<시나리오> 윈도우네트웍스(주)
이번장에서는 그동안 다루었던 내용들을 토대로 간단하면서도 일반적인 회사 환경 하나를 시나리오로 설정해 보았다. 이 시나리오를 잘 분석하여 하나의 도메인 환경을 구축해 보도록 하겠다.
<회사개요> ‘윈도우네트웍스㈜(가상의 회사임)’은 윈도우 네트워크 서비스회사이다. 이 회사는 최근 사세가 확장함에 따라 직원수가 대폭 늘어나고 PC대수도 증가하고 있는 추세이다. 추세에 발맞춰 무선네트워크를 도입하고자 검토하고 있으며, 1명의 관리자를 통해 PC를 효율적으로 관리할 수 있는 방안을 검토하고 있다. 사용자들이 메일, 파일, 프린트 등을 위해 각각 서버에 로그온을 해야 하는 것도 불편하여 한번 로그온만 하면 더 이상 인증없이 회사 전체서버에 접근하도록 하기를 원한다. 늘어가는 윈도우PC들의 서비스팩, 보안패치 등을 배포하는 것도 사용자들에게 의존하고 있지만 골칫거리 중의 하나이다. <조직구조> 회사는 관리팀, 영업총괄팀, 마케팅팀으로 나뉘어 있고, 회사의 시스템 관리자인 ‘
<현재 네트워크 및 시스템 환경> 회사는 한 ISP의 전용회선을 사용하고 있다. 최근 직원들이 많이 들어와 PC대가 늘어남에 따라 IP Address가 부족한 상황에서 보안을 고려하여 ISA Server 2004를 도입하였고 서버를 제외한 모든 클라이언트들은 개인(사설) IP주소인 192.168.0.2~192.168.0.254 범위의 IP를 사용하고 있다. 클라이언트는 1차DNS로 사내에 구축된 DNS서버인 192.168.0.2를 사용하고 있으며, 2차 DNS로 외부 ISP의 DNS서버를 사용하고 있다.
현재 윈도우 서버 2003가 3대 설치되어 있으며 이들은 파일서버, 프린트서버, 웹서버, 방화벽/웹캐쉬서버, DNS서버 등의 역할을 수행하고 있다. 클라이언트들의 시스템중 60대는 Windows XP Professional버전, 30대는 Windows 2000 Professional버전, 신규구매한 노트북 5대에는 Windows XP Home Edition, 3대는 Windows 98이 설치되어 있다. 웹서버는 회사가 등록한 도메인명을 기반으로 www.windowsnetwork.msft 라는 이름을 사용하고 있다.웹서버와 DNS, 메일서버는 클라이언트PC와 마찬가지로 개인IP대역을 사용하고 있으며 ISA Server 2004 로부터 퍼블리싱 되고 있다. <요구조건> 1.사용자들이 도입되는 무선네트워크에 손쉽게 접근할 수 있도록 해 주어야 한다. 2.보안을 고려하여 내부/외부 DNS는 분리되어야 한다. 3.전 직원은 파일서버에 자신만 접근할 수 있는 데이터를 저장하도록 한다. 4.부서별로 공용폴더를 구성하여 부서원간에 정보를 공유한다. 사용자들이 각 부서별 공유폴더에 쉽게 접근할 수 있도록 네트워크 드라이브 매핑을 설정해 준다. 5.사용자들은 최소 8자리 이상의 암호를 사용해야 하며, 5번 틀린 암호로 로그온을 시도하면 계정이 잠기도록 설정되어야 한다. 6.하나의 서버가 문제가 되더라도 사용자들은 도메인 로그온에 지장이 없어야 한다. 7.관리자들을 제외한 모든 사용자들은 보안을 위해서 Proxy Server를 통해서 인터넷에 접근한다. 8.도메인컨트롤러와 서버들을 제외한 회사의 모든 클라이언트 PC들에는 회사의 업무를 위해 표준소프트웨어인 마이크로소프트 오피스 2003이 설치되어야 하며, 부서별로 특화된 프로그램을 배포해야 할 필요가 있다. 9.전체 조직에 걸쳐서 사용자 계정을 관리하는 것은 인사담당자가 직접 처리하도록 하여 신속하고 정확한 계정관리가 가능하도록 하고자 한다. 10.보안을 위해서 모든 사용자, 회사내의 모든 서버에 있어서 계정에 대한 감사정책을 구현해야 한다. 11.시스템 관리자 계정은 회사의 전반적인 정책에 적용받지 않아야 한다. 12.노트북을 이용하는 사용자들은 출장지 혹은 재택근무를 할때도 회사자원을 사용할 수 있도록 지원하고자 한다. |
윈도우네트웍스㈜의 100여명의 사용자들은 몇대의 서버에 접근하고 있다. <그림14-2>에서 보면 파일서버와 메일서버, 웹캐슁서버 등의 자원을 사용해야 하는데 네트워크에 있는 자원에 접근하기 위해서 먼저 해야 할 일은 자원을 가진 서버로부터 인증(Authentication)을 얻는 일이다. 이 과정을 통해서 자신의 존재를 증명받고 난 다음에 그 다음에 자원에 대한 접근권한이 있는지 없는지를 평가받는 작업(Authorization)을 거치게 되고 최종적으로 자원에 대한 접근허가가 떨어져야만 네트워크의 자원을 사용할 수 있는 것이다. 이에 대해서는 이 책의 13장에서 이미 다룬바 있다.
그런 이유로 일단 3대의 서버의 세가지 이상의 자원을 가지고 있는 상황이기 때문에 일단 자원에 접근은 둘째치고 먼저 3대의 서버에 접근할 수 있어야 하는 만큼 이들 3대의 서버에는 자신이 네트워크에서 사용하는 사용자 계정이 있어야 한다. 회사 직원이 100명이므로 3대의 서버에는 각각 100명의 계정정보가 있어야 한다는 것이다.
일단 모든 서버마다 전체 사용자들의 계정정보를 가진다는 것은 부담스러운 일이 아닐 수 없다. 사용자 입장에서도 3대의 서버마다 각각 계정과 암호를 알고 있어야 하기 때문에 복잡할 수밖에 없다. 내가 파일서버에 폴더를 읽기 위해서 필요한 계정이 뭐더라? 메일서버에서 내 메일박스의 메일을 확인할때의 계정은 또 뭐지? 이러한 문제들이 결국 사용자들이 서버에 자원을 가지지 않고 각각 자신의 컴퓨터에 로컬로 자원을 가지게 만드는 원인을 제공하는 것이라고 할 수 있다. 첫번째 제공되어야 할 것은 바로 이것이다. “하나의 사용자는 네트워크에서 한번 로그온한 정보를 가지고 전체 자원에 접근할 수 있어야 한다” 싱글 사인온 (SSO)을 이루고자 하는 것은 대부분의 벤더에서 구현하고자 하는 노력이다. 최근들어 여러 웹사이트들이 서로 연동하여 계정하나만으로 여러 개의 사이트에 접근하도록 구현하고 있는 것을 생각해 보라. 또한 마이크로소프트의 패스포트는 수많은 사이트를 별도의 계정없이 접근할 수 있도록 허용하고 있다.
마이크로소프트는 회사의 네트워크 환경에 ‘도메인(Domain)’이라는 논리적인 단위를 도입함으로써 싱글 사인온과 글로벌 디렉터리 서비스를 제공하고 있다. 도메인의 계정 하나만 가지면 네트워크의 모든 자원에 불편없이 접근하여 사용하거나, 관리하는 작업이 가능해 지는 것이다.<그림14-3>
<그림14-3. 마이크로소프트 도메인 모델>
이 회사에는 현재 전체 시스템 및 사용자를 포함할 수 있는 인프라가 필요하다. 마이크로소프트가 제공하는 Active Directory 인프라는 윈도우네트웍스㈜에게 최상의 관리 및 업무환경을 제공할 것이다. 무선네트워크 사용자, 재택근무를 위한 사용자를 지원하는 것도 역시 Active Directory 인프라에 포함할 수 있다. 윈도우네트웍스㈜의 Active Directory를 설계/구현해 보자.