정의
- 마이크로소프트가 윈도우용 환경에서 사용하기 위해 개발한 LDAP 디렉터리 서비스의 기능
- 중앙 서버에 공통된 데이터베이스를 생성하여 각 서버와 클라이언트는 해당 데이터베이스를 공유하여 Object를 검색하고, 사용자가 공유된 자원의 위치와 해당 서버의 로컬 사용자 계정 정보를 모두 알고 있지 않아도 중앙에서 Admin이 사용자 인증 및 권한 부여 처리가 가능하도록 처리해주는 서비스 -> 기업 내의 자원 및 권한 관리에 용이함(계정관리서버)
- 중앙 집중 관리 서비스
*LDAP : 경량 디렉터리 액세스 프로토콜(Lightweight Directory Access Protocol) TCP/IP 위에서 디렉터리 서비스를 조회하고 수정하는 응용 프로토콜
*디렉터리 서비스: 컴퓨터 네트워크의 사용자와 네트워크 자원에 대한 정보를 저장하고 조직하는 응용 소프트웨어. 네트워크 관리자가 여러 사용자들이 자원에 접근할 수 있게 도와준다. 또한 디렉토리 서비스는 사용자와 공유된 자원 사이의 추상 계층으로 동작함
주목적
- 윈도우 기반의 컴퓨터들을 위한 인증서비스를 제공하는 것이다.
주로 윈도우 환경에서 동일한 데이터베이스를 사용하여 다음을 비롯한 다양한 네트워크 서비스를 제공한다.
- LDAP 계열 디렉터리 서비스
- *커베로스 기반 인증
- DNS 기반 이름 지정 및 기타 네트워크 정보
*커베로스 : **티켓기반의 컴퓨터 네트워크 인증 암호화 프로토콜. 커베로스를 이용하면 티켓을 가진 유저만 서버에 접속할 수 있도록 제어할 수 있으므로 서버 접근 권한 관리가 편해진다.
**티켓: 커베로스에서 사용하는 티켓은 정보들을 안전하게 전달하는데 사용되는 정보 패킷이다. 티켓을 발급할 때 secret key로 정보들을 암호화 한다.
관련용어
- 도메인(Domain)
AD에서 기본이 되는 관리 대상 단위
AD가 설치된 윈도우 서버가 하나의 도메인이라고 보면 된다.
도메인이 여러개 있을 경우, 부모 도메인과 자식 도메인으로 구분함 - 트리(Tree) 및 포리스트(Forest)
트리 : 도메인의 집합
포리스트 : 트리의 집합
- 사이트(Site)
논리적 구조인 Domain/Forest가 물리적으로 구성된 환경
- 트러스트(Trust)
도메인 간에 설정한 관계로, 한 도메인의 사용자가 다른 도메인의 컨트롤러에서 인증될 수 있도록 한 관계 - 조직 구성 단위(OU, Organizational Unit)
도메인 내부에서 사용되는 일종의 폴더와 같은 개념
권한 위임 및 그룹 정책을 적용할 수 있는 최소한의 단위 - 도메인 컨트롤러(Domain Controller)
로그인, 이용권한 확인, 새로운 사용자 등록, 암호 변경 등을 처리하는 기능을 하는 서버 컴퓨터.
하나의 도메인에 하나 이상의 도메인 컨트롤러를 설치해야함 - 글로벌 카탈로그(Global Catalog)
AD트러스트 내의 도메인들에 포함된 개체에 대한 정보들이 수집되어 저장되는 통합 저장소
AD 도입시 고려사항
참고
https://ko.wikipedia.org/wiki/%EC%95%A1%ED%8B%B0%EB%B8%8C_%EB%94%94%EB%A0%89%ED%84%B0%EB%A6%AC
웹개발자