Team Foundation Server의 트러스트 및 포리스트 고려 사항
업데이트: 2007년 11월
Team Foundation Server는 서로 다른 도메인이나 서로 다른 포리스트에서 여러 그룹이 공동 작업을 수행하기 위한 기반을 제공합니다. 몇 가지 중요한 지침을 따라 서버와 도메인의 보안 및 안정성을 유지할 수 있습니다. 이상적인 경우 Team Foundation의 응용 프로그램 계층과 데이터 계층은 동일한 도메인에 있어야 하지만 연결하는 클라이언트는 여러 도메인 위치에 있을 수 있습니다.
Team Foundation Server는 다음과 같은 Active Directory 모드와 기능 수준에서 지원됩니다.
기본 모드의 Windows 2000 Active Directory
Windows 2000 기본 모드의 Windows Server 2003 Active Directory
Windows Server 2003 기능 수준의 Windows Server 2003 Active Directory
참고: |
---|
Team Foundation Server는 Windows NT Server 4.0을 지원하는 도메인 인증 모드나 기능 수준을 지원하지 않습니다. |
도메인 신뢰
Team Foundation Server에는 지원되는 도메인 신뢰에 대한 어떠한 요구 사항도 없습니다. 적용할 수 있는 신뢰 유형은 기업 네트워크에 배포된 포리스트 및 도메인 유형에 따라 달라집니다. 기업 네트워크에 Team Foundation 구성 요소를 배포하는 방식에 따라 Team Foundation Server에 특정 신뢰 관계가 필요할 수 있습니다.
일반적으로 Team Foundation Server 사용자 및 서비스에서 서버 구성 요소에 액세스하려면 먼저 인증을 받아야 합니다. 신뢰 관계의 관점에서 Team Foundation Server는 사용자 또는 서비스 계정이 정의된 도메인을 신뢰해야 합니다.
Team Foundation Server 구성 요소 간의 신뢰 관계 요구 사항
이 단원에서는 다양한 Team Foundation Server 구성 요소 간에 필요한 최소한의 신뢰 관계에 대해 설명합니다. 또한 배포 구성과 관련이 있을 수 있는 신뢰 관계의 특수한 의미에 대해 설명합니다. 잠재적 Team Foundation 클라이언트 컴퓨터와 Team Foundation Server 간의 신뢰 관계를 확인하려는 경우처럼 Team Foundation 구성 요소 간에 신뢰 관계가 충분한지 확인하는 경우에는 웹 브라우저를 사용하여 클라이언트가 논리적 Team Foundation 응용 프로그램 계층 구성 요소를 호스팅하는 서버의 폴더 또는 공유에 액세스할 수 있는지 여부를 확인할 수 있습니다. 클라이언트가 공유에 액세스할 수 없으면 구성이 Team Foundation Server에 유효하지 않습니다.
Team Foundation Server에서 서버와 해당 리소스의 액세스(인증)를 위한 그룹 멤버 자격 및 권한 관리는 팀 탐색기, TFSSecurity 명령줄 유틸리티 및 TF를 통해 구성할 수 있습니다. 이렇게 지정된 사용자는 응용 프로그램 계층 서버에서 신뢰된 도메인의 멤버인지 확인하는 과정을 거치게 됩니다.
클라이언트와 Team Foundation 응용 프로그램 계층 서버 간의 신뢰
팀 탐색기와 같은 클라이언트 응용 프로그램이 Team Foundation 응용 프로그램 계층 서버에 연결할 경우 서버에서는 클라이언트 응용 프로그램을 실행한 사용자 ID에 대한 인증을 시도합니다. Team Foundation 응용 프로그램 계층 서버의 도메인에서 사용자가 속한 도메인을 신뢰하는 경우 해당 사용자는 Windows 통합 인증의 일부로 자동으로 인증됩니다. 하지만 이러한 신뢰 관계가 존재하지 않는 경우 서버에 연결할 수 있는 대체 자격 증명을 입력할 수 있도록 클라이언트 응용 프로그램에서 사용자 이름 및 암호 대화 상자를 표시합니다. 인증 후 Team Foundation Server에서는 인증된 사용자가 서버에 액세스할 수 있는 권한이 있는지 확인합니다. 서버에 액세스하려면 사용자가 Team Foundation Valid User 그룹의 멤버여야 합니다. 사용자 ID가 기존 Team Foundation Server 그룹에 추가되었거나 서버 또는 프로젝트에 추가된 경우 해당 사용자는 자동으로 이 그룹에 추가됩니다. 자세한 내용은 사용자 및 그룹 관리를 참조하십시오.
Team Foundation 응용 프로그램 계층 서버 서비스는 TFSService 계정으로 실행됩니다. 따라서 Team Foundation 응용 프로그램 계층 서버의 도메인은 TFSService 계정이 속한 도메인을 신뢰해야 합니다. 대부분의 경우 Team Foundation 응용 프로그램 계층 서버와 TFSService 계정은 동일한 도메인에 속합니다.
구성 요소 도메인 |
신뢰 |
대상 구성 요소 도메인 |
---|---|---|
Team Foundation 응용 프로그램 계층 서버의 도메인 |
단방향 신뢰 관계 |
Team Foundation 사용자의 도메인 |
Team Foundation 응용 프로그램 계층 서버의 도메인 |
단방향 신뢰 관계 |
TFSService 계정의 도메인 |
Team Foundation 클라이언트 응용 프로그램이 Team Foundation Server에 연결할 때마다 사용자 이름과 암호를 입력하지 않아도 되게 하려면 Team Foundation 클라이언트의 도메인에서 Team Foundation 응용 프로그램 계층 서버의 도메인을 신뢰해야 합니다.
클라이언트와 Team Foundation Server Proxy 간의 신뢰
프록시가 작동하려면 Team Foundation Server Proxy 컴퓨터의 도메인에서 사용자의 도메인을 신뢰해야 합니다.
대상 구성 요소 도메인 |
신뢰 |
대상 구성 요소 도메인 |
---|---|---|
Team Foundation Server Proxy 컴퓨터의 도메인 |
단방향 신뢰 관계 |
Team Foundation 사용자의 도메인 |
Team Foundation Server Proxy와 Team Foundation 응용 프로그램 계층 서버 간의 신뢰
Active Directory의 컨텍스트에서는 Team Foundation Server Proxy도 Team Foundation Server의 클라이언트입니다.
대상 구성 요소 도메인 |
신뢰 |
대상 구성 요소 도메인 |
---|---|---|
Team Foundation 응용 프로그램 계층 서버의 도메인 |
단방향 신뢰 관계 |
Team Foundation Server Proxy 서비스 계정 도메인 |
Team Foundation Server Proxy 컴퓨터의 도메인 |
단방향 신뢰 관계 |
Team Foundation Server Proxy 사용자 계정 도메인 |
Team Foundation 클라이언트 응용 프로그램이 Team Foundation Server에 연결할 때마다 사용자 이름과 암호를 입력하지 않아도 되게 하려면 Team Foundation 클라이언트의 도메인에서 Team Foundation 응용 프로그램 계층 서버의 도메인을 신뢰해야 합니다.
Team Foundation 응용 프로그램 계층 서버와 Team Foundation 데이터 계층 서버 간의 신뢰
Team Foundation 응용 프로그램 계층 서버는 일반적으로 TFSService 계정이라고 하는 서비스 계정을 사용하여 Team Foundation 데이터 계층 서버에 연결합니다. Team Foundation Server Web Services도 이 계정으로 실행됩니다. 따라서 Team Foundation 데이터 계층 서버의 도메인은 TFSService 계정의 도메인을 신뢰해야 합니다. 또한 Team Foundation Server의 배포 환경에 있는 모든 도메인은 도메인 신뢰 관계 또는 명시적인 권한 설정을 통해 TFSService 계정을 신뢰해야 합니다. Team Foundation 데이터 계층 서버의 도메인은 TFSReports 계정의 도메인도 신뢰해야 합니다. TFSReport 계정은 Team Foundation Server 보고 데이터 소스에 액세스하는 데 사용되는 계정입니다.
또한 Reporting Services는 Team Foundation 응용 프로그램 계층 서버에서 네트워크 서비스 계정으로 실행됩니다. 따라서 Team Foundation 데이터 계층 서버의 도메인에서는 Team Foundation 응용 프로그램 계층 서버의 도메인을 신뢰합니다. 조직에서 Team Foundation 계층 간의 신뢰 관계가 올바르지 않은 경우 Reporting Services가 Team Foundation 응용 프로그램 계층 서버와 다른 도메인에 속한 명명된 서비스 계정으로 실행되도록 시스템을 다시 구성할 수 있습니다. 하지만 이 구성은 단일 서버 배포 환경을 이중 서버 배포 환경으로 마이그레이션하고 Report Server가 명명된 서비스 계정을 사용하여 실행되도록 수동으로 다시 구성해야 하는 복잡한 구성입니다.
구성 요소 도메인 |
신뢰 |
대상 구성 요소 도메인 |
---|---|---|
Team Foundation 데이터 계층 서버의 도메인 |
단방향 신뢰 관계 |
TFSService 계정의 도메인 |
Team Foundation 데이터 계층 서버의 도메인 |
단방향 신뢰 관계 |
TFSReport 계정의 도메인 |
Team Foundation 데이터 계층 서버의 도메인 |
단방향 신뢰 관계 |
Team Foundation 응용 프로그램 계층 서버의 도메인 |
Team Foundation Build와 Team Foundation 응용 프로그램 계층 서버 간의 신뢰
Team Foundation Build는 Windows 서비스 계정으로 실행됩니다. 따라서 Team Foundation Build 컴퓨터의 도메인에서는 이 서비스 계정의 도메인을 신뢰해야 합니다. 일반적으로 이 서비스 계정은 TFSService 계정이지만 다른 계정으로 실행되도록 수동으로 구성할 수 있습니다. Team Foundation Build가 TFSService 계정으로 실행되지 않는 경우 해당 서비스 이름을 [Project]\Build Services 응용 프로그램 그룹에 추가해야 합니다.
참고: |
---|
빌드가 새로 만들어지면 해당 빌드는 빌드 저장 공유 폴더에 저장됩니다. 이 폴더는 모든 사용자에게 공유되며 TFSService 계정이 이 폴더에 대해 모든 권한을 가지고 있어야 합니다. 파일을 공유하려면 Team Foundation Build 컴퓨터에서 Windows 방화벽의 “파일 및 프린터 공유” 포트를 열어야 합니다. |
구성 요소 도메인 |
신뢰 |
대상 구성 요소 도메인 |
---|---|---|
Team Foundation Build 컴퓨터의 도메인 |
단방향 신뢰 관계 |
서비스 계정의 도메인(대개 TFSService) |
Team Foundation 응용 프로그램 계층 서버의 도메인 |
단방향 신뢰 관계 |
서비스 계정의 도메인(대개 TFSService) |
기타 도메인 구성 및 고려 사항
다른 모든 Active Directory 도메인 구성은 지원되지 않으므로 사용하지 말아야 합니다. Team Foundation Server를 설치하는 도메인에서 Team Foundation Server를 지원하는지 확인하고, Team Foundation Server가 설치된 개별 컴퓨터가 적절한 도메인 환경에 있는지 확인해야 합니다. Team Foundation Server에서 여러 포리스트 간의 작업을 지원하는 경우 적절한 포리스트 간 트러스트를 사용할 수 있어야 합니다.
보안을 위해서는 Team Foundation Server를 Windows Server 2003 도메인 환경에 설치하십시오. 가장 공격을 방지하려면 중복 이름을 금지하고 컴퓨터 이름을 작성자별로 보호해야 합니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=47541에서 Windows Server 2003 Active Directory를 참조하십시오.
참고 항목
개념
작업 그룹에서 Team Foundation Server 관리