Kerberos 인증을 사용하도록 Windows SharePoint Services 가상 서버를 구성하는 방법 및 Kerberos 인증에서 NTLM 인증으로 다시 전환하는 방법

Small Business를 사용하는 고객은 Small Business 지원
(http://smallbusiness.support.microsoft.com)
사이트에서 추가적인 문제 해결 방법 및 학습 리소스를 찾을 수 있습니다.

소개

이 문서에서는 Kerberos 인증을 사용하도록 Microsoft Windows SharePoint Services 가상 서버를 구성하는 방법과 Kerberos 인증에서 NTLM 인증으로 다시 전환하는 방법을 설명합니다.

위로 가기 | 피드백 보내기

Microsoft Windows SharePoint Services 서비스 팩 2(SP2)부터는 SharePoint 중앙 관리 가상 서버를 만들거나 Kerberos 인증 또는 NTLM 인증과 함께 사용하도록 콘텐츠 가상 서버를 확장할 수 있으며 더 이상 IIS 메타베이스를 직접 수정하지 않아도 됩니다.

Microsoft Windows 통합 인증은 Challenge/Response 인증을 제공하는 다음 두 가지 프로토콜을 지원합니다.

NTLM

NTLM 프로토콜은 사용자 이름 및 암호를 암호화하여 네트워크를 통해 해당 사용자 이름과 암호를 전송하는 보안 프로토콜입니다. NTLM 인증은 서버가 Kerberos 인증을 지원하지 않는 클라이언트로부터 요청을 받는 네트워크에서 필요합니다.
Kerberos

Kerberos 프로토콜은 티켓팅을 기반으로 합니다. 이 스키마에서는 사용자가 인증 서버에 유효한 사용자 이름과 암호를 먼저 제공해야 인증 서버에서 해당 사용자에게 티켓을 부여합니다. 네트워크에서 티켓을 사용하여 다른 네트워크 리소스를 요청할 수 있습니다. 이 스키마를 사용하려면 클라이언트와 서버 모두 도메인 KDC(키 배포 센터)에 대해 트러스트된 상태로 연결되어야 하며, Active Directory 디렉터리 서비스와 호환되어야 합니다.

참고?대부분의 경우 NTLM 인증을 선택하는 것이 좋습니다. Kerberos 인증이 특별히 필요한 경우가 아니거나 SPN(서비스 사용자 이름)을 구성할 수 없는 경우에는 NTLM 인증을 선택하십시오. Kerberos 인증을 선택하고 SPN을 구성할 수 없는 경우에는 서버 관리자만 SharePoint 사이트를 인증할 수 있습니다.

Kerberos 인증 또는 NTLM 인증을 사용하도록 Windows SharePoint Services 구성

Windows SharePoint Services 서비스 팩 2(SP2)부터는 SharePoint 사용자 인터페이스 또는 명령 프롬프트를 통한 명령을 사용하여 SharePoint 중앙 관리 가상 서버와 콘텐츠 가상 서버를 구성할 수 있습니다. SharePoint 중앙 관리를 만드는 경우에는 SharePoint 중앙 관리 가상 서버를 구성하고, 콘텐츠 가상 서버를 확장하는 경우에는 콘텐츠 가상 서버를 구성합니다. SharePoint 중앙 관리 가상 서버를 만들거나 새 가상 서버를 확장할 때 NTLM 인증을 사용할지 Kerberos 인증을 사용할지 여부를 지정할 수 있는 새로운 보안 구성 섹션이 있습니다. 인증 설정 구성과 관련한 모든 관리 설정을 확인하려면 Windows SharePoint Services 관리자 가이드(Windows SharePoint Services Administrator's Guide)를 참조하십시오. Windows SharePoint Services 관리자 가이드(Windows SharePoint Services Administrator's Guide)는 다음 Microsoft 웹 사이트에서 참조할 수 있습니다.

http://www.microsoft.com/downloads/details.aspx?FamilyID=a637eff6-8224-4b19-a6a4-3e33fa13d230&DisplayLang=en

(http://www.microsoft.com/downloads/details.aspx?FamilyID=a637eff6-8224-4b19-a6a4-3e33fa13d230&DisplayLang=en)

(영문)

Windows SharePoint Services SP2 이전의 Windows SharePoint Services 버전에서 확장되거나 만들어진 SharePoint 가상 서버를 실행 중인 경우와 Kerberos 인증용으로 가상 서버를 구성해야 하는 경우, 필요하면 가상 서버에 대해 Kerberos 인증을 수동으로 구성해야 합니다.

가상 서버에서 Kerberos 인증을 설정하는 스크립트를 사용하려면 다음과 같이 하십시오.

IIS를 실행하는 서버에서 시작, 실행을 차례로 누르고 열기 상자에 cmd를 입력한 다음 확인을 누릅니다.
Inetpub\Adminscripts 폴더로 변경합니다.
다음 명령을 입력한 다음 Enter 키를 누릅니다.
cd Drive:\inetpub\adminscripts
참고?이 명령에서 Drive는 Microsoft Windows가 설치된 드라이브입니다.
다음 명령을 입력한 다음 Enter 키를 누릅니다.
cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
참고?이 명령에서 ##는 가상 서버 ID 번호입니다. IIS에서 기본 웹 사이트의 가상 서버 ID 번호는 1입니다.
가상 서버에 Kerberos 인증을 설정하려면 다음 명령을 입력하고 Enter 키를 누릅니다.
cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
참고?이 명령에서 ##는 가상 서버 ID 번호입니다.
IIS를 다시 시작합니다. 이렇게 하려면 다음과 같이 하십시오.
1. 시작, 실행을 차례로 누르고 열기 상자에 cmd를 입력한 다음 확인을 누릅니다.
2. 명령 프롬프트에서 iisreset를 입력한 다음 Enter 키를 누릅니다.
3. exit를 입력한 다음 Enter 키를 눌러 명령 프롬프트 창을 닫습니다.

SharePoint 중앙 관리 또는 콘텐츠 가상 서버를 만들 때 Kerberos 인증을 선택했지만 NTLM 인증으로 다시 전환해야 하는 경우 스크립트를 사용하여 가상 서버에 NTLM 인증을 설정할 수 있습니다.

스크립트를 사용하여 가상 서버에 NTLM 인증을 설정하려면 다음과 같이 하십시오.

IIS를 실행하는 서버에서 시작, 실행을 차례로 누르고 열기 상자에 cmd를 입력한 다음 확인을 누릅니다.
Inetpub\Adminscripts 폴더로 변경합니다.
다음 명령을 입력한 다음 Enter 키를 누릅니다.
cd Drive:\inetpub\adminscripts
참고?이 명령에서 Drive는 Windows가 설치된 드라이브입니다.
다음 명령을 입력한 다음 Enter 키를 누릅니다.
cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
참고?이 명령에서 ##는 가상 서버 ID 번호입니다. IIS에서 기본 웹 사이트의 가상 서버 ID 번호는 1입니다.
가상 서버에 NTLM 인증을 설정하려면 다음 명령을 입력하고 Enter 키를 누릅니다.
cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
참고?이 명령에서 ##는 가상 서버 ID 번호입니다.
IIS를 다시 시작합니다. 이렇게 하려면 다음과 같이 하십시오.
1. 시작, 실행을 차례로 누르고 열기 상자에 cmd를 입력한 다음 확인을 누릅니다.
2. 명령 프롬프트에서 iisreset를 입력한 다음 Enter 키를 누릅니다.
3. exit를 입력한 다음 Enter 키를 눌러 명령 프롬프트 창을 닫습니다.

도메인 사용자 계정에 대한 서비스 사용자 이름 구성

기본 제공 보안 사용자(예: NT Authority\Network Service 또는 NT Authority\Local System)를 사용하도록 Windows SharePoint Services 사이트의 응용 프로그램 풀 ID를 구성한 경우 이 단계를 수행할 필요가 없습니다. 기본 제공 계정은 Kerberos 인증을 사용하도록 자동으로 구성됩니다.

원격 Microsoft SQL Server 2000 서버를 사용하고 도메인 계정으로 NT Authority\Network Service를 사용하려면 Domain\ComputerName$ 항목을 추가하고 Database Creators 및 Security Administrators 권한으로 구성해야 합니다. 이렇게 하면 Windows SharePoint Services는 원격 SQL Server 컴퓨터에 연결하여 구성 및 콘텐츠 데이터베이스를 만들 수 있습니다.

응용 프로그램 풀 ID가 도메인 사용자 계정인 경우 해당 계정에 대해 SPN을 구성해야 합니다. 도메인 사용자 계정에 대해 SPN을 구성하려면 다음과 같이 하십시오.

Setspn.exe 명령줄 도구를 다운로드하고 설치합니다. 이렇게 하려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en)
(영문)
Setspn.exe 도구를 사용하여 도메인 계정에 대해 SPN을 추가합니다. 도메인 계정에 대해 SPN을 추가하려면 명령 프롬프트에서 다음 명령줄을 입력한 다음 Enter 키를 누릅니다. 여기서 ServerName은 서버의 FQDN(정식 도메인 이름)이고, Domain은 도메인 이름이며, UserName은 도메인 사용자 계정의 이름입니다.
setspn -A HTTP/ServerName Domain\UserName

웹 파트에 위임 트러스트를 구성하여 원격 리소스에 액세스

원격 리소스에 액세스해야 하는 SharePoint용 웹 파트를 개발 중인 경우 "도메인 사용자 계정에 대한 서비스 사용자 이름 구성" 절에 나와 있는 단계를 수행하고 위임에 트러스트되도록 다음 단계에 따라 컴퓨터 및 응용 프로그램 풀 계정을 구성해야 합니다.

참고 원격 리소스에 액세스하는 웹 파트가 없는 경우에는 이러한 단계를 추가로 수행하지 않아도 됩니다.

위임에 트러스트되도록 IIS 서버를 구성하려면 다음과 같이 하십시오.

Active Directory 사용자 및 컴퓨터를 시작합니다.
왼쪽 창에서 컴퓨터를 누릅니다.
오른쪽 창에서 IIS 서버 이름을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
일반 탭을 누르고 위임할 수 있는 트러스트를 줌 확인란을 선택한 다음 확인을 누릅니다.
Active Directory 사용자 및 컴퓨터를 종료합니다.

도메인 사용자 계정을 사용하도록 응용 프로그램 풀 ID를 구성한 경우 Kerberos 인증을 사용하려면 사용자 계정이 위임에 트러스트되어야 합니다. 위임에 트러스트되도록 도메인 계정을 구성하려면 다음과 같이 하십시오.

도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를 시작합니다.
왼쪽 창에서 사용자를 누릅니다.
오른쪽 창에서 사용자 계정의 이름을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
계정 탭을 누르고 계정 옵션에서 계정이 위임에 트러스트되었습니다 확인란을 선택한 다음 확인을 누릅니다.
Active Directory 사용자 및 컴퓨터를 종료합니다.

응용 프로그램 풀 ID가 도메인 사용자 계정인 경우 해당 계정에 대해 SPN을 구성해야 합니다. 도메인 사용자 계정에 대해 SPN을 구성하려면 다음과 같이 하십시오.

Setspn.exe 명령줄 도구를 다운로드하고 설치합니다. 이렇게 하려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en)
(영문)
Setspn.exe 도구를 사용하여 도메인 계정에 대해 SPN을 추가합니다. 도메인 계정에 대해 SPN을 추가하려면 명령 프롬프트에서 다음 명령줄을 입력한 다음 Enter 키를 누릅니다. 여기서 ServerName은 서버의 FQDN(정식 도메인 이름)이고, Domain은 도메인 이름이며, UserName은 도메인 사용자 계정의 이름입니다.
Setspn -A HTTP/ServerName Domain\UserName