Active Drectory란

Active Driectory Services

Acttive Dricertory는 디렉터리 서비스로 조직의 사용자, 컴퓨터, 그룹, 보안 정책 등을 중앙에서 제어하고 인증하는데 사용되는 서비스입니다. 조직의 사용자, 컴퓨터, 그룹, 보안 정책과 같은 정보들을 계층형 디렉터리 구조로 저장하여 관리할 수 있는 서비스입니다. 

 

계층형 디렉터리 구조란?

 Windows 혹은 Linux와 같이 OS에서 볼 수 있는 폴더 혹은 디렉터리와 같다고 생각하면 이해하기 편합니다. 최상위 디렉터리에서 하위로 뻗어나가는 트리구조를 이루고 있습니다. 

AD에서의 디렉터리는 조직 혹은 회사의 자원을 논리적인 계층 구조 보관하여 조직 관리를 용이하게 합니다. 즉 AD의 디렉터리 구조를 하나의 데이터베이스로 정의 할 수 있습니다.

 

AD 주요 구성요소

1. 도메인(Domain)

- AD의 기본 구성 단위로, 하나의 도메인은 하나의 네트워크를 의미합니다.

- 각 도메인은 고유한 DNS를 가지며 이 이름을 통해 다른 도메인과 구분할 수 있습니다.

- 도메인이 여러개 일 경우 부모 도메인과 자식 도메인으로 관리할 수 있습니다. 

 

2. 트리(Tree)

- 하나의 도메인이 계층적으로 연결된 구조를 의미합니다. 최상위 도메인을 루트 도메인 이라고 하며, 하위 도메인들이 트리 구조로 연결됩니다. 

 

3. 포리스트(Forest)

- 트리의 집합으로 하나 이상의 트리로 구성된 가장 큰 논리적 구조입니다. 여러 개의 트리로 구성된 것을 포리스트라고 합니다.

- 포리스트는 AD의 최상위 보안 경계로 작용하여 포리스트 간 트러스트 관례를 통해 자원 공유가 가능합니다.

 

4. 조직구성 단위(OU)

- 도메인 내에서 개별적으로 리소스와 사용가 그룹을 관리하기 위한 논리적 단위입니다. 

- OU는 도메인 내에서 트리 구조를 이루며, OU 안에 또 다른 OU를 포함할 수 있습니다.

 

5. 스키마(Schema)

- AD 내의 모든 객체 유형과 그 속성들의 틀을 정의하는 구조입니다. 필요에 따라 스키마를 수정하거나 확장하여 객체 유형이나 속성을 추가 할 수 있습니다.

 

6. 글로벌 카탈로그(Global Catalog)

- 포리스트 내의 모든 객체에 대한 정보를 저장하는 데이터베이스로, 빠른 검색과 참조를 가능하게 합니다.

 

7. 트로스트(Trust)

- 도메인 또는 포리스트 사이에 신뢰 여부에 대한 관계를 나타내며, 트러스트 관계인 도메인 사이에는 양방향 트러스트를 갖습니다.

 

8. 도메인 컨트롤러(Domain Controller)

- 도메인 컨트롤러는 AD 서버 역할이 설치된 서버를 의미합니다. AD 내의 모든 요청과 디렉터리 서비스 요청을 처리하며, 여러 개의 도메인 컨트롤러를 둘 수 있으며, 서로 복제하여 일관성을 유지합니다. 

 

LDAP(Lightweight Directory Access Protocol)

  LDAP 프로토콜은 AD의 계층형 디렉터리 구조에 접근하기 위해 사용되는 프로토콜 입니다. 이름에서도 알 수 있듯이 기존의 DAP 프로토콜을 경량화 하여 만든 프로토콜입니다. 

  AD는 LDAP를 기본 프로토콜로 사용하여 사용자 인증, 디렉터리 검색, 권한 관리 등을 수행하며, 다른 애플리케이션과 통합하여 Single Sign On 기능을 제공할 수 있습니다. 즉 도메인에 가입된 계정으로 다른 애플리케이션에 로그인할 수 있도록 합니다.

  LDAP는 AD 뿐만 아니라 SSO 구현 및 애플리케이션 혹은 클라우드 서비스(AWS, GCP, Azure) 권한관리에 주로 사용되고 있습니다.