내용 건너뛰기
TSplus 문서 ®
변경 로그

Active Directory 도메인에서 Windows 통합 인증 활성화

이 가이드는 웹 포털에서 그룹 관리 서비스 계정(gMSA)과 함께 Windows 통합 인증(케르베로스/NTLM)을 구성하기 위해 제공됩니다.

각 회사의 네트워크 및 아키텍처의 고유한 특성으로 인해 이 문서를 따르면서 발생하는 문제에 대한 지원을 제공할 수 없습니다. Windows 통합 인증을 사용하는 웹 포털에 대한 기술 요구 사항을 충족하지만, 구현은 귀하의 책임입니다.

도메인 구성

Active Directory 환경은 Kerberos 또는 NTLM 인증을 지원해야 합니다.

관리 서비스 계정(gMSA) 설정

웹 포털 서비스를 설치하고 실행하십시오. 도메인 관리 서비스 계정 대신 도메인 관리자 계정.

필수 조건

  • Active Directory 스키마 수준: Windows Server 2012 또는 이후 (gMSA에 필요)
  • 최소한 하나의 도메인 컨트롤러가 실행 중입니다. Windows Server 2012 또는 이후
  • KDS 루트 키 생성됨 (일회성 설정)
  • 회원 가입 도메인 관리자 또는 계정 운영자 계정을 생성하기 위해

KDS 루트 키를 생성합니다(아직 생성되지 않은 경우).

도메인 컨트롤러에서 권한 상승된 PowerShell 세션에서 실행:

터미널 창 
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))

이로 인해 루트 키가 즉시 사용 가능해집니다.

gMSA 생성

사용하다 New-ADServiceAccount :

터미널 창 
New-ADServiceAccount `
  -Name "WebPortalSvc" `
  -DNSHostName "WebPortalSvc.domain.local" `
  -PrincipalsAllowedToRetrieveManagedPassword "YourServerGroup" `
  -Enabled $true
  • 이름 gMSA 계정 이름
  • DNS호스트이름 계정의 FQDN
  • 관리되는 비밀번호를 검색할 수 있는 원칙 컴퓨터/그룹이 이 gMSA를 사용할 수 있습니다.

관리자 권한 부여 (선택 사항 / 필요에 따라)

기본적으로 gMSA는 특별한 권한이 없습니다.

도메인 수준 액세스 부여(선택 사항):

터미널 창 
Add-ADGroupMember -Identity "Domain Admins" -Members "WebPortalSvc$"

로컬 관리자/로그온 권한 부여(필요한 경우):

터미널 창 
Add-ADGroupMember -Identity "Administrateurs" -Members "WebPortalSvc$"

중요: 후행 $ gMSA 계정 참조에 AD에서 필요합니다.

재부팅 요구 사항

재부팅이 필요합니다. 서비스 계정을 계속 설치하거나 사용하기 전에 정책을 새로 고치십시오.

대상 서버에 gMSA 설치

각 gMSA를 사용할 서버에서 실행:

터미널 창 
Install-ADServiceAccount -Identity "WebPortalSvc"

테스트 설치:

터미널 창 
Test-ADServiceAccount -Identity "WebPortalSvc"

gMSA를 사용하도록 서비스 구성

  1. 부여 서비스로 로그인 계정으로:

    • 그룹 정책 편집기 열기
    • 이동: 컴퓨터 구성 > Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당
    • 열기 서비스로 로그인
    • 추가 DOMAIN\WebPortalSvc$

  2. 웹 포털 파일/폴더에 대한 NTFS 권한을 보장하십시오:

    • 응용 프로그램 폴더/실행 파일을 마우스 오른쪽 버튼으로 클릭 > 속성 > 보안
    • 추가 DOMAIN\WebPortalSvc$
    • 최소한 부여하십시오 읽기 및 실행 (또는 전체 제어 배포에 따라 필요한 경우

  3. 서비스 ID 구성:

    • 계정: DOMAIN\WebPortalSvc$
    • 비밀번호: 빈칸을 남겨두세요

서비스 주체 이름(SPN) 구성

웹 서비스는 Kerberos에 등록되어야 합니다.

도메인 컨트롤러에서 실행:

터미널 창 
setspn -A HTTP/webserver.domain.com DOMAIN\WebPortalSvc

서버 FQDN 및 계정으로 교체하십시오.

웹 포털 호스팅 서버가 HTTP.sys를 사용하는 경우, 머신 계정에 대해 SPN을 등록하십시오.

터미널 창 
setspn -S HTTP/portal.hiyoko.com:8008 WIN-HLBO0AGABB7
setspn -S HTTP/portal.hiyoko.com:8009 WIN-HLBO0AGABB7

클라이언트 머신에서 네트워크 구성

도메인에 가입된 클라이언트를 올바른 서브넷에 배치하려면:

  1. 올바른 네트워크 인터페이스 식별
  2. 기존 정적 IP 제거(잘못된 경우)
  3. 정적 IP, 서브넷 마스크 및 DNS/DC 서브넷과 일치하는 기본 게이트웨이를 할당합니다.
  4. DNS 서버 주소 설정

중요: 도메인 컨트롤러와 클라이언트에 정적 IP 주소를 할당하십시오. 보안 정책 동기화는 이 맥락에서 기계가 동일한 서브넷에 있어야 합니다.

필요한 클라이언트 연결 허용

UDP/TCP 53 차단될 수 있으며, 이는 DNS 쿼리를 방지합니다.

문제 해결 단계

DNS 서버 상태 확인

도메인 컨트롤러에서:

터미널 창 
net start DNS

DNS 서비스가 실행 중인지 확인하십시오.

DNS 서버 IP 확인

클라이언트에서:

터미널 창 
ipconfig /all

DNS 서버 IP가 도메인 컨트롤러 IP와 일치하는지 확인하십시오.

기본 연결 테스트

클라이언트에서:

터미널 창 
ping <DC_IP_Address>

핑이 실패하면 네트워크/방화벽 라우팅 문제를 해결하십시오.

방화벽 규칙 확인

클라이언트와 서버에서 인바운드/아웃바운드 UDP/TCP 53이 허용되도록 하십시오.

nslookup으로 테스트

터미널 창 
nslookup domain.com <DC_IP_Address>

이것이 작동하면 기본 DNS 서버가 잘못 구성되었거나 도달할 수 없을 수 있습니다.

이벤트 뷰어 검토

도메인 컨트롤러에서 DNS 관련 오류를 확인하십시오.

Windows 통합 인증을 위한 Mozilla Firefox 구성

Firefox는 기본적으로 WIA를 사용하지 않습니다.

1단계: 신뢰할 수 있는 협상 URI

  1. 파이어폭스 열기
  2. 이동하다 about:config
  3. 경고 수락
  4. 설정 network.negotiate-auth.trusted-uris 귀하의 도메인, 예를 들어:
    • intranet.domain.com, domain.com

2단계: 신뢰할 수 있는 NTLM URI

설정 네트워크.자동-ntlm-인증.신뢰할 수 있는-uri 같은 도메인 목록으로.

3단계: Kerberos 위임 URI(필요한 경우)

설정 network.negotiate-auth.delegation-uris Please provide the text you would like to have translated into Korean.

  • domain.com

4단계: 브라우저 재시작

Firefox를 재시작하여 변경 사항을 적용하십시오.

Windows 통합 인증을 위한 Google Chrome 구성

Chrome은 Windows/시스템 인증 설정을 사용합니다.

  1. Chrome ADMX 템플릿 다운로드:
  2. 복사 chrome.admx 그리고 chrome.adml 로:
    • C:\Windows\PolicyDefinitions
    • C:\Windows\PolicyDefinitions\ko-KR
  3. 열기 gpedit.msc
  4. 이동:
    • 컴퓨터 구성 > 관리 템플릿 > Google > Google Chrome
  5. 인트라넷 사이트에 대한 통합 인증을 활성화하고 신뢰할 수 있는 사이트를 구성하십시오:
    • intranet.domain.com, domain.com
  6. 정책 적용:
터미널 창 
gpupdate /force

다른 방법

다른 방법(Chrome 명령줄 스위치 및 플래그)은 이 맥락에서 성공적이지 않았습니다.

Microsoft Edge를 Windows 통합 인증에 맞게 구성하십시오.

Edge는 Microsoft Edge 정책과 Windows 보안 영역 설정을 사용합니다.

인트라넷 영역에서 자동 로그온 활성화

  1. 인터넷 옵션 열기
  2. 보안 탭 > 로컬 인트라넷 > 사용자 정의 수준
  3. 아래 사용자 인증 , 설정:
    • 인트라넷 존에서만 자동 로그온

GPO를 통해 Edge 정책 구성

1단계: Edge ADMX 템플릿 설치
  1. 다운로드:
  2. 복사 msedge.admx 그리고 msedge.adml 로:
    • C:\Windows\PolicyDefinitions
    • C:\Windows\PolicyDefinitions\ko-KR
2단계: 정책 설정 편집
  1. 열기 gpedit.msc
  2. 이동:
    • 컴퓨터 구성 > 관리 템플릿 > Microsoft Edge
  3. 활성화:
    • Microsoft Edge가 자격 증명을 위임할 수 있는 서버 목록을 구성합니다.
  4. 신뢰할 수 있는 서버 구성:
    • intranet.domain.com, domain.com
3단계: 정책 적용
터미널 창 
gpupdate /force

다른 방법

이 맥락에서 다른 방법(엣지 명령줄 스위치 및 플래그)은 성공적이지 않았습니다.

통합 인증 문제 해결

Kerberos 티켓 확인

Windows 클라이언트에서:

터미널 창 
klist

티켓을 확인해야 합니다. HTTP/webserver.domain.com .

캐시된 자격 증명/티켓 지우기

터미널 창 
klist purge

SPN 등록 확인

도메인 컨트롤러에서:

터미널 창 
setspn -L serviceaccount

확인하십시오 HTTP/webserver.domain.com 목록에 있습니다.

Firefox에서 Kerberos 디버깅

Firefox를 로깅 모드로 시작:

터미널 창 
set NSPR_LOG_MODULES=negotiateauth:5
set NSPR_LOG_FILE=%USERPROFILE%\Desktop\firefox.log
start firefox.exe

리뷰 firefox.log 인증 오류에 대해.

Chrome 정책 확인

Chrome에서 열기: 

chrome://policy

확인하십시오 AuthServerWhitelist 그리고 AuthNegotiateDelegateWhitelist 적용됩니다.

엣지 정책 확인

Edge에서 열기: 

edge://policy

확인하십시오 AuthServerWhitelist 그리고 AuthNegotiateDelegateWhitelist 적용됩니다.

다른 언어로 사이트를 보시겠습니까?

영어
English Español Deutsch Italiano Português Français 简体中文 العربية 日本語 한국어
언어 변경