관리 보안
AppFabric 내에서 IIS 관리자에 있는 AppFabric 도구 기능을 사용하여 Windows Server AppFabric 관리 작업을 수행합니다. 모든 IIS 관리자 기능의 대부분은 AppFabric과 함께 제공되는 표준 cmdlet에 있습니다. AppFabric 도구 집합은 매우 강력합니다. 확인란을 선택하거나 마우스를 클릭하거나 cmdlet을 실행하여 기능적인 AppFabric을 설치할 수 있습니다. 그러나 권한이 없는 사용자가 AppFabric 시스템 및 해당 지원 구성 요소의 전체 또는 부분에 대한 액세스 권한을 얻을 경우 AppFabric 설치를 곧 사용하지 못하게 될 수 있습니다. 이 항목에서는 AppFabric에 대한 관리 기능을 보호하는 방법을 중점적으로 설명합니다.
AppFabric 관리자 권한
관리 측면에서 AppFabric 도구를 사용할 경우 항상 자체 보안 컨텍스트 아래에서 작동합니다. 이렇게 하면 AppFabric과 Windows Server, IIS 및 SQL Server 등의 해당 지원 기술을 더 쉽게 관리할 수 있습니다. AppFabric을 관리하려면 개념적 응용 프로그램 서버 관리자(AS_Administrators Windows 보안 그룹) 또는 개념적 응용 프로그램 서버 운영자(AS_Observers Windows 보안)의 구성원이어야 합니다.
AppFabric을 원격으로 관리하기 위해 AS_Administrators 및 AS_Observers 그룹은 해당 관리자 권한을 가집니다. AppFabric은 사용자가 IIS 관리자에서 IIS 보안 모드를 사용하여 원격으로 연결할 수 있는 서버에 설치할 수 있습니다. 사용자가 모니터링 및 지속성 저장소를 쿼리할 수 있도록 허용하려면 관리자는 IIS 관리자 계정(일반적으로 기본 제공 네트워크 서비스 계정)을 원격 서버의 AS_Administrators 또는 AS_Observers에 추가해야 합니다. 원격 사용자에게 부여할 사용 권한의 기준이 되는 보안 그룹을 선택합니다. 관리 도구에 대해서만 IIS에 인증되는 사용자는 해당하는 제한 사항과 사용 권한이 포함된 AS_Administrators 또는 AS_Observers 그룹의 구성원으로 실행됩니다. 이 규칙을 Windows 보안 규칙이라고 하며 변경할 수 없습니다. IIS 관리자를 사용하여 AppFabric을 원격으로 관리하려면 도메인 관리자여야 합니다. 원격 관리 작업의 경우 사용자 자신으로 리소스에 액세스합니다. 대체 원격 ID를 제공하는 가장이나 프록시는 없습니다.
AppFabric 관리자는 IIS의 기능 위임 옵션을 사용하여 컴퓨터의 모든 웹 사이트에 대한 다양한 보안 권한을 위임할 수 있습니다. 예를 들어, 디렉터리 검색에 대한 읽기 전용 권한을 설정하거나 로깅을 사용하지 않도록 설정할 수 있습니다. 기능 위임 옵션은 컴퓨터 수준 기능 보기의 관리 섹션에 표시됩니다.
IIS에서는 또한 구성 잠금을 사용하여 서로 다른 범위 수준에서 특정 구성 설정의 세부적인 잠금 및 잠금 해제를 허용합니다. 구성 파일에서 XML 요소를 직접 편집하여 구성 잠금을 수행합니다. 잠긴 구성 설정은 원래 잠긴 수준에서만 잠금 해제할 수 있고 하위 수준에서 수정할 수 없습니다. 사이트마다 다른 구성을 사용하기 위해 몇 가지 선택 속성을 다시 정의해야 할 때 이 옵션을 사용할 수 있습니다. 잠금 관리는 섹션 수준에서 수행하거나 개별 특성, 요소 및 컬렉션 요소/지시문에 대해 수행할 수 있습니다. 이 기능에 대한 직접적인 도구 지원이 없으므로 변경 내용을 하위 폴더에 연속 적용하려는 상위 범위의 적절한 수준에서 구성 파일을 수동으로 편집해야 합니다.
AppFabric의 설치, 구성 및 실행 작업에 관련된 일반적인 관리 작업의 경우 사용자를 LOCALHOST\Administrators 그룹에 할당합니다. 이렇게 하면 구성원이 서버, 사이트 또는 응용 프로그램 구성을 편집하고, 응용 프로그램을 배포 및 배포 취소하고, IIS 관리자, MSDeploy 또는 SvcConfigEditor 등의 지원 프로그램을 실행할 수 있습니다.
.gif "security") 보안 참고 |
|---|
| 서비스 계정이 모니터링 및 지속성 저장소를 쿼리하도록 사용 권한을 부여하는 경우 해당 계정에서 실행되는 모든 응용 프로그램에 동일한 사용 권한을 제공하는 것입니다. |
원격 관리
AppFabric을 로컬로 관리할 경우 이러한 관리는 로그인한 계정으로 실행됩니다. AppFabric을 원격으로 관리하기 위해 IIS 관리 서비스에서는 로컬 및 도메인 관리자가 IIS 관리자를 사용하여 웹 서버를 원격으로 관리하도록 허용합니다. 로컬 관리자만 IIS 관리 서비스가 원격 연결을 활성화하도록 구성할 수 있습니다. 구성이 완료된 후 다음 모드를 사용하여 원격 AppFabric 컴퓨터에 액세스할 때 보안을 관리할 수 있습니다.
Windows 자격 증명만. 이 모드에서는 IIS 웹 관리 서비스가 사용자 자격 증명으로 실행됩니다. 즉, 원격 컴퓨터에 로컬로 연결한 경우에 가능했던 모든 작업을 수행할 수 있습니다. 예를 들어, 로컬로 응용 프로그램의 Web.config 파일을 수정할 권한이 있는 경우 해당 파일을 원격으로 수정할 수도 있습니다. AppFabric 리소스에 대한 액세스는 AS_Observers 및 AS_Administrators 그룹의 구성원 자격으로 보호됩니다.
Windows 자격 증명 또는 IIS 관리자 인증 보안. 이 모드에서는 원격 컴퓨터에서 LOCALSERVICE로 로그온하고 실행됩니다. 이 경우, Windows 자격 증명만을 사용하는 경우와 다르게 IIS 관리자 정보가 표시될 수 있습니다. LOCALSERVICE에는 기본적으로 Web.config 파일을 수정하고 지속성 및 모니터링 데이터를 쿼리 및 수정하는 등 컴퓨터의 모든 응용 프로그램을 관리할 권한이 있으므로 연결에 대한 유효 사용 권한은 연결한 범위에 따라 결정됩니다. 예를 들어, 자격 증명을 사용하여 특정 응용 프로그램에 연결할 수 있는 경우 AppFabric에서는 사용자가 중요한 지속성 데이터를 확인하도록 허용하지 않고 해당 응용 프로그램에 대한 정보에만 액세스할 수 있도록 합니다.
다음과 같은 개념 그룹과 해당하는 Windows 보안 그룹을 사용하여 AppFabric을 로컬 및 원격으로 관리할 수 있습니다.
Application Server Administrators. 응용 프로그램 서버 관리자 개념 그룹(전체 액세스 권한)의 구성원은 AS_Administrators Windows 보안 그룹에 매핑됩니다. AS_Administrators 그룹의 구성원은 지속된 인스턴스를 일시 중단, 다시 시작, 종료 또는 삭제하고, 이벤트 원본과 이벤트 수집기를 만들고 제거하며, 모니터링 데이터를 표시, 제거 및 보관할 수 있습니다. AppFabric 설치 프로그램은 설치 시 AS_Administrators 그룹을 만들고 NT AUTHORITY\LOCAL SERVICE 계정을 이 그룹에 추가합니다. LOCAL SERVICE는 이벤트 컬렉션 서비스 및 워크플로 관리 서비스가 작동되는 계정입니다. AppFabric을 관리하기 위한 모든 권한을 부여하려는 구성원을 AS_Administrators 그룹에 수동으로 추가할 수 있습니다.
Application Server Observers. Application Server Observers 개념 그룹(부분 액세스 권한)의 구성원은 AS_Observers Windows 보안 그룹에 매핑됩니다. AS_Observers 그룹의 구성원은 응용 프로그램 지속성 및 모니터링 데이터를 부분적으로 볼 수 있으며 응용 프로그램과 서비스를 열거하고, 응용 프로그램 및 서비스 구성을 표시하며, 모니터링 데이터를 표시하고, 지속된 인스턴스를 검사할 수 있습니다. AppFabric 설치 프로그램은 설치 시 AS_Observers 그룹을 만들지만 이 그룹에 계정을 삽입하지 않습니다. AppFabric을 관리할 수 있는 부분 권한을 부여할 구성원을 AS_Observers 그룹에 수동으로 추가할 수 있습니다.
IIS를 사용하여 구성, 위임 및 원격 관리를 보호하는 방법에 대한 자세한 내용은 Securing Configuration(https://go.microsoft.com/fwlink/?LinkId=183022) 및 Configuring Remote Administration and Feature Delegation in IIS 7.0(https://go.microsoft.com/fwlink/?LinkId=184265)을 참조하십시오.
2011-12-05