SPN(서비스 사용자 이름)을 사용하는 Kerberos

  • 아티클

적용 대상: Azure Stack HCI, 버전 22H2 및 21H2; Windows Server 2022, Windows Server 2019

네트워크 컨트롤러는 관리 클라이언트와의 통신을 위해 여러 인증 방법을 지원합니다. Kerberos 기반 인증, X509 인증서 기반 인증을 사용할 수 있습니다. 또한 테스트 배포에 인증을 사용하지 않는 옵션도 있습니다.

System Center Virtual Machine Manager Kerberos 기반 인증을 사용합니다. Kerberos 기반 인증을 사용하는 경우 Active Directory에서 네트워크 컨트롤러에 대한 SPN(서비스 사용자 이름)을 구성해야 합니다. SPN은 Kerberos 인증에서 서비스 instance 서비스 로그인 계정과 연결하는 데 사용되는 네트워크 컨트롤러 서비스 instance 대한 고유 식별자입니다. 자세한 내용은 서비스 주체 이름을 참조하세요.

SPN(서비스 사용자 이름) 구성

네트워크 컨트롤러는 SPN을 자동으로 구성합니다. 네트워크 컨트롤러 컴퓨터에서 SPN을 등록하고 수정할 수 있는 권한을 제공하기만 하면 됩니다.

  1. 도메인 컨트롤러 머신에서 Active Directory 사용자 및 컴퓨터를 시작합니다.

  2. 보기 > 고급을 선택합니다.

  3. 컴퓨터에서 네트워크 컨트롤러 컴퓨터 계정 중 하나를 찾은 다음 마우스 오른쪽 단추를 클릭하고 속성을 선택합니다.

  4. 보안 탭을 선택하고 고급을 클릭합니다.

  5. 목록에서 모든 네트워크 컨트롤러 컴퓨터 계정 또는 모든 네트워크 컨트롤러 컴퓨터 계정이 있는 보안 그룹이 나열되지 않은 경우 추가 를 클릭하여 추가합니다.

  6. 각 네트워크 컨트롤러 컴퓨터 계정 또는 네트워크 컨트롤러 컴퓨터 계정을 포함하는 단일 보안 그룹에 대해 다음을 수행합니다.

    a. 계정 또는 그룹을 선택하고 편집을 클릭합니다.

    b. 권한 아래에서 Validate Write servicePrincipalName(servicePrincipalName 쓰기 유효성 검사)을 선택합니다.

    d. 아래로 스크롤하여 속성에서 다음을 선택합니다.

    • Read servicePrincipalName(servicePrincipalName 읽기)

    • Write servicePrincipalName(servicePrincipalName 쓰기)

    e. 확인을 두 번 클릭합니다.

  7. 각 네트워크 컨트롤러 컴퓨터에 대해 3~6단계를 반복합니다.

  8. Active Directory 사용자 및 컴퓨터를 닫습니다.

SPN 등록/수정에 대한 권한을 제공하지 못했습니다.

Windows Server 2019 배포에서 REST 클라이언트 인증을 위해 Kerberos를 선택하고 네트워크 컨트롤러 노드에 SPN을 등록하거나 수정할 수 있는 권한을 부여하지 않으면 네트워크 컨트롤러의 REST 작업이 실패하여 SDN을 관리할 수 없습니다.

Windows Server 2016 Windows Server 2019로 업그레이드하고 REST 클라이언트 인증을 위해 Kerberos를 선택한 경우 REST 작업이 차단되지 않으므로 기존 프로덕션 배포에 대한 투명성이 보장됩니다.

SPN이 등록되지 않은 경우 REST 클라이언트 인증은 덜 안전한 NTLM을 사용합니다. 또한 NetworkController-Framework 이벤트 채널의 관리 채널에서 SPN을 등록하기 위해 네트워크 컨트롤러 노드에 권한을 제공하도록 요청하는 중요한 이벤트가 발생합니다. 권한을 제공하면 네트워크 컨트롤러는 SPN을 자동으로 등록하고 모든 클라이언트 작업은 Kerberos를 사용합니다.

일반적으로 REST 기반 작업에 IP 주소 또는 DNS 이름을 사용하도록 네트워크 컨트롤러를 구성할 수 있습니다. 그러나 Kerberos를 구성하는 경우 네트워크 컨트롤러에 대한 REST 쿼리에 IP 주소를 사용할 수 없습니다. 예를 들어, <https://networkcontroller.consotso.com>는 사용할 수 있지만 <https://192.34.21.3>는 사용할 수 없습니다. IP 주소를 사용하는 경우 서비스 주체 이름이 작동할 수 없습니다.

Windows Server 2016 Kerberos 인증과 함께 REST 작업에 IP 주소를 사용하는 경우 실제 통신은 NTLM 인증을 통해 수행되었을 것입니다. 이러한 배포에서 Windows Server 2019로 업그레이드하면 NTLM 기반 인증을 계속 사용합니다. Kerberos 기반 인증으로 이동하려면 REST 작업에 네트워크 컨트롤러 DNS 이름을 사용하고 네트워크 컨트롤러 노드가 SPN을 등록할 수 있는 권한을 제공해야 합니다.