계정 선택 예와 SPN

이 주제에서는 setspn 유틸리티를 사용하여 Active Directory에서 SPN(Service Principal Name)을 지정하는 예를 제공합니다.

SPN을 할당할 때 명명된 Windows 계정을 사용하는 것이 가장 좋지만, 시나리오에 따라서는 명명된 Windows 계정을 반드시 사용할 필요는 없습니다. 다음 예에서는 setspn 명령의 사용을 보여 주며 계정 사용의 실행 가능한 선택항목에 대해 설명합니다.

IP sprayer를 통해 여러 Domino® 서버에서 제공되는 웹 사이트

SSO 환경이 여러 Domino® 서버 간 연결 요청을 배포하는 IP sprayer를 사용하는 웹 사이트인 경우, Active Directory의 하나의 명명된 계정에서 SPN을 정의해야 합니다. 모든 Domino® 서버는 개별 로컬 시스템 계정이 아닌 Windows 서비스와 동일한 계정으로 로그온합니다. 예를 들어, 웹 사이트 문서가 다음과 같이 구성됩니다.

  • 이 사이트에 맵핑된 호스트 이름 또는 주소 = ipsprayer.renovations.com, domino1.ad.renovations.com, domino2.ad.renovations.com.
  • Domino servers that host this site = Domino1/Renovations, Domino2/Renovations

계정에 대해 세 개의 SPN을 정의하려면 명명된 계정(이 예제에서는 ssorenovations)에서 setspn을 세 번 실행합니다.

setspn -a HTTP/ipsprayer.renovations.com ssorenovations
setspn -a HTTP/domino1.ad.renovations.com ssorenovations
setspn -a HTTP/domino2.ad.renovations.com ssorenovations

Active Directory 도메인에 로그인한 웹 사용자는 이러한 DNS 이름을 포함하는 HTTP 또는 HTTPS를 통해 Domino1/Renovations 또는 Domino2/Renovations에 액세스할 때 비밀번호를 입력하라는 메시지가 나타나지 않습니다.

ipsprayer.renovations.com
domino1.ad.renovations.com
domino2.ad.renovations.com

하나의 Domino® 서버에서 제공되는 웹 사이트

하나의 Domino® 서버에서 제공되는 웹 사이트를 가진 경우, 명명된 계정 또는 로컬 시스템 계정으로 SPN을 정의할 수 있습니다. 예를 들어, 웹 사이트 문서가 다음과 같이 구성됩니다.

  • 이 사이트에 맵핑된 호스트 이름 또는 주소 = www.sso1.renovations.com, www.sso2.renovations.com
  • 이 사이트를 관리하는 Domino 서버 = Domino1/Renovations

다음과 같이 계정(이 예제에서는 로컬 시스템 계정 domino1)에서 setspn을 두 번 실행합니다.

setspn -a HTTP/www.sso1.renovations.com domino1
setspn -a HTTP/domino1.ad.renovations.com domino1

Active Directory 도메인에 로그인한 웹 사용자가 www.sso1.renovations.com 또는 www.sso2.renovations.com을 포함하는 HTTP 또는 HTTPS URL을 통해 Domino1/Renovations 서버에 액세스할 때 비밀번호를 입력하는 메시지가 나타납니다.

URL에서 DNS 이름을 공유하지 않는 여러 Domino® 서버에서 제공되는 웹 사이트

URL에서 DNS 이름을 공유하지 않는 여러 Domino® 서버에서 제공되는 웹 사이트를 가진 경우는 다음과 같이 정의할 수 있습니다.

  • 하나의 명명된 계정의 모든 서버에 대해 SPN을 정의합니다.
  • 명명된 개별 계정의 각 서버에 대해 SPN을 정의합니다.
  • 각 서버의 로컬 시스템 계정의 서버마다 SPN을 정의합니다.

예를 들어, 웹 사이트 문서가 다음과 같이 구성됩니다.

  • 사이트에 맵핑된 호스트 이름 또는 주소 = domino1.ad.renovations.com, domino2.ad.renovations.com
  • Domino servers that host this site = Domino1/Renovations, Domino2/Renovations

Domino1/Renovations는 domino1.ad.renovations.com을 포함하는 URL만 제공하고, Domino2/Renovations는 domino2.ad.renovations.com을 포함하는 URL만 제공합니다. 각 로컬 시스템 계정(domino1, domino2)에 대한 SPN을 정의하려면 다음과 같이 각 계정에서 setspn을 한 번만 실행합니다. 

setspn -a HTTP/domino1.ad.renovations.com domino1
setspn -a HTTP/domino2.ad.renovations.com domino2

Active Directory 도메인에 로그인한 웹 사용자가 domino1.ad.renovations.com을 포함하는 URL을 통해 Domino1/Renovations에 액세스하거나, domino2.ad.renovations.com을 통해 Domino2/Renovations 서버에 액세스할 경우 비밀번호를 입력하라는 메시지가 나타나지 않습니다.

서버 문서를 사용하는 SSO 구성

SSO 구성이 웹 사이트 문서가 아닌 서버 문서를 사용하는 경우에는 다음 작업을 수행할 수 있습니다.

  • 모든 서버에 대해 하나의 명명된 계정 사용
  • IP sprayer를 사용하지 않는 경우 여러 개의 명명된 계정 사용(예: 서버 클러스터로 구성된 계정)
  • IP sprayer를 사용하지 않는 경우 로컬 시스템 계정 사용(예: domino1, domino2, domino3)

예를 들어 각 서버에 여러 서버 세션 인증이 구성되었으며 지정된 웹 SSO 환경 설정 문서의 참가 중인 서버 필드는 다음 서버를 나열합니다.

  • Domino1/Renovations
  • Domino2/Renovations
  • Domino3/Renovations

그리고 각 호스트 이름은 다음과 같습니다.

  • domino1.ad.renovations.com
  • domino2.ad.renovations.com
  • domino3.ad.renovations.com

로컬 시스템 계정을 사용하려면 다음과 같이 각 계정에서 setspn을 한 번만 실행합니다.

setspn -a HTTP/domino1.ad.renovations.com domino1
setspn -a HTTP/domino2.ad.renovations.com domino2
setspn -a HTTP/domino3.ad.renovations.com domino3

domino1.ad.renovations.com을 포함하는 HTTP 또는 HTTPS URL에 액세스하거나 또는 domino1이 로컬 시스템 계정으로 로그온할 때 웹 클라이언트에 비밀번호를 입력하라는 메시지가 나타나지 않습니다. domino2.ad.renovations 또는 domino3.ad.renovations를 포함하는 URL은 비슷하게 작동합니다.