Windows 컴퓨터의 인증 및 데이터 암호화
적용 대상: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
System Center 2012 - Operations Manager는 관리 서버, 게이트웨이 서버, 보고 서버, 운영 데이터베이스, 보고 데이터 웨어하우스, 에이전트, 웹 콘솔 및 운영 콘솔 등의 기능으로 구성됩니다. 이 섹션에서는 인증 수행 방법 및 데이터가 암호화되는 경우 연결 채널 식별 방법에 대해 설명합니다.
인증서 기반 인증
Operations Manager 에이전트 및 관리 서버가 트러스트되지 않은 포리스트 또는 작업 그룹 경계로 분리될 경우 인증서 기반 인증을 구현해야 합니다. 다음 섹션에서는 이러한 경우와 Windows 기반 인증 기관의 인증서를 얻어 설치하는 특정 절차에 대한 정보를 제공합니다.
동일한 트러스트 경계 내에서 에이전트와 관리 서버 간 통신 설정
관리 서버가 에이전트의 데이터를 허용하기 전에 에이전트 및 관리 서버는 Windows 인증을 사용하여 서로를 상호 인증합니다. Kerberos 버전 5 프로토콜은 인증을 제공하는 기본 방법입니다. Kerberos 기반 상호 인증이 작동하려면 에이전트 및 관리 서버가 Active Directory 도메인에 설치되어야 합니다. 에이전트 및 관리 서버가 별도의 도메인에 있으면 도메인 간의 신뢰가 완전해야 합니다. 이 시나리오에서는 상호 인증이 이루어진 후 에이전트와 관리 서버 간의 데이터 채널이 암호화됩니다. 이러한 인증 및 암호화를 위해 사용자가 작업할 필요는 없습니다.
트러스트 경계에 걸쳐 에이전트와 관리 서버 간의 통신 설정
관리 서버(도메인 A)와 분리된 도메인(도메인 B)에 에이전트를 배포할 수 있으며 도메인 간에 양방향 트러스트가 없을 수 있습니다. 두 도메인 간에 트러스트가 없기 때문에 한 도메인의 에이전트가 Kerberos 프로토콜을 사용하여 다른 도메인의 관리 서버를 인증할 수 없습니다. 각 도메인 내의 Operations Manager 기능 간 상호 인증은 여전히 적용됩니다.
이 상황을 해결하는 방법은 에이전트가 있는 동일한 도메인에 게이트웨이 서버를 설치한 다음 게이트웨이 서버 및 관리 서버에 인증서를 설치하여 상호 인증 및 데이터 암호화를 사용하는 것입니다. 게이트웨이 서버를 사용한다는 것은 다음 그림과 같이 도메인 B에서 하나의 인증서를 사용하고 방화벽을 통해 하나의 포트만을 사용한다 것을 의미합니다.
.jpeg "도메인 간 트러스트")
도메인에 걸친 통신 설정 - 작업 그룹 경계
사용자 환경에서 방화벽 내의 작업 그룹에 한두 개의 에이전트를 배포할 수 있습니다. 작업 그룹의 에이전트는 Kerberos 프로토콜을 사용하여 도메인의 관리 서버를 인증할 수 없습니다. 이 상황을 해결하는 방법은 다음 그림과 같이 에이전트를 호스트하는 컴퓨터와 에이전트가 연결되는 관리 서버 모두에 인증서를 설치하는 것입니다.
참고
이 시나리오에서는 에이전트를 수동으로 설치해야 합니다.
.jpeg "도메인 및 작업 그룹 간 트러스트")
에이전트를 호스트하는 컴퓨터와 관리 서버 모두에서 각각에 대해 동일한 CA(인증 기관)를 사용하여 다음 단계를 수행합니다.
CA에서 인증서를 요청합니다.
CA에서 인증서 요청을 승인합니다.
승인된 인증서를 컴퓨터 인증서 저장소에 설치합니다.
MOMCertImport 도구를 사용하여 Operations Manager를 구성합니다.
이는 게이트웨이 승인 도구를 설치하거나 실행하지 않는다는 점을 제외하면 게이트웨이 서버에 인증서를 설치하는 단계와 동일합니다.
인증서 설치 확인
인증서를 올바르게 설치한 경우 다음 이벤트가 Operations Manager 이벤트 로그에 기록됩니다.
유형 |
원본 |
이벤트 ID |
일반 |
|---|---|---|---|
정보 |
OpsMgr 커넥터 |
20053 |
OpsMgr 커넥터가 지정한 권한 인증서를 로드했습니다. |
인증서를 설치하는 동안 MOMCertImport 도구를 실행합니다. MOMCertImport 도구를 마치면 가져온 인증서의 일련 번호가 다음 하위 키의 레지스트리에 기록됩니다.
.jpeg "System_CAPS_caution"){kind=icon} 주의 |
|---|
레지스트리를 잘못 편집하면 시스템에 심각한 손상이 발생할 수 있습니다. 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 모두 백업해야 합니다. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings
관리 서버, 게이트웨이 서버 및 에이전트 간의 인증 및 데이터 암호화
이 Operations Manager 기능 간 통신은 상호 인증으로 시작됩니다. 인증서가 통신 채널의 양쪽 끝에 있으면 상호 인증에 인증서가 사용됩니다. 그렇지 않으면 Kerberos 버전 5 프로토콜이 사용됩니다. 두 기능이 트러스트되지 않은 도메인에 걸쳐 분리되어 있으면 인증서를 사용한 상호 인증이 수행되어야 합니다.
이벤트, 경고, 관리 팩 배포와 같은 일반 통신은 이 채널을 통해 이루어집니다. 이전 그림은 루트 관리 서버에 라우팅되는 에이전트 중 하나에서 생성되는 경고의 예를 보여줍니다. 게이트웨이 서버 및 에이전트가 동일한 도메인에 있기 때문에 에이전트에서 게이트웨이 서버까지 Kerberos 보안 패키지가 데이터를 암호화하는 데 사용됩니다. 게이트웨이 서버는 경고를 해독한 다음 관리 서버의 인증서를 사용하여 다시 암호화합니다. 관리 서버가 경고를 수신한 후 메시지를 해독하고 Kerberos 프로토콜을 사용하여 다시 암호화한 후 관리 서버로 보내면 관리 서버에서 경고의 암호를 해독합니다.
관리 서버와 에이전트 간의 일부 통신은 자격 증명 정보(예: 구성 데이터 및 작업)를 포함할 수 있습니다. 에이전트와 관리 서버 간의 데이터 채널은 일반 채널 암호화와 함께 다른 암호화 계층을 추가합니다. 사용자가 작업할 필요는 없습니다.
관리 서버 및 운영 콘솔, 웹 콘솔 서버, 보고 서버
WCF(Windows Communication Foundation)를 사용하여 관리 서버와 운영 콘솔, 웹 콘솔 서버 또는 보고 서버 간의 인증 및 데이터 암호화가 이루어집니다. 초기 인증 시도는 사용자의 자격 증명을 사용하여 이루어집니다. Kerberos 프로토콜이 첫 번째로 시도됩니다. Kerberos 프로토콜이 작동하지 않으면 NTLM을 사용하는 다른 시도가 이루어집니다. 여전히 인증에 실패하면 자격 증명을 제공하라는 메시지가 표시됩니다. NTLM이 사용되면 인증이 이루어진 후 데이터 스트림이 Kerberos 프로토콜 또는 SSL 중 하나의 함수로 암호화됩니다.
보고 서버 및 관리 서버의 경우 인증이 이루어진 후 관리 서버와 SQL Server 보고 서버 간에 데이터 연결이 설정됩니다. 이 작업은 Kerberos 프로토콜을 엄격히 사용하여 수행되므로 관리 서버와 보고 서버는 트러스트된 도메인에 있어야 합니다. WCF에 대한 자세한 내용은 MSDN 문서 Windows Communication Foundation 정의를 참조하십시오.
관리 서버 및 보고 데이터 웨어하우스
관리 서버와 보고 데이터 서버 간에는 다음과 같이 두 개의 통신 채널이 있습니다.
호스트 모니터링 프로세스는 관리 서버에서 상태 서비스(System Center 관리 서비스)로 생성됩니다.
관리 서버의 System Center Data Access 서비스
모니터링 호스트 프로세스 및 보고 데이터 웨어하우스
기본적으로 상태 서비스에서 생성한 모니터링 호스트 프로세스는 수집된 이벤트 및 성능 카운터를 데이터 웨어하우스에 기록합니다. Reporting을 설치하는 동안 지정된 데이터 기록기 계정으로 이 프로세스가 실행되어 Windows 통합 인증이 이루어집니다. 계정 자격 증명은 데이터 웨어하우스 작업 계정이라는 실행 계정에 안전하게 저장됩니다. 이 실행 계정은 데이터 웨어하우스 계정(실제 수집 규칙과 관련됨)이라는 실행 프로필의 구성원입니다.
보고 데이터 웨어하우스 및 관리 서버가 트러스트 경계로 분리되어 있는 경우(예: 서로 다른 트러스트되지 않은 도메인에 각각 있는 경우) Windows 통합 인증이 작동하지 않습니다. 이 상황을 해결하기 위해 SQL Server 인증을 사용하여 모니터링 호스트 프로세스를 보고 데이터 웨어하우스에 연결할 수 있습니다. 이렇게 하려면 SQL 계정 자격 증명으로 단순 계정 유형의 새 실행 계정을 만들고 관리 서버를 대상 컴퓨터로 하여 이 계정을 데이터 웨어하우스 SQL Server 인증 계정이라는 실행 프로필의 구성원으로 만듭니다.
.jpeg "System_CAPS_important") 중요 |
|---|
기본적으로 동일한 이름의 실행 계정을 사용하여 실행 프로필, 데이터 웨어하우스 SQL Server 인증 계정이 특별 계정에 할당됩니다. 실행 프로필, 데이터 웨어하우스 SQL Server 인증 계정과 관련된 계정을 변경하지 마십시오. 대신 사용자 고유의 계정 및 실행 계정을 만들고 SQL Server 인증을 구성할 때 실행 계정을 실행 프로필, 데이터 웨어하우스 SQL Server 인증 계정의 구성원으로 만듭니다. |
다음에서는 Windows 통합 인증 및 SQL Server 인증을 위한 다양한 계정 자격 증명, 실행 계정, 실행 프로필의 관계에 대해 설명합니다.
기본값: Windows 통합 인증
실행 프로필: 데이터 웨어하우스 계정
실행 계정: 데이터 웨어하우스 작업 계정
자격 증명: 데이터 기록기 계정(설치하는 동안 지정)
실행 프로필: 데이터 웨어하우스 SQL Server 인증 계정
실행 계정: 데이터 웨어하우스 SQL Server 인증 계정
자격 증명: Operations Manager에서 만든 특별 계정(변경하지 않아야 함)
옵션: SQL Server 인증
실행 프로필: 데이터 웨어하우스 SQL Server 인증 계정
실행 계정: 사용자가 만든 실행 계정.
자격 증명: 사용자가 만든 계정.
System Center Data Access 서비스 및 보고 데이터 웨어하우스
기본적으로 System Center Data Access 서비스는 보고 데이터 웨어하우스에서 데이터를 읽어 보고서 매개 변수 영역에서 데이터를 사용할 수 있도록 합니다. 이 서비스는 Operations Manager를 설치하는 동안 정의된 Data Access 서비스 및 구성 계정으로 실행되어 Windows 통합 인증을 수행합니다.
보고 데이터 웨어하우스 및 관리 서버가 트러스트 경계로 분리되어 있는 경우(예: 서로 다른 트러스트되지 않은 도메인에 각각 있는 경우) Windows 통합 인증이 작동하지 않습니다. 이 상황을 해결하기 위해 SQL Server 인증을 사용하여 System Center Data Access 서비스를 보고 데이터 웨어하우스에 연결할 수 있습니다. 이렇게 하려면 SQL 계정 자격 증명으로 단순 계정 유형의 새 실행 계정을 만들고 관리 서버를 대상 컴퓨터로 하여 이 계정을 보고 SDK SQL Server 인증 계정이라는 실행 프로필의 구성원으로 만듭니다.
| 중요 |
|---|
기본적으로 동일한 이름의 실행 계정을 사용하여 실행 프로필, 보고 SDK SQL Server 인증 계정이 특별 계정에 할당됩니다. 실행 프로필, 보고 SDK SQL Server 인증 계정과 관련된 계정을 변경하지 마십시오. 대신 사용자 고유의 계정 및 실행 계정을 만들고 SQL Server 인증을 구성할 때 실행 계정을 실행 프로필, 보고 SDK SQL Server 인증 계정의 구성원으로 만듭니다. |
다음에서는 Windows 통합 인증 및 SQL Server 인증을 위한 다양한 계정 자격 증명, 실행 계정, 실행 프로필의 관계에 대해 설명합니다.
기본값: Windows 통합 인증
Data Access 서비스 및 구성 서비스 계정(Operations Manager를 설치하는 동안 정의됨)
실행 프로필: 보고 SDK SQL Server 인증 계정
실행 계정: 보고 SDK SQL Server 인증 계정
자격 증명: Operations Manager에서 만든 특별 계정(변경하지 않아야 함)
옵션: SQL Server 인증
실행 프로필: 데이터 웨어하우스 SQL Server 인증 계정
실행 계정: 사용자가 만든 실행 계정.
자격 증명: 사용자가 만든 계정.
운영 콘솔 및 보고 서버
운영 콘솔은 HTTP를 사용하여 포트 80에서 보고 서버에 연결됩니다. 인증은 Windows 인증을 사용하여 수행됩니다. 데이터는 SSL 채널을 사용하여 암호화될 수 있습니다. 운영 콘솔과 보고 서버 간에 SSL을 사용하는 방법에 대한 자세한 내용은 보고 서버에 연결할 때 SSL을 사용 하도록 운영 콘솔을 구성 하는 방법을 참조하십시오.
보고 서버 및 보고 데이터 웨어하우스
보고 서버와 보고 데이터 웨어하우스 간의 인증은 Windows 인증을 사용하여 이루어집니다. Reporting를 설치하는 동안 데이터 판독기 계정으로 지정된 계정은 보고 서버의 실행 계정이 됩니다. 계정 암호를 변경해야 하는 경우 SQL Server의 Reporting Services 구성 관리자를 사용해서 동일한 암호로 변경해야 합니다. 이 암호를 재설정하는 방법에 대한 자세한 정보는 보고 서버 실행 계정 암호를 변경 하는 방법을 참조하십시오. 보고 서버와 보고 데이터 웨어하우스 간의 데이터는 암호화되지 않습니다.