개요: Azure 파일 공유에 대해 SMB를 통한 온-프레미스 Active Directory Domain Services 인증
Azure Files는 다음 방법을 통해 Kerberos 인증 프로토콜을 사용하여 SMB(서버 메시지 블록)를 통한 Windows 파일 공유에 대한 ID 기반 인증을 지원합니다.
- 온-프레미스 AD DS(Active Directory Domain Services)
- Microsoft Entra Domain Services
- 하이브리드 사용자 ID용 Microsoft Entra Kerberos
작동 방법 섹션을 검토하여 인증에 적합한 AD 소스를 선택하는 것이 좋습니다. 설정은 선택한 도메인 서비스에 따라 달라집니다. 이 문서에서는 Azure 파일 공유에서 인증을 위해 온-프레미스 Azure AD DS를 사용하도록 설정하고 구성하는 방법을 중점적으로 설명합니다.
Azure Files를 처음 사용하는 경우 계획 가이드를 읽어 보는 것이 좋습니다.
적용 대상
파일 공유 유형 | SMB | NFS |
---|---|---|
표준 파일 공유(GPv2), LRS/ZRS | ||
표준 파일 공유(GPv2), GRS/GZRS | ||
프리미엄 파일 공유(FileStorage), LRS/ZRS |
지원되는 시나리오 및 제한 사항
- Azure Files 온-프레미스 AD DS 인증에 사용되는 AD DS ID는 Microsoft Entra ID에 동기화되거나 기본 공유 수준 권한을 사용해야 합니다. 암호 해시 동기화는 선택 사항입니다.
- Azure 파일 동기화로 관리되는 Azure 파일 공유를 지원합니다.
- AES 256 암호화(권장) 및 RC4-HMAC를 사용하여 AD에서 Kerberos 인증을 지원합니다. AES 128 Kerberos 암호화는 아직 지원되지 않습니다.
- Single Sign-On 환경을 지원합니다.
- 운영 체제 버전 Windows 8/Windows Server 2012 이상 또는 Linux VM(Ubuntu 18.04 이상, 동급 RHEL 또는 SLES VM)을 실행하는 Windows 클라이언트에서만 지원됩니다.
- 스토리지 계정이 등록된 AD 포리스트에 대해서만 지원됩니다. 동일한 포리스트 내의 다른 도메인에 속하는 사용자는 적절한 권한이 있는 한 파일 공유 및 기본 디렉터리/파일에 액세스할 수 있어야 합니다.
- 기본적으로 단일 포리스트의 AD DS 자격 증명으로만 Azure 파일 공유에 액세스할 수 있습니다. 다른 포리스트에서 Azure 파일 공유에 액세스해야 하는 경우 적절한 포리스트 트러스트가 구성되어 있는지 확인합니다. 자세한 내용은 여러 Active Directory 포리스트에서 Azure Files 사용을 참조하세요.
- Azure RBAC를 사용하여 컴퓨터 계정(머신 계정)에 공유 수준 권한을 할당하는 것은 지원하지 않습니다. 기본 공유 수준 권한을 사용하여 컴퓨터 계정이 공유에 액세스할 수 있도록 허용하거나 대신 서비스 로그온 계정을 사용하는 것이 좋습니다.
- NFS(네트워크 파일 시스템) 파일 공유에 대한 인증을 지원하지 않습니다.
SMB를 통해 Azure 파일 공유에 대한 AD DS를 사용하도록 설정하면 AD DS에 가입된 컴퓨터에서 기존 AD DS 자격 증명을 사용하여 Azure 파일 공유를 탑재할 수 있습니다. 이 기능은 온-프레미스 머신에서 호스팅되거나 Azure의 VM(가상 머신)에서 호스팅되는 AD DS 환경에서 사용하도록 설정할 수 있습니다.
비디오
몇 가지 일반적인 사용 사례에 대한 ID 기반 인증을 설정하는 데 도움이 되도록 다음 시나리오에 대한 단계별 지침을 포함하는 두 개의 동영상을 게시했습니다. Azure Active Directory는 이제 Microsoft Entra ID입니다. 자세한 내용은 Azure AD의 새 이름을 참조하세요.
온-프레미스 파일 서버를 Azure Files로 바꾸기(파일 및 AD 인증을 위한 프라이빗 링크 설정 포함) | Azure Virtual Desktop에 대한 프로필 컨테이너로 Azure Files 사용(AD 인증 및 FSLogix 구성의 설정 포함) |
---|---|
필수 조건
Azure 파일 공유에 대해 AD DS 인증을 사용하도록 설정하기 전에 다음 사전 요구 사항을 완료했는지 확인합니다.
AD DS 환경을 선택하거나 생성하고 온-프레미스 Microsoft Entra Connect Sync 애플리케이션 또는 Microsoft Entra 관리 센터에서 설치할 수 있는 경량 에이전트인 Microsoft Entra Connect 클라우드 동기화를 사용하여 Microsoft Entra ID에 동기화합니다.
신규 또는 기존 온-프레미스 AD DS 환경에서 이 기능을 사용하도록 설정할 수 있습니다. 액세스에 사용되는 ID는 Microsoft Entra ID에 동기화되거나 기본 공유 수준 권한을 사용해야 합니다. Microsoft Entra 테넌트와 액세스 중인 파일 공유는 동일한 구독에 연결되어 있어야 합니다.
온-프레미스 컴퓨터 또는 Azure VM을 온-프레미스 AD DS에 도메인 가입합니다. 도메인에 가입하는 방법에 대한 자세한 내용은 컴퓨터를 도메인에 가입을 참조하세요.
컴퓨터가 도메인에 가입되어 있지 않은 경우에도 컴퓨터가 온-프레미스 AD 도메인 컨트롤러에 대한 네트워크 연결을 방해하지 않고 사용자가 명시적 자격 증명을 제공하는 경우 인증에 AD DS를 계속 사용할 수 있습니다. 자세한 내용은 도메인 조인되지 않은 VM 또는 다른 AD 도메인에 조인된 VM에서 파일 공유 탑재를 참조하세요.
Azure 스토리지 계정을 선택하거나 만듭니다. 성능을 최적화하려면 공유에 액세스하려는 클라이언트와 동일한 지역에 스토리지 계정을 배치하는 것이 좋습니다. 그런 다음 스토리지 계정 키를 사용하여 Azure 파일 공유를 탑재합니다. 스토리지 계정 키를 사용하여 탑재하면 연결이 확인됩니다.
파일 공유가 포함된 스토리지 계정이 ID 기반 인증에 대해 아직 구성되지 않았는지 확인합니다. 스토리지 계정에서 AD 원본을 이미 사용하도록 설정한 경우 온-프레미스 AD DS를 사용하도록 설정하기 전에 AD 원본을 사용하지 않도록 설정해야 합니다.
Azure Files에 연결하는 데 문제가 발생하는 경우 Windows에서 발생하는 Azure Files 탑재 오류를 위해 게시된 문제 해결 도구를 참조하세요.
Azure 파일 공유에 대한 AD DS 인증을 설정하 고 구성하기 전에 관련 네트워킹 구성을 수행합니다. 자세한 내용은 Azure Files 네트워킹 고려 사항을 참조하세요.
국가별 가용성
AD DS를 사용한 Azure Files 인증은 모든 Azure 공용, 중국 및 Gov 지역에서 사용할 수 있습니다.
개요
파일 공유에서 네트워킹 구성을 사용하도록 설정하려는 경우 네트워킹 고려 사항 문서를 읽고 AD DS 인증을 사용하도록 설정하기 전에 관련 구성을 완료하는 것이 좋습니다.
Azure 파일 공유에 대해 AD DS 인증을 사용하도록 설정하면 온-프레미스 AD DS 자격 증명을 사용하여 Azure 파일 공유에 인증할 수 있습니다. 또한 세분화된 액세스 제어를 허용하도록 권한을 더 잘 관리할 수 있습니다. 이렇게 하려면 온-프레미스 Microsoft Entra Connect Sync 애플리케이션 또는 Microsoft Entra 관리 센터에서 설치할 수 있는 경량 에이전트인 Microsoft Entra Connect 클라우드 동기화를 사용하여 온-프레미스 AD DS에서 Microsoft Entra ID로 ID를 동기화해야 합니다. Windows ACL을 사용하여 파일/디렉터리 수준 액세스를 관리하면서 Microsoft Entra ID에 동기화된 하이브리드 ID에 공유 수준 권한을 할당합니다.
다음 단계에 따라 AD DS 인증을 위한 Azure Files를 설정합니다.
다음 다이어그램에서는 Azure 파일 공유에 대해 SMB를 통한 Azure AD DS 인증을 사용하도록 설정하는 엔드투엔드 워크플로를 보여 줍니다.
Azure 파일 공유에 액세스하는 데 사용되는 ID를 Microsoft Entra ID에 동기화하여 Azure RBAC(Azure 역할 기반 액세스 제어) 모델을 통해 공유 수준 파일 권한을 적용해야 합니다. 또는 기본 공유 수준 권한을 사용할 수 있습니다. 기존 파일 서버에서 전달된 파일/디렉터리의 Windows 스타일 DACL은 보존되고 적용됩니다. 이를 통해 엔터프라이즈 AD DS 환경과 원활한 통합이 가능합니다. 온-프레미스 파일 서버를 Azure 파일 공유로 교체하면 기존 사용자가 사용 중인 자격 증명을 변경하지 않고도 Single Sign-On 환경을 사용하여 현재 클라이언트에서 Azure 파일 공유에 액세스할 수 있습니다.
다음 단계
시작하려면 스토리지 계정에 대해 AD DS 인증을 사용하도록 설정해야 합니다.