[Dongclee의 2011년 3월 2번째 포스팅 : 다른 조직의 ADRMS를 사용할 수 있는 최상의 방안은? ADFS + ADRMS

  • Article

안녕하세요... 이동철입니다.

되게 오래간만인 것 같습니다. 테크넷 뉴스레터에 제 블로그가 소개되었더군요,, 쑥스럽게, 그런데, 저의 와이프가 제가 "재야고수" 이런 단어로 소개된 기사를 보고, "재야고수" 뭔가 underground(콩그리쉬) 냄새가 난다고 싫어하네요. ^-^

어쨌든 여러분들이 제 블로그를 보시고 정말이지 다소나다 여러분 업무에 도움이 된다면 전 그걸로 충분합니다.

오늘 소개할 내용은 바로 ADRMS(Active Directory Rights Management Service) + ADFS(Active Directory Federation Service)의 조합을 사용한 ADRMS 활용의 확대입니다. 사실, ADRMS 나 ADFS 이러한 주제는 Windows 서버에서는 어쩌면 minor한 주제인 것이 분명합니다. 그런데, 정작 minor한 주제에 대한 자료는 충분치 않다는 것이 문제인 것 같습니다. 그래서, 제가 Microsoft사에서 이미 대중적으로 공개한 영문 step-by-step 가이드를 한글화하고, 여러분들의 이해를 돕기 위해 screen shot을 추가한 자료를 만들어 보았습니다.

그럼, ADRMS+ADFS를 같이 사용하면 어떤 점이 좋을까요,,,, 예전 Windows 2003 에서 RMS를 사용할 때의 환경을 예를 들어 보겠습니다.

 즉, 위와 같이 TREY.NET 도메인 내에 구성되어 있는 RMS 서버를 사용하면, TREY.NET 도메인 내의 사용자들끼리는 할당된 권한 내에서 RMS로 보호된 문서 및 메일을 열람할 수 있습니다. 그런데, TREY.NET 도메인 내에서 RMS로 암호화된 문서를 CPANDL.COM 도메인 내의 사용자가 열람하고자 한다면, 적어도 3가지의 전제 조건이 형성되어야 합니다.

  1. TREY.NET 도메인과 CPANDL.COM 도메인의 2-way trust 구축 (이런 작업 하자고 하면, 당장에 Firewall 담당자가 절대 안 된다고 할 겁니다, 왜냐하면, Trust를 위해서는 엄청나게 많은 포트가 사용되거든요)
  2. CPANDL.COM 도메인에 별도의 RMS 서버 구축
  3. 양쪽 RMS 서비스의 신뢰를 위한 Cross Certification(이 부분까지 설명할려면 시간이 좀 걸려서 생략하겠습니다 ^-^)

즉, Windows 2003 RMS 환경에서는 위와 같이 다른 조직 및 도메인 내의 사용자들이 쌍방 간의 RMS 서버에 의해 암호화된 문서를 열람하기 위해서는 상당히 어려운 점이 많습니다.

그런데, Windows 2003 R2부터 소개된 ADFS(Active Directory Federation Service)를 사용하면, 상당히 쉽게 타 조직 내의 RMS 서버를 사용할 수 있습니다. ADFS는 결국, HTTP 및 HTTPS 기반으로 타 조직의 Active Directory에 대한 인증을 사용할 수 있는 기반을 제공하는 기술입니다. 이 ADFS가 Windows Server 2008 부터 드디어 ADRMS와 integration 되었습니다. 그럼 Windows 2003 RMS와는 어떻게 다른 architecure를 구축할 수 있을까요? 다음 그림을 먼저 보시지요.

위 그림을 살펴보면, RMS 서버는 CPANDL.COM 도메인에만 존재하고, 별도의 ADFS 관련된 서버(TREYADFS.TREY.NET , CPANDLADFS.CPANDL.COM)가 양쪽 도메인이 존재함을 확인할 수 있습니다. 이러한 환경을 구성하게 되면, TREY.NET 도메인 과 CPANLD.COM 도메인 사이의 2-way trust 구성이 필요없습니다. 즉, 443 포트를 사용하는 HTTPS 프로토콜을 사용하여 상대방의 Active Directory 인증을 할 수 있습니다. 또한, TREY.NET 도메인 내에는 별도의 RMS 서버를 구축할 필요도 업습니다. 다만, 이러한 인프라를 구성하기 위해서는 아래와 같은 2가지 정도의 전제 조건만 만족하면 됩니다.

  1. 양 도메인에 Windows Server 2008 이상의 멤버 서버에 ADFS 기능 활성화 (2대)
  2. 적어도 한 도메인에 Windows Server 2008 이상의 멤버 서버에 ADRMS 기능 활성화 (1대)

이러한 구성을 통하여, TREY.NET 도메인 내의 사용자들은 허용된 권한에 의해 CPANDL.COM 도메인 내의 ADRMS 서비스를 사용할 수 있습니다.

물론, ADFS 를 구성하기 위한 작업이 약간은 복잡해 보이긴 하지만, 관리자가 한 번만 제대로 수고하면, 여러 가지 측면에서 많은 장점이 많은 인프라 구조입니다.

추가로, 한 가지 더 알려드리면, MOSS 제품도 ADFS와 integration 되어 있습니다. 즉, 위와 같은 도메인 구조에서 한 조직의 MOSS 서버를 다른 조직의 사용자가 부여된 권한 내에서 MOSS 컨텐트를 사용할 수 있습니다. 물론, 인증은 기존 Active Directory를 사용하면서, 443 포트를 사용합니다.

이상과 같이 오늘 포스팅을 마칩니다. 혹시라도 궁금한 점은 언제든지 comments 남겨주세요.

 

 

 

 

 

ADFS & ADRMS tep-by-Step Guide modified by dongclee.pdf