Topic
도메인(Domain), 조직 구성 단위(OU), 포리스트(Forest), 트리 및 트러스트(Trust)
AD의 용도 : 인증 , DataBase , Management
AD에 대해 먼저 이해하기
AD의 단위?
Object = 개체 = 무언가를 이루는 속성(Attribute)을 가진 가장 작은 단위
User Object → 이름, 전화번호, 주소, 이메일, 소속 ··· 이라는 속성(Attribute)을 가진다.
계정과 암호를 입력했을 때 사용자를 확인하기 위해서 해당 User Object의 속성에 계정과, 암호가 저장된다.
이렇게 '내가 누구인지?'에 대해 증명하는 것을 '인증'이라고 한다.
AD에서 인증을 할 때 사용하는 프로토콜 = Kerberos (sso = 인증을 중앙화하는 기술)
AD의 database를 통해 User에 (속성에)대해 물어볼 때 사용하는 프로토콜 = LDAP (port 389)
AD를 통해 계정의 접근을 제어하고, 그룹정책을 통해 계정/기기에 변경사항을 일괄적으로 관리(Management)
AD의 구성요소
| Pysical components | Logical components |
| - Data Store (실제 데이터를 이루는 파일들) - Domain Controllers - Global Catalog server (domain controllers안에서 특정 영역을 담당) - RODC (Read Only domain controllers) |
- Partitions (DB안에서 용도에 따라 나누어져있는 형태) - Schema (Attribute의 정의) - Domains (Boundary) - Domain Trees (Domain간의 관계적으로 연결된 형태) - Forest (Domain Tree가 여러 관계로 설계되어있는 형태) - Sites (Domain들의 네트워크적인 구분) - OUs (Domain(Boundary)에서 기준에 따라 나뉘어져 있는 형태) |
Domain이란?
: 하나의 Domain Controller가 인증할 수 있는 최대 범위
→ 도메인을 만들기 위해서는 한 대 이상의 domain controller 설치 필요
* AD에서는 domain controller를 두개 이상 만드는 것을 권장 (같은 내용의 domain controller 2개)
하나의 도메인만 사용할 경우 domain controller가 다운될 경우 인증을 수행할 수 없게된다.
→ 두 개의 domain controller에서 roadbalancing을 하고 항상 같은 데이터를 유지하게 됨 (=복제)
Domain Tree
: Domain에 대한 집합으로 상위 도메인은 Parent Domain(부모), 하위도메인은 Child Domain(자식)이라고 부른다.
Root = Parent , Sub = Child
내가 이해한 Domain Controoller
도메인 내의 인증(권한 확인, 로그인, 이용자 확인 등)을 해주는 서버 컴퓨터
domain 1 : domain controller 2로 구성한다는 것은 인증 데이터의 안전을 위해 서버 두 대를 로드밸런싱 한다는 뜻
OUs
: 도메인(Boundary) 내에서 세분화하여 나누는 단위
- 도메인이 나뉘어져 있는 모습을 눈에 보기 쉽게 관리할 수 있다.
- 사용자 또는, 그룹에 권한을 위임하여 그룹 정책을 관리할 수 있다.
Distinguished Name (DN)
: 사용자 고유의 유니크한 이름 (동명이인을 구분)
LDAP
: AD는 Database의 특성도 가지기 때문에 Query(질의응답)도 가능
Forest
: 동일한 Attribute 구조(Schema)를 가지고 있는 도메인들의 집합
여러 도메인으로 나누어져 있지만, 같은 보안 구조를 가짐
ex) 본사-계열사의 직원 데이터는 다르지만, 동일한 구조를 따르기 때문에 서로의 회사에 접근(인증)할 수 있음
Trust
: 서로 다른 도메인에서 DC(Domain Controller)간의 데이터를 복제하여 서로간의 인증이 가능한 관계
ex) Parents - Child Domain 사이에서 서로 '다른' 도메인을 사용하지만 '인증'을 통해 교류(소통)할 수 있는 관계
Forest와 Trust에 대해 정리하자면 아래와 같이 나타낼 수 있다.
▶ 여기서 <Forest Root Domain> Contry.com은 Forest 관계에서 최초(Root)로 생성된 도메인이다.
▶ Contry.com은 각각의 Domain Tree와 Trust 관계이다.
▶ Domain Tree끼리도 Trust관계라고 할 수 있다.
▶ <Tree Root Domain> Korea.com은 Domain Tree구조에서 최상위 도메인이다.
▶ Forest관계에서 Trust 상태인 모든 도메인은 DC로 하여그 서로 데이터를 복제하게 된다.
따라서, Seoul.Korea.com의 사용자가 Dokyo.Janpan.com에 로그인(인증)할 수 있다.
Active Directory Domain 단위
Forest > Tree > Domain > OU > Object 순으로 이루어져있다.
(큼 > 작음)
AAD 사용시 Forest나 Trust는 대규모 Enterpraise급에서나 드물에 사용 된다고 들었다.
AD에 이러한 개념이 있다고만 이해하고 넘어가면 좋을 것 같다.
'Cloud > Azure' 카테고리의 다른 글
| Azure Virtual WAN - P2S (0) | 2022.04.24 |
|---|---|
| Azure Virtual Machine : 명칭과 시리즈 (0) | 2022.04.10 |
| Azure Fundamental : 구독 / 계정 / 인증 / 권한 / 리소스 그룹 / AAD (0) | 2022.02.15 |
| AD VS Azure AD (0) | 2022.02.10 |
| 0.5. SSO를 통해 AD (Active Directory)이해하기 (0) | 2022.01.03 |
