[번역] vSphere 7 – Integrated Windows Authentication (IWA) Deprecation

출처 : https://blogs.vmware.com/vsphere/2020/05/vsphere-7-integrated-windows-authentication-iwa-ldap.html

vSphere-Icon-Color-2020.png

vSphere 7.0 릴리스 노트 독자들은 "Product Support Notices" 섹션에서 Integrated Windows Authentication이 사용되지 않는 것으로 나열된다는 것을 알아챘을 것이다. 당연히, 이것에 대해 꽤 많은 의문점들이 있는데, 특히 마이크로소프트가 Active Directory에 제안해 온 모든 변경사항의 여파로 더욱 그렇다. 이것들 중 몇 가지를 대답해 봅시다!

Integrated Windows Authentication이란?

Integrated Windows Authentication(IWA)는 vCenter Server가 실행되는 OS에 의존하여 마이크로소프트 윈도우즈 Active Directory(AD) 도메인에 가입하는 vSphere의 인증 방법이다. IWA는 도메인과의 연결을 사용해서 사용자를 vCenter Server로 인증한다.

"deprecation"는 무엇을 의미하는가?

deprecation은 어떤 기능이 제품에 여전히 존재하며 여전히 완전히 지원되지만, 향후 릴리스에서는 제거된다는 것을 의미한다.

이 경우 vSphere 7.0에는 Integrated Windows Authentication이 여전히 존재한다. vSphere 7로 업그레이드하면 이전 IWA 설정이 업그레이드된 vCenter Server 인스턴스로 이동된다. 새 설치에서도 처음부터 구성할 수 있다. vSphere 7.0이 더 이상 지원되지 않을 때까지 지원을 요청하고 완전히 지원받을 수도 있다. 그게 2025년 4월 2일 일반지원 종료, 2027년 4월 2일 연장지원.

Active Directory에 연결하려면 Integrated Windows Authentication이 필요하지 않으십니까?

꼭 그렇지는 않다. vCenter Server를 Microsoft Active Directory에 연결하는 몇 가지 방법:

  • 독점적인 Windows 인터페이스를 사용하여 인증하는 IWA 사용.
  • LDAP 사용. 모든 Active Directory 도메인 컨트롤러는 LDAP을 제공하며, 구성된 경우 LDAPS는 Active Directory에 액세스하기 위한 인터페이스로 제공된다.
  • Identity Federation 사용, vSphere 7.0에 소개. 이 기능을 통해 vCenter Server는 표준 OAuth2 & OIDC 프로토콜을 사용하여 ADFS(Active Directory Federation Services)에 연결할 수 있다.

Integrated Windows Authentication이 더 이상 사용되지 않는 이유

vCenter Server 6.7 이전 버전에는 윈도우즈 버전이 있으며 윈도우즈 Server에 직접 설치할 수 있다. 이와 같이, IWA는 많은 윈도 서버들이 이미 도메인에 가입되어 있었기 때문에 많은 의미를 부여했다. 그러나 vCenter Server 7.0은 어플라이언스로만 사용할 수 있으며 더 이상 설치 가능한 윈도우즈 버전이 없다. 우리는 사람들이 vCenter Server를 별도의 운영 체제가 아닌 어플라이언스로 취급하도록 권장하지만, 사실은 어플라이언스가 리눅스의 배포인 Photon OS를 실행한다는 것이다. 놀랄 것도 없이, 리눅스 배포판은 기본적으로 윈도우즈 도메인에 연결되지 않는다. 그들은 그렇게 하기 위해 추가 소프트웨어를 설치해야 하고, 이것은 복잡성을 가중시킨다.

윈도우즈 도메인에 인프라를 가입하는 것 역시 다른 복잡성을 야기한다. 인프라가 동일한 인프라에서 실행되는 시스템에 의존하는 의존성 루프의 잠재력이 있다. 모든 것이 가동되고 가동될 때 상황은 괜찮을지 모르지만, 정전 같은 큰 사건은 의존 루프를 폭로하고 그 후 회복하기가 훨씬 더 어렵다. 또한 정치와 사람들의 문제도 있다. 좋은 보안상의 이유로 많은 조직들은 Active Directory에 기기를 가입할 수 있는 사용자를 엄격하게 통제하고 있다. 인프라 시스템을 회사 Active Directory 인스턴스에 가입시키려면 적절한 액세스가 필요하며, 이것이 팀 간의 원활한 관계는 아니다. 많은 조직에서 도메인 가입은 vSphere Admin에게 자주 발생하지 않기 때문에 AD 지원 팀이 비활성 계정을 감사할 때 vSphere Admin의 도메인 가입 계정을 비활성화하게 되고, 이는 향후에 vSphere Admin을 매우 부적절한 시기에 놀라게 할 수 있다. 이것은 어느 팀도 비난할 것이 아니다. 각 팀은 특히 보안을 위해 목표와 니즈가 다르고, 컴플라이언스 요구에도 불구하고 둘을 조화시키기는 어렵다.

좋은 울타리가 좋은 이웃을 만든다는 격언은 IT에서도 이웃에 있는 것만큼 진실하다. LDAP과 OAUTH2는 업계 표준 인증 프로토콜이며, 이들의 사용은 vCenter Server와 Active Directory 간뿐만 아니라 이러한 시스템을 지원하는 팀 간의 멋진 깨끗한 인터페이스를 제공한다. LDAP/LDAPS로의 변경은 규칙의 복잡성과 문제해결을 줄임으로써 방화벽과 같은 다른 시스템에도 긍정적인 영향을 미칠 것 같다. LDAP로 의존성 및 의존성 루프 상황을 제어하는 것이 더 쉽다. 마지막으로, vCenter Server에서 도메인 컨트롤러로의 직접 연결만 공식적으로 지원하지만, LDAP & LDAPS와 같은 프로토콜을 사용하면 애플리케이션 로드 밸런서와 기타 기술을 사용한 이중화 및 페일오버를 도입할 수 있는 기회를 제공할 수 있으며, 이는 IWA에 사용되는 Linux 기반 윈도우즈 도메인 연결이 결코 도입할 수 없는 유연성을 가지고 있다.

Microsoft AD LDAP 서명 변경사항 및 Event ID 2889 로그 항목과 관련이 있는가?

vSphere에서 여러 개의 중복 인증 방법을 사용하는 복잡성을 직접 설명하지는 않지만, 그런데, 만약 당신이 IWA를 사용하고 있고 2889 이벤트를 보고 있다면 우리는 그것이 왜 그런지 그리고 왜 당신이 여전히 안전한지에 대한 지침을 발표했다.

ESXi에 미치는 영향

ESXi도 Active Directory 도메인에 가입할 수 있으며, 해당 기능도 더 이상 사용되지 않는다(그러나 IWA와 동일한 조건으로 계속 지원됨). 현재 대안은 로컬 사용자 계정을 사용하거나 로컬 로그인을 방지하는 잠금 모드를 사용하고 vCenter Server에 있는 RBAC(Role-Based Access Control)를 통해 모든 구성 및 사용을 지시하는 것이다.

그러면 vCenter Server는 앞으로 나아가는 인증에 무엇을 사용해야 하는가?

앞으로 나아가는 두 가지 주요 인증 메커니즘은 LDAPS와 Identity Federation을 통한 AD가 될 것이다. vSphere 7은 동일하게 잘 지원하며, 이전 버전의 vSphere는 LDAPS를 통한 AD도 지원한다.

LDAP을 통한 AD도 지원되지만, 항상 TLS와의 모든 네트워크 통신을 보호하는 것이 좋다. TLS를 사용하도록 설정하려면 인증서를 사용하여 Active Directory 도메인 컨트롤러를 구성하고 LDAPS를 사용하도록 vCenter Server를 구성한다. Identity Federation은 암호화에 크게 의존하고 있으며, vCenter Server와 ADFS 간의 통신이 보안되어 있다.

인증 방법을 전환하는 방법

이전 인증 방법을 제거한 후 동일한 도메인 정보를 사용하여 다른 프로토콜로 다시 만들 수 있다. Technical Account Manager 중 한 명인 Bill Hill이 수행한 TAM Lab 048에 좋은 예가 나와 있다. 그의 동영상은 vSphere를 LDAP에서 LDAPS로 전환하는 것을 보여준다.

우리는 항상 vSphere 관리자가 운영 환경에서 변경 사항을 테스트하기 전에 변경 사항을 테스트할 것을 권장한다. 이를 위한 가장 좋은 방법은 중첩된 ESXi를 사용하는 것이다. 해당 vCenter Server가 ESXi를 관리하도록 VM에 ESXi를 테스트하고 설치하기 위한 소규모 vCenter Server를 배포하십시오(새 VM을 구성할 때 운영 체제 목록에서 "ESXi 6.5 이상"을 선택하십시오). 설정이 완료되면 모든 것을 종료하고 스냅샷을 작성할 수 있으므로 환경이 지저분해지면 작업 및 청정 상태로 복원할 수 있다. 중첩된 ESXi를 직접 지원하지는 않지만, Hands-on Labs의 작동 방식과 테스트를 수행하는 사용자 수. 인증과 같은 것들을 테스트할 수 있는 좋은 방법이다.

맺음말

vSphere & 보안과 관련하여 올바른 작업을 쉽게 수행할 수 있도록 하고 있으며 기본적으로 vSphere를 안전하게 하고 있다. 변화는 달갑지 않을 수 있지만, 복잡성을 줄이고, 지원을 개선하고, 인증 시스템과 고객 사이의 경계를 더 잘 긋기 위한 것이라면 우리는 그것이 큰 승리라고 생각한다. vSphere 7.0의 사용 기간 동안 Integrated Windows Authentication의 지속적인 전폭적인 지원과 교체로 사용할 수 있는 표준 옵션으로 전환이 더욱 쉬워졌다. 우리는 동의하기를 바란다!

항상 그렇듯이, 우리의 고객으로서 감사드리며, 어떻게 하면 여러분의 삶과 인프라를 더 안전하게 만들 수 있는지 알려주십시오.