이 페이지에서는 클라우드부 테넌트와 함께 LDAPS용으로 구성된 Active Directory 환경을 사용하기 위한 서비스의 지원을 설명합니다.

서비스 릴리스 2201부터 서비스는 LDAPS를 사용하도록 구성된 AD(Active Directory) 도메인 환경의 사용을 지원합니다. 이 기능을 사용하려면 테넌트를 명시적으로 사용하도록 설정해야 하며 포드 그룹의 포드는 v2201 릴리스의 매니페스트 수준을 실행하는 Horizon Cloud 포드로만 구성되어야 합니다. 이 기능의 사용 설정을 요청하려면 VMware KB 문서 2006985에 설명된 대로 지원 요청을 제출해야 합니다.

이 기능에 대한 간략한 소개

VDI 제공 서비스로 이 서비스를 사용하려면 도메인 바인딩 계정을 사용하여 AD 도메인에서 조회를 수행할 수 있는 기능이 필요합니다. AD 환경이 LDAPS용으로 구성된 경우 서비스에는 도메인 컨트롤러의 루트 CA 인증서와 중간 CA 인증서(선택 사항)가 필요합니다. Horizon Universal Console을 사용하여 인증서를 수집하고 시스템에 저장합니다.

이 서비스는 신뢰할 수 있는 CA 인증서를 시스템에 제공하는 두 가지 방법인 자동 검색 및 수동 업로드를 제공합니다. 이러한 방법은 이 페이지에서 자세히 설명합니다.

주요 사항 및 요구 사항

LDAPS 구성 AD 도메인을 등록하기 전에 다음 중요 사항 및 요구 사항을 검토합니다.

  • 자체 서명된 인증서는 지원되지 않습니다.
  • 서비스를 사용하려면 DNS에 LDAPS를 사용하도록 구성된 도메인에 대한 SRV 레코드가 있어야 합니다. 도메인에 LDAPS를 사용하도록 선택하면 SRV 레코드를 암시적으로 사용해야 합니다.
  • 반드시 AD 환경을 채널 바인딩을 적용하도록 구성하는 것이 좋습니다. 채널 바인딩 적용은 LDAPS를 올바르게 보호하는 데 핵심적인 부분으로, 특히 중간자(MITM) 공격을 방지하는 데 필요합니다.
  • 서비스의 도메인 등록 워크플로에서 서비스에서 사용할 기본 도메인 컨트롤러를 지정하려면 정규화된 DNS 호스트 이름을 사용하여 지정해야 합니다. 이러한 기본 설정 도메인 컨트롤러를 Horizon Universal Console에 입력할 때 콘솔은 IP 주소 입력을 차단합니다. 2개 이상의 기본 DC를 지정하는 것이 좋습니다.
  • 콘솔의 [도메인 바인딩] 마법사에서 기본 DC를 지정하지 않으면 DNS를 사용하여 서비스가 검색하는 DC에 모든 포드가 연결할 수 있어야 합니다.
  • 방화벽 구성은 다음 포트 및 프로토콜을 사용하여 모든 포드에서 도메인 컨트롤러로의 아웃바운드 연결을 허용해야 합니다.
    • 포트 88/TCP - Kerberos 인증
    • 포트 636/TCP 및 3269/TCP - LDAPS 통신
  • 루트 인증서를 제외한 신뢰 체인의 모든 인증서에 HTTP 해지 끝점을 정의해야 하며 HTTP를 통해 포드에서 해당 끝점에 연결할 수 있어야 합니다. 이 요구 사항에는 다음 사항이 포함됩니다.
    • LDAP를 해지 끝점에 사용하면 안 됩니다.
    • 서비스는 인증서에 정의된 OCSP 또는 CRL HTTP URL을 사용하여 해지 검사를 수행합니다.
    • 인증서가 HTTP 프로토콜에 대한 OCSP 또는 CRL 끝점을 정의하지 않으면 서비스에서 해지 검사를 수행할 수 없습니다. 이 경우 LDAPS 연결이 실패합니다.
    • 모든 포드는 해지 끝점을 확인할 수 있어야 합니다. 방화벽은 배포된 포드에서 HTTP를 통해 해지 끝점으로 이동하는 아웃바운드 트래픽을 차단하지 않아야 합니다.

자동 검색 - Microsoft CA

Microsoft CA를 사용하여 도메인 컨트롤러 인증서를 발급하는 경우 Horizon Universal Console은 자동 검색 메커니즘을 제공합니다. 이 메커니즘은 Active Directory 환경에서 모든 루트 및 중간 인증서를 자동으로 찾아 콘솔에 표시하여 시스템에서 사용할 수 있는지 확인하고 승인합니다. 자동 검색된 인증서는 모두 수락하거나 모두 수락하지 않아야 합니다. 부분 승인은 지원되지 않습니다.

콘솔에서 승인되면 나중에 동일한 포리스트의 모든 도메인에서 사용할 수 있도록 승인된 인증서를 저장합니다. 한 도메인에서 자동 검색 프로세스를 진행하고 해당 도메인을 서비스에 등록한 다음, 나중에 동일한 포리스트에서 다른 도메인을 등록하는 경우 동일한 포리스트의 이전 도메인이 이미 등록되어 있더라도 콘솔에 표시되는 자동 검색된 인증서를 수락해야 합니다. 이러한 흐름을 구현되므로 새 도메인 등록 시 이전 도메인 등록 시간과 동일한 포리스트의 다음 도메인 등록 시간 사이에 포리스트에 새 인증서가 생성되거나 인증서가 삭제되는지를 검색할 수 있게 됩니다.

콘솔은 다음 위치 내에서 이 자동 검색 경로를 제공합니다.

  • AD 도메인 등록 흐름의 도메인 바인딩 부분에 포함되는 프로토콜 단계에서. 프로토콜에 LDAPS를 선택하면 자동 검색 선택 항목 및 버튼을 사용하여 인증서를 자동 검색하고 해당 사용을 승인할 수 있습니다.
  • [AD 인증서] 페이지의 설정 > AD 인증서 > 자동 검색됨에서. 테넌트에 등록된 기존 AD 도메인이 하나 이상 있는 경우 콘솔에서 이 페이지를 사용할 수 있습니다. 이 페이지에는 인증된 인증서를 확인하고 사용 중이 아닌 인증서를 삭제하여 설정을 정리할 수 있도록 자동 검색된 인증서가 표시됩니다.

수동 업로드 - 비 Microsoft CA 또는 Microsoft CA

비 Microsoft CA를 사용하여 도메인 컨트롤러 인증서를 발급하거나, 엔터프라이즈 CA를 지원하지 않는 AADDS를 사용하는 경우 Horizon Universal Console은 CA 인증서를 시스템에 제공하기 위한 수동 업로드 경로를 제공합니다. 이 경우 콘솔을 사용하여 PEM으로 인코딩된 루트 및 중간 CA 인증서를 수동으로 업로드해야 합니다.

환경에서 Microsoft CA를 사용하는 경우에도 원한다면 수동 업로드 방법을 사용하도록 선택할 수 있습니다.

certutil과 같은 유틸리티를 사용하여 타사, 비 Microsoft CA 인증서를 Active Directory 도메인에 게시한 경우 자동 검색 방법을 통해 해당 CA 인증서가 검색됩니다.

콘솔은 다음 위치 내에서 사용자에게 이 수동 업로드 경로를 제공합니다.

  • AD 도메인 등록 흐름의 도메인 바인딩 부분에 포함되는 프로토콜 단계에서. 프로토콜에 LDAPS를 선택하면 업로드 선택 항목 및 버튼을 사용하여 인증서를 업로드할 수 있습니다.
  • [AD 인증서] 페이지의 설정 > AD 인증서 > 업로드됨에서 업로드할 수 있습니다. 테넌트에 등록된 기존 AD 도메인이 하나 이상 있는 경우 콘솔에서 이 페이지를 사용할 수 있습니다. 해당 페이지에서 업로드 버튼을 사용하여 각 인증서를 업로드합니다.

해지 검사

이 서비스는 인증서에 정의된 OCSP 또는 CRL http:// URL을 사용하여 인증서 해지 검사를 수행합니다. 이 서비스는 기본적으로 OCSP를 통해 검사합니다. 끝점에 연결할 수 없는 경우 서비스는 CRL을 사용하여 검사를 시도합니다.

고정된 OCSP 응답은 지원되지 않습니다.

기억할 사항: 앞의 주요 사항 및 요구 사항 섹션에 설명된 대로 CA는 HTTP를 사용하여 OCSP 또는 CRL 중 하나 또는 둘 다를 제공하도록 구성되어야 합니다. 이러한 요구 사항을 충족하지 않으면 서비스 검사가 작동하지 않습니다.

새로 발급된 CA 인증서 - 도메인 등록을 업데이트해야 합니다.

새 CA 인증서를 발급하는 경우 가능한 한 빨리 시스템을 업데이트하여 새로 발급된 CA 인증서를 인식하도록 해야 합니다. 다음 방법 중 하나를 사용하여 CA 인증서를 시스템으로 가져옵니다.

도메인 등록에 수동 업로드가 사용되는 경우
CA 인증서가 새로 발급되는 즉시 시스템에 업로드해야 합니다. 설정 > AD 인증서 > 업로드됨으로 이동한 후 업로드를 사용합니다.
도메인 등록에 자동 검색이 사용되는 경우
이 방법을 사용하면 시스템에서 새로 발급된 CA 인증서의 존재 여부가 자동으로 감지합니다. 시스템에서 새 CA 인증서를 감지하면 알림을 생성하고 콘솔의 표준 알림 표시와 함께 표시합니다. 이 알림은 시스템에 새 CA 인증서를 저장해야 한다는 것을 경고하기 위해 표시됩니다. 도메인 포리스트의 경우 이 알림은 포리스트의 모든 도메인이 아니라 포리스트당 하나의 도메인에 생성됩니다. 하나의 도메인 등록을 업데이트하면 모든 포리스트의 도메인에 대한 작업이 충족되기 때문입니다.

도메인 등록을 업데이트하려면 콘솔의 도메인 바인딩 마법사를 시작하고 마법사의 프로토콜 단계에서 자동 검색 버튼을 사용하여 자동 검색 프로세스를 반복합니다.

DC 인증서가 만료 횟수에 근접한 경우 - 가능한 한 빨리 업데이트 적용

서비스에서 DC(도메인 컨트롤러) 인증서의 만료 시간에 가까워지고 있음을 감지하면 알림이 생성되고 콘솔의 표준 알림 표시와 함께 콘솔에 표시됩니다. 첫 번째 알림은 만료 시간 21일 전에 나타납니다.

중요: VMware는 가능한 한 빨리 이러한 알림에 조치를 취할 것을 권장합니다.
  • 만료에 가까워지고 있는 DC 인증서를 재발급하려면 업데이트 적용 작업을 수행합니다.
  • 업데이트 적용 작업에 새 CA 인증서 발급이 포함되는 경우 해당 CA가 새 DC 인증서를 발급하는 데 사용되기 전에 새 CA 인증서를 시스템에 저장해야 합니다. 시스템에 새 CA 인증서를 저장하는 방법에 대한 지침은 앞의 섹션에 나와 있습니다.
만료 예정인 인증서 알림의 예
다음 스크린샷은 이러한 알림 중 하나를 보여 줍니다. 도메인 포리스트의 경우 이 알림은 포리스트의 모든 도메인이 아니라 포리스트당 하나의 도메인에 생성됩니다. 하나의 도메인을 업데이트하면 모든 포리스트의 도메인에 대한 작업이 충족되기 때문입니다. 하이퍼링크를 클릭하면 해당 도메인의 구성으로 이동되며 여기에서 [도메인 바인딩] 마법사를 시작할 수 있습니다.
만료 예정인 인증서에 대한 알림 중 하나를 보여 주는 스크린샷

LDAP와 LDAPS 간 전환 지원

테넌트가 이 페이지 맨 위에 설명된 대로 이 기능의 기준을 충족하며, 하나의 프로토콜을 사용하여 AD 도메인을 등록한 후에는 콘솔에서 기존 도메인 바인딩 구성을 업데이트하여 다른 프로토콜로 전환할 수 있습니다. 예를 들어 LDAPS 프로토콜을 사용하도록 도메인 바인딩을 구성했으며 LDAP로 전환하거나 그 반대로 전환해야 할 경우 Active Directory > 도메인 바인딩으로 이동한 후 도메인 바인딩 정보를 편집하여 다른 프로토콜을 선택할 수 있습니다. 도메인 바인딩을 편집할 때 콘솔에서 도메인 바인딩 마법사를 엽니다. 그런 다음, 마법사를 완료하고 필요한 정보를 입력하고 단계를 진행하여 현재 프로토콜 선택 항목에서 다른 프로토콜 선택 항목으로 변경합니다.

서비스의 저장된 수집에서 인증서 삭제

콘솔에 현재 서비스에 저장된 모든 인증서가 표시됩니다. 더 이상 필요하지 않은 콘솔의 디스플레이에서 인증서를 지우는 기능을 제공하기 위해 콘솔의 설정 > 인증서 페이지에서는 자동 검색됨업로드됨 인증서에 삭제 작업을 제공합니다.

LDAPS 지원에 테넌트를 사용하도록 설정한 경우의 도메인 바인딩 마법사

이 기능을 사용하도록 설정하면 화면의 도메인 바인딩 흐름이 사용하도록 설정되지 않은 경우와 다르게 보입니다. 이 기능을 사용하도록 설정하면 단계는 다음과 같습니다.

  1. https://cloud.horizon.vmware.com에서 콘솔에 로그인합니다.
  2. 테넌트와 첫 번째 포드가 완전히 새로운 경우처럼 테넌트에 등록된 AD 도메인이 0개인 경우 해당 상황에서 액세스할 수 있는 단일 위치(콘솔의 시작 > 일반 설정 > Active Directory > 구성)에서 도메인 바인딩 흐름을 시작합니다.

    콘솔에서 페이지의 왼쪽 메뉴에 액세스할 수 있도록 테넌트에 AD 도메인이 이미 등록되어 있으면 콘솔의 설정 > Active Directory 페이지로 이동하여 도메인 바인딩 정보 입력을 시작할 수 있습니다.

  3. 2단계를 수행하면 도메인 바인딩 마법사가 나타납니다. 이 마법사는 [도메인 바인딩], [프로토콜], [요약]의 세 부분으로 구성됩니다.

    다음 스크린샷은 도메인 바인딩 부분부터 세 부분을 보여 줍니다.


    도메인 바인딩 단계 중 첫 번째 단계에서 콘솔이 표시하는 내용을 보여 주는 스크린샷
  4. 이 첫 번째 마법사 단계에서 요청된 정보를 제공하고 다음을 클릭하여 저장하고 다음 단계로 이동합니다. 각 바인딩 계정 이름을 입력할 때 사용자 로그온 이름(예:ouraccountname)과 같이 도메인 이름이 없는 계정 이름을 입력합니다. 이러한 도메인 바인딩 계정에서 서비스가 요구하는 항목은 도메인 바인딩 계정 - 필수 특성을 참조하십시오.
    필드 설명
    NETBIOS 이름 시스템에 텍스트 상자가 표시됩니다. 포드에 표시되는 AD 도메인의 NetBIOS 이름을 입력합니다. 일반적으로 이 이름은 마침표를 포함하지 않습니다. Active Directory 도메인 환경에서 사용할 값을 찾는 방법에 대한 예는 NETBIOS 이름 및 DNS 도메인 이름 정보 확인을 참조하십시오.
    DNS 도메인 이름 NETBIOS 이름으로 사용자가 지정한 AD 도메인의 정규화된 DNS 도메인 이름을 입력합니다.
    바인딩 사용자 이름바인딩 암호 선택한 도메인에 사용할 서비스에 대한 도메인 바인딩 서비스 계정의 자격 증명을 제공합니다.
    보조 계정 #1 바인딩 사용자 이름바인딩 암호 필드에 보조 LDAP 바인딩 계정으로 사용할 도메인의 사용자 계정과 관련 암호를 입력합니다.
  5. 프로토콜 단계에서 프로토콜을 선택하고, 선택적으로 서비스가 첫 번째 마법사 단계에서 입력한 AD 도메인과 통신하는 데 사용해야 하는 기본 도메인 컨트롤러 및 추가 정보를 제공합니다. LDAPS용으로 구성된 AD 환경의 컨텍스트에서 마법사의 이 단계에서 신뢰할 수 있는 CA 인증서를 제공합니다.

    UI에는 프로토콜 선택 항목이 반영됩니다. 다음 스크린샷은 LDAPS 선택 항목과 자동 검색 라디오 버튼 선택 항목을 보여 줍니다.


    마법사의 콘솔의 도메인 바인딩 - 프로토콜 단계를 보여 주는 스크린샷

    이러한 필드는 이전 마법사 단계에서 지정한 AD 도메인의 컨텍스트에서 모두 적용됩니다. UI는 선택 사항에 따라 동적으로 변경됩니다.

    필드 설명
    프로토콜 LDAPS 또는 LDAP를 선택합니다.
    도메인 컨트롤러 선택 사항입니다. 이 텍스트 상자를 사용하여 첫 번째 단계에서 지정된 AD 도메인에 액세스하기 위해 서비스에서 사용하려는 쉼표로 구분된 해당 DC 목록을 지정할 수 있습니다. 이 텍스트 상자를 비워 두면 서비스는 이 AD 도메인에서 사용할 수 있는 도메인 컨트롤러를 사용합니다.
    • LDAPS를 프로토콜로 선택한 경우 정규화된 DNS 호스트 이름을 사용하여 DC를 지정해야 합니다.
    • LDAP가 프로토콜로 선택되면 IP 주소 또는 정규화된 DNS 호스트 이름을 사용할 수 있습니다.
    컨텍스트 AD 도메인에 대한 이름 지정 컨텍스트입니다. 이 텍스트 상자는 이전 마법사 단계에서 DNS 도메인 이름에 지정된 정보를 기준으로 자동으로 채워집니다.
    인증서 프로토콜에 LDAPS가 선택된 경우 사용할 수 있습니다. CA 인증서를 시스템에 제공할 방법을 선택합니다. 이 페이지의 앞에 설명된 대로 시스템은 다음 두 가지 방법을 지원합니다.
    • CA 인증서의 자동 검색. 이 설명서 페이지의 위쪽에 있는 자동 검색 - Microsoft CA 섹션을 참조하여 AD 도메인 환경에서 이 방법의 사용을 지원하는지 확인하십시오.
    • CA 인증서를 수동으로 업로드합니다. AD 도메인 환경에서 자동 검색 방법의 사용을 지원하지 않는 경우 이 방법을 선택합니다.

    프로토콜에 LDAPS를 선택하고 인증서의 라디오 버튼 중 하나를 선택한 후 인증서 제공을 위해 선택한 방법에 따라 다음 단계 중 하나를 수행합니다. 두 경우 모두 UI에 표시되는 화면 지시를 따릅니다.

    Autodiscover
    자동 검색을 클릭합니다. 이 페이지의 이전 섹션에 설명된 대로 시스템은 관련 마법사 필드에 입력된 AD 도메인 및 도메인 컨트롤러 정보로 지정된 환경에서 CA 인증서를 감지합니다. 이러한 CA 인증서가 UI에 표시됩니다. 화면 흐름을 따릅니다. 검색된 모든 인증서를 수락하라는 메시지가 UI에 표시됩니다. 마법사가 최종 단계로 진행되려면 검색된 인증서 집합을 수락해야 합니다.
    업로드
    이 방법은 PEM으로 인코딩된 루트 및 중간 CA 인증서를 수동으로 업로드해야 합니다. 업로드를 클릭하여 로컬 시스템에서 CA 인증서 파일을 업로드합니다. UI는 PEM 파일 확장명을 갖는 파일만 수락합니다.

    마법사의 다음 버튼을 클릭할 수 있는 상태가 되며 이 버튼을 클릭하여 최종 단계로 이동합니다.

  6. [요약] 단계에서 정보를 검토하고 만족스러우면 완료를 클릭합니다.

    다음 스크린샷은 이전 단계에서 업로드 방법을 사용하여 인증서를 제공한 경우의 요약을 보여 줍니다. 이 예에서는 8개의 인증서가 업로드되었습니다.


    콘솔의 도메인 바인딩 - 요약 단계를 나타내는 스크린샷

이 흐름이 끝나면 AD 도메인에 대한 도메인 바인딩 구성이 시스템에 저장됩니다.

Horizon Cloud 테넌트에 대한 첫 번째 AD 도메인을 등록하는 과정의 일부로 위 흐름을 실행한 경우 나중에 UI에서 도메인 가입 흐름 및 관리자 추가 흐름을 완료하라는 메시지를 표시합니다. 이러한 두 흐름에 대한 자세한 내용은 첫 번째 Active Directory 도메인 등록 수행에서 도메인 가입 및 슈퍼 관리자 역할 추가 섹션을 참조하십시오.

AD 인증서 페이지

인증서가 시스템에 저장되면 콘솔의 [AD 인증서] 페이지에 인증서가 표시됩니다. 이 페이지를 사용하여 시스템에 현재 저장되어 있는 CA 인증서를 확인하고 더 이상 사용되지 않는 인증서를 삭제할 수 있습니다. 다음 스크린샷은 관리자가 시스템에 인증서를 업로드한 경우를 보여 주는 예에 불과합니다.


[업로드됨] 보기에 6개의 업로드된 인증서가 있을 때 콘솔의 AD 인증서 페이지 모양을 보여 주는 예를 나타내는 스크린샷