계정 선택 예와 SPN
이 주제에서는 setspn 유틸리티를 사용하여 Active Directory에서 SPN(Service Principal Name)을 지정하는 예를 제공합니다.
SPN을 할당할 때 명명된 Windows™ 계정을 사용하는 것이 가장 좋지만, 시나리오에 따라서는 명명된 Windows™ 계정을 반드시 사용할 필요는 없습니다. 다음 예에서는 setspn 명령의 사용을 보여 주며 계정 사용의 실행 가능한 선택항목에 대해 설명합니다.
IP sprayer를 통해 여러 Domino® 서버에서 제공되는 웹 사이트
SSO 환경이 여러 Domino® 서버 간 연결 요청을 배포하는 IP sprayer를 사용하는 웹 사이트인 경우, Active Directory의 하나의 명명된 계정에서 SPN을 정의해야 합니다. 모든 Domino® 서버는 개별 로컬 시스템 계정이 아닌 Windows™ 서비스와 동일한 계정으로 로그온합니다. 예를 들어, 웹 사이트 문서가 다음과 같이 구성됩니다.
- 이 사이트에 맵핑된 호스트 이름 또는 주소 = ipsprayer.renovations.com, domino1.ad.renovations.com, domino2.ad.renovations.com.
- Domino servers that host this site = Domino1/Renovations, Domino2/Renovations
계정에 대해 세 개의 SPN을 정의하려면 명명된 계정(이 예제에서는 ssorenovations)에서 setspn을 세 번 실행합니다.
setspn -a HTTP/ipsprayer.renovations.com ssorenovations
setspn -a HTTP/domino1.ad.renovations.com ssorenovations
setspn -a HTTP/domino2.ad.renovations.com ssorenovations
Active Directory 도메인에 로그인한 웹 사용자는 이러한 DNS 이름을 포함하는 HTTP 또는 HTTPS를 통해 Domino1/Renovations 또는 Domino2/Renovations에 액세스할 때 비밀번호를 입력하라는 메시지가 나타나지 않습니다.
ipsprayer.renovations.com
domino1.ad.renovations.com
domino2.ad.renovations.com
하나의 Domino® 서버에서 제공되는 웹 사이트
하나의 Domino® 서버에서 제공되는 웹 사이트를 가진 경우, 명명된 계정 또는 로컬 시스템 계정으로 SPN을 정의할 수 있습니다. 예를 들어, 웹 사이트 문서가 다음과 같이 구성됩니다.
- 이 사이트에 맵핑된 호스트 이름 또는 주소 = www.sso1.renovations.com, www.sso2.renovations.com
- 이 사이트를 관리하는 Domino 서버 = Domino1/Renovations
다음과 같이 계정(이 예제에서는 로컬 시스템 계정 domino1)에서 setspn을 두 번 실행합니다.
setspn -a HTTP/www.sso1.renovations.com domino1
setspn -a HTTP/domino1.ad.renovations.com domino1
Active Directory 도메인에 로그인한 웹 사용자가 www.sso1.renovations.com 또는 www.sso2.renovations.com을 포함하는 HTTP 또는 HTTPS URL을 통해 Domino1/Renovations 서버에 액세스할 때 비밀번호를 입력하는 메시지가 나타납니다.
URL에서 DNS 이름을 공유하지 않는 여러 Domino® 서버에서 제공되는 웹 사이트
URL에서 DNS 이름을 공유하지 않는 여러 Domino® 서버에서 제공되는 웹 사이트를 가진 경우는 다음과 같이 정의할 수 있습니다.
- 하나의 명명된 계정의 모든 서버에 대해 SPN을 정의합니다.
- 명명된 개별 계정의 각 서버에 대해 SPN을 정의합니다.
- 각 서버의 로컬 시스템 계정의 서버마다 SPN을 정의합니다.
예를 들어, 웹 사이트 문서가 다음과 같이 구성됩니다.
- 사이트에 맵핑된 호스트 이름 또는 주소 = domino1.ad.renovations.com, domino2.ad.renovations.com
- Domino servers that host this site = Domino1/Renovations, Domino2/Renovations
Domino1/Renovations는 domino1.ad.renovations.com을 포함하는 URL만 제공하고, Domino2/Renovations는 domino2.ad.renovations.com을 포함하는 URL만 제공합니다. 각 로컬 시스템 계정(domino1, domino2)에 대한 SPN을 정의하려면 다음과 같이 각 계정에서 setspn을 한 번만 실행합니다.
setspn -a HTTP/domino1.ad.renovations.com domino1
setspn -a HTTP/domino2.ad.renovations.com domino2
Active Directory 도메인에 로그인한 웹 사용자가 domino1.ad.renovations.com을 포함하는 URL을 통해 Domino1/Renovations에 액세스하거나, domino2.ad.renovations.com을 통해 Domino2/Renovations 서버에 액세스할 경우 비밀번호를 입력하라는 메시지가 나타나지 않습니다.
서버 문서를 사용하는 SSO 구성
SSO 구성이 웹 사이트 문서가 아닌 서버 문서를 사용하는 경우에는 다음 작업을 수행할 수 있습니다.
- 모든 서버에 대해 하나의 명명된 계정 사용
- IP sprayer를 사용하지 않는 경우 여러 개의 명명된 계정 사용(예: 서버 클러스터로 구성된 계정)
- IP sprayer를 사용하지 않는 경우 로컬 시스템 계정 사용(예: domino1, domino2, domino3)
예를 들어 각 서버에 여러 서버 세션 인증이 구성되었으며 지정된 웹 SSO 환경 설정 문서의 참가 중인 서버 필드는 다음 서버를 나열합니다.
- Domino1/Renovations
- Domino2/Renovations
- Domino3/Renovations
그리고 각 호스트 이름은 다음과 같습니다.
- domino1.ad.renovations.com
- domino2.ad.renovations.com
- domino3.ad.renovations.com
로컬 시스템 계정을 사용하려면 다음과 같이 각 계정에서 setspn을 한 번만 실행합니다.
setspn -a HTTP/domino1.ad.renovations.com domino1
setspn -a HTTP/domino2.ad.renovations.com domino2
setspn -a HTTP/domino3.ad.renovations.com domino3
domino1.ad.renovations.com을 포함하는 HTTP 또는 HTTPS URL에 액세스하거나 또는 domino1이 로컬 시스템 계정으로 로그온할 때 웹 클라이언트에 비밀번호를 입력하라는 메시지가 나타나지 않습니다. domino2.ad.renovations 또는 domino3.ad.renovations를 포함하는 URL은 비슷하게 작동합니다.