 고려할 사항을 문서화하려고 합니다.
Azure Stack HCI에서 CredSSP 인증의 역할 개요
CredSSP의 주요 목적은 클라이언트, 서버, 원격 리소스 등 세 구성 요소가 포함된 원격 위임 시나리오를 용이하게 만드는 것입니다. CredSSP에서는 사용자가 클라이언트에 인증하고, 클라이언트가 서버에 사용자의 자격 증명을 위임합니다. 그러면 서버가 이러한 자격 증명을 사용하여 원격 리소스에 액세스합니다. WinRM(Windows 원격 관리) 및 PowerShell Remoting을 사용하는 경우 이러한 위임은 흔히 요구 사항 중 하나입니다.
참고
위임된 자격 증명으로 원격 서비스에 액세스하도록 제한하여 제한된 위임을 허용하는 Kerberos와 달리 CredSSP는 제약 조건 없이 자격 증명을 서버에 전달합니다. 이 기능으로 인해 CredSSP를 구성하는 것이 더 간단하지만 Kerberos와 동일한 수준의 보호를 제공하지는 않습니다. 서버가 손상된 경우 사용자 자격 증명을 사용하여 다른 네트워크 리소스에 액세스할 수 있습니다.
참고
CredSSP 인증은 Kerberos 위임 구현이 가능한 옵션이 아닌 환경에 대한 한 가지 해결 방법입니다. Kerberos 제한 위임을 구성하려면 AD DS에 대한 권한 있는 액세스 권한이 필요합니다.
일부 Azure Stack HCI WinRM 기반 작업에는 위임이 필요합니다. 여기에는 Windows Admin Center 기반 클러스터 만들기 마법사 실행 및 CAU(클러스터 인식 업데이트) 설정이 포함됩니다. 이러한 경우 관리 컴퓨터와 Azure Stack HCI 서버 간에 일시적으로 CredSSP를 사용하도록 설정할 수 있습니다.
참고
해당 작업을 완료한 후에는 CredSSP를 사용하지 않도록 설정해야 합니다.
Azure Stack HCI에서 CredSSP 관리 및 문제 해결
WinRM 기반 CredSSP 설정을 구성하는 방법에는 WinRM 유틸리티, 그룹 정책 및 Windows PowerShell이 포함됩니다. 선택한 방법에 관계없이 클라이언트 및 서버에 대해 CredSSP 위임을 사용하도록 설정해야 합니다. 또한 CredSSP를 사용하려면 서버에 HTTPS 수신기가 필요합니다. 또한 AD DS 서버 및 클라이언트 컴퓨터 개체에는 WSMAN 서비스 클래스와 연결된 SPN(서비스 사용자 이름) 특성 값이 포함되어야 합니다.
사용자 자격 증명을 서버로 위임하는 CredSSP 기반 위임을 사용하도록 설정하려면 클라이언트 컴퓨터의 관리자 권한 PowerShell 세션에서 다음 명령을 실행합니다(여기서 <server_FQDN_name> 자리 표시자는 서버의 정규화된 DNS 이름을 나타냄).
Enable-WsmanCredSSP -Role Client -DelegateComputer <server_FQDN_name>
서버에서 CredSSP 기반 위임을 사용하도록 설정하려면 해당 서버에 연결하고(예: 콘솔 세션 또는 원격 데스크톱을 사용) 관리자 권한 PowerShell 세션에서 다음 명령을 실행합니다.
Enable-WsmanCredSSP -Role Server
SPN 특성의 구성을 확인하고 문제를 해결하는 프로세스는 클라이언트 컴퓨터와 서버 컴퓨터가 동일합니다. 두 경우 모두 관리자 권한 명령 프롬프트에서 다음 명령을 실행하여 시작합니다(여기서 <computer_name> 자리 표시자는 SPN을 식별하려는 컴퓨터의 이름을 나타냄).
setspn -Q WSMAN/<computer_name>
결과에는 WSMAN/<computer_name> 및 WSMAN/<computer_FQDN_name>이 포함됩니다. 이러한 경우가 아니면 관리자 권한 명령 프롬프트에서 다음 명령을 실행합니다(여기서 <computer_name> 자리 표시자는 SPN을 등록하는 컴퓨터의 이름을 나타냄).
setspn -S WSMAN/<computer_name> <computer_name>
Azure Stack HCI에서 CredSSP를 관리하고 문제를 해결하는 과정에서 다음과 같은 인증 및 권한 부여 고려 사항에 유의해야 합니다.
- Windows Admin Center 내에서 CredSSP 사용/사용 안 함 설정, 클러스터 만들기 마법사 실행 등 여러 위임 관련 작업에는 게이트웨이 관리자 역할 권한이 필요합니다.
- Windows Admin Center를 호스트하는 컴퓨터는 관리형 Azure Stack HCI 클러스터와 동일한 AD DS 도메인의 멤버여야 합니다.