Kerberos 인증 계획(SharePoint Server 2010)
적용 대상: SharePoint Foundation 2010, SharePoint Server 2010
마지막으로 수정된 항목: 2016-11-30
Microsoft SharePoint Server 2010에서는 여러 가지 인증 방법이 지원됩니다. 보안 인증, 클라이언트 ID 위임 및 낮은 네트워크 트래픽을 필요로 하는 배포에서는 Kerberos 인증을 선택할 수 있습니다. 자세한 내용은 인증 방법 계획(SharePoint Server 2010)을 참조하십시오.
이 문서의 내용:
Kerberos 인증 및 SharePoint 2010
Kerberos 인증 및 클레임 기반 인증
Kerberos 인증 및 Microsoft SharePoint Server 2010
| Kerberos 인증을 고려해야 하는 이유 | Kerberos 인증이 배포 시나리오에 적합하지 않을 수 있는 이유 |
|---|---|
Kerberos는 가장 안전한 Windows 통합 인증 프로토콜이며 AES(Advanced Encryption Standard) 암호화 및 상호 인증을 비롯한 고급 보안 기능을 지원합니다. |
Kerberos 인증이 정상적으로 작동하려면 인프라와 환경에서 추가 구성을 수행해야 합니다. 대부분의 경우에는 Kerberos를 구성하려면 도메인 관리자 권한이 필요합니다. Kerberos 인증은 설정 및 관리하기가 어려울 수 있습니다. Kerberos를 잘못 구성하는 경우 사이트에 올바르게 인증하지 못할 수 있습니다. |
Kerberos를 사용하는 경우 클라이언트 자격 증명을 위임할 수 있습니다. |
Kerberos 인증을 사용하려면 클라이언트 컴퓨터를 KDC(키 배포 센터) 및 AD DS(Active Directory 도메인 서비스) 도메인 컨트롤러에 연결해야 합니다. Windows 배포에서는 KDC가 AD DS 도메인 컨트롤러입니다. 기업 환경에서는 이러한 네트워크 구성이 흔히 사용되지만, 인터넷 연결 배포는 보통 이러한 방식으로 구성되지 않습니다. |
Kerberos는 클라이언트와 서버의 상호 인증을 지원합니다. |
|
사용 가능한 여러 보안 인증 방법 중에서 도메인 컨트롤러에 대해 필요한 네트워크 트래픽의 양이 가장 적은 방법이 Kerberos입니다. Kerberos를 사용하면 페이지 대기 시간이 감소하는 경우도 있고, 프런트 엔드 웹 서버가 처리할 수 있는 페이지 수가 증가하는 경우도 있습니다. 또한 Kerberos는 도메인 컨트롤러에 대한 로드도 줄일 수 있습니다. |
|
Kerberos는 다수의 플랫폼과 공급업체에서 지원하는 개방형 프로토콜입니다. |
Kerberos는 신뢰할 수 있는 원본에서 제공되는 티켓을 사용하는 인증 방법을 지원하는 보안 프로토콜입니다. Kerberos 티켓은 클라이언트 컴퓨터에 연결된 사용자의 네트워크 자격 증명을 나타냅니다. Kerberos 프로토콜은 사용자가 네트워크 인증 서비스와 상호 작용하여 네트워크 리소스 액세스 권한을 얻는 방식을 정의합니다. Kerberos KDC는 사용자를 대신하여 클라이언트 컴퓨터에 대해 티켓을 발급합니다. 클라이언트 컴퓨터는 서버에 대한 네트워크 연결을 설정한 다음 Kerberos 인증 티켓을 서버에 제시하여 네트워크 액세스 권한을 요청합니다. 이 요청에 적절한 사용자 자격 증명이 포함된 경우 KDC는 요청을 수락합니다. 서비스 응용 프로그램의 경우에는 인증 티켓에 적절한 SPN(서비스 사용자 이름)도 포함되어 있어야 합니다. Kerberos 인증을 사용하도록 설정하려면 클라이언트 컴퓨터와 서버 컴퓨터에 KDC에 대한 신뢰할 수 있는 연결이 설정되어 있어야 합니다. 또한 클라이언트 컴퓨터와 서버 컴퓨터에서 AD DS(Active Directory 도메인 서비스)에 연결할 수 있어야 합니다.
Kerberos 위임
Kerberos 인증에서는 클라이언트 ID 위임이 지원됩니다. 즉, 서비스가 인증된 클라이언트의 ID를 가장할 수 있습니다. 이러한 가장을 통해 서비스가 인증된 ID를 클라이언트 대신 다른 네트워크 서비스로 전달할 수 있습니다. 클레임 기반 인증을 사용하여 클라이언트 자격 증명을 위임할 수도 있지만, 이렇게 하려면 백 엔드 응용 프로그램이 클레임을 인식해야 합니다. 현재 다수의 주요 서비스는 클레임을 인식하지 못합니다.
Kerberos 위임을 Microsoft SharePoint Server 2010과 함께 사용하는 경우 프런트 엔드 서비스에서 클라이언트를 인증한 다음 클라이언트의 ID를 사용하여 백 엔드 시스템에 인증할 수 있습니다. 그러면 백 엔드 시스템에서 자체 인증을 수행합니다. 클라이언트가 Kerberos 인증을 사용하여 프런트 엔드 서비스에 인증할 때는 Kerberos 위임을 사용하여 클라이언트의 ID를 백 엔드 시스템으로 전달할 수 있습니다. Kerberos 프로토콜은 다음과 같은 두 가지 유형의 위임을 지원합니다.
기본 Kerberos 위임(제한 없음)
Kerberos 제한 위임
기본 Kerberos 위임 및 Kerberos 제한 위임
기본 Kerberos 위임은 같은 포리스트 내의 여러 도메인에는 적용할 수 있지만 포리스트 간에는 적용할 수 없습니다. Kerberos 제한 위임은 여러 도메인이나 포리스트에 적용할 수 없습니다. SharePoint Server 2010 배포에 포함되는 서비스 응용 프로그램에 따라서는 SharePoint Server 2010과 함께 Kerberos 인증을 구현하려면 Kerberos 제한 위임을 사용해야 할 수 있습니다. 따라서 다음 서비스 응용 프로그램과 함께 Kerberos 인증을 배포하려면 SharePoint Server 2010 및 모든 외부 데이터 원본이 같은 Windows 도메인에 있어야 합니다.
Excel Services
PerformancePoint Services
InfoPath Forms Services
Visio Services
다음 서비스 응용 프로그램과 함께 Kerberos 인증을 배포하려는 경우 SharePoint Server 2010은 기본 Kerberos 위임 또는 Kerberos 제한 위임을 사용할 수 있습니다.
Business Data Connectivity 서비스 및 Microsoft Business Connectivity Services
Access Services
Microsoft SQL Server Reporting Services(SSRS)
Microsoft Project Server 2010
Kerberos 인증을 사용하도록 설정된 서비스는 ID를 여러 번 위임할 수 있습니다. ID가 서비스 간을 이동할 때 위임 방법이 기본 Kerberos 위임에서 Kerberos 제한 위임으로 변경될 수 있습니다. 그러나 위임 방법이 Kerberos 제한 위임에서 기본 Kerberos 위임으로 변경될 수는 없습니다. 따라서 백 엔드 서비스에서 기본 Kerberos 위임을 사용해야 하는지 여부를 사전에 예측하여 계획해야 합니다. 위임 방법은 도메인 경계 디자인 및 계획에 영향을 줄 수 있습니다.
Kerberos 사용 가능 서비스는 프로토콜 전환을 통해 Kerberos가 아닌 ID를 Kerberos ID(다른 Kerberos 사용 가능 서비스로 위임 가능)로 변환할 수 있습니다. 예를 들어 이 기능을 사용하면 프런트 엔드 서비스의 Kerberos가 아닌 ID를 백 엔드 서비스의 Kerberos ID로 위임할 수 있습니다.
중요
프로토콜 전환 시에는 Kerberos 제한 위임을 사용해야 합니다. 따라서 프로토콜이 전환된 ID는 도메인 간에 전달할 수 없습니다.
Kerberos 위임 대신 클레임 기반 인증을 사용할 수 있습니다. 클레임 기반 인증을 사용하는 경우 서비스가 다음 기준을 모두 충족하면 서로 다른 두 서비스 간에 클라이언트의 인증 클레임을 전달할 수 있습니다.
서비스 간에 신뢰 관계가 있어야 합니다.
두 서비스가 모두 클레임을 인식해야 합니다.
Kerberos 인증에 대한 자세한 내용은 다음 리소스를 참조하십시오.
Kerberos 버전 5 인증 프로토콜의 작동 방식(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=196644&clcid=0x412)(영문일 수 있음)
Microsoft Kerberos(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=125740&clcid=0x412)(영문일 수 있음)
Kerberos 인증 및 클레임 기반 인증
SharePoint Server 2010에서는 클레임 기반 인증이 지원됩니다. 클레임 기반 인증은 클레임 기반 ID를 구현하는 데 사용되는 .NET Framework 클래스 집합인 Windows Identity Foundation(WIF)에 따라 작성되었으며, WS-Federation 및 WS-Trust와 같은 표준을 사용합니다. 클레임 기반 인증에 대한 자세한 내용은 다음 리소스를 참조하십시오.
Windows용 클레임 기반 ID: Active Directory Federation Services 2.0, Windows CardSpace 2.0 및 Windows Identity Foundation 소개(백서)(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=198942&clcid=0x412)(영문일 수 있음)
Windows Identity Foundation 홈 페이지(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=198943&clcid=0x412)(영문일 수 있음)
클레임 소개(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=217399&clcid=0x412)(영문일 수 있음)
SharePoint 클레임 기반 ID(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x412)(영문일 수 있음)
SharePoint Server 2010 웹 응용 프로그램을 작성할 때는 두 인증 모드(클레임 기반 또는 클래식 모드) 중에서 선택할 수 있습니다. 새 SharePoint Server 2010 구현의 경우에는 클레임 기반 인증을 사용해야 합니다. 클레임 기반 인증을 사용하면 지원되는 모든 인증 유형을 웹 응용 프로그램에 사용할 수 있습니다.
다음 서비스 응용 프로그램의 경우에는 클레임 기반 자격 증명을 Windows 자격 증명으로 변환해야 합니다. 이 변환 프로세스에서는 C2WTS(Windows 토큰 서비스에 대한 클레임)를 사용합니다.
Excel Services
PerformancePoint Services
InfoPath Forms Services
Visio Services
C2WTS를 사용해야 하는 서비스 응용 프로그램의 경우 Kerberos 제한 위임을 사용해야 합니다. C2WTS에서는 프로토콜 전환을 수행해야 하는데, 프로토콜 전환은 Kerberos 제한 위임에서만 지원되기 때문입니다. 위 목록에 포함된 서비스 응용 프로그램의 경우 C2WTS는 팜 내의 클레임을 아웃바운드 인증용 Windows 자격 증명으로 변환합니다. 이러한 서비스 응용 프로그램은 들어오는 인증 방법이 클레임 기반 또는 클래식 모드인 경우에만 C2WTS를 사용할 수 있습니다. 웹 응용 프로그램을 통해 액세스하며 SAML 클레임 또는 폼 기반 인증 클레임을 사용하는 서비스 응용 프로그램은 C2WTS를 사용하지 않으므로 클레임을 Windows 자격 증명으로 변환할 수 없습니다.
9가지 시나리오(핵심 배포, 3가지 Microsoft SQL Server 솔루션 및 Excel Services/PowerPivot for SharePoint/Visio Services/PerformancePoint Services/Business Connectivity Services를 사용하는 시나리오 포함)에서 Kerberos를 구성하는 방법에 대한 포괄적인 지침은 SharePoint 2010 제품용으로 Kerberos 인증 구성(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=197178&clcid=0x412)(영문일 수 있음)을 참조하십시오.