스마트 카드 인증 활성화 - AWS Directory Service
1단계: AD Connector 서비스 계정에 대해 Kerberos 제한된 위임 활성화2단계: AD Connector에 CA 인증서 등록3단계: 지원되는 AWS 애플리케이션 및 서비스에 대한 스마트 카드 인증 활성화

스마트 카드 인증 활성화

AD Connector의 WorkSpaces에 대한 스마트 카드 인증을 활성화하려면 먼저 CA(인증 기관) 인증서를 AD Connector로 가져와야 합니다. AWS Directory Service콘솔, API, CLI를 사용하여 AD Connector로 CA 인증서를 가져올 수 있습니다. 다음과 같은 단계를 사용하여 CA 인증서를 가져온 다음 스마트 카드 인증을 활성화합니다.

1단계: AD Connector 서비스 계정에 대해 Kerberos 제한된 위임 활성화

AD Connector를 통한 스마트 카드 인증을 사용하려면 자체 관리형 AD 디렉터리의 LDAP 서비스에 대한 AD Connector 서비스 계정에 대해 Kerberos 제한된 위임(KCD)을 사용하도록 설정해야 합니다.

Kerberos 제한된 위임은 Windows Server의 새 기능입니다. 이 기능은 관리자에게 애플리케이션 서비스가 사용자 대신 작동할 수 있는 범위를 제한하여 애플리케이션 신뢰 경계를 지정 및 시행할 수 있는 능력을 제공합니다. 자세한 내용은 Kerbero 제한된 위임을 참조하세요.

참고

Kerberos 제한된 위임(KCD)을 사용하려면 AD Connector 서비스 계정의 사용자 이름 부분이 동일한 사용자의 SAMAccountName과 일치해야 합니다. SAMAccountName은 20자로 제한됩니다. samAccountName은 이전 버전의 Windows 클라이언트 및 서버의 로그인 이름으로 사용되는 Microsoft Active Directory 속성입니다.

  1. SetSpn 명령을 사용하여 자체 관리형 AD에서 AD Connector 서비스 계정의 SPN(서비스 보안 주체 이름)을 설정합니다. 이렇게 하면 서비스 계정을 위임 구성에 사용할 수 있습니다.

    SPN은 모든 서비스 또는 이름 조합일 수 있지만, 기존 SPN과 중복될 수는 없습니다. -s에서는 중복이 있는지 확인합니다.

    setspn -s my/spn service_account

  2. AD 사용자 및 컴퓨터에서 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 연 다음 AD Connector 서비스 계정을 선택하고 Properties(속성)을 선택합니다.

  3. Delegation(위임) 탭을 선택합니다.

  4. 지정된 서비스에만 위임할 수 있도록 이 사용자를 신뢰를 선택하고 모든 인증 프로토콜 사용 옵션을 선택합니다.

  5. 추가를 선택한 다음 사용자 또는 컴퓨터를 선택하여 도메인 컨트롤러를 찾습니다.

  6. 확인을 선택하면 위임에 사용할 수 있는 서비스 목록이 표시됩니다.

  7. ldap 서비스 역할 유형을 선택한 후 확인을 선택합니다.

  8. 확인을 선택하여 새 구성을 저장합니다.

  9. AD의 다른 도메인 컨트롤러에 대해서도 이 프로세스를 반복합니다. PowerShell을 사용하여 프로세스를 자동화할 수도 있습니다.

2단계: AD Connector에 CA 인증서 등록

다음 방법 중 하나를 사용하여 AD Connector 디렉터리의 CA 인증서를 등록합니다.

방법 1: AD Connector(AWS Management Console)에서 인증서를 등록하려면

  1. AWS Directory Service 콘솔 탐색 창에서 디렉터리를 선택합니다.

  2. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

  3. 디렉터리 세부 정보 페이지에서 네트워킹 및 보안 탭을 선택합니다.

  4. 스마트 카드 인증 섹션에서 작업을 선택한 다음 인증서 등록을 선택합니다.

  5. 인증서 등록 대화 상자에서 파일 선택을 선택한 다음 인증서를 선택하고 열기를 선택합니다. OCSP(온라인 인증서 상태 프로토콜) 응답자 URL을 제공하여 이 인증서에 대한 해지 확인을 수행하도록 선택할 수도 있습니다. OCSP에 대한 자세한 내용은 인증서 해지 확인 프로세스 단원을 참조하세요.

  6. 인증서 등록을 선택합니다. 인증서 상태가 등록으로 변경되면 등록 프로세스가 성공적으로 완료된 것입니다.

방법 2: AD Connector(AWS CLI)에서 CA 인증서를 등록하려면

  • 다음 명령을 실행합니다. 인증서 데이터의 경우 CA 인증서 파일의 위치를 가리킵니다. 보조 OCSP 응답자 주소를 제공하려면 선택적 ClientCertAuthSettings 객체를 사용합니다.

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address

    성공하면 응답은 인증서 ID를 제공합니다. 다음 CLI 명령을 실행하여 CA 인증서가 성공적으로 등록되었는지 확인할 수도 있습니다.

    aws ds list-certificates --directory-id your_directory_id

    상태 값이 Registered를 반환하면 인증서가 성공적으로 등록된 것입니다.

3단계: 지원되는 AWS 애플리케이션 및 서비스에 대한 스마트 카드 인증 활성화

다음 방법 중 하나를 사용하여 AD Connector 디렉터리의 CA 인증서를 등록할 수 있습니다.

방법 1: AD Connector(AWS Management Console) 에서 스마트 카드 인증을 활성화하려면

  1. 디렉터리 세부 정보 페이지의 스마트 카드 인증 섹션으로 이동한 다음 활성화를 선택합니다. 이 옵션을 사용할 수 없는 경우, 유효한 인증서가 성공적으로 등록되었는지 확인한 다음 다시 시도하세요.

  2. 스마트 카드 인증 활성화 대화 상자에서 활성화를 선택합니다.

방법 2: AD Connector(AWS CLI)에서 스마트 카드 인증을 활성화하려면

  • 다음 명령을 실행합니다.

    aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard

    성공하면 AD Connector는 HTTP 본문이 비어 있는 HTTP 200 응답을 반환합니다.