Operations Manager의 인증 및 데이터 암호화
System Center Operations Manager는 관리 서버, 게이트웨이 서버, 보고 서버, 운영 데이터베이스, 보고 데이터 웨어하우스, 에이전트, 웹 콘솔 및 운영 콘솔과 같은 기능으로 구성됩니다. 이 문서에서는 인증이 수행되는 방법을 설명하고 데이터가 암호화되는 연결 채널을 식별합니다.
인증서 기반 인증
Operations Manager 에이전트 및 관리 서버가 신뢰할 수 없는 포리스트 또는 작업 그룹 경계로 구분되는 경우 인증서 기반 인증을 구현해야 합니다. 다음 섹션에서는 이러한 경우와 Windows 기반 인증 기관의 인증서를 얻어 설치하는 특정 절차에 대한 정보를 제공합니다.
동일한 신뢰 경계 내에서 에이전트와 관리 서버 간의 통신 설정
관리 서버가 에이전트의 데이터를 허용하기 전에 에이전트 및 관리 서버는 Windows 인증을 사용하여 서로를 상호 인증합니다. Kerberos 버전 5 프로토콜은 인증을 제공하는 기본 방법입니다. Kerberos 기반 상호 인증이 작동하려면 에이전트 및 관리 서버가 Active Directory 도메인에 설치되어야 합니다. 에이전트 및 관리 서버가 별도의 도메인에 있으면 도메인 간의 신뢰가 완전해야 합니다. 이 시나리오에서는 상호 인증이 이루어진 후 에이전트와 관리 서버 간의 데이터 채널이 암호화됩니다. 이러한 인증 및 암호화를 위해 사용자가 작업할 필요는 없습니다.
트러스트 경계를 넘어 에이전트와 관리 서버 간의 통신 설정
관리 서버(도메인 A)와 분리된 도메인(도메인 B)에 에이전트를 배포할 수 있으며 도메인 간에 양방향 트러스트가 없을 수 있습니다. 두 도메인 간에 트러스트가 없으므로 한 도메인의 에이전트는 Kerberos 프로토콜을 사용하여 다른 도메인의 관리 서버로 인증할 수 없습니다. 각 도메인 내에서 Operations Manager 기능 간의 상호 인증은 여전히 발생합니다.
이 상황을 해결하는 방법은 에이전트가 있는 동일한 도메인에 게이트웨이 서버를 설치한 다음 게이트웨이 서버 및 관리 서버에 인증서를 설치하여 상호 인증 및 데이터 암호화를 사용하는 것입니다. 게이트웨이 서버를 사용한다는 것은 다음 그림과 같이 도메인 B에서 하나의 인증서를 사용하고 방화벽을 통해 하나의 포트만을 사용한다 것을 의미합니다.
도메인 간 통신 설정 – 작업 그룹 경계
사용자 환경에서 방화벽 내의 작업 그룹에 한두 개의 에이전트를 배포할 수 있습니다. 작업 그룹의 에이전트는 Kerberos 프로토콜을 사용하여 도메인의 관리 서버로 인증할 수 없습니다. 이 상황을 해결하는 방법은 다음 그림과 같이 에이전트를 호스트하는 컴퓨터와 에이전트가 연결되는 관리 서버 모두에 인증서를 설치하는 것입니다.
참고
이 시나리오에서는 에이전트를 수동으로 설치해야 합니다.
에이전트를 호스트하는 컴퓨터와 관리 서버 모두에서 각각에 대해 동일한 CA(인증 기관)를 사용하여 다음 단계를 수행합니다.
- CA에서 인증서를 요청합니다.
- CA에서 인증서 요청을 승인합니다.
- 승인된 인증서를 컴퓨터 인증서 저장소에 설치합니다.
- MOMCertImport 도구를 사용하여 Operations Manager를 구성합니다.
참고
KEYSPEC가 1이 아닌 인증서는 지원되지 않습니다.
게이트웨이 승인 도구를 설치하거나 실행하지 않는 경우를 제외하고 게이트웨이 서버에 인증서를 설치하는 것과 동일한 단계입니다.
인증서 설치 확인
인증서를 제대로 설치한 경우 다음 이벤트가 Operations Manager 이벤트 로그에 기록됩니다.
| 유형 | 원본 | 이벤트 ID | 일반 |
|---|---|---|---|
| 정보 | OpsMgr 커넥터 | 20053 | OpsMgr 커넥터가 지정한 권한 인증서를 로드했습니다. |
인증서를 설치하는 동안 MOMCertImport 도구를 실행합니다. MOMCertImport 도구를 마치면 가져온 인증서의 일련 번호가 다음 하위 키의 레지스트리에 기록됩니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings
주의
레지스트리를 올바르게 편집하지 않으면 시스템을 심각하게 손상시킬 수 있습니다. 따라서 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 백업해 두어야 합니다.
관리 서버, 게이트웨이 서버 및 에이전트 간의 인증 및 데이터 암호화
이 Operations Manager 기능 간 통신은 상호 인증으로 시작됩니다. 인증서가 통신 채널의 양쪽 끝에 있으면 상호 인증에 인증서가 사용됩니다. 그렇지 않으면 Kerberos 버전 5 프로토콜이 사용됩니다. 두 기능이 트러스트되지 않은 도메인에 걸쳐 분리되어 있으면 인증서를 사용한 상호 인증이 수행되어야 합니다. 이벤트, 경고, 관리 팩 배포와 같은 일반 통신은 이 채널을 통해 이루어집니다. 이전 그림은 루트 관리 서버에 라우팅되는 에이전트 중 하나에서 생성되는 경고의 예를 보여줍니다. 게이트웨이 서버 및 에이전트가 동일한 도메인에 있기 때문에 에이전트에서 게이트웨이 서버까지 Kerberos 보안 패키지가 데이터를 암호화하는 데 사용됩니다. 게이트웨이 서버는 경고를 해독한 다음 관리 서버의 인증서를 사용하여 다시 암호화합니다. 게이트웨이 서버는 관리 서버로 암호화된 메시지를 보내고 관리 서버에서는 알림의 암호를 해독합니다. 관리 서버와 에이전트 간의 일부 통신은 자격 증명 정보(예: 구성 데이터 및 작업)를 포함할 수 있습니다. 에이전트와 관리 서버 간의 데이터 채널은 일반 채널 암호화와 함께 다른 암호화 계층을 추가합니다. 사용자가 작업할 필요는 없습니다.
관리 서버 및 운영 콘솔, 웹 콘솔 서버 및 보고 서버
관리 서버와 운영 콘솔, 웹 콘솔 서버 또는 보고 서버 간의 인증 및 데이터 암호화는 WCF(Windows Communication Foundation) 기술을 사용하여 수행됩니다. 초기 인증 시도는 사용자의 자격 증명을 사용하여 이루어집니다. Kerberos 프로토콜이 첫 번째로 시도됩니다. Kerberos 프로토콜이 작동하지 않으면 NTLM을 사용하여 또 다른 시도가 수행됩니다. 여전히 인증에 실패하면 자격 증명을 제공하라는 메시지가 표시됩니다. 인증이 수행된 후 NTLM을 사용하는 경우 데이터 스트림은 Kerberos 프로토콜 또는 SSL의 함수로 암호화됩니다.
보고 서버와 관리 서버의 경우 인증이 발생한 후 관리 서버와 SQL Server Reporting Server 간에 데이터 연결이 설정됩니다. 이 작업은 Kerberos 프로토콜을 엄격히 사용하여 수행되므로 관리 서버와 보고 서버는 트러스트된 도메인에 있어야 합니다. WCF에 대한 자세한 내용은 MSDN 문서 Windows Communication Foundation 정의를 참조하십시오.
관리 서버 및 보고 데이터 웨어하우스
관리 서버와 보고 데이터 서버 간에는 다음과 같이 두 개의 통신 채널이 있습니다.
- 관리 서버에 있는 상태 서비스(System Center 관리 서비스)에 의해 호스트 모니터링 프로세스가 생성됩니다.
- 관리 서버의 System Center Data Access 서비스
모니터링 호스트 프로세스 및 데이터 웨어하우스 보고
기본적으로 상태 서비스에 의해 생성된 모니터링 호스트 프로세스는 수집된 이벤트 및 성능 카운터를 데이터 웨어하우스에 기록하며, Reporting 설치 시 지정된 데이터 기록기 계정으로 실행되어 Windows 통합 인증을 수행합니다. 계정 자격 증명은 데이터 웨어하우스 작업 계정이라는 실행 계정에 안전하게 저장됩니다. 이 실행 계정은 데이터 웨어하우스 계정(실제 수집 규칙과 관련됨)이라는 실행 프로필의 구성원입니다.
보고 데이터 웨어하우스와 관리 서버가 트러스트 경계로 구분된 경우(예: 각각 트러스트가 없는 다른 도메인에 있음) Windows 통합 인증이 작동하지 않습니다. 이 상황을 해결하기 위해 SQL Server 인증을 사용하여 모니터링 호스트 프로세스를 보고 데이터 웨어하우스에 연결할 수 있습니다. 이렇게 하려면 SQL 계정 자격 증명으로 단순 계정 유형의 새 실행 계정을 만들고 관리 서버를 대상 컴퓨터로 하여 이 계정을 데이터 웨어하우스 SQL Server 인증 계정이라는 실행 프로필의 구성원으로 만듭니다.
중요
기본적으로 동일한 이름의 실행 계정을 사용하는 "실행 프로필, 데이터 웨어하우스 SQL Server 인증 계정"은 특별 계정에 할당되었습니다. 실행 프로필, 데이터 웨어하우스 SQL Server 인증 계정과 관련된 계정을 변경하지 마십시오. 대신 사용자 고유의 계정 및 Run As 계정을 만들고, SQL Server 인증을 구성할 때 Run As 계정을 Run As 프로필의 구성원으로 만들며, 데이터 웨어하우스 SQL Server 인증 계정도 구성하십시오.
다음에서는 Windows 통합 인증 및 SQL Server 인증을 위한 다양한 계정 자격 증명, 실행 계정, 실행 프로필의 관계에 대해 설명합니다.
기본값: Windows 통합 인증
실행 프로필: 데이터 웨어하우스 계정
- 실행 계정: 데이터 웨어하우스 액션
- 계정 자격 증명: 데이터 기록기 계정(설치 중에 지정됨)
실행 프로필: 데이터 웨어하우스 SQL Server 인증 계정
- 계정으로 실행: 데이터 웨어하우스 SQL 서버 인증
- 계정 자격 증명: Operations Manager에서 만든 특수 계정(변경되지 않음)
옵션: SQL Server 인증
- 프로필로 실행: 데이터 웨어하우스 SQL 서버 인증 계정
- 실행 계정: 설치 중에 지정한 실행 계정입니다.
- 계정 자격 증명: 설치 중에 지정한 계정입니다.
System Center 데이터 액세스 서비스 및 보고 데이터 웨어하우스
기본적으로 보고 데이터 웨어하우스에서 데이터를 읽고 보고서 매개 변수 영역에서 사용할 수 있도록 하는 System Center Data Access 서비스는 Operations Manager 설치 중에 정의된 데이터 액세스 서비스 및 구성 서비스 계정으로 실행하여 Windows 통합 인증을 달성합니다.
보고 데이터 웨어하우스와 관리 서버가 트러스트 경계로 구분된 경우(예: 각각 트러스트가 없는 다른 도메인에 상주) Windows 통합 인증이 작동하지 않습니다. 이 상황을 해결하기 위해 SQL Server 인증을 사용하여 System Center Data Access 서비스를 보고 데이터 웨어하우스에 연결할 수 있습니다. 이 작업을 수행하려면 SQL 계정 자격 증명을 사용하여 Simple Account 유형의 새 Run As Account를 생성하고, 관리 서버를 대상 컴퓨터로 하여 Reporting SDK SQL Server Authentication Account라는 Run As Profile의 구성원으로 추가합니다.
중요
기본적으로 동일한 이름의 실행 계정을 사용하여, 실행 프로필, 보고 SDK SQL Server 인증 계정이 특별 계정으로 할당되었습니다. "Run As 프로필과 Reporting SDK SQL Server 인증 계정에 연결된 계정을 절대 변경하지 마세요." 대신 고유한 사용자 계정과 실행 계정을 만들고, SQL Server 인증을 구성할 때 실행 계정을 실행 프로필 및 보고 SDK SQL Server 인증 계정의 구성원으로 추가하십시오.
다음에서는 Windows 통합 인증 및 SQL Server 인증을 위한 다양한 계정 자격 증명, 실행 계정, 실행 프로필의 관계에 대해 설명합니다.
기본값: Windows 통합 인증
Data Access 서비스 및 구성 서비스 계정(Operations Manager를 설치하는 동안 정의됨)
- 실행 프로필: 보고 SDK SQL Server 인증 계정
- 실행 계정: 보고용 SDK SQL Server 인증 계정
- 계정 자격 증명: Operations Manager에서 만든 특수 계정(변경되지 않음)
옵션: SQL Server 인증
- 실행 프로필: 데이터 웨어하우스 SQL Server 인증 계정
- 실행 계정: 이것은 설치 중에 지정한 실행 계정입니다.
- 계정 자격 증명: 설치 중에 지정한 계정입니다.
운영 콘솔 및 보고 서버
운영 콘솔은 HTTP를 사용하여 포트 80에서 보고 서버에 연결됩니다. 인증은 Windows 인증을 사용하여 수행됩니다. 데이터는 SSL 채널을 사용하여 암호화될 수 있습니다.
보고 서버 및 보고 데이터 웨어하우스
보고 서버와 보고 데이터 웨어하우스 간의 인증은 Windows 인증을 사용하여 이루어집니다. Reporting를 설치하는 동안 데이터 판독기 계정으로 지정된 계정은 보고 서버의 실행 계정이 됩니다. 계정의 암호를 변경해야 하는 경우 SQL Server의 Reporting Services 구성 관리자를 사용하여 동일한 암호를 변경해야 합니다. 보고 서버와 보고 데이터 웨어하우스 간의 데이터는 암호화되지 않습니다.