기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Kerberos에 대한 서비스 보안 주체 이름(SPNs) 구성
Amazon 에서 전송 중에 Kerberos 기반 인증 및 암호화를 사용하는 것이 좋습니다FSx. Kerberos는 파일 시스템에 액세스하는 클라이언트에게 가장 안전한 인증을 제공합니다.
별칭DNS을 FSx 사용하여 Amazon에 액세스하는 클라이언트에 대해 Kerberos 인증을 활성화하려면 Amazon FSx 파일 시스템의 Active Directory 컴퓨터 객체의 별DNS칭에 해당하는 서비스 보안 주체 이름(SPNs)을 추가해야 합니다. 는 한 번에 하나의 Active Directory 컴퓨터 객체에만 연결할 SPN 수 있습니다. 원본 파일 시스템의 Active Directory 컴퓨터 객체SPNs에 대해 구성된 DNS 이름에 가 있는 경우 먼저 삭제해야 합니다.
SPNs Kerberos 인증에는 두 가지가 필요합니다.
HOST/aliasHOST/alias.domain
별칭이 인 경우 finance.domain.com필요한 두 가지 는 SPNs다음과 같습니다.
HOST/finance HOST/finance.domain.com
참고
Amazon FSx 파일 시스템의 Active Directory(AD) 컴퓨터 객체에 HOST SPNs 대해 새 DNS를 생성하기 전에 Active Directory 컴퓨터 객체의 별칭에 HOST SPNs 해당하는 기존 를 삭제해야 합니다. DNS 별칭SPNs에 대한 이 AD에 있는 경우 Amazon FSx 파일 시스템에 SPN 대한 를 설정하려는 시도가 실패합니다.
다음 절차는 다음 일을 하는 방법을 설명합니다.
원본 파일 시스템의 Active Directory 컴퓨터 객체SPNs에서 기존 별DNS칭을 찾습니다.
있는 경우 기존 SPNs찾은 를 삭제합니다.
Amazon FSx 파일 시스템의 Active Directory 컴퓨터 객체에 SPNs 대한 새 DNS별칭을 생성합니다.
필요한 PowerShell Active Directory 모듈을 설치하려면
-
Amazon FSx 파일 시스템이 조인된 Active Directory에 조인된 Windows 인스턴스에 로그온합니다.
관리자 PowerShell 로 를 엽니다.
다음 명령을 사용하여 PowerShell Active Directory 모듈을 설치합니다.
Install-WindowsFeature RSAT-AD-PowerShell
원본 파일 시스템의 Active Directory 컴퓨터 객체SPNs에서 기존 DNS별칭을 찾고 삭제하려면
Active Directory의 컴퓨터 객체에 있는 다른 파일 시스템에 할당한 DNS별칭에 대해 를 SPNs 구성한 경우 파일 시스템의 컴퓨터 객체에 추가SPNs하기 전에 먼저 별칭SPNs을 제거해야 합니다.
다음 명령을 SPNs 사용하여 기존 명령을 찾습니다.
alias_fqdn## Find SPNs for original file system's AD computer object $ALIAS = "alias_fqdn" SetSPN /Q ("HOST/" + $ALIAS) SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])다음 예제 스크립트를 사용하여 이전 단계에서 HOST SPNs 반환된 기존 를 삭제합니다.
alias_fqdnfile_system_DNS_name
## Delete SPNs for original file system's AD computer object $Alias = "alias_fqdn" $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name-
1단계에서 파일 시스템과 연결한 각 DNS별칭에 대해 이전 단계를 반복합니다.
Amazon FSx 파일 시스템의 Active Directory 컴퓨터 객체SPNs에 설정하려면
다음 명령을 실행하여 Amazon FSx 파일 시스템에 SPNs 새로 설정합니다.
file_system_DNS_nameAmazon FSx 콘솔에서 파일 시스템 DNS 이름을 찾으려면 파일 시스템 을 선택하고 파일 시스템을 선택한 다음 파일 시스템 세부 정보 페이지에서 네트워크 및 보안 창을 선택합니다.
DescribeFileSystems API 작업의 응답으로 DNS 이름을 가져올 수도 있습니다.
alias_fqdn
## Set SPNs for FSx file system AD computer object $FSxDnsName = "file_system_DNS_name" $Alias = "alias_fqdn" $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost) ##Use one of the following commands, not both: Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"} ##Or SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name참고
원본 FSx 파일 시스템의 컴퓨터 객체SPN에 대한 AD에 별DNS칭SPN에 대한 이 있는 경우 Amazon 파일 시스템에 대한 를 설정하지 못합니다. 기존 를 찾고 삭제하는 방법에 대한 자세한 내용은 섹션을 SPNs참조하세요원본 파일 시스템의 Active Directory 컴퓨터 객체SPNs에서 기존 DNS별칭을 찾고 삭제하려면.
-
다음 예제 스크립트를 사용하여 새 SPNs DNS가 별칭에 대해 구성되어 있는지 확인합니다. 이 절차에서 앞서 설명한
HOST/대로 응답에 두 개의 HOST SPNs,alias_fqdnHOST/및 가 포함되어 있는지 확인합니다.aliasfile_system_DNS_nameDescribeFileSystems API 작업의 응답으로 DNS 이름을 가져올 수도 있습니다.
## Verify SPNs on FSx file system AD computer object $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSpn /L ${FSxAdComputer}.Name -
1단계에서 파일 시스템과 연결한 각 DNS별칭에 대해 이전 단계를 반복합니다.
