[AWS] AWS 환경에서의 Active Directory
AWS Workdocs 공유
AWS Workdocs
지난번에 Storage Gateway를 이용한 파일공유에대해서 알아보았습니다 .
사용자가 문서공유에 사용하는 패턴을 알아보았습니다 .
파일공유 시스템을 구축하면 관리자가 카탈로그를 보거나 보고서를 업로드 할 수 있습니다 . 이때 사용자간 파일공유에는 역할에 따라 권한을 제한하는 관리 권한이 필요합니다 .
일반 온프레미스 환경에서는 엑티브 데렉터리를 사용하여 권한을 관리합니다 . AWS에서 이와같은 환경을 제공하는 서비스로 Amazon Workdocs가 있습니다 .
AD의 용어
Directory Service
- 정보화 시대가 보편화 되면서 컴퓨터 수가 폭발적으로 증가 되었고 이제 모든 컴퓨터는 네트워크로 연결되는 환경도 구축되었다 .
- 그러나 컴퓨터등이 증가 되면서 관리에 대한 문제가 생겼다 . 예를 들어 kkw라는 사용자가 A라는 컴퓨터에서 B로 프린터를 사용하고 싶다면 네트워크 프린터로 인쇄할 수 있으나 회사에 프린터가 10대가 넘으면 찾기 힘들다 .
- 공유 폴더를 사용해야 하는데 각 컴퓨터마다 공유 폴더가 존재하면 찾을 때도 힘들고 관리하기도 힘들다 .
- 이렇게 분산된 네트워크 관련 자원을 중앙 저장소에서 통합시켜 관리함으로 많은 이점이 있다.
Active Directory(AD)
- 디렉토리 서비스를 윈도우에서 구현한 것으로 전체 환경
- AD 도메인 서비스
- 컴퓨터 / 사용자 / 기타 장치에 대한 정보를 관리자가 통합하여 관리 할 수 있도록 하는 서비스 (필수 DNS서버 설치)
- 도메인 : AD의 기본단위
- 트리 / 포리스트
- 트리: 도메인의 집합
- 포리스트 : 두개 이상의 트리 구조
AD 기타 용어
- 사이트 : 물리적으로 묶음 범위 ( 건물 )
- 트러스트 : 도메인과 포리스트 사이의 신뢰성
- 조직구성 단위 : OU(정책을 적용하는 묶음)
- 도메인 안에서 세부적인 단위로 나눔
- 도메인 컨트롤러 (DC) : 서버 컴퓨터
- 로그인 권한 ,계정생성 및 관리 , ( 서버관리자가 상주)
- 읽기 전용 도메인 컨트롤러 : 서버 컴퓨터
- 소규모 업체 ( 서버관리자 부재)
- 글로벌 카탈로그(GC) : DB/통합저장소
워크독스 서비스 시작
- 빠른시작으로 서비스는 엑세스 포인트만 설정한 후 바로 시작을 할수 있고 사용자들에게 이메일을 보냅니다 .
- 표준설정에서는 기존에 AD(Active Directory) 와 게이트웨이로 연결 하여 사용자를 초대하고 WorkDocs 설정을 변경 할 수있습니다
WorkDocs 의 작동 방식
워크독스의 기본 인증방식은 심플 AD 방식을 사용 합니다 .
※ Simple AD : Samba 기반 디렉터리의 Simple AD 사용하여 디렉터리를 만들 때 AWS Directory Service가 사용자를 대신하여 두 개의 도메인 컨트롤러와 DNS 서버를 생성합니다. 도메인 컨트롤러는 VPC 내의 서로 다른 서브넷에 생성됩니다. 이 중복으로 인해 장애가 발생하더라도 디렉터리에 액세스할 수 있습니다.
WorkDocs 의 관리 방식
관리작업은 일반 온프레미스 환경에서의 AD 방식과 같습니다 . 사용자들을 도메인에 가입시킨 작업용 EC2 인스턴스에 익숙한 엑티브 디렉터리 관리도구를 설치하고 사용자 등록 등의 작업을 수행합니다 .
앞서 심플AD로 인증을 사용했을때 심플 AD는 두 가용성 영역을 사용하여 이중화 되도록 설정합니다 .
이 중복으로 인해 장애가 발생하더라도 디렉터리에 액세스할 수 있습니다.
