2004.12.6 (Mon)㈜필라넷솔루션사업부장김윤철

www.feelanet.comdeflep@feelaent.com

Active Directory InfrastructureActive Directory Infrastructure

-- 엔지니어뿐만이엔지니어뿐만이아닌아닌, , 기획자의기획자의관점으로관점으로……

AgendaAgenda

uu Active Directory Active Directory 가가 제공하는제공하는시스템시스템측면의측면의서비스서비스

uu Active DirectoryActive Directory 서비스를서비스를사용하는사용하는ConsumerConsumer

Session Session 요약요약

uu Session Session –– 1 : Provider1 : ProviderØØ Active DirectoryActive Directory가가 제공하는제공하는서비스의서비스의본질을본질을고찰하여고찰하여, , 올바른올바른시스템시스템기획을기획을결정할결정할수수있도록있도록합니다합니다..

uu Session Session –– 2 : Consumer2 : ConsumerØØ Active Directory Active Directory 서비스를서비스를소비하는소비하는측면을측면을고찰하여고찰하여, , 비즈니스의비즈니스의모든모든구성구성요소가요소가만족할만족할수수있도록있도록도와도와드립니다드립니다..

Session Session -- 11uu 디렉토리디렉토리 ??uu 새롭게새롭게주목주목받는받는 Active Directory Active Directory 서비스서비스기술기술uu 시스템시스템측면측면uu 네트워크네트워크운영운영체제체제서비스서비스uu 사례사례uu 디렉토리디렉토리서비스서비스uu 사례사례uu 엔터프라이즈엔터프라이즈서비스서비스uu 사례사례

디렉토리디렉토리 ??uu 메일메일시스템시스템

ØØ Lotus Notes (IBM)Lotus Notes (IBM)ØØ Novell GroupNovell Group--Wise (Novell)Wise (Novell)ØØ Exchange (Microsoft)Exchange (Microsoft)

uu 네트워크네트워크운영체제운영체제디렉토리디렉토리ØØ 사용자사용자계정계정 : Windows NT, Netware 3: Windows NT, Netware 3ØØ 실질실질디렉토리디렉토리 : Streetalk (1980), NDS (1993), : Streetalk (1980), NDS (1993),

Active Directory (2000)Active Directory (2000)

uu 인터넷인터넷디렉토리디렉토리ØØ Yahoo, Switchboard, WhoWhereYahoo, Switchboard, WhoWhere

새롭게새롭게주목주목 받는받는 Active Directory Active Directory 기술기술

Active Directory

(Since 2000)레퍼런스 지원

적응

-새로운개념-교육 , 숙련도-레퍼런스

- NT Upgrade- Exchange- Enterprise --;

- Microsoft정책- Marketing + Program- Solutions

시스템시스템측면측면

Active Directory

디렉토리 서비스 엔터프라이즈 서비스

네트워크 운영체제 서비스

uu RFP (Request For Proposal) RFP (Request For Proposal) 단계단계

네트워크네트워크운영체제운영체제서비스서비스

uu 보편적보편적, , 우상적우상적관점관점ØØ 계정계정, , 권한권한 관리관리 –– Kerberos, LDAP, PKI Kerberos, LDAP, PKI 통합통합ØØ 프로파일프로파일 ––로밍로밍 프로파일프로파일, Folder , Folder 재지정재지정, , 원격원격접근접근ØØ 정책정책 ((보안보안, , 지원지원, , 관리관리) ) 기반의기반의 관리관리 -- GPOGPOØØ Idola Idola -- 윈도우윈도우 구성구성요소요소 서비스서비스

ØØ Idola Idola -- 역역 호환성호환성 서비스서비스

uu 비즈니스비즈니스포인트포인트ØØ 1 1 단계단계 진입진입포인트포인트

ØØ NT NT 마이그레이션마이그레이션

ØØ 도메인도메인반감반감 ––개발개발, , 사용자사용자

ØØ 상호상호운영성운영성

ØØ 신뢰성있는신뢰성있는정책정책

ØØ ROI ROI 극대화극대화

사례사례uu 효율성효율성, , 일관성있는일관성있는서비스를서비스를보장하며보장하며, ROI, ROI를를극대화한다극대화한다..

IP IP 할당할당정책정책, , 파견파견정책정책, , 발령발령정책정책폐기폐기정책정책

권한권한

로컬로컬로그온로그온 –– 소속점소속점

네트워크네트워크로그온로그온 –– 소속점소속점권한권한

도메인도메인, OU, Site, Group (Filtering), OU, Site, Group (Filtering)구조구조

도메인도메인참가참가전전 –– Security TemplateSecurity Template도메인도메인참가참가후후 –– GPO(Script)GPO(Script)기술기술

Unix Unix 추가추가정책정책무선무선 AP AP 정책정책OS OS 업그레이드업그레이드

조직조직

부서부서

공통공통

전사적전사적, , 비지니스별비지니스별, , 부서별부서별대상대상

정책정책

GPO GPO 기반의기반의윈도우윈도우컴퓨터컴퓨터정책정책정책정책

차후윈도우차후윈도우새새버전에버전에공통공통확대확대 -- 자동기자동기

미이행미이행컴퓨터컴퓨터 –– KPI KPI 비교비교네트워크네트워크차단차단강화강화

Unix Unix 시스템시스템확대확대

-- Kerberos, LDAP, GPO, Kerberos, LDAP, GPO, IPSecIPSec

감사부감사부

단말반단말반

1 Machine 1Account1 Machine 1Account컴퓨터컴퓨터개체개체설계설계 –– 데이터데이터구조구조

Provisioning Provisioning –– Deploy MasterDeploy Master계정계정

윈도우윈도우시스템시스템

GPO GPO 기반의기반의윈도우윈도우사용자사용자정책정책정책정책

차후차후윈도우윈도우새새버전에버전에공통공통확대확대 -- 자동기자동기

Unix Unix 시스템시스템확대확대

-- Kerberos, LDAP, GPO, Kerberos, LDAP, GPO, IPSecIPSec

단말반단말반

보안반보안반

감사반감사반

1 User 1 Account1 User 1 Account사용자사용자개체개체설계설계 –– 데이터데이터구조구조

계정계정정책정책((암호암호, , 잠금잠금, , 보안보안))Provisioning Provisioning –– ID MasterID Master

계정계정

윈도우윈도우사용자사용자

22단계단계RRFIFI11단계단계작업작업현황현황구성구성요소요소

네트워크네트워크 운영운영서비스서비스

디렉토리디렉토리서비스서비스

uu 표준화표준화, , 검색검색, , 관리관리 지점지점ØØ 스키마스키마확장확장

ØØ 표준표준데이터데이터인터페이스인터페이스 ––통합통합::연동연동ØØ 관리관리, , 성능성능, , 보안보안모델모델

uu 비즈니스비즈니스포인트포인트

ØØ 분산분산데이터데이터 PK PK 통합통합 : : 마스터마스터저장소저장소

ØØ 데이터데이터순응순응 ((다중다중저장소저장소포함포함))ØØ 통합통합관리관리포인트포인트

ØØ TCO TCO 절감절감ØØ IAM IAM 진입진입포인트포인트

사례사례

uu 표준표준마스터마스터디렉토리를디렉토리를구축한다구축한다..

LDAP LDAP 어플리케이션어플리케이션

(Portal, EAM (Portal, EAM ------))윈도우윈도우서버서버어플리케이션어플리케이션

(SMS, Exchange, (SMS, Exchange, MOM MOM ------))기획기획

Active Directory Active Directory 계정계정관리관리자동화자동화

비즈니스비즈니스대응을대응을위한위한예외예외처리처리인터페이스인터페이스

감사감사, , 보안보안, , 편이를편이를위한위한관리관리기능기능추가추가

사용자사용자, , 조직조직정보정보통합통합 -- PKIPKI

통합통합

표준표준데이터데이터인터페이스인터페이스

개체개체검색검색인터페이스인터페이스검색검색

계정계정통합통합관리관리범위범위확대확대 -- MIIS 2003MIIS 2003

사용자사용자, , 조직조직정보정보 원본원본 -- HRHR, Notes, Notes컴퓨터컴퓨터정보정보 –– Deploy MasterDeploy Master데이터데이터연동연동(Two(Two--way) way) 제공제공 –– 보안보안솔루션솔루션, , 카드카드관리관리시스템시스템

연동연동

마스터마스터디렉토리에디렉토리에맞는맞는데이터데이터타입타입지정지정

풍부한풍부한클래스클래스, , 속성속성확장확장데이터데이터소스와소스와속성속성매핑매핑

스키마스키마확장확장

총괄총괄관리관리포인트포인트 –– 투명한투명한인터페이스인터페이스개발개발((감사감사, , 롤백롤백용이용이, MMC , MMC 통합통합))관리지점관리지점

차후차후인사인사정보정보, , 시스템시스템정보의정보의소스는소스는 Active Active DirectoryDirectory((업무업무, SSO, EAM, , SSO, EAM, 문서보안문서보안 ------))

TATA

사용자사용자정보정보순응순응

컴퓨터컴퓨터정보정보순응순응표준화표준화

마스터마스터디렉토리디렉토리

22단계단계RRFIFI11단계단계작업작업현황현황구성구성요소요소

디렉토리디렉토리 시스템시스템

엔터프라이즈엔터프라이즈서비스서비스uu InfrastructureInfrastructure

ØØ 규모의규모의경제경제 = = 투자투자 ((설계설계++통합통합++이행이행))ØØ 시스템과시스템과데이터의데이터의분리분리

ØØ 표준표준서비스서비스 –– 데이터데이터, , 보안보안, , 확장성확장성, , 상호운영성상호운영성

ØØ 신뢰성신뢰성, , 성능성능, , 보안보안

uu 비즈니스비즈니스포인트포인트

ØØ 엔지니어링엔지니어링전통전통

ØØ 레퍼런스레퍼런스

ØØ 협조협조부서는부서는어플리케이션에만어플리케이션에만전념하도록전념하도록한다한다..

기획기획포인트포인트

uu 비즈니스비즈니스목표를목표를도출하라도출하라. . ØØ 기술과기술과조직간의조직간의경계를경계를교차한다교차한다..ØØ 디자인은디자인은컨설팅컨설팅및및여러여러부서의부서의합의를합의를필요로필요로한다한다..

uu 비즈니스비즈니스목표목표 = = 일의일의진행진행 수단수단ØØ 활용활용가치를가치를문서화한다문서화한다..ØØ 의사의사결정권자에게결정권자에게개념을개념을설명하지설명하지마라마라..

사례사례uu IT PartIT Part는는비즈니스에만비즈니스에만전념하며전념하며, , 전체전체 TCOTCO는는급격히급격히감소한다감소한다..

도메인도메인업그레이드업그레이드

(Windows 2003)(Windows 2003)단말반단말반

인프라인프라규모의규모의설계설계(5(5개월개월) ) –– 데이터데이터, , 네트워크네트워크구조구조

통합통합디렉토리디렉토리구축구축 –– ID MasterID Master전사적전사적클라이언트클라이언트이행이행 –– Deploy MasterDeploy Master

규모의규모의 경제경제

Windows InstallerWindows InstallerUser RightUser RightXP SP2XP SP2

단말단말

((주관주관부서부서))

PKI, IC cardPKI, IC card는는 별도의별도의디렉토리를디렉토리를가지지가지지않는다않는다..기타기타보안보안업체는업체는사용자사용자, , 조직조직, , 컴퓨터컴퓨터정보를정보를ADAD로로 부터부터취한다취한다..개발팀의개발팀의업무업무호환성호환성((어플리케이션어플리케이션))을을보장한다보장한다..

협조협조

비즈니스비즈니스 목표목표

BCPBCP팀팀BCP BCP 구축구축 -- Site, Priority, Weight, CostSite, Priority, Weight, Cost신뢰성신뢰성

가용성가용성

계정계정관리관리통합통합기타기타업체는업체는별도의별도의디렉토리를디렉토리를가지지가지지않는다않는다..투자투자 비용비용

인증인증, , 보안을보안을위한위한계정계정관리관리필요필요없음없음..TFTTFT

컨소시엄은컨소시엄은어플리케이션어플리케이션개발에만개발에만전념한다전념한다..생산성생산성

SSO, EAM, SSO, EAM, 문서보안문서보안

업무업무시스템시스템보안보안보안반보안반

Kerberos, LDAP, PKI Kerberos, LDAP, PKI –– IC Card IC Card 로그온로그온

클라이언트클라이언트도메인도메인참가참가표준표준인증인증

차후차후인사인사정보정보, , 시스템시스템정보의정보의소스는소스는Active DirectoryActive Directory((업무업무, SSO, EAM, , SSO, EAM, 문서보안문서보안 ------))

단말반단말반

보안반보안반

개발팀개발팀

관리관리모델모델 –– 44개의개의비지니스별비지니스별

데이터에데이터에대한대한상세한상세한 ACL ACL 설정설정투명한투명한콘솔콘솔서비스서비스 –– 예예; ; 카드관리반은카드관리반은카드카드업무만업무만, , 개발팀은개발팀은개발개발지원용지원용콘솔만을콘솔만을사용한다사용한다..

시스템과시스템과

데이터의데이터의분리분리InfrastructureInfrastructure

22단계단계RRFIFI11단계단계작업작업현황현황구성구성요소요소엔터프라이즈엔터프라이즈서비스서비스

Session Session -- 22

uu 소비자소비자

uu ITITuu 사례사례

uu 사용자사용자

uu 사례사례

uu 네트워크네트워크, , 어플리케이션어플리케이션

uu 사례사례

소비자소비자측면측면

Active Directory

사용자 개발

IT

uu RFI (Request For Information) RFI (Request For Information) 단계단계

ITIT

uu 통합통합관리관리 시스템시스템

ØØ 사용자사용자, , 컴퓨터컴퓨터, , 서비스서비스, , 장비장비ØØ 효율성효율성, , 일관성일관성보장보장((우회우회불가능불가능))

uu 통합통합보안보안 시스템시스템

ØØ 통합통합인증인증 : PKI, SSO, EAM, : PKI, SSO, EAM, 문서보안문서보안, IP , IP 관리관리ØØ 관제관제시스템시스템 --제어제어, , 배포배포, , 감사감사, , 지원지원

uu 비즈니스비즈니스포인트포인트

ØØ 인프라인프라기반기반 IT IT 서비스서비스

ØØ 표준표준기반의기반의시스템시스템확장확장

사례사례uu 향후향후도입도입시스템의시스템의기간기간 IT IT 서비스서비스제공제공

전산센터전산센터

본부본부

보안팀보안팀

보안팀보안팀개발팀개발팀

보안팀보안팀

기획부기획부

영업점영업점

운영반운영반보안반보안반개발팀개발팀

운영반운영반

보안반보안반

개발팀개발팀

RFIRFI

MOM MOM 확장확장

문서문서보안보안솔루션솔루션도입도입

기간계기간계확대확대

기간계기간계확대확대

출입통제출입통제시스템시스템

향후향후업무업무시스템시스템

네트워크네트워크장비장비

자산자산관리관리

22단계단계

사용자사용자로그온로그온정보정보감사감사, , 카드카드사용사용제어제어, , 지원지원현황현황파악파악, , 패치패치관리관리관제관제

윈도우윈도우자원에자원에대한대한 SSO SSO –– 전사전사범위범위SSOSSO

윈도우윈도우자원에자원에대한대한 EAM EAM –– 파일시스템파일시스템, , 레지스트리레지스트리, , 지점간지점간제어제어

EAMEAM

파일파일시스템시스템접근접근제어제어, , 레지스트리레지스트리접근접근제어제어, , 공유공유폴더폴더보안보안

내내문서문서폴더와폴더와특정특정폴더에만폴더에만문서문서저장저장가능가능문서보안문서보안

PKI PKI 디렉토리디렉토리통합통합 –– 사용자사용자, , 조직조직, CDP, CDP

주변주변시스템시스템계정계정((사용자사용자, , 조직조직, , 컴퓨터컴퓨터))계정계정관리관리 통합통합 --PKI, DMS, PKI, DMS, 보안보안소프트웨어소프트웨어, , 카드카드관리관리시스템시스템

프린터프린터연결연결정책정책

전사적전사적관리관리모델모델 –– 도메인도메인

사이트사이트및및 PC PC 유형별유형별관리관리모델모델 –– OUOUGPO GPO 기반의기반의정책정책구현구현(PC (PC 업무업무목적별목적별))

전사적전사적관리관리모델모델 -- 도메인도메인

임직원에임직원에대한대한비지니스별비지니스별관리관리모델모델 –– OUOUGPO GPO 기반의기반의정책정책구현구현((비지니스별비지니스별, , 업무별업무별))

11단계단계작업작업현황현황

PKIPKI

통합통합보안보안

서비스서비스

장비장비

컴퓨터컴퓨터

사용자사용자

통합통합관리관리

구성구성요소요소

IT IT 서비스서비스

사용자사용자

uu One Stop ServiceOne Stop ServiceØØ 사용자사용자편의편의 --손쉬운손쉬운접근접근, , 협업협업, , 지원지원ØØ 생산성생산성향상향상 --잘잘구성된구성된, , 안전한안전한환경환경제공제공

ØØ 투명성투명성제공제공

uu 비즈니스비즈니스포인트포인트ØØ 충성도충성도향상향상 : : 단일단일로그온로그온비즈니스비즈니스요구요구생성생성

ØØ 프로그램프로그램, , 프린터프린터, , 문서문서, , 네트워크네트워크폴더폴더자동자동제공제공

ØØ 검색검색((키워드키워드, , 조직도조직도)) -- 사람사람, , 프린터프린터, , 프로그램프로그램, , 문서문서서비스서비스

사례사례

uu 사용자사용자사용사용경험경험향상을향상을위한위한투명한투명한서비스서비스

자산자산관리관리(SMS)(SMS)운영반운영반표준표준환경환경이행이행 --> > 정책에정책에의한의한제어제어및및지원지원잘잘 구성된구성된 환경환경

생산성생산성 WUSWUSXP SP2XP SP2보안반보안반

패치패치관리관리 –– GPOGPO보안보안모델모델구현구현 –– 도메인도메인, OU, OU33rdrd Party Party –– Firewall, IDS, Virus ScanFirewall, IDS, Virus Scan

안전성안전성

투명성투명성

One One stopstopServiceService

PortalPortalEDMSEDMSKMKM

운영반운영반

운영반운영반

그룹웨어팀그룹웨어팀

운영반운영반

RFIRFI

인사카드인사카드출입통제출입통제

SMSSMS

SSOSSO

22단계단계

ADAD에에 대한대한사용자사용자매뉴얼은매뉴얼은없음없음. . -- IC Card LogonIC Card Logon

템플릿화된템플릿화된환경환경내의내의문제문제해결해결접근접근

지정지정공유공유폴더를폴더를통한통한표준화된표준화된자원자원공유공유

IP IP 획득획득 --> > 시스템시스템접근접근 --> > 전사전사내내자원자원접근접근단일화단일화

11단계단계작업작업현황현황

사용자사용자교육교육

지원지원

협업협업

자원자원접근접근

구성구성요소요소사용자사용자

개발개발uu 어플리케이션어플리케이션

ØØ 구성구성정보정보저장소저장소 : : 버전버전, , 위치위치, , 데이터데이터

ØØ 배포배포기술기술 : : 배포배포((강제강제, , 옵션옵션, , 타켓팅타켓팅), ), 패치패치, , 업그레이드업그레이드, , 제거제거

ØØ 통합통합디렉토리디렉토리 : : 사용자사용자, , 조직조직, , 정책정책uu 네트워크네트워크인프라인프라

ØØ 인증인증및및권한권한제어제어 : RADIUS, 802.1X: RADIUS, 802.1XØØ 정책정책 : VPN, Firewall: VPN, FirewallØØ 관리관리시스템시스템 : : 네트워크네트워크조직조직, Qos, IP , Qos, IP

uu 비즈니스비즈니스포인트포인트ØØ 즉각적즉각적비즈니스비즈니스대응대응 ; ; 업무업무개발에개발에전념전념

ØØ 네트워크네트워크인프라인프라고도화고도화

사례사례

uu 업무업무시스템은시스템은해당해당서비스서비스품질에만품질에만충실한다충실한다..

인증인증, , 권한용권한용시스템시스템별도별도도입도입불필요불필요기획부기획부

인증인증 : Kerberos, LDAP, PKI: Kerberos, LDAP, PKI권한권한부여부여 : : 부서부서, , 직무직무, , 직급직급, , 직책직책, , 직위직위그룹그룹구조구조별도별도인사연동은인사연동은없으며없으며, AD, AD가가 Master Master -- TATA

디렉토리디렉토리

IPSIPSccan an 적용적용네트워크네트워크 OO--chartchart인프라팀인프라팀

컴퓨터컴퓨터조직조직코드코드기반의기반의그룹그룹구조구조 –– Deploy MasterDeploy MasterIPScanIPScan의의 허용허용컴퓨터컴퓨터정보정보제공준비제공준비(IP, Mac) (IP, Mac) -- GPOGPO관리시스템관리시스템

원격원격사용자사용자정책정책로직로직추가추가보안반보안반사용자사용자기반의기반의정책은정책은 HR HR 칼럼을칼럼을통한통한제어제어 –– IDMasterIDMaster정책정책

RADIUSRADIUSQuarantine Quarantine 정책정책적용적용

보안반보안반원격원격사용자사용자정책은정책은 Windows RADIUS, ProxyWindows RADIUS, Proxy권한권한제어제어

무선무선 AP AP 보안보안 ––802.1X, GPO802.1X, GPO보안반보안반원격원격사용자사용자인증은인증은 AD AD –– RADIUSRADIUS인증인증

네트워크네트워크

인프라인프라

Windows Installer Windows Installer Package Package 수용수용

보안반보안반

개발팀개발팀

운영반운영반

배포배포최적화를최적화를위한위한 OU, GroupOU, Group 구조구조GPO GPO 기반의기반의패치패치처리처리

GPO GPO 기반의기반의게이트웨이게이트웨이서버서버파일파일다운로드다운로드자동화자동화

배포배포기술기술

보안보안, , 성능성능, , 배포배포관리관리향상을향상을위한위한통합통합보안반보안반보안보안프로그램의프로그램의불량불량정보정보저장저장및및정책정책처리처리

구성구성정보정보저장소저장소

어플리케이어플리케이션션

22단계단계RFIRFI11단계단계작업작업현황현황구성구성요소요소개발개발

For More InformationFor More Information……

uu 사용사용가능한가능한 리소스리소스ØØ 윈도우윈도우서버서버 2003 Leadership 2003 Leadership 자료자료

uu 출판될출판될리소스리소스ØØ Active Directory Infra Active Directory Infra 구축구축 Best PracticeBest Practice

uu 교육교육ØØ Active Directory InfraActive Directory Infra를를이용한이용한기업기업인프라인프라구축구축실무실무과정과정

uu 컨설팅컨설팅ØØ Active Directory Active Directory 전문전문컨설팅컨설팅파트너파트너

Where Can I Get TechNet?Where Can I Get TechNet?uu Visit TechNet Online atVisit TechNet Online at

www.microsoft.com/technetwww.microsoft.com/technetuu Register for the TechNet Flash Register for the TechNet Flash

www.microsoft.com/technet/usingtn/registerwww.microsoft.com/technet/usingtn/register/flash.asp/flash.asp

uu Join the TechNet Online forum at Join the TechNet Online forum at www.microsoft.com/technet/itcommunitywww.microsoft.com/technet/itcommunity

uu Become an TechNet Subscriber at Become an TechNet Subscriber at technetbuynow.one.microsoft.comtechnetbuynow.one.microsoft.com

uu Attend More TechNet Events or view onAttend More TechNet Events or view on--linelinewww.microsoft.com/technet/tcevents/iteventswww.microsoft.com/technet/tcevents/itevents