다음을 통해 공유

포리스트에 클레임 배포(데모 단계)

이 주제에서는 트러스트하는 포리스트와 트러스트된 포리스트 간에 클레임 변환을 구성하는 방법을 설명하는 기본 시나리오를 설명합니다. 클레임 변환 정책 개체를 만들고 트러스트하는 포리스트 및 트러스트된 포리스트의 트러스트에 연결하는 방법을 알아봅니다. 그런 다음 시나리오를 검증합니다.

시나리오 개요

Adatum Corporation은 Contoso, Ltd.에 금융 서비스를 제공합니다. 매 분기마다 Adatum 회계사는 계정 스프레드시트를 Contoso, Ltd.에 있는 파일 서버의 폴더에 복사합니다. Contoso에서 Adatum으로 설정된 양방향 트러스트가 있습니다. Contoso, Ltd.는 Adatum 직원만 원격 공유에 액세스할 수 있도록 공유를 보호하려고 합니다.

이 시나리오에서는

  1. 전제 조건 및 테스트 환경 설정

  2. 트러스트된 포리스트에서 클레임 변환 설정(Adatum)

  3. 트러스트한 포리스트에서 클레임 변환 설정(Contoso)

  4. 시나리오 검증

전제 조건 및 테스트 환경 설정

테스트 구성에는 Adatum Corporation과 Contoso, Ltd라는 두 개의 포리스트를 설정하고 Contoso와 Adatum 간에 양방향 트러스트를 설정하는 작업이 포함됩니다. 'adatum.com'는 트러스트된 포리스트이고 'contoso.com'는 트러스트한 포리스트입니다.

클레임 변환 시나리오는 트러스트한 포리스트의 클레임을 트러스트된 포리스트의 클레임으로 변환하는 방법을 보여 줍니다. 이렇게 하려면 adatum.com이라는 새 포리스트를 설정하고 회사 값이 'Adatum'인 테스트 사용자로 포리스트를 채워야 합니다. 그런 다음 contoso.com과 adatum.com 간에 양방향 트러스트를 설정해야 합니다.

Important

Contoso 및 Adatum 포리스트를 설정할 때 클레임 변환이 작동하려면 두 루트 도메인이 모두 Windows Server 2012 도메인 기능 수준에 있는지 확인해야 합니다.

랩에 대해 다음을 설정해야 합니다. 이러한 절차는 부록 B: 테스트 환경 설정에 자세히 설명되어 있습니다.

이 시나리오에 대한 랩을 설정하려면 다음 절차를 구현해야 합니다.

  1. Adatum을 Contoso에 대해 트러스트된 포리스트로 설정

  2. contoso.com에서 'Company' 클레임 형식 만들기

  3. contoso.com에서 'Company' 리소스 속성 사용 설정

  4. 중앙 액세스 규칙 만들기

  5. 중앙 액세스 정책 만들기

  6. 그룹 정책을 통해 새 정책 게시

  7. 파일 서버에서 Earnings 폴더 만들기

  8. 분류를 설정하고 새 폴더에 중앙 액세스 정책 적용

다음 정보를 사용하여 이 시나리오를 완료합니다.

개체 세부 정보
사용자 Jeff Low, Contoso
Adatum 및 Contoso의 사용자 클레임 ID: ad://ext/Company:ContosoAdatum,

소스 특성: 회사

제안된 값: Contoso, Adatum 중요: Contoso 및 Adatum의 'Company' 클레임 유형에 대한 ID를 동일한 값으로 설정해야 클레임 변환이 작동합니다.
Contoso의 중앙 액세스 규칙 AdatumEmployeeAccessRule
Contoso의 중앙 액세스 정책 Adatum 전용 액세스 정책
Adatum 및 Contoso의 클레임 변환 정책 DenyAllExcept Company
Contoso의 파일 폴더 D:\EARNINGS

트러스트된 포리스트에서 클레임 변환 설정(Adatum)

이 단계에서는 Adatum에서 'Company'를 제외한 모든 클레임을 거부하는 변환 정책을 생성하여 Contoso에 전달합니다.

Windows PowerShell용 Active Directory 모듈은 변환 정책에서 지정된 클레임을 제외한 모든 항목을 삭제하는 DenyAllExcept 인수를 제공합니다.

클레임 변환을 설정하려면 클레임 변환 정책을 만들고 트러스트된 포리스트와 트러스트한 포리스트 간에 이를 연결해야 합니다.

Adatum에서 클레임 변환 정책 만들기

다음과 같이 'Company'를 제외한 모든 클레임을 거부하는 변환 정책 Adatum을 생성할 수 있습니다.

  1. 암호 pass@word1을 사용하여 관리자로 도메인 컨트롤러 adatum.com에 로그인합니다.

  2. Windows PowerShell에서 관리자 권한 명령 프롬프트를 열고 다음을 입력합니다.

    New-ADClaimTransformPolicy `
-Description:"Claims transformation policy to deny all claims except Company"`
-Name:"DenyAllClaimsExceptCompanyPolicy" `
-DenyAllExcept:company `
-Server:"adatum.com" `

Adatum의 트러스트 도메인 개체에서 클레임 변환 링크 설정

이 단계에서는 Contoso에 대한 Adatum의 트러스트 도메인 개체에 새로 만든 클레임 변환 정책을 적용합니다.

다음과 같이 클레임 변환 정책을 적용합니다.

  1. 암호 pass@word1을 사용하여 관리자로 도메인 컨트롤러 adatum.com에 로그인합니다.

  2. Windows PowerShell에서 관리자 권한 명령 프롬프트를 열고 다음을 입력합니다.

    
  Set-ADClaimTransformLink `
-Identity:"contoso.com" `
-Policy:"DenyAllClaimsExceptCompanyPolicy" `
'"TrustRole:Trusted `

트러스트한 포리스트에서 클레임 변환 설정(Contoso)

이 단계에서는 Contoso(트러스트한 포리스트)에서 'Company'를 제외한 모든 클레임을 거부하는 클레임 변환 정책을 만듭니다. 클레임 변환 정책을 만들고 포리스트 트러스트에 연결해야 합니다.

Contoso에서 클레임 변환 정책 만들기

다음과 같이 'Company'를 제외한 모든 사항을 거부하는 변환 정책 Adatum을 생성할 수 있습니다.

  1. 암호 pass@word1을 사용하여 관리자로 도메인 컨트롤러 contoso.com에 로그인합니다.

  2. Windows PowerShell에서 관리자 권한 명령 프롬프트를 열고 다음을 입력합니다.

    New-ADClaimTransformPolicy `
-Description:"Claims transformation policy to deny all claims except company" `
-Name:"DenyAllClaimsExceptCompanyPolicy" `
-DenyAllExcept:company `
-Server:"contoso.com" `

Contoso의 트러스트 도메인 개체에서 클레임 변환 링크 설정

이 단계에서는 Adatum에 대한 contoso.com 트러스트 도메인 개체에 새로 만든 클레임 변환 정책을 적용하여 contoso.com으로 'Company'를 전달하도록 허용합니다. 트러스트 도메인 개체의 이름은 adatum.com입니다.

다음과 같이 클레임 변환 정책을 설정합니다.

  1. 암호 pass@word1을 사용하여 관리자로 도메인 컨트롤러 contoso.com에 로그인합니다.

  2. Windows PowerShell에서 관리자 권한 명령 프롬프트를 열고 다음을 입력합니다.

    
  Set-ADClaimTransformLink
-Identity:"adatum.com" `
-Policy:"DenyAllClaimsExceptCompanyPolicy" `
-TrustRole:Trusting `

시나리오 검증

이 단계에서는 파일 서버 FILE1에 설정된 D:\EARNINGS 폴더에 액세스하여 사용자가 공유 폴더에 액세스할 수 있는지 확인합니다.

다음과 같이 Adatum 사용자가 공유 폴더에 액세스할 수 있는지 확인합니다.

  1. 암호 pass@word1을 사용하여 Jeff Low로 CLIENT1 클라이언트 컴퓨터에 로그인합니다.

  2. \\FILE1.contoso.com\Earnings 폴더로 이동합니다.

  3. Jeff Low는 폴더에 액세스할 수 있어야 합니다.

클레임 변환 정책에 대한 추가 시나리오

다음은 클레임 변환의 일반적인 추가 사례 목록입니다.

시나리오 정책
Adatum에서 온 모든 클레임의 Contoso Adatum 이동 허용 Code -
New-ADClaimTransformPolicy `
-Description:"Claims transformation policy to allow all claims" `
-Name:"AllowAllClaimsPolicy" `
-AllowAll `
-Server:"contoso.com" `
Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"AllowAllClaimsPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com" `
Adatum에서 온 모든 클레임의 Contoso Adatum으로 이동하도록 거부 Code -
New-ADClaimTransformPolicy `
-Description:"Claims transformation policy to deny all claims" `
-Name:"DenyAllClaimsPolicy" `
-DenyAll `
-Server:"contoso.com" `
Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"DenyAllClaimsPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com"`
'Company' 및 "'Department'를 제외한 Adatum에서 온 모든 클레임의 Contoso Adatum 이동 허용 Code
- New-ADClaimTransformationPolicy `
-Description:"Claims transformation policy to allow all claims except company and department" `
-Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" `
-AllowAllExcept:company,department `
-Server:"contoso.com" `
Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com" `