RDS for SQL Server 인스턴스에 온프레미스 Active Directory 로그인을 사용하여 문제를 해결하려면 어떻게 해야 합니까?

4분 분량
0

온프레미스 Active Directory 로그인을 사용할 때 Microsoft SQL Server용 Amazon Relational Database Service(RDS)에 액세스할 수 없습니다. 이 문제를 해결하려면 어떻게 해야 합니까?

간략한 설명

Amazon RDS for SQL Server DB 인스턴스에 Windows 인증을 설정할 때는 포리스트 신뢰를 생성해야 합니다. 이는 AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD)를 사용하여 생성됩니다. 포리스트 신뢰는 온프레미스를 사용하든 자체 호스팅된 AWS Managed Microsoft AD를 사용하든 관계없이 설정됩니다. 신뢰 관계를 구성한 후 온프레미스 로그인을 사용하는 동안 다음과 같은 로그인 오류가 여러 가지 이유로 나타날 수 있습니다.

‘로그인에 실패했습니다. 신뢰할 수 없는 도메인에서 로그인한 것이므로 Windows 인증과 함께 사용할 수 없습니다.’

해결 방법

Active Directory 로그인 오류를 해결하려면 다음을 확인합니다.

Amazon RDS 도메인 상태

DB 인스턴스를 만들거나 수정하면 해당 인스턴스가 도메인의 구성원이 됩니다. RDS 콘솔은 DB 인스턴스의 도메인 멤버십 상태를 표시합니다. 'DB 인스턴스 상태'에 대한 자세한 내용은 도메인 멤버십 이해를 참조하세요. RDS 콘솔에서 도메인 또는 디렉토리 상태에 DB 인스턴스를 조인할 때 “Failed” 오류가 발생하는 경우 DB 인스턴스에 다시 조인하기를 참조하세요. AWS Identity and Access Management(IAM) 오류가 발생하는 경우 기본 IAM 역할 rds-directoryservice-access-role을 사용하지 않았기 때문일 수 있습니다. 사용자 지정 IAM 역할을 사용하는 경우 기본 정책인 Amazon AmazonRDSDirectoryServiceAccess를 연결하여 오류를 해결합니다.

신뢰 관계

AWS Managed Microsoft AD와 자체 관리형(온프레미스) 디렉터리 간에 단방향 및 양방향 외부 및 포리스트 신뢰 관계를 구성할 수 있습니다. 또한 AWS 클라우드에서 여러 AWS Managed Microsoft AD 간 단방향 및 양방향 외부 및 포리스트 신뢰 관계를 구성할 수 있습니다. AWS Managed Microsoft AD는 수신, 발신 및 양방향의 세 가지 신뢰 관계 방향을 모두 지원합니다. 온프레미스 로그인을 사용하여 RDS 콘솔에 액세스하려면 신뢰 상태가 “검증됨” 상태여야 합니다. 신뢰 관계 확인에 대한 자세한 내용은 신뢰 관계 생성, 확인 또는 삭제를 참조하세요.

포리스트 전반에 걸친 선택적 인증

AWS Directory Service 콘솔을 사용하여 포리스트 신뢰를 생성하는 동안 “선택적 인증”을 활성화할 수 있는 옵션이 있습니다. 이 옵션이 켜져 있지 않은 경우 인증은 “포리스트 전반에 걸친 인증”으로 취급됩니다.

포리스트 전반에 걸친 인증

포리스트 수준 인증 설정이 켜지면 포리스트의 도메인 컨트롤러가 신뢰하는 포리스트의 사용자가 보낸 모든 액세스 요청을 인증합니다. 인증에 성공하면 리소스 액세스 제어 목록(ACL)을 기반으로 리소스에 대한 액세스가 허용되거나 거부됩니다.

이러한 접근법은 위험할 수 있습니다. 신뢰할 수 있는 포리스트의 외래 사용자가 성공적으로 인증되면 “인증된 사용자” 그룹의 구성원이 됩니다. 이 그룹의 경우 영구 구성원은 없으며 인증을 기반으로 멤버십이 동적으로 계산됩니다. 계정이 “인증된 사용자” 그룹의 구성원이 되면 해당 계정은 “인증된 사용자” 그룹이 액세스할 수 있는 모든 리소스에 액세스할 수 있습니다.

선택적 인증

인증을 제어하려면 선택적 인증 수준을 선택할 수 있습니다. 이 수준에서는 모든 사용자가 기본적으로 도메인 컨트롤러에 의해 인증되는 것은 아닙니다. 대신 도메인 컨트롤러가 신뢰할 수 있는 포리스트로부터 들어오는 인증 요청을 감지하면 도메인 컨트롤러가 사용자 계정을 검증합니다. 도메인 컨트롤러는 해당 객체를 보유하고 있는 리소스에 대한 독점 권한이 사용자 계정에 부여되었는지 확인합니다.

선택적 인증이 켜진 경우 온프레미스 Active Directory의 각 사용자 및 그룹을 추가해야 합니다. 사용자 및 그룹을 AWS Managed AD의 “AWS Delegated Allowed to Authenticate Objects” 그룹에 추가해야 합니다. “AWS Delegated Allowed to Authenticate Objects”에는 “인증 허용” 권한이 할당됩니다. 이 그룹에 속한 모든 사용자는 RDS 인스턴스에 액세스할 수 있습니다. 이 그룹에 속하지 않은 사용자는 Amazon RDS SQL 서버에 액세스할 수 없습니다.

참고: “AWS Delegated Allowed to Authenticate Objects” 그룹은 기본적으로 AWS Managed AD를 구성한 후 생성됩니다. 이 그룹의 구성원에게는 AWS 예약 조직 단위(OU)의 컴퓨터 리소스를 인증할 수 있는 권한이 제공됩니다. 이는 선택적 인증 신뢰가 있는 온프레미스 개체에만 필요합니다.

로그인 및 암호 상태

온프레미스 Active Directory 로그인 암호 및 상태는 만료되거나 잠글 수 없습니다. 그렇다면 다음 명령을 사용하여 로그인 상태를 확인합니다.

net user username/domain

상태를 확인하려는 사용자로 사용자 이름을 변경하기만 하면 됩니다. 도메인은 그대로 둡니다.

서비스 주체 이름(SPN) 복제

기본적으로 Amazon RDS는 필요에 따라 SPN을 생성합니다. 다른 용도로 온프레미스 Active Directory 로그인을 위한 추가 SPN을 만들면 로그인이 실패할 수 있습니다. 자세한 내용은 SPN 식별, 제거 및 확인을 참조하세요.

보안 패치

온프레미스 Active Directory 로그인 오류가 발생하고 신뢰 관계를 확인한 경우 최신 보안 패치를 확인합니다. 분산 제어 시스템(DCS) 또는 도메인 이름 시스템(DNS) 서버에서 Windows 업데이트(KB)와 관련된 알려진 문제를 확인합니다. 보안 패치 또는 KB로 인해 문제가 발생하는 경우 업데이트를 롤백해야 할 수 있습니다. 업데이트를 롤백해도 문제가 해결되지 않으면 가능한 경우 Microsoft의 수정 프로그램을 적용해 보세요.


관련 정보

AWS Managed Microsoft AD의 신뢰에 대해 알고 싶었던 모든 것