다음을 통해 공유

웹 등록 프록시 페이지에 대한 Kerberos 제한 위임을 구성하는 방법

  • 아티클

이 문서에서는 웹 등록 프록시 페이지에 대한 사용자 지정 서비스 계정에서 사용자 대 프록시 서비스(S4U2Proxy) 또는 Kerberos 전용 제한 위임을 구현하는 단계별 지침을 제공합니다.

원래 KB 번호: 4494313

요약

이 문서에서는 웹 등록 프록시 페이지에 대한 사용자 대 프록시 서비스(S4U2Proxy) 또는 Kerberos 전용 제한 위임을 구현하는 단계별 지침을 제공합니다. 이 문서에서는 다음과 같은 구성 시나리오를 설명합니다.

  • 사용자 지정 서비스 계정에 대한 위임 구성
  • NetworkService 계정에 대한 위임 구성

참고 항목

이 문서에 설명된 워크플로는 특정 환경과 관련이 있습니다. 다른 상황에서는 동일한 워크플로가 작동하지 않을 수 있습니다. 그러나 원칙은 동일하게 유지됩니다. 다음 그림에서는 이 환경을 요약합니다.
예제 환경의 서버 유형입니다.

시나리오 1: 사용자 지정 서비스 계정에 대한 제한된 위임 구성

이 섹션에서는 웹 등록 프록시 페이지에 사용자 지정 서비스 계정을 사용할 때 사용자 대 프록시 서비스(S4U2Proxy) 또는 Kerberos 전용 제한 위임을 구현하는 방법을 설명합니다.

1. 서비스 계정에 SPN 추가

서비스 계정을 SPN(서비스 사용자 이름)과 연결합니다. 이렇게 하려면 다음 단계를 수행하세요.

  1. Active Directory 사용자 및 컴퓨터 도메인에 연결한 다음 PKI>PKI 사용자를 선택합니다.

  2. 서비스 계정(예: web_svc)을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

  3. 특성 편집기>servicePrincipalName을 선택합니다.

  4. 새 SPN 문자열을 입력하고 다음 그림과 같이 추가를 선택한 다음 확인을 선택합니다.

    H T T P SPN을 추가하고 구성하는 지침입니다.

    Windows PowerShell을 사용하여 SPN을 구성할 수도 있습니다. 이렇게 하려면 관리자 권한 PowerShell 창을 열고 실행 setspn -s SPN Accountname합니다. 예를 들어 다음 명령을 실행합니다.

    setspn -s HTTP/webenroll2016.contoso.com web_svc

2. 위임 구성

  1. 서비스 계정에서 S4U2proxy(Kerberos만 해당) 제한된 위임을 구성합니다. 이렇게 하려면 이전 절차에서 설명한 대로 서비스 계정의 속성 대화 상자에서 지정된 서비스에 대한 위임>에 대해서만 이 사용자 위임을 선택합니다. Kerberos 사용만 선택되어 있는지 확인합니다.

    속성 대화 상자의 위임 탭에서 web_svc 속성을 구성합니다.

  2. 대화 상자를 닫습니다.

  3. 콘솔 트리에서 컴퓨터를 선택한 다음 웹 등록 프런트 엔드 서버의 컴퓨터 계정을 선택합니다.

    참고 항목

    이 계정을 "컴퓨터 계정"이라고도 합니다.

  4. 컴퓨터 계정에서 S4U2 자체(프로토콜 전환) 제한 위임을 구성합니다. 이렇게 하려면 컴퓨터 계정을 마우스 오른쪽 단추로 클릭한 다음 지정된 서비스에 대한 위임에 대해서만 이 컴퓨터의 속성>위임>트러스트를 선택합니다. 모든 인증 프로토콜 사용을 선택합니다.

    지정된 서비스에 대한 위임 전용 옵션에 대해 이 컴퓨터 신뢰에서 인증 프로토콜 사용을 선택합니다.

3. 웹 등록을 위한 SSL 인증서 만들기 및 바인딩

웹 등록 페이지를 사용하도록 설정하려면 웹 사이트에 대한 도메인 인증서를 만든 다음 기본 웹 사이트에 바인딩합니다. 이렇게 하려면 다음 단계를 수행하세요.

  1. IIS 관리자를 엽니다.

  2. 콘솔 트리에서 HostName>을 선택한< 다음 서버 인증서를 선택합니다.

    참고 항목

    <HostName> 은 프런트 엔드 웹 서버의 이름입니다.
    웹 사이트에 대한 도메인 인증서를 추가합니다.

  3. 작업 메뉴에서 도메인 인증서 만들기를 선택합니다.

  4. 인증서를 만든 후 콘솔 트리에서 기본 웹 사이트를 선택한 다음 바인딩을 선택합니다.

  5. 포트443으로 설정되어 있는지 확인합니다. 그런 다음 SSL 인증서 아래에서 3단계에서 만든 인증서를 선택합니다.

    시나리오 1의 경우 인증서를 추가하고 포트 443에 바인딩합니다.

  6. 확인을 선택하여 인증서를 포트 443에 바인딩합니다.

4. 서비스 계정을 사용하도록 웹 등록 프런트 엔드 서버 구성

Important

서비스 계정이 웹 서버의 로컬 관리자 또는 IIS_Users 그룹의 일부인지 확인합니다.
웹 서버의 서비스 계정에 대한 그룹입니다.

  1. DefaultAppPool을 마우스 오른쪽 단추로 클릭한 다음 고급 설정을 선택합니다.

    애플리케이션 풀 고급 설정을 구성합니다.

  2. 프로세스 모델>ID를 선택하고 사용자 지정 계정을 선택한 다음, [설정]을 선택합니다. 서비스 계정의 이름과 암호를 지정합니다.

    애플리케이션 풀 ID를 사용자 지정 서비스 계정으로 구성합니다.

  3. 자격 증명애플리케이션 풀 ID 설정 대화 상자에서 확인을 선택합니다.

  4. 고급 설정에서 사용자 프로필 로드를 찾아 True로 설정했는지 확인합니다.

    사용자 프로필 로드 설정을 True로 설정합니다.

  5. 컴퓨터를 다시 시작합니다.

시나리오 2: NetworkService 계정에서 제한된 위임 구성

이 섹션에서는 웹 등록 프록시 페이지에 NetworkService 계정을 사용할 때 S4U2Proxy 또는 Kerberos 전용 제한 위임을 구현하는 방법을 설명합니다.

선택적 단계: 연결에 사용할 이름 구성

클라이언트가 연결하는 데 사용할 수 있는 웹 등록 역할에 이름을 할당할 수 있습니다. 이 구성은 들어오는 요청이 웹 등록 프런트 엔드 서버의 컴퓨터 이름 또는 DNS 정식 이름(CNAME)과 같은 기타 라우팅 정보를 알 필요가 없음을 의미합니다.

예를 들어 웹 등록 서버의 컴퓨터 이름이 WEBENROLLMAC(Contoso 도메인)라고 가정합니다. 들어오는 연결에서 ContosoWebEnroll이라는 이름을 대신 사용하려고 합니다. 이 경우 연결 URL은 다음과 같습니다.

https://contosowebenroll.contoso.com/certsrv

다음과 같은 것은 아닙니다.

https://WEBENROLLMAC.contoso.com/certsrv

이러한 구성을 사용하려면 다음 단계를 수행합니다.

  1. 도메인의 DNS 영역 파일에서 새 연결 이름을 웹 등록 역할 IP 주소에 매핑하는 별칭 레코드 또는 호스트 이름 레코드를 만듭니다. Ping 도구를 사용하여 라우팅 구성을 테스트합니다.

    이전에 설명한 Contoso.com 예제에서 영역 파일에는 ContosoWebEnroll을 웹 등록 역할의 IP 주소에 매핑하는 별칭 레코드가 있습니다.

  2. 웹 등록 프런트 엔드 서버에 대한 SPN으로 새 이름을 구성합니다. 이렇게 하려면 다음 단계를 수행하세요.

    1. Active Directory 사용자 및 컴퓨터 도메인에 연결한 다음 컴퓨터를 선택합니다.
    2. 웹 등록 프런트 엔드 서버의 컴퓨터 계정을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

      참고 항목

      이 계정을 "컴퓨터 계정"이라고도 합니다.

    3. 특성 편집기>servicePrincipalName을 선택합니다.
    4. HTTP/<ConnectionName을 입력합니다.<>DomainName.com> 추가를 선택한 다음 확인을 선택합니다.

      참고 항목

      이 문자열<에서 ConnectionName>은 정의한 새 이름이고< DomainName>은 도메인의 이름입니다. 이 예제에서 문자열은 HTTP/ContosoWebEnroll.contoso.com. 프런트 엔드 서버 컴퓨터 계정에 S P N을 추가합니다.

1. 위임 구성

  1. 도메인에 아직 연결하지 않은 경우 Active Directory 사용자 및 컴퓨터 지금 이 작업을 수행하고 컴퓨터를 선택합니다.

  2. 웹 등록 프런트 엔드 서버의 컴퓨터 계정을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

    참고 항목

    이 계정을 "컴퓨터 계정"이라고도 합니다.

  3. 위임을 선택한 다음 지정된 서비스에 대한 위임에 대해서만 이 컴퓨터의 신뢰를 선택합니다.

    참고 항목

    클라이언트가 이 서버에 연결할 때 항상 Kerberos 인증을 사용하도록 보장할 수 있는 경우 Kerberos만을 선택합니다. 일부 클라이언트가 NTLM 또는 양식 기반 인증과 같은 다른 인증 방법을 사용하는 경우 인증 프로토콜 사용을 선택합니다.

    웹 서버 컴퓨터 계정에서 위임을 구성합니다.

2. 웹 등록을 위한 SSL 인증서 만들기 및 바인딩

웹 등록 페이지를 사용하도록 설정하려면 웹 사이트에 대한 도메인 인증서를 만든 다음 기본 첫 번째 사이트에 바인딩합니다. 이렇게 하려면 다음 단계를 수행하세요.

  1. IIS 관리자를 엽니다.

  2. 콘솔 트리에서 HostName>을 선택한< 다음 작업 창에서 서버 인증서를 선택합니다.

    참고 항목

    <HostName> 은 프런트 엔드 웹 서버의 이름입니다. 웹 사이트에 대한 도메인 인증서를 추가합니다.

  3. 작업 메뉴에서 도메인 인증서 만들기를 선택합니다.

  4. 인증서를 만든 후 기본 웹 사이트를 선택한 다음 바인딩을 선택합니다.

  5. 포트443으로 설정되어 있는지 확인합니다. 그런 다음, SSL 인증서 아래에서 3단계에서 만든 인증서를 선택합니다. 확인을 선택하여 인증서를 포트 443에 바인딩합니다.

    인증서를 추가하고 포트 443에 바인딩합니다.

3. NetworkService 계정을 사용하도록 웹 등록 프런트 엔드 서버 구성

  1. DefaultAppPool을 마우스 오른쪽 단추로 클릭한 다음 고급 설정을 선택합니다.

    기본 애플리케이션 풀의 고급 설정을 선택합니다.

  2. 프로세스 모델>ID를 선택합니다. 기본 제공 계정이 선택되어 있는지 확인한 다음 NetworkService를 선택합니다. 그런 다음 확인을 선택합니다.

    애플리케이션 풀 ID를 기본 제공 NetworkService 계정으로 구성합니다.

  3. 고급 속성에서 사용자 프로필 로드를 찾은 다음 True설정되었는지 확인합니다.

    고급 설정에서 사용자 프로필 로드를 True로 설정합니다.

  4. IIS 서비스를 다시 시작합니다.

이러한 프로세스에 대한 자세한 내용은 웹 애플리케이션 사용자 인증을 참조 하세요.

S4U2 자체 및 S4U2proxy 프로토콜 확장에 대한 자세한 내용은 다음 문서를 참조하세요.