IO 기능: ID 및 액세스 관리 - 기초 -> 표준화

아티클
02/18/2008

이 페이지의 내용

소개
요구 사항: 사용자 인증용 디렉터리 서비스

소개

ID 및 액세스 관리는 핵심 인프라 최적화 기능으로, 인프라 최적화 모델의 많은 기능을 구현하기 위한 기반입니다. 다음 표에는 ID 및 액세스 관리의 표준화 수준으로 이동함에 따른 상위 과제, 해당 솔루션 및 이점이 나열되어 있습니다.

과제	솔루션	이점
계속해서 인증 프롬프트가 표시되고 로그인 시 문제 발생 많은 사용자 ID 저장 정보로 인한 관리의 어려움 리소스 액세스에 일관성이 없음 기밀 정보에 대한 무단 액세스 위험 정부 규정(사베인스 – 사베인스-옥슬리, HIPAA 등) 준수 구현이 어려움 새로 입사한 직원이 중요 시스템에 액세스하기 까지 기다리는 시간으로 생산성 저하됨 IT 과제 암호 재설정 및 액세스 요청과 관련하여 지원 센터 유지 비용이 증가함 ID가 중앙에서 관리되지 않으며 ID 수명 주기에 대한 가시성이 부족함 사용되지 않는 계정으로 인해 보안 위험이 초래됨 ID가 시스템마다 다르며 ID를 위한 중앙 리포지토리가 없음	프로젝트 클라이언트 인증을 위한 기본 디렉터리 서비스 구현 디렉터리 서비스 사용 클라이언트 구현	업무상 이점 간소화된 로그온 프로세스를 통해 사용자 생산성이 향상됨 적은 수의 ID 관리로 관리 비용이 절감됨 적극적인 규정 준수 구현이 가능함 사용자 계정 관리 비용이 절감됨 IT 이점 지원 센터 작업량이 줄어듦 디지털 ID 수를 줄일 수 있음 ID를 중앙 집중식으로 관리할 수 있음 보안이 향상됨

계속해서 인증 프롬프트가 표시되고 로그인 시 문제 발생

많은 사용자 ID 저장 정보로 인한 관리의 어려움

리소스 액세스에 일관성이 없음

기밀 정보에 대한 무단 액세스 위험

정부 규정(사베인스 – 사베인스-옥슬리, HIPAA 등) 준수 구현이 어려움

새로 입사한 직원이 중요 시스템에 액세스하기 까지 기다리는 시간으로 생산성 저하됨

IT 과제

암호 재설정 및 액세스 요청과 관련하여 지원 센터 유지 비용이 증가함

ID가 중앙에서 관리되지 않으며 ID 수명 주기에 대한 가시성이 부족함

사용되지 않는 계정으로 인해 보안 위험이 초래됨

ID가 시스템마다 다르며 ID를 위한 중앙 리포지토리가 없음

프로젝트

클라이언트 인증을 위한 기본 디렉터리 서비스 구현

디렉터리 서비스 사용 클라이언트 구현

업무상 이점

간소화된 로그온 프로세스를 통해 사용자 생산성이 향상됨

적은 수의 ID 관리로 관리 비용이 절감됨

적극적인 규정 준수 구현이 가능함

사용자 계정 관리 비용이 절감됨

IT 이점

지원 센터 작업량이 줄어듦

디지털 ID 수를 줄일 수 있음

ID를 중앙 집중식으로 관리할 수 있음

보안이 향상됨

Microsoft ID 및 액세스 관리 시리즈에서 개략적으로 설명한 것처럼 지속적인 ID 및 액세스 관리는 다음 기능에 중점을 둡니다.

ID 및 액세스 관리를 위한 기반
- 기본 개념
- 플랫폼 및 인프라
ID 수명 주기 관리
액세스 관리 및 SSO(Single Sign On)
- 인트라넷 액세스 관리
- 엑스트라넷 액세스 관리

위에서 개략적으로 설명한 기능은 모두 어떠한 조직에나 있는 ID 및 액세스 관리 서비스의 핵심 부분입니다. 자세한 내용은 Microsoft ID 및 액세스 관리 시리즈를 참조하십시오.

인프라 최적화 모델에서 ID 및 액세스 관리에 대한 표준화 수준을 달성하려면 사용자 인증을 위한 디렉터리 서비스와 사용자의 80% 이상을 인증하기 위한 통합 디렉터리 서비스가 필요합니다. 이 요구 사항은 모든 클라이언트에서 디렉터리 서비스를 인식하고 있음을 의미합니다.

요구 사항: 사용자 인증용 디렉터리 서비스

대상

표준화 수준의 최적화를 달성하려면 Active Directory 디렉터리 서비스가 사용자의 80% 이상을 인증하는 데 사용되고 있어야 합니다. Active Directory를 사용하여 80% 이상의 사용자를 인증하고 있지 않으면 이 절을 읽어야 합니다.

개요

사용자 인증은 일상 업무 중 여러 가지 이유로 인해 필요합니다. 네트워크 액세스, 응용 프로그램 액세스, 데이터 액세스 및 전자 메일 액세스의 경우가 일반적인 예라고 할 수 있습니다. 사용자 인증을 위해 디렉토리 서비스를 실행한다면 모든 개별 인증 요구 사항을 집중화 및 통합하게 되는 것입니다. 따라서 사용자는 한 번의 로그온으로 액세스 권한이 있는 모든 리소스, 응용 프로그램 및 데이터에 액세스할 수 있게 됩니다.

1단계: 평가

평가 단계에서는 기본적으로 조직에서 사용하는 디렉터리 서비스(있는 경우)에 대해 조사합니다. 각 디렉터리 서비스에 대한 사용 이유와 사용 방법을 정의할 수 있습니다. 조직에서 디렉터리 서비스를 사용하고 있지 않은 경우에는 ID가 현재 관리되고 있는 방식과 데이터 리소스의 액세스 보안에 사용되는 프로세스를 검토해야 합니다. 이 프로세스는 문서화된 공식 프로세스일 수 있으며 비공식의 문서화되지 않은 프로세스일 수도 있습니다.

2단계: 식별

디렉터리 서비스 설계 프로세스는 서비스 제공을 지원하는 기술과 디렉터리 서비스 구현에 대한 조직의 요구를 파악함으로 시작됩니다.

Active Directory 인프라는 핵심 인프라 최적화 모델에 필요하며 메시징 및 공동 작업, 시스템 관리 및 보안 서비스와 같이 조직에서 필요로 하는 많은 서비스에 대한 기본 지원을 제공합니다. Active Directory는 Microsoft® Windows® 2000 및 Windows Server® 2003에 포함된 네트워크 중심의 디렉터리 서비스입니다.

3단계: 평가 및 계획

평가 및 계획 단계에서는 조직의 요구를 충족시키기 위한 프로세스를 계획 및 설계합니다. 직원 및 이들의 컴퓨팅 리소스 사용과 관련된 정보는 이를 가장 효율적으로 관리할 수 있는 특성을 갖춘 단일의 일관성 있는 인증 시스템을 사용하여 관리해야 합니다.

이 관리 방식은 디렉터리 형식으로 조직화되어야 합니다.
요청되는 데이터 형식과 관계 없이 일반적인 쿼리 방법이 지원되어야 합니다.
특성이 유사한 정보는 유사한 방식으로 관리해야 합니다.

정보를 그룹화하고 관리하는 방법은 기존 시스템을 보완하는 방식으로 결정되어야 합니다.

디렉터리 서비스 설계

서비스를 설계할 때 다음과 같은 5가지의 디렉터리 범주가 사용됩니다.

특정 용도 디렉터리
응용 프로그램 디렉터리
네트워크 중심 디렉터리
범용 디렉터리
메타디렉터리

Active Directory 관리자는 디렉터리에 정보가 제공되는 방식을 완전히 제어할 수 있습니다. 이러한 정보는 데이터를 계층적으로 저장할 수 있도록 배열되는 OU(조직 단위)라는 컨테이너로 그룹화할 수 있습니다. 디렉터리에 저장되는 데이터의 유형은 스키마를 통해 개체라고 하는 데이터 클래스로 지정됩니다. 예를 들어 사용자 개체는 스키마에서 사용자 클래스로 정의됩니다. 사용자 개체 특성에는 사용자 이름, 암호 및 전화 번호와 같은 정보가 저장됩니다. 관리자는 필요 시 스키마를 업데이트하여 새 특성 또는 클래스를 추가할 수 있습니다.

Active Directory 디렉터리 서비스 정의에 대한 자세한 내용을 보려면 https://www.microsoft.com/technet/itsolutions/wssra/raguide/DirectoryServices/igdrbp_2.mspx#E4F를 방문하십시오.

Active Directory 구조 설계

Active Directory의 논리적 구조는 도메인이라고 불리는 수많은 논리적 디렉터리를 의미합니다. 각 도메인의 디렉터리 데이터는 일반적으로 트리와 같은 구조로 조직화되어 구조를 반영하기 때문에 도메인 집합을 포리스트라고 합니다.

논리적 구조 설계를 위한 프로세스는 다음과 같은 단계로 구성됩니다.

논리적 구조 설계 요구 사항. 관리 위임을 위한 Active Directory 기능은 논리적 구조 설계의 중심입니다. 서비스 또는 데이터의 자체 운영 또는 독립을 위해 특정 OU 관리를 위임할 수 있습니다. 관리 위임은 법적, 운영적, 조직적 구조 요구 사항을 충족시키기 위해 수행됩니다.
포리스트 설계. 포리스트 설계 모델은 서비스 설계 프로세스에서(여러 개의 디렉터리가 필요하거나 조직 내 개체 정의가 서로 다를 경우) 적절한 수의 포리스트를 결정한 후에 선택합니다. 대부분의 경우 단일 포리스트의 관리를 통해 디렉터리 서비스를 표준화하는 것이 좋습니다.
도메인 설계. 각 포리스트에 대한 도메인 모델을 선택합니다.
포리스트 루트 설계. 포리스트 루트 결정은 도메인 설계를 기반으로 합니다. 단일 도메인 모델을 선택한 경우에는 단일 도메인이 포리스트 루트 도메인 역할을 합니다. 영역 도메인 모델을 선택한 경우 포리스트 소유자는 포리스트 루트를 결정해야 합니다.
Active Directory 네임스페이스 계획. 각 포리스트에 대한 도메인 모델이 결정되면 포리스트와 도메인에 대한 네임스페이스를 정의해야 합니다.
Active Directory를 지원하는 DNS 인프라. Active Directory 포리스트 및 도메인 구조를 설계한 후 Active Directory용 DNS(Dynamic Name System) 인프라의 설계를 완료할 수 있습니다.
조직 단위 설계. OU 구조는 포리스트가 아닌 도메인별로 특정하게 구성되므로 각 도메인 소유자는 해당 도메인에 대한 OU 구조를 설계를 책임집니다.

논리적 설계 렌더링

서비스 설계 단계를 완료한 후에 논리적 설계를 생성하여 설계에 대해 다른 사람과 커뮤니케이션하고 제안된 설계의 무결성을 점검할 수 있습니다. 이 논리적 설계에는 설계자 및 IT 전문가가 제안된 설계를 이해하고, 전체 기업 설계에서 이들이 책임지는 서비스에 대한 요구 사항을 충족할 수 있도록 필요한 상세 정보가 포함되어야 합니다. 다음 다이어그램은 논리적 설계의 예입니다. 다음 예에서 회사 포리스트는 영역 도메인 모델을 사용하고 있으며, 이 도메인 모델을 선택함으로써 WAN에서의 복제를 신중하게 제어할 수 있습니다.

Active Directory 논리적 구조 설계에 대한 자세한 내용을 보려면 https://www.microsoft.com/technet/itsolutions/wssra/raguide/DirectoryServices/igdrbp_2.mspx#EELAE를 방문하십시오.

4단계: 배포

현재 환경에 대한 고급 평가 작업을 수행하고 Active Directory 배포 목표를 결정한 후에 조직 환경에 가장 적합한 배포 전략을 결정할 수 있습니다. 다음 그림은 Active Directory 배포 프로세스를 정의하는 단계를 나타냅니다.

적용할 Active Directory 배포 전략은 기존 네트워크 구성에 따라 다릅니다. 예를 들어 현재 Windows 2000을 실행 중인 경우에는 운영 체제를 Windows Server 2003으로 간단히 업그레이드할 수 있습니다. 그러나 Microsoft Windows NT® 4.0 또는 Windows 이외의 네트워크 운영 체제를 실행 중인 경우에는 운영 체제를 Windows Server 2003으로 업그레이드하기 전에 먼저 Active Directory 인프라를 설계해야 합니다.

배포 프로세스에 Active Directory 포리스트 내 또는 Active Directory 포리스트 간에 기존 도메인을 재구성하는 작업이 포함될 수 있습니다. Windows Server 2003 Active Directory를 배포한 후 또는 조직 개편이나 기업 인수 후에 기존 도메인을 재구성해야 할 수 있습니다.

Active Directory 인프라 배포 시 선행 조건에 대한 자세한 내용을 보려면 http://technet2.microsoft.com/WindowsServer/en/library/e0966784-1185-4b41-a259-68513689493b1033.mspx를 방문하십시오.

운영

디렉터리 서비스의 목표는 승인된 요청자가 단순하고 조직화된 프로세스로 네트워크를 통해 정보에 액세스할 수 있도록 하는 것입니다. 다음 링크는 Active Directory를 구현하고 모든 개체를 정의한 후 조직에서 Active Directory를 운영하는 방법에 대한 내용을 제공합니다. Active Directory 인프라를 운영하려면 도메인 및 포리스트 트러스트에 대한 올바른 관리, Windows 시간 서비스, SYSVOL, 글로벌 카탈로그, Active Directory 백업 및 복원, 사이트 간 복제, Active Directory 데이터베이스 및 도메인 컨트롤러가 필요합니다.

자세한 내용은 다음 사이트를 참조하십시오.

MOF(Microsoft Operations Framework) 디렉터리 서비스 관리
Windows Server 2003 기술 라이브러리:
다음 웹 사이트의 Windows Server 2003 Active Directory 기술 센터에서는 Windows Server 2003 Active Directory 구현에 대한 정보를 제공합니다.
Active Directory 및 Kerberos에 대한 제품 및 기술 보안 센터에서는 보안 업데이트 및 “사용 방법” 지침을 참조할 수 있는 통합 리소스 목록을 제공합니다.
Microsoft 고객지원 웹 사이트에서 Active Directory에 대한 자세한 내용을 보려면 https://support.microsoft.com/default.aspx?scid=fh;en-us;winsvr2003ad를 방문하십시오.

추가 정보

디렉터리 서비스 및 인증에 대한 자세한 내용을 보려면 Microsoft TechNet을 방문하여 "Active Directory authentication"을 검색하십시오.

Active Directory 제품에 대한 추가 지침은 다음 웹 사이트를 방문하십시오.

Microsoft에서 Active Directory를 활용하는 방법에 대한 자세한 내용을 보려면 https://www.microsoft.com/technet/itshowcase/content/managead.mspx를 방문하십시오.

체크포인트: 사용자 인증용 디렉터리 서비스

	요구 사항
	연결된 사용자의 80% 이상을 인증하도록 Active Directory 디렉터리 서비스를 구현했습니다.

위에서 설명한 단계를 완료했다면 인프라 최적화 모델에서 이 기능에 대한 표준화 수준의 최소 요구 사항을 충족한 것입니다. Active Directory 인프라 배포 후 운영에 대한 추가 최적의 방법을 따르도록 권장합니다.

다음 자체 평가 질문으로 이동하십시오.