Windows Azure 팩: 웹 사이트에 Windows 인증 네트워크 토폴로지
적용 대상: Windows Azure Pack
Windows Azure Pack: 웹 사이트는 인증을 위해 Active Directory와 웹 사이트 통합을 지원합니다. 또한 응용 프로그램 풀 지원을 통해, 데이터베이스 리소스와 연결하는 데 사용되는 지정된 ID에서 웹 사이트를 실행할 수 있습니다.
참고
현재 응용 프로그램 풀 ID 기능은 통과 시나리오의 일부만 지원하며 데이터베이스에서만 작동합니다.
Active Directory 인증을 사용하도록 설정하려면 다음 조건을 충족해야 합니다.
모든 웹 사이트 작업자 역할의 도메인이 동일한 Active Directory 도메인에 가입되어 있어야 합니다.
웹 사이트 클라우드가 Active Directory 도메인에 가입된 후에는 동일한 도메인에 속한 작업자만 클라우드에 추가할 수 있습니다.
관리 포털을 사용하거나 PowerShell 명령을 통해 Active Directory 인증을 사용하도록 설정할 수 있습니다.
관리 포털
관리자가 Active Directory 인증을 웹 사이트와 통합할 수 있음
관리 포털을 통해 Active Directory를 사용하도록 설정하려면
웹 사이트 클라우드 구성 탭을 엽니다.
일반 설정 섹션에서 웹 사이트 Windows 인증에 대한 다음 세 가지 옵션 중에서 선택합니다.
설정
설명
해제
클라우드의 웹 사이트에 대해 Windows 인증을 사용하지 않도록 설정
허용
테넌트가 해당 웹 사이트에 Windows 인증을 활성화할 수 있도록 Windows 인증을 사용하도록 설정
필수
클라우드의 모든 웹 사이트가 Windows 인증을 필수적으로 사용
Windows 인증 관리적으로 필요로 설정되면 웹 사이트 클라우드의 모든 테넌트 웹 사이트에서 해당 웹 사이트에 Active Directory 통합이 적용됩니다. 즉 웹 사이트 테넌트에서 인증되지 않은 환경을 설정할 수 없습니다. 필요 설정은 웹 사이트 관리자에게 모든 웹 사이트가 보호되었음을 보증합니다.
Windows 인증 관리적으로 허용으로 설정되면 테넌트는 해당 사이트가 인증을 위해 Active Directory와 통합되도록 할지 여부를 결정할 수 있습니다. 허용을 사용하도록 설정하면 테넌트는 인증이 필요하지 않도록 웹 사이트의 개별 페이지를 조작할 수 있습니다.
테넌트에서 웹 사이트에 대한 Active Directory 인증 사용 여부 지정
테넌트는 해당 웹 사이트에 대한 관리 포털의 구성 탭에서 Active Directory 통합을 사용하도록 설정할 수 있습니다. Active Directory 통합을 구성하는 옵션은 관리자가 해당 웹 사이트가 속해 있는 웹 사이트 클라우드에 Active Directory 통합을 사용하도록 설정한 경우에만 활성화됩니다. 클라우드 관리자가 지정한 설정에 따라 테넌트는 Active Directory 통합을 사용하지 않도록 설정하거나, 사용하도록 설정하거나, 필수 항목으로 설정할 수 있습니다.
테넌트 관리 포털에서 테넌트 웹 사이트에 대해 Active Directory를 구성하려면
웹 사이트의 구성 탭을 엽니다.
일반 섹션에서 Windows 인증에 대한 다음 세 가지 옵션 중에서 선택합니다.
설정
설명
해제
웹 사이트에서 Windows 인증을 사용하지 않도록 설정
허용
Windows 인증이 웹 사이트에서 사용되도록 설정
필수
모든 웹 사이트에서 Windows 인증을 필수적으로 사용해야 함
Windows 인증이 필요로 설정되면 사이트의 모든 페이지는 Active Directory 인증으로 보호됩니다. 필요 설정은 여러 개발자가 동일한 웹 사이트를 업데이트하더라도 인증을 사용하지 않도록 설정할 수 없도록 웹 사이트 소유자에게 보장합니다.
Windows 인증을 허용으로 설정하면 인증을 위해 웹 사이트가 Active Directory로 보호됩니다. 그러나 웹 사이트 개발자는 계속해서 사이트의 개별 페이지에 대한 Active Directory 인증을 사용하지 않도록 설정할 수 있습니다.
클라우드 시스템 관리자가 Active Directory 인증을 필요로 설정한 경우 테넌트는 해당 웹 사이트에 대해 이를 사용하지 않도록 설정할 수 없습니다.
관리자가 웹 사이트에 대한 응용 프로그램 풀 ID를 사용하도록 설정
응용 프로그램 풀 ID는 웹 사이트 클라우드의 모든 작업자가 동일한 Active Directory 도메인에 가입된 경우에만 사용할 수 있습니다. 관리자는 웹 사이트 클라우드 구성 탭에서 애플리케이션 풀 ID 기능을 관리할 수 있습니다.
클라우드 관리 포털을 통해 응용 프로그램 풀 ID를 사용하도록 설정하려면
웹 사이트 클라우드 구성 탭을 엽니다.
일반 설정 섹션에서 사용자 지정 애플리케이션 풀 ID를 허용으로 설정합니다.
테넌트에서 응용 프로그램 풀 ID 사용 여부 지정
응용 프로그램 풀 ID는 웹 사이트 클라우드 관리자가 웹 사이트가 속해 있는 웹 사이트 클라우드에 대해 사용자 지정 응용 프로그램 풀 ID를 사용하도록 설정한 경우에만 웹 사이트에서 사용하도록 설정할 수 있습니다. 테넌트는 웹 사이트의 관리 포털 구성 탭에서 애플리케이션 풀 ID를 사용하도록 설정할 수 있습니다.
테넌트 웹 사이트 관리 포털에서 사용자 지정 응용 프로그램 풀 ID를 사용하도록 설정하려면
웹 사이트 클라우드 구성 탭을 엽니다.
일반 설정 섹션에서 사용자 지정 애플리케이션 풀 ID를 허용으로 설정합니다.
웹 사이트를 실행하는 데 필요한 사용자 이름과 암호를 입력합니다.
이 설정이 완료되면 웹 사이트에서 입력한 ID를 사용하여 내부 데이터베이스에 연결하거나, 사용자와 동일한 도메인에 페더레이션할 수 있습니다.
PowerShell
PowerShell 웹 사이트 모듈 가져오기
먼저, 필요한 PowerShell 명령을 사용하도록 설정하려면 다음 명령을 실행하여 PowerShell 웹 사이트 모듈을 가져옵니다.
WebSites Import-Module
웹 사이트 만들기
아직 웹 사이트가 없는 경우 Windows Azure Pack: 웹 사이트 관리 포털을 사용하여 만들거나 다음 PowerShell cmdlet을 사용할 수 있습니다. 이 예제에서 contoso, adatum 및 contoso.fabrikam.com 웹 사이트의 이름, 구독 ID 및 사용할 호스트 이름으로 바꿉니다.
New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com
Windows Azure 팩 웹 사이트에서 NTLM Windows 인증 사용
웹 사이트에 Windows 인증 사용하도록 설정하려면 허용 옵션을 사용하여 컨트롤러에서 다음 cmdlet을 실행합니다. 필수 옵션은 사이트의 applicationhost.config 파일에서 인증 구성 섹션을 잠그고 사이트의 web.config 파일 또는 사이트 아래의 애플리케이션에서 재정의하지 못하도록 하려는 경우에 사용할 수 있습니다. 다음 예제에서는 adatum 을 구독 ID로 바꾸고 contoso 를 웹 사이트의 이름으로 바꿉니다.
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | 필수}
Windows Azure 팩 웹 사이트에 Kerberos Windows 인증을 사용하도록 설정
Windows Azure 팩 웹 사이트에 Kerberos 인증을 사용하도록 설정하려면 다음을 수행합니다.
NTLM 기반 Windows 인증을 사용하도록 설정할 때와 동일한 명령을 실행하여 Windows 인증을 사용하도록 설정합니다.
도메인 서버에서 도메인 사용자를 만듭니다.
Kerberos를 지원하는 사이트의 모든 호스트 이름에 대한 SPN(서비스 사용자 이름)을 추가합니다.
구독용 appPool ID에 도메인 사용자를 할당합니다.
이러한 단계는 다음에 자세히 설명되어 있습니다.
1. Windows 인증 사용
허용 옵션을 사용하여 컨트롤러에서 다음 cmdlet을 실행합니다. 이 예제에서 adatum 을 구독 ID로 바꾸고 contoso 를 웹 사이트의 이름으로 바꿉니다.
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | 필수}
2. 도메인 서버에서 도메인 사용자 만들기
도메인 사용자를 만들려면 도메인 서버에서 다음 명령을 실행합니다. lowprivilegeduser 및 암호를 사용자 환경에 적합한 값으로 바꿉 있습니다.
net users / add lowprivilegeduserpassword
3. Kerberos를 지원할 사이트의 모든 호스트 이름에 대한 SPN(서비스 사용자 이름) 추가
Kerberos를 지원하는 사이트의 모든 호스트 이름에 대한 SPN(서비스 사용자 이름) 추가하려면 도메인 서버에서 다음 명령을 실행합니다. contoso.fabrikam.com, domainname 및 lowprivilegeduser를 사용자 환경에 해당하는 값으로 바꿉 있습니다.
Setspn -S http/contoso.fabrikam.comdomainname\lowprivilegeduser
4. Windows Azure Pack 웹 사이트 컨트롤러에서 도메인 사용자를 애플리케이션 풀에 할당합니다.
만든 도메인 사용자를 응용 프로그램 풀에 할당하려면 Windows Azure 팩 웹 사이트 컨트롤러에서 다음 단계를 수행합니다. 새 PowerShell 창에서 다음 명령을 실행합니다. adatum, contoso, domainname, lowprivilegeduser 및 암호를 사용자 환경에 해당하는 값으로 바꿉 있습니다.
Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password
Windows Azure 팩 웹 사이트에서 Windows 인증을 사용하지 않도록 설정
Windows 인증을 사용하지 않도록 설정해야 할 경우 다음 PowerShell 명령을 실행합니다. 이 예제에서 adatum 을 구독 ID로 바꾸고 contoso 를 웹 사이트의 이름으로 바꿉니다.
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off
Windows Azure 팩 웹 사이트에서 SQL 통합 인증을 사용하도록 설정
Windows Azure 팩 웹 사이트에서 SQL 통합 인증을 사용하도록 설정하는 단계는 다음과 같습니다.
도메인 서버에서 도메인 사용자를 만듭니다.
도메인 사용자에데 데이터베이스 권한을 부여합니다.
구독용 appPool ID에 도메인 사용자를 할당합니다.
이러한 단계는 다음에 자세히 설명되어 있습니다.
1. 도메인 서버에서 도메인 사용자 만들기
도메인 사용자를 만들려면 도메인 서버에서 다음 명령을 실행합니다. lowprivilegeduser 및 암호를 사용자 환경에 해당하는 값으로 바꿉 있습니다.
net users / add lowprivilegeduserpassword
2. SQL Server 도메인 사용자 데이터베이스 사용 권한 부여
만든 도메인 사용자에게 데이터베이스 권한을 부여하려면 SQL Server에서 다음 명령을 실행합니다. usersdatabasename, domainname\lowprivilegeduser 및 lowPrivilegedDBUser를 사용자 환경에 해당하는 값으로 바꿉다.
usersdatabasename 사용;
CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;
CREATE USER lowPrivilegedDBUser FOR LOGIN [domainname\lowprivilegeduser];
EXEC sp_addrolemember 'db_datareader', lowPrivilegedDBUser;
3. Windows Azure Pack 웹 사이트 컨트롤러에서 도메인 사용자를 애플리케이션 풀에 할당합니다.
만든 도메인 사용자를 응용 프로그램 풀에 할당하려면 Windows Azure 팩 웹 사이트 컨트롤러에서 다음 단계를 수행합니다. 새 PowerShell 창에서 다음 명령을 실행합니다. adatum, contoso, domainname, lowprivilegeduser 및 암호를 사용자 환경에 해당하는 값으로 바꿉 있습니다.
Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password