

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Active Directory 동기화
<a name="active-directory-sync"></a>


## 런타임 구성
<a name="active-directory-sync-runtime"></a>

Active Directory(AD)와 관련된 모든 AWS CloudFormation 파라미터는 설치 중에 선택 사항입니다.

![\[Active Directory 선택적 세부 정보\]](http://docs.aws.amazon.com/ko_kr/res/latest/ug/images/active-directory-details.png)


런타임에 제공된 보안 암호 ARN(예: `ServiceAccountCredentialsSecretArn` 또는 `DomainTLSCertificateSecretArn`)의 경우 RES가 보안 암호 값을 읽을 수 있는 권한을 얻으려면 보안 암호에 다음 태그를 추가해야 합니다.
+ 키: `res:EnvironmentName`, 값: `<your RES environment name>`
+ 키: `res:ModuleName`, 값: `directoryservice`

웹 포털의 모든 AD 구성 업데이트는 예약된 다음 AD 동기화(시간별) 중에 자동으로 선택됩니다. 사용자는 AD 구성을 변경한 후 SSO를 다시 구성해야 할 수 있습니다(예: 다른 AD로 전환하는 경우).

초기 설치 후 관리자는 자격 **증명 관리** 페이지의 RES 웹 포털에서 AD 구성을 보거나 편집할 수 있습니다.

![\[Active Directory 도메인 구성 설정 세부 정보\]](http://docs.aws.amazon.com/ko_kr/res/latest/ug/images/res-active-directory-domain.png)


![\[Active Directory 동기화 팝업\]](http://docs.aws.amazon.com/ko_kr/res/latest/ug/images/active-directory-synchronization.png)


### Active Directory 자동 조인
<a name="toggle-join-active-directory"></a>

관리자는 VDI 시작 중에 디렉터리 도메인 ** 조인 동작을 제어하도록 Active Directory 자동 ** 조인 설정을 구성할 수 있습니다.

 ** 구성 옵션: ** 
+  ** 활성화됨 **- 시작 중에 Windows 및 Linux VDIs에 자동으로 조인합니다.
+  ** 비활성화됨 ** - 자동 도메인 조인을 끕니다. Linux 인스턴스는 도메인 조인 유무에 관계없이 시작할 수 있습니다. Windows 인스턴스를 성공적으로 시작하려면 도메인 조인이 필요하므로 관리자는 사용자 지정 시작 스크립트에 도메인 조인 로직을 포함해야 합니다.

**중요**  
 이 설정을 비활성화하는 경우 Windows 인스턴스 사용자 지정 시작 스크립트에 필요한 도메인 조인 로직이 포함되어 있는지 확인합니다.

### 추가 설정
<a name="active-directory-sync-addl-settings"></a>

**필터**

관리자는 사용자 필터 및 그룹 필터 옵션을 사용하여 동기화할 **사용자** 또는 그룹을 필터링할 수 **있습니다**. 필터는 [LDAP 필터 구문](https://ldap.com/ldap-filters/)을 따라야 합니다. 예제 필터는 다음과 같습니다.

```
(sAMAccountname=<user>)
```

**사용자 지정 SSSD 파라미터**

관리자는 SSSD 파라미터와 값을 포함하는 키-값 페어 사전을 제공하여 클러스터 인스턴스에서 SSSD 구성 파일의 `[domain_type/DOMAIN_NAME]` 섹션에 쓸 수 있습니다. RES는 SSSD 업데이트를 자동으로 적용합니다. 즉, 클러스터 인스턴스에서 SSSD 서비스를 다시 시작하고 AD 동기화 프로세스를 트리거합니다.

몇 가지 일반적인 사용자 지정 SSSD 설정은 다음과 같습니다.
+ `enumerate` - 디렉터리 서비스의 모든 사용자 및 그룹 항목을 캐싱하려면 'true'로 설정합니다. 이를 비활성화하면 사용자의 첫 로그인이 잠시 지연될 수 있습니다.
+ `ldap_id_mapping` - LDAP/AD 사용자 및 그룹 IDs를 Linux 시스템의 로컬 UIDs 및 GIDs에 매핑하려면 'true'로 설정합니다. 이를 활성화하면 기존 POSIX 스크립트 및 애플리케이션과의 호환성이 향상될 수 있습니다.

SSSD 구성 파일에 대한 전체 설명은의 Linux 맨 페이지를 참조하세요`SSSD`.

![\[추가 SSSD 구성\]](http://docs.aws.amazon.com/ko_kr/res/latest/ug/images/res-additional-sssd-config1.png)


SSSD 파라미터 및 값은 여기에 설명된 대로 RES SSSD 구성과 호환되어야 합니다.
+ `id_provider`는 RES에 의해 내부적으로 설정되며 수정해서는 안 됩니다.
+ `ldap_uri`, `ldap_search_base` `ldap_default_bind_dn` 및를 포함한 AD 관련 구성`ldap_default_authtok`은 제공된 다른 AD 구성을 기반으로 설정되므로 수정해서는 안 됩니다.

다음 예시에서는 SSSD 로그에 대한 디버그 수준을 활성화합니다.

![\[입력된 새 키 및 값 페어를 보여주는 추가 SSSD 구성\]](http://docs.aws.amazon.com/ko_kr/res/latest/ug/images/res-additional-sssd-config2.png)


## 초기 AD 동기화 후 이메일 업데이트(릴리스 2025.09 이상)
<a name="ad-sync-update-email"></a>

활성 디렉터리 사용자의 이메일 주소가 변경된 경우 관리자는 AD 동기화를 수동으로 시작하거나 변경 사항이 픽업되어 RES에 동기화될 때까지 예약된 다음 AD 동기화를 기다릴 수 있습니다.

## 동기화를 수동으로 시작하거나 중지하는 방법(릴리스 2025.03 이상)
<a name="active-directory-sync-start-stop"></a>

**자격 증명 관리** 페이지로 이동하여 **Active Directory 도메인** 컨테이너에서 **AD 동기화 시작** 버튼을 선택하여 AD 동기화를 온디맨드로 트리거합니다.

![\[Active Directory 도메인 구성\]](http://docs.aws.amazon.com/ko_kr/res/latest/ug/images/res-ad-directory-sync1.png)


진행 중인 AD 동기화를 중지하려면 **Active Directory 도메인** 컨테이너에서 **AD 동기화 중지** 버튼을 선택합니다.

![\[동기화 중지 옵션을 보여주는 Active Directory 도메인 구성 페이지\]](http://docs.aws.amazon.com/ko_kr/res/latest/ug/images/res-ad-directory-sync2.png)


**Active Directory 도메인** 컨테이너에서 AD 동기화 상태와 최신 동기화 시간을 확인할 수도 있습니다.

![\[최신 동기화 시간을 보여주는 Active Directory 도메인 구성 페이지\]](http://docs.aws.amazon.com/ko_kr/res/latest/ug/images/res-ad-directory-sync3.png)


## 동기화를 수동으로 실행하는 방법(릴리스 2024.12 및 2024.12.01)
<a name="active-directory-sync-manually"></a>

Active Directory 동기화 프로세스가 클러스터 관리자 인프라 호스트에서 백그라운드의 일회성 Amazon Elastic Container Service(ECS) 작업으로 이동되었습니다. 프로세스는 1시간마다 실행되도록 예약되어 있으며 진행 중인 `<res-environment-name>-ad-sync-cluster` 클러스터 아래의 Amazon ECS 콘솔에서 실행 중인 ECS 작업을 찾을 수 있습니다.

**수동으로 시작하려면:**

1. [Lambda 콘솔](https://console.aws.amazon.com/lambda)로 이동하여 라는 Lambda를 검색합니다`<res-environment>-scheduled-ad-sync`.

1. Lambda 함수를 열고 **테스트**로 이동합니다.

1. **이벤트 JSON**에 다음을 입력합니다.

   ```
   {
       "detail-type": "Scheduled Event"
   }
   ```

1. **테스트**를 선택합니다.

1. **CloudWatch** → 로그 **그룹 →에서 실행 중인 AD 동기화 작업의 로그를 관찰합니다**`/<environment-name>/ad-sync`. 실행 중인 각 ECS 작업의 로그가 표시됩니다. 로그를 보려면 가장 최근를 선택합니다.

**참고**  
AD 파라미터를 변경하거나 AD 필터를 추가하면 RES는 새로 지정된 파라미터를 고려하여 새 사용자를 추가하고 이전에 동기화되어 더 이상 LDAP 검색 공간에 포함되지 않은 사용자를 제거합니다.
RES는 프로젝트에 활성으로 할당된 사용자 또는 그룹을 제거할 수 없습니다. RES가 사용자를 환경에서 제거하도록 하려면 프로젝트에서 사용자를 제거해야 합니다.

## SSO 구성
<a name="active-directory-sync-sso-config"></a>

AD 구성이 제공된 후 사용자는 RES 웹 포털에 AD 사용자로 로그인할 수 있도록 SSO(Single Sign-On)를 설정해야 합니다. SSO 구성이 **일반 설정** 페이지에서 새 **자격 증명 관리** 페이지로 이동되었습니다. SSO 설정에 대한 자세한 내용은 섹션을 참조하세요[자격 증명 관리](manage-users.md).