DCE/RPC와 Active Directory 인증서 프로파일 페이로드로 Microsoft 인증 기관으로부터 인증서를 요청하는 방법

DCE/RPC와 Active Directory 인증서 프로파일 페이로드로 Microsoft 인증 기관으로부터 인증서를 요청하는 방법에 대해 알아봅니다.

OS X Lion 이상에서는 com.apple.adcertificate.managed 프로파일 페이로드를 통해 Microsoft 인증 기관으로부터 인증서를 받을 수 있습니다. Mountain Lion은 DCE/RPC 프로토콜을 사용하도록 전환됩니다. DCE/RPC에서는 웹 기반 CA(인증 기관)가 필요하지 않습니다. 또한 발급에 사용할 인증서 템플릿도 더 유연하게 선택할 수 있습니다. Mountain Lion은 프로파일 관리의 웹 UI에서 Active Directory 인증서를 완벽히 지원합니다. 컴퓨터 또는 사용자용 Active Directory 인증서 프로파일은 자동 푸시 또는 수동 다운로드를 통해 Mountain Lion 클라이언트 장비에 배포될 수 있습니다.

이 문서는 다음에 적용됩니다.

  • OS X Mountain Lion 클라이언트 및 OS X Server(Mountain Lion)
  • OS X Mavericks 클라이언트 및 OS X Server(Mavericks)

OS X Lion 클라이언트에 대해 자세히 알아보려면 이 문서를 읽어 보십시오.

OS X Mavericks 클라이언트용 인증서 갱신 정보는 여기서 확인할 수 있습니다.

네트워크 및 시스템 요구 사항

  • 유효한 AD(Active Directory) 도메인
  • 실행 중인 Microsoft Active Directory 인증서 서비스 CA
  • Active Directory에 바운딩된 OS X Mountain Lion 클라이언트 시스템

프로파일 배포

OS X Lion 및 OS X Mountain Lion은 구성 프로파일을 지원합니다. 많은 시스템 및 계정 설정을 프로파일로 정의할 수 있습니다. 다양한 방법으로 프로파일을 OS X 클라이언트에 전송할 수 있습니다. 이 문서에서는 프로파일을 전송하는 기본 예로 Mountain Lion Server의 프로파일 관리를 설명하고 있습니다. 기타 방법으로는 Finder에서 .mobileconfig 파일을 이중 클릭하는 간단한 방법과 Mountain Lion 클라이언트에 프로파일을 설치하는 데 사용할 수 있는 타사 MDM 서버를 사용하는 복잡한 방법이 있습니다. 

페이로드 세부 사항

Active Directory 인증서 페이로드를 정의할 수 있는 프로파일 관리 인터페이스에는 다음 필드가 포함되어 있습니다.

  • 설명: 프로파일 페이로드의 설명을 간략히 제공합니다.
  • 인증서 서버: CA의 정규화된 호스트 이름을 제공합니다.  호스트 이름을 ‘http://’로 시작하지 마십시오.
  • 인증 기관: CA의 'ID 이름'을 제공합니다.  이 값은 Active Directory 항목의 CN에서 확인할 수 있습니다. CN=<CA 이름>, CN=인증 기관, CN=공개 키 서비스, CN=서비스, CN=구성, <기본 DN>
  • 인증서 템플릿: 사용자 환경에서 원하는 인증서 템플릿을 제공합니다.  기본 사용자 인증서 값은 ‘User’입니다.  기본 컴퓨터 인증서 값은 ‘Machine’입니다.
  • 자격 증명 확인: 컴퓨터 인증서의 경우 이 옵션은 무시합니다.  사용자 인증서의 경우 프로파일을 전송하는 방법으로 수동 다운로드를 선택한 경우에만 이 설정이 적용됩니다.  프로파일을 설치하면 자격 증명을 확인하는 메시지가 사용자에게 나타납니다.
  • 사용자 이름: 컴퓨터 인증서의 경우 이 필드는 무시합니다. 사용자 인증서의 경우 원하면 요청된 인증서에 대한 기본으로 Active Directory 사용자 이름을 제공합니다.
  • 암호: 컴퓨터 인증서의 경우 이 필드는 무시합니다. 사용자 인증서의 경우 원하면 제공된 Active Directory 사용자 이름과 연결된 암호를 제공합니다.

컴퓨터 인증서

추가 요구 사항

  • 장비 관리에 프로파일 관리 서비스가 활성화되어 있고 Active Directory에 바인딩되어 있는 OS X Server

지원되는 Active Directory 인증서 프로파일 조합

  • 컴퓨터/시스템 인증서만 해당, Mountain Lion 클라이언트에 자동으로 전송됨
  • EAP-TLS 802.1x 인증에 대해 네트워크 프로파일에 통합된 인증서
  • 시스템 기반 인증서 인증에 대해 VPN 프로파일에 통합된 인증서
  • 네트워크/EAP-TLS와 VPN 프로파일에 모두 통합된 인증서

프로파일 관리 페이로드 배포

  1. Mountain Lion 클라이언트를 Active Directory에 바인딩합니다.  프로파일, 클라이언트의 GUI 또는 클라이언트의 CLI를 통해 바인딩할 수 있습니다.
  2. Mountain Lion 클라이언트에 발급 CA 또는 기타 CA 인증서를 설치하여 클라이언트가 완전한 신뢰 체인을 보유하도록 합니다.  프로파일을 통해서도 이 설치를 수행할 수 있습니다.
  3. Active Directory 인증서 프로파일이 장비 또는 장비 그룹 프로파일에 대해 자동 푸시 또는 수동 다운로드를 통해 전송되는지 확인합니다.

  4. (옵션) 프로파일 전송 방법으로 자동 푸시를 선택한 경우 Mountain Lion Server의 프로파일 관리 장비 관리에 Mountain Lion 클라이언트를 등록합니다.
  5. 등록된 장비 또는 장비 그룹에 대해 Active Directory 인증서 페이로드를 정의합니다.  페이로드 필드 설명은 위를 참조하십시오.
  6. (옵션) 동일한 장비 또는 장비 그룹 프로파일에 대해 유선 또는 무선 TLS의 네트워크 페이로드를 정의합니다. 구성된 Active Directory 인증서 페이로드를 자격 증명으로 선택합니다.
     


     

    • Wi-Fi 또는 이더넷에 대해 페이로드를 정의할 수 있습니다.
       
  7. (옵션) 장비 또는 장비 그룹을 통해 IPSec(Cisco) VPN 프로파일을 정의합니다. 구성된 Active Directory 인증서 페이로드를 자격 증명으로 선택합니다.



     

    • 인증서 기반 시스템 인증은 IPSec(Cisco) VPN 터널에 대해서만 지원되며 기타 VPN 유형에는 다른 인증 방법이 필요합니다.
    • 계정 이름 필드는 위치 지정자 문자열로 채워질 수 있습니다.
       
  8. 프로파일을 저장합니다. 자동 푸시: 프로파일이 네트워크를 통해 등록된 컴퓨터로 배포됩니다. Active Directory 인증서는 컴퓨터의 Active Directory 자격 증명을 활용하여 CSR(인증서 서명 요청)을 채웁니다.
  9. (수동 다운로드) Mountain Lion 클라이언트에서 프로파일 관리의 사용자 포털로 연결합니다.
  10. (수동 다운로드) 사용 가능한 장비 또는 장비 그룹 프로파일을 설치합니다.
  11. 새로운 개인 키와 인증서가 이제 Mountain Lion 클라이언트의 시스템 키체인에 있는지 확인합니다.

인증서, 디렉토리, Active Directory 인증서, 네트워크(TLS) 및 VPN 페이로드가 조합된 장비 프로파일을 배포할 수 있습니다.  Mountain Lion 클라이언트는 각 페이로드 작업이 성공적으로 수행될 수 있도록 페이로드를 적절한 순서로 처리합니다.

사용자 인증서

추가 요구 사항

  • 장비 관리에 프로파일 관리 서비스가 활성화되어 있고 Active Directory에 바인딩되어 있는 OS X Server
  • 프로파일 관리 서비스에 대한 액세스 권한이 있는 Active Directory 계정

지원되는 Active Directory 인증서 프로파일 조합

  • 사용자 인증서만 해당, Mountain Lion 클라이언트에 자동으로 전송됨
  • EAP-TLS 802.1x 인증에 대해 네트워크 프로파일에 통합된 인증서

프로파일 관리 페이로드 배포 

  1. Mountain Lion 클라이언트를 Active Directory에 바인딩합니다.  프로파일, 클라이언트의 GUI 또는 클라이언트의 CLI를 통해 바인딩할 수 있습니다.
  2. Mountain Lion 클라이언트에서 사용자 환경의 정책에 따라 Active Directory 모바일 계정 생성을 활성화합니다.  프로파일(Mobility), 클라이언트의 GUI 또는 다음과 같은 클라이언트의 명령어 라인을 통해 이 기능을 활성화할 수 있습니다.
    sudo dsconfigad -mobile enable
  3. Mountain Lion 클라이언트에 발급 CA 또는 기타 CA 인증서를 설치하여 클라이언트가 완전한 신뢰 체인을 보유하도록 합니다.  프로파일을 통해 이 설치를 수행할 수 있습니다.
  4. Active Directory 인증서 프로파일이 Active Directory 사용자 또는 사용자 그룹 프로파일에 대해 자동 푸시 또는 수동 다운로드를 통해 전송되는지 확인합니다.  사용자 또는 그룹에 프로파일 관리 서비스에 대한 액세스 권한을 부여해야 합니다.
     


     

  5. (옵션) 프로파일 전송 방법으로 자동 푸시를 선택한 경우 Mountain Lion Server의 프로파일 관리 장비 관리에 Mountain Lion 클라이언트를 등록합니다.  등록 시 클라이언트 컴퓨터를 위에서 언급한 Active Directory 사용자와 연결해야 합니다.
  6. 동일한 Active Directory 사용자 또는 그룹 프로파일에 대해 Active Directory 인증서 페이로드를 정의합니다.  페이로드 필드 설명은 위를 참조하십시오.

  7. (옵션) 동일한 Active Directory 사용자 또는 그룹 프로파일에 대해 유선 또는 무선 TLS의 네트워크 페이로드를 정의합니다. 자격 증명으로 구성된 Active Directory 인증서 페이로드를 선택합니다.
     


     

    • Wi-Fi 또는 이더넷에 대해 페이로드를 정의할 수 있습니다.
       
  8. 프로파일 관리 서비스에 대한 액세스 권한이 있는 Active Directory 사용자 계정으로 Mountain Lion 클라이언트에 로그인합니다. 자동 푸시: Active Directory 사용자 계정으로 클라이언트 컴퓨터에 로그인하면 필요한 Kerberos TGT(Ticket Granting Ticket)를 얻게 됩니다.  TGT는 요청된 사용자 인증서에 대한 ID 템플릿으로 제공됩니다.
  9. (수동 다운로드) 프로파일 관리의 사용자 포털로 연결합니다.
  10. (수동 다운로드) 사용 가능한 사용자 또는 그룹 프로파일을 설치합니다.
  11. (수동 다운로드) 메시지가 나타나면 사용자 이름 또는 암호를 제공합니다.
  12. 키체인 접근을 실행하고 로그인 사용자 환경의 Microsoft CA에서 발급한 개인 키와 사용자 자격 증명이 이제 로그인 키체인에 포함되어 있는지 확인합니다.

인증서, Active Directory 인증서 및 네트워크(TLS)가 조합된 사용자 프로파일을 배포할 수 있습니다. Mountain Lion 클라이언트는 각 페이로드 작업이 성공적으로 수행될 수 있도록 페이로드를 적절한 순서로 처리합니다.

게시일: