본문 바로가기
2011.10.16 02:41

Kerberos and LDAP in AD - 1

조회 수 5269 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

+ - Up Down Comment Print
?

단축키

Prev이전 문서

Next다음 문서

+ - Up Down Comment Print

http://blog.naver.com/kueihan?Redirect=Log&logNo=120007586360


윈도우 2000의 Network
윈 도우 2000이 TCP/IP 위주로 모든 네트워크 체계가 개편되면서 크게 몇 가지 선결 과제가 해결되어야 했다. 가장 초점을 맞춘 것이 Name Resolution의 개편이었다. 근본적으로 윈도우 네트워크는 LAN에 초점을 맞추었기 때문에 꽤 많은 부분을 2Layer의 브로드캐스팅에 의존한다. 그리고, 2 Layer를 벗어난 네트워크에서는 WINS나 기타 다른 방법론을 동원하여 원격 컴퓨터와 통신을 해야 했다. 또한, 윈도우 소켓을 통해 기본적인 통신이 이루어지면서, 기존의 NetBIOS 네임 체계와는 완전히 다른 형태의 이름 체계가 필수적이었다. 표준적인 TCP/IP는 DNS를 사용하여 원격지 컴퓨터를 찾게 된다. 그런데, 이 DNS는 중앙 집중적으로 관리되는 것이 TCP/IP가 현재까지 해 왔던 관리 방법이다. 그런데 문제는 과거의 윈도우 NT 도메인 컨트롤러를 찾는 방식이 브로드캐스팅, 혹은 WINS에 의존했다는 것이며, TCP/IP에는 도메인 컨트롤이라는 개념이 존재하지 않기 때문에, 표준 DNS로는 도메인 컨트롤러를 찾을 수 없는 것이 현실이었다.

DNS의 변형, DDNS와 SRV 레코드
마이크로소프트는 윈도우 2000을 설계하면서 표준 TCP/IP를 지원하는 것과, 도메인 컨트롤러를 찾아야 하는 두 가지 명제에 대한 해답을 모두 찾아야 했다.
마 이크로소프트는 이것을 다음과 같은 과정으로 해결하였다. 먼저 도메인 컨트롤러의 기능을 보다 표준적인 방법으로 재정의했다. 도메인 컨트롤러가 하는 일을 보다 표준적으로 나누게 되면, 도메인 내의 자원을 찾는 기능과 도메인 내의 사용자 혹은 컴퓨터에 대한 승인, 인증을 처리하는 것이다. 결국, 이 두 가지 기능을 한번에 처리할 수 없었기 때문에 서로 상이한 체계를 도입하였다.

사용자 및 자원 찾기-LDAP의 수용
제일 먼저 사용자와 자원 찾기는 LDAP 프로토콜을 수용하였다. 디렉터리 서비스라고 불리우는 이 서비스는 원래 인터넷 내에 산재된 자원을 찾기 위해 고안된 방법이며, 윈도우 2000에서는 액티브 디렉터리라는 이름으로 LDAP을 지원하였다.

승인-Kerberos 키 인증을 도입
사용자의 승인 절차 역시, 인터넷 표준으로 도입되어 가고 있는 Kerberos 키 표준 방식으로 변경하였다. 이전의 윈도우 NT 도메인에서 사용하던 사용자 승인 방식은 NTLM이라고 하여 애플리케이션 계층 위에서 사용자 승인을 하도록 처리하였지만, 2000에서는 네트워크 레벨에서, Kerberos 승인, 즉 승인을 위해 도메인 컨트롤러를 거치지 않는 방식으로 이루어지기 때문에 상대적으로 네트워크 부하가 적다.

따라서, LDAP와 Kerberos를 조합하면 결국, 도메인 컨트롤러가 된다.
LDAP 은, 도메인 상에서 디렉터리 서비스 중, 액티브 디렉터리 서비스를 행하는 서버를 찾으면 된다. 따라서, DNS는 어떤 서버가 디렉터리 서비스를 영위하고 있는지 확인하는 과정을 거치게 된다. Kerberos는 키 방식의 승인이기 때문에 키를 나눠주는 배포 대상 서버가 필요하다. 이 서버를 KDC(Key Distribution Center)라고 하며, 클라이언트는 DNS를 쿼리하여 어떤 서버가 KDC인지 확인하는 과정을 거치게 된다. 이 두 가지 쿼리를 직접 nslookup 명령으로 확인하면 다음과 같다.




첫 번째 쿼리는 도메인 컨트롤러의 위치 중 LDAP 서버를 찾는 과정이다.
포 리스트 전체의 도메인 컨트롤러는 _ldap._tcp 와 같이 시작되어 도메인 네임 혹은, 서버군의 약어가 붙는다. 이 레코드는 서비스 위치 레코드(SRV 레코드)의 이름으로 삽입된다. 마찬가지로 또다른 한 축인 Kerberos는 _kerberos._tcp와 같은 형태로 시작된다. LDAP는 표준 TCP 389번 포트, Kerberos는 표준 TCP 88번 포트를 사용하도록 예약되어 있으며, 원격지에서 이들 포트를 사용하고 있는 컴퓨터가 동시에 존재한다면 그 컴퓨터를 Windows 2000으로 간주할 수 있다. 이러한 특이한 도메인 쿼리 방식은 표준 유닉스 DNS가 아닌 SRV 레코드를 사용 가능하도록 설정된 DNS에서 이루어지게 된다. 따라서, 윈도우 2000의 네트워크의 정상적 유지를 위해서는 반드시 윈도우 2000 DNS가 최소한 한 대 필수적으로 요구된다.


Title
List of Articles
번호 제목 글쓴이 날짜 조회 수
30 How to enable LAN Routing on Windows Server 2008 R2 file Hojung 2014.04.15 2599
29 Windows 2003 IAS를 이용한 스위치 및 무선 AP 802.1x RADIUS 인증 file Hojung 2013.04.15 4784
28 파티션 얼라이먼트와 디스크 성능 향상 (Partition Alignment) Hojung 2013.04.11 4745
27 Creating LAB users with a Powershell Script Hojung 2013.03.28 3591
26 Disable Password Requirements in Windows Server 2003 file Hojung 2013.03.28 3390
25 How to delete a windows service Hojung 2012.12.19 3529
24 How To Change Security Settings In Internet Explorer in Windows SRV 2008 file Hojung 2012.12.19 3008
23 Verify DNS registration for domain controllers using the nslookup command Hojung 2012.07.26 3621
22 Windows 2003에 RADIUS 인증 서버 설치 file Hojung 2012.02.04 8609
21 How to remove AD in windows 2003 Hojung 2012.01.23 4149
20 Changing Internet Explorer Security Settings on Windows Server 2008 Hojung 2011.11.24 4627
19 Windows 2008 암호정책 변경방법 Hojung 2011.11.19 6052
18 Disable Password Requirements in Windows Server 2003 Domains file Hojung 2011.11.19 5427
17 Finding your base DN in Active Directory Hojung 2011.11.03 5672
16 Kerberos vs LDAP Hojung 2011.10.16 5500
15 Kerberos and LDAP in AD - 2 Hojung 2011.10.16 6595
» Kerberos and LDAP in AD - 1 Hojung 2011.10.16 5269
13 윈도우 msc 실행명령어 모음 Hojung 2011.10.16 7949
12 Windows SRV 조직단위 및 사용자계정 - 2 Hojung 2011.10.16 5901
11 Windows SRV 조직단위 및 사용자계정 Hojung 2011.10.16 6267
Board Pagination ‹ Prev 1 2 Next ›
/ 2

Designed by sketchbooks.co.kr / sketchbook5 board skin

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5