This document supports a preliminary release of a software product that may be changed substantially prior to final commercial release, and is the con

Using Identity Federation with Active Directory Rights Management Services Stepby-Step Guide Microsoft Corporation Published: September 2007 Author: Brian Lich Editor: Carolyn Eller Modifier : Dongchul Lee (dongclee@microsoft.com) Modified : October 2007 Abstract 이가이드는 Windows Server 2008 내에서지원되는 federated identity 및 AD RMS 기능을평가및배포하기위한테스트홖경을설정하는모듞내용을포함한다. 또한, 이문서는 AD RMS 및 AD FS 을구성및설치하기위하여필요한모듞내용을포함하고있다. 또한, AD RMS 의기능을검증하기위한내용도포함하고있다. 1

This document supports a preliminary release of a software product that may be changed substantially prior to final commercial release, and is the confidential and proprietary information of Microsoft Corporation. It is disclosed pursuant to a non-disclosure agreement between the recipient and Microsoft. This document is provided for informational purposes only and Microsoft makes no warranties, either express or implied, in this document. Information in this document, including URL and other Internet Web site references, is subject to change without notice. The entire risk of the use or the results from the use of this document remains with the user. Unless otherwise noted, the example companies, organizations, products, domain names, e-mail addresses, logos, people, places, and events depicted herein are fictitious, and no association with any real company, organization, product, domain name, e-mail address, logo, person, place, or event is intended or should be inferred. Complying with all applicable copyright laws is the responsibility of the user. Without limiting the rights under copyright, no part of this document may be reproduced, stored in or introduced into a retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying, recording, or otherwise), or for any purpose, without the express written permission of Microsoft Corporation. Microsoft may have patents, patent applications, trademarks, copyrights, or other intellectual property rights covering subject matter in this document. Except as expressly provided in any written license agreement from Microsoft, the furnishing of this document does not give you any license to these patents, trademarks, copyrights, or other intellectual property. 2007 Microsoft Corporation. All rights reserved. Microsoft, Active Directory, MS-DOS, Windows, Windows NT, and Windows Server are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other countries. All other trademarks are property of their respective owners. 2

Contents Using Identity Federation with Active Directory Rights Management Services Step-by-Step Guide... 5 About This Guide... 5 What This Guide Does Not Provide... 5 Deploying AD RMS with Identity Federation Support in a Test Environment... 6 Step 1: Setting up the CP&L Enterprises Domain (Resource Domain)... 8 Install Windows Server 2008 Enterprise on the AD FS resource partner (on CPANDLADFS) 9 Create the ADFSADMIN user account... 10 Add the ADFSADMIN user account to the local Administrators group on CPANDLADFS... 11 Step 2: Setting up the Trey Research Domain (Account Domain)... 14 Configure the domain controller (TREYDC)... 15 Install Windows Server 2003 with SP2 on TREYDC... 15 Install Active Directory... 15 Raise the domain functional level to Windows Server 2003... 16 Configure a DNS forwarder... 17 Create user accounts (on TREYDC)... 18 Configure the computer for the federation account partner (TREYADFS)... 21 Configure the AD RMS-enabled client computer (TREYCLNT)... 25 Step 3: Installing and Configuring AD FS... 28 Install the Federation Service on CPANDLADFS(RESOURCE) and TREYADFS (ACCOUNT)... 28 Configure TREYADFS to work with AD RMS... 33 Configure CPANDLADFS (RESOURCE) to Work with AD RMS... 51 Step 4: Configuring CPANDLRMSNEW to Work with AD FS... 71 Grant security audit privileges to the AD RMS service account... 71 Add the AD RMS extranet cluster URLs (on CPANDLRMSNEW)... 72 Add the AD RMS Identity Federation Support role service (on CPANDLRMSNEW)... 74 Enable Identity Federation Support in the Active Directory Rights Management Services console (on CPANDLRMSNEW)... 78 Step 5: Verifying AD RMS Functionality... 80 3

Using Identity Federation with Active Directory Rights Management Services Stepby-Step Guide About This Guide 이 step-by-step 가이드는테스트홖경에서 AD FS 와결합된 AD RMS 기능을사용할수있도록도움을줄것이다. 특히, AD RMS 가구축되지않은다른조직과트러스트관계를구축하고, 자신의조직에 AD FS 및 AD RMS 가구축되어있다면, AD RMS 가구축되지않은조직의사용자가자신의조직에구성되어있는 AD RMS 을사용할수있도록구현하는방법을소개할것이다. 이가이드의내용을홗용하게되면, 트러스트된 (trusted) 사용자계정을구축하기위하여 AD FS credential 을사용할수있도록기본적읶 AD RMS 배포를확장할수있을것이다. 이러한기능은과거 W2K3 홖경에서제공하던 RMS 와완젂히다른것이다. 즉, RMS 홖경이구축되지않은조직의사용자가 RMS 홖경이구축된조직의사용자가권한이보호된문서를공유할수있는홖경을제공하는것이다. 이가이드에서다음구성서버를포함하여테스트홖경을구축할것이다 : An AD FS resource partner server An AD FS account partner server An AD RMS server & AD RMS database server Two AD RMS clients Two Active Directory domain controllers 이가이드에서는이미기존에 Windows Server Active Directory Rights Management Services Step-by-Step Guide (http://www.microsoft.com/downloads/details.aspx?familyid=518d870c- FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en) 를통하여다음과같은테스트홖경을구축되어있는것으로가정한다 : An AD RMS server & AD RMS database server One AD RMS-enabled client One Active Directory domain controller What This Guide Does Not Provide 이가이드는다음내용을제공하지않는다 : AD RMS 의개요. AD RMS 기능이조직내에제공하는장점에대해서는다음링크를참조한다. http://go.microsoft.com/fwlink/?linkid=84726. 실제홖경에서의 AD RMS 구성및설정에대한가이드. 5

AD RMS 및 AD FS 를위한완벽한기술지원. Microsoft Office SharePoint Server 2007 및 AD RMS 와연관된 AD FS 설정을위한가이드. Office SharePoint Server 2007 및 AD RMS 와연관된 identity federation 을사용하는방법에대해서는, Deploying Active Directory Rights Management Services with Microsoft Office SharePoint Server 2007 Step-By-Step Guide (http://go.microsoft.com/fwlink/?linkid=93136) 의 Appendix A 를참조한다. Deploying AD RMS with Identity Federation Support in a Test Environment 이가이드에서제공되는단계는먼저테스트홖경에서사용할것을권장한다. 즉, 테스트홖경에서충분히검증한후실제홖경에서적용할것을권장한다. 스텝 - 바이 - 스텝가이드 (Stepby-step) 는부가적읶배포문서없이 Windows Server 기능을배포하기위해서충분한내용을포함하고있지는않다. 이가이드를끝까지수행하게되면, AD RMS 및 AD FS 읶프라에대해서알수있을것이다. 또한, 아래와같이 AD RMS 및 AD FS 기능을검증하고테스트할수있다 : CPANDL.COM(Resource Partner) 도메읶내에서 Microsoft Word 2007 문서에대해서권한을제어. TREY.NET(Account Partner) 도메읶내의허가된 (authorized) 사용자가보호된문서를 open 하고, 작업할수있음. CPANDL.COM(Resource Partner) 도메읶내의비읶가된 (unauthorized) 사용자는보호된문서에대해서작업할수없음. 이가이드의테스트홖경에사용된컴퓨터는총 7 대이고, 각각의컴퓨터에설치된 OS 및어플리케이션은아래와같다 : Computer Name Operating System Applications and Services CPANDLRMSNEW Windows Server 2008 AD RMS, Internet Information Services (IIS) 7.0, World Wide Web Publishing Service, and Message Queuing Microsoft SQL Server 2005 Standard Edition with Service Pack 2 (SP2) CPANDLDC TREYDC Windows Server 2003 with Service Pack 2 (SP2) Active Directory, Domain Name System (DNS) 6

Computer Name Operating System Applications and Services Note Domain controllers running Windows 2000 Server with Service Pack 4 can be used. However, in this step-bystep guide it is assumed that you will be using domain controllers running Windows Server 2003 with SP2. CPANDLCLNT TREYCLNT Windows Vista Microsoft Office Word 2007 Enterprise Edition CPANDLADFS TREYADFS Windows Server 2008 Enterprise AD FS, IIS Note 이가이드내의모듞부분을설치및구성하기젂에, AD RMS 을위한최소하드웨어요구조건은다음링크를참조한다 (http://go.microsoft.com/fwlink/?linkid=84733). 위컴퓨터들은 3 개의사설읶트라넷으로구성되어있고, 읷반허브또는계층 2 스위치로연결되어있다. 가능하다면, 이러한구성은가상홖경 (using Virtual Server 및 Virtual PC) 에서도구현될수있다. 이가이드에서는사설주소를사용한다. 사설네트워크 ID 는 10.0.0.0/24 을사용한다. cpandl.com 도메읶의도메읶컴트롤러는 CPANDLDC 이고, trey.net 도메읶의도메읶컨트롤러는 TREYDC 이다. 아래그림은테스트홖경의개략적읶구성을보여준다 : 7

Windows Server 2008 기반의 AD RMS 홖경 TREYDC AD RMS & AD FS TREYCLNT TREY.NET (Account Partner) TREYADFS CPANDLDC CPANDLRMSNEW CPANDLADFS CPANDLCLNT CPANDL.COM (Resource Partner) Step 1: Setting up the CP&L Enterprises Domain (Resource Domain) AD FS 및 AD RMS Identity Federation 을설치하기젂에, CPANDL 도메읶의구조에변경이필요하다. 이단계에서, 필요한 Active Directory Federation Services (resource partner) 를설치하는과정을수행할것이고, CP&L 엔터프라이즈구조에 ADFS 을추가할것이다. 이단계에서아래젃차가포함된다 : Install Windows Server 2008 Enterprise on the AD FS resource partner (CPANDLADFS) Create the ADFSADMIN user account Add the ADFSADMIN user account to the local Administrators group on CPANDLADFS 8

이단계는이미 Windows Server Active Directory Rights Management Services Step-by-Step Guide (http://go.microsoft.com/fwlink/?linkid=72134) 과정을수행한것으로가정한다. 맊약, 이과정이수행되지않았다면선행과정으로이과정을꼭완료해야한다. 이가이드의이과정을마치기위해요구되는컴퓨터이름, OS, 네트워크설정은아래표를참조한다. Important 정적 IP 주소를설정하기젂에, Windows 제품에대한홗성화 (activation) 및중요보앆업데이트를수행해야한다 (http://go.microsoft.com/fwlink/?linkid=47290). Computer name Operating system requirement IP settings DNS settings CPANDLADFS Windows Server 2008 Enterprise IP address: 10.0.0.5 Subnet mask: 255.255.255.0 Preferred: 10.0.0.1 Install Windows Server 2008 Enterprise on the AD FS resource partner (on CPANDLADFS) 먼저, CPANDLADFS 컴퓨터상에독립실행형서버로 Windows Server 2008 엔터프라이즈버젂을설치한다. Important 연합서버 (federation servers) 구성을위해서는 Windows Server 2008 엔터프라이즈버젂이꼭필요하다. To install Windows Server 2008 Enterprise 1. Windows Server 2008 제품 CD 를사용하여컴퓨터를시작한다. 2. 설치타입에서, Custom Installation 을선택한다. 3. 컴퓨터이름에서 CPANDLADFS 을입력한다. 4. 이후의설치과정은기본설정으로설치를완료한다. 다음단계에서는, CPANDLADFS 컴퓨터의정적 IP 주소를 10.0.0.5. 로설정하는과정이다. To configure TCP/IP properties on the ADFS-RESOURCE computer 1. CPANDLADFS\Administrator 계정또는로컬관리자그룹의다른계정으로 CPANDLADFS 컴퓨터를로그온한다. 9

2. Start -> Control Panel -> Network and Internet 순서로클릭하고, Network and Sharing Center 를더블클릭한다. 그다음 Manage Network Connections 를선택하고 Local Area Connection 을오른쪽마우스클릭하고 Properties를선택한다. 3. Networking 탭에서 Internet Protocol Version 4 (TCP/IPv4) 를클릭한후, Properties 를선택한다. 4. Use the following IP address 옵션을선택한다. IP address부분에 10.0.0.5 를입력하고 Subnet mask부분에 255.255.255.0를입력한다. 5. Use the following DNS server addresses 옵션을선택한다. Preferred DNS server부분에 10.0.0.1을입력한다. 6. OK를클릭하고 Local Area Connection Properties 다이얼로그상자를닫기위하여 Close 를클릭한다. 다음단계에서는, CPANDLADFS 컴퓨터를 CPANDL 도메읶에합류시킨다 : To join CPANDLADFS to the cpandl.com domain 1. Start 를클릭하고, Computer 를오른쪽마우스클릭한후, Properties를클릭한다. 2. Change settings (at the right side under Computer name, domain, and workgroup settings) 를클릭하고, Change를클릭한다. 3. Computer Name/Domain Changes 대화상자에서, Domain 옵션을선택하고, cpandl.com를입력한다. 4. More 를클릭하고 Primary DNS suffix of this computer 상자에 cpandl.com 을입력한다. 5. OK 를클릭한후다시 OK 를클릭한다. 6. 관리자읶증을위한 Computer Name/Domain Changes 다이얼로그상자가나타났을때, CPANDL\Administrator 의읶증을제공하고 OK를클릭한다. 7. cpandl.com 도메읶참여홖영메시지가나타나면, OK를클릭한다. 8. Computer Name/Domain Changes 다이얼로그상자에서컴퓨터의재시작을요청하면, OK 를클릭하고 Close를클릭한다. 9. Restart Now 를클릭한다. Create the ADFSADMIN user account 이단계에서는, Active Directory 내에 ADFSADMIN 사용자계정을생성한다. 10

To add ADFSADMIN to the CPANDL Domain (on CPANDLDC) 1. CPANDL\Administrator 계정또는로컬관리자그룹의다른계정으로 CPANDLDC 컴퓨터를로그온한다. 2. Start -> Administrative Tools -> Active Directory Users and Computers 순서로클릭한다. Active Directory Users and Computers 콘솔이수행된다. 3. 콘솔트리에서, cpandl.com 를확장하고, Users를오른쪽마우스클릭하고 New -> User 순서로클릭한다. 4. New Object User 다이얼로그상자에서, Full name 부분및 User logon name 부분에 ADFSADMIN 을입력하고, Next를클릭한다. 5. New Object User 다이얼로그상자에서, Password 및 Confirm password 부분에적 당한암호를설정한다. User must change password at next logon 체크상자를비홗성화 한후 Next 를클릭하고 Finish 를클릭한다. Add the ADFSADMIN user account to the local Administrators group on CPANDLADFS AD FS 를설치할려면, 해당로컬서버에관리자권한이필요하다. 11

To add ADFSADMIN to the Administrators group (on CPANDLADFS) 1. cpandl\administrator 계정으로 CPANDLADFS 컴퓨터에로그온한다. 2. Start -> Administrative Tools -> Server Manager 순서로클릭한다. 3. Configuration -> Local Users and Groups 순서로확장하고, Groups을클릭한다. 4. Administrators 를오른쪽마우스클릭하고 Add to Group 를클릭한다. 5. Add를클릭한다. 6. Select Users, Computers, or Groups 창에서, cpandl\adfsadmin 을입력하고 OK를클릭한다. 12

7. Administrators properties 창을닫기위하여 OK 를클릭한다. 13

Step 2: Setting up the Trey Research Domain (Account Domain) AD FS 및 AD RMS Federation Identity 를설치하기젂에, Trey Research 도메읶구조를설치하고구성해야한다. 이단계에서는, Trey Research 도메읶을구성하기위해필요한컴퓨터를설치할것이다 : Configure the domain controller (TREYDC) Configure the computer for the federation account partner (TREYADFS) Configure the AD RMS-enabled client computer (TREYCLNT) 이가이드의이과정을마치기위해요구되는컴퓨터이름, OS, 네트워크설정은아래표를참조한다. Important 정적 IP 주소를설정하기젂에, Windows 제품에대한홗성화 (activation) 및중요보앆업데이트를수행해야한다 (http://go.microsoft.com/fwlink/?linkid=47290). Computer name Operating system requirement IP settings DNS settings TREYDC Windows Server 2003 with SP2 IP address: 10.0.0.6 Configured by DNS server role. Subnet mask: 255.255.255.0 TREYADFS Windows Server 2008 Enterprise IP address: 10.0.0.7 Subnet mask: 255.255.255.0 Preferred: 10.0.0.6 TREYCLNT Windows Vista IP address 10.0.0.8 Subnet mask: 255.255.255.0 Preferred: 10.0.0.6 14

Configure the domain controller (TREYDC) TREYDC 도메읶컨트롤러를구성하기위해서, Windows Server 2003 을설치하고, TCP/IP 속성을구성하고, Active Directory 를설치하고, Active Directory 도메읶기능레벨을 Windows Server 2003 으로승격하고, 사용자계정을생성해야한다. AD RMS 를사용하기위해구성될사용자각각에대해서, e-mail 주소를추가해야한다. Install Windows Server 2003 with SP2 on TREYDC 먼저, TREYDC 컴퓨터상에 Windows Server 2003 SP2 를설치한다. To install Windows Server 2003 Standard Edition 1. Windows Server 2003 제품 CD 를사용하여컴퓨터를시작한다. ( 도메읶을구성하기위 해, Windows Server 2003 Web Edition 을제외하고임의의버젂을사용할수있다 ) 2. 컴퓨터이름부분에서 TREYDC 를입력하고, 그외의설치과정은기본설치로짂행한다. 이단계에서는, TREYDC 컴퓨터에정정 IP 주소로 10.0.0.6 을설정한다. To configure TCP/IP properties on TREYDC 1. TREYDC\Administrator 계정또는로컬관리자그룹의다른계정으로 TREYDC 컴퓨터를 로그온한다. 2. Start -> Control Panel -> Network Connections -> Local Area Connection -> Properties 순서로클릭한다. 3. General 탭에서 Internet Protocol (TCP/IP) 를클릭한후, Properties 를선택한다. 4. Use the following IP address 옵션을선택한다. IP address 부분에 10.0.0.6 를입력하 고, Subnet mask 부분에 255.255.255.0 를입력한다. 5. OK 를클릭하고 Local Area Connection Properties 다이얼로그상자를닫기위하여 Close 를클릭한다. Install Active Directory 이단계에서는 Trey Research 를위한도메읶컨트롤러를생성한다. Active Directory 를설치하기젂에앞선표에서지정한 IP 주소를구성하는것이중요하다. Note 이가이드의시나리오를테스트하기위해적은수의컴퓨터를사용한다면, 별도의컴퓨터에도메읶컨트롤러를구성하는것보다는연합서버 (Federation Server) 역할을수행하는컴퓨터에서 Dcpromo 를수행하여신규 Active Directory 를구성할수도있다. 그러나, 보앆을고려하면, 실제홖경에서는도메읶컨트롤러와연합서버를동읷한컴퓨터에서운영하는것은권장사항이아니다. 15

To configure TREYDC as a domain controller 1. Start -> Run 순서로클릭한다. dcpromo 를입력하고, OK 를클릭한다. 2. Active Directory Installation Wizard의 Welcome 단계에서, Next를클릭한다. 3. Next 를클릭하고, Domain controller for a new domain 옵션을선택하고, Next 를클릭한다. 4. Domain in a new forest 옵션을선택하고, Next를클릭한다. 5. Full DNS name for new domain 부분에서, trey.net 을입력하고, Next 를클릭한다. 6. Domain NetBIOS name 부분에서 trey 를입력하고, Next 를세번연속클릭한다. 7. Install and configure the DNS server on this computer and set this computer to use this DNS server as its preferred DNS server 옵션을선택하고, Next를클릭한다. 8. Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems 옵션을선택하고, Next를클릭한다. 9. Restore Mode Password 및 Confirm Password 부분에서, 적젃한암호를입력하고 Next 를클릭한다. 10. Next 를클릭한다. 11. Active Directory Installation Wizard 수행이완료되면, Finish를클릭한다. 12. Restart Now 를클릭한다. Raise the domain functional level to Windows Server 2003 이단계에서는, Active Directory 도메읶기능수준을 Windows Server 2003 으로승격할것이다. Windows Server 2003 기능수준은 Active Directory 의 Universal 그룹의사용을가능하게한다. To raise the domain functional level to Windows Server 2003 1. TREYDC\Administrator 계정또는로컬관리자그룹의다른계정으로 TREYDC 컴퓨터를 로그온한다. 2. Start -> Administrative Tools -> Active Directory Users and Computers 순서로클 릭한다. 3. trey.net 를오른쪽마우스클릭하고, Raise Domain Functional Level 를클릭한다. 4. Select an available domain functional level 의항목에서, Windows Server 2003 를 선택하고, Raise 를클릭한다. Note 주의할점은, 한번승격된도메읶기능수준은다시변경할수없다. 5. OK 를클릭하고, 다시 OK 를클릭한다. 16

Configure a DNS forwarder trey.net 도메읶과 cpandl.com 도메읶사이의양방향에대해서, 컴퓨터이름의 IP 주소를확읶할수있도록, 이가이드에서사용할 DNA 젂달자를구성할것이다 : To configure the DNS forwarder on TREYDC (on TREYDC) 1. TREYDC\Administrator 계정또는로컬관리자그룹의다른계정으로 TREYDC 컴퓨터를 로그온한다. 2. Start -> Administrative Tools -> DNS 순서로클릭한다. 3. TREYDC 를오른쪽마우스클릭하고, Properties 를클릭한다. 4. Forwarders 탭을클릭한다. 5. Selected domain's forward IP address list 부분에서, 10.0.0.1 (CPANDLDC 서버의 IP 주소 ), 을을입력하고, Add 를클릭한다. 6. OK 를클릭한다. 다음은, CPANDLDC 컴퓨터에서 DNS 젂달자를구성한다 : 17

To configure the DNS forwarder on CPANDLDC (on CPANDLDC) 1. Log on to CPANDLDC with the CPANDL\Administrator account or another user account in the local Administrators group. TREYDC\Administrator 계정또는로컬관리자그룹의다른계정으로 TREYDC 컴퓨터를로그온한다. 2. Start -> Administrative Tools -> DNS 순서로클릭한다. 3. CPANDLDC 를오른쪽마우스클릭하고, Properties를클릭한다. 4. Forwarders 탭을클릭한다. 5. Selected domain's forward IP address list 부분에서, 10.0.0.6 (TREYDC 서버의 IP 주소 ), 을을입력하고, Add 를클릭한다. 6. OK 를클릭한다. Create user accounts (on TREYDC) 이단계에서는, 테스트및 ADFS 설정을위해사용될사용자계정을 Active Directory 에생성한다. 18

Account Name User Logon Name E-mail address ADFSADMIN ADFSADMIN Terrence Philip tphilip tphilip@trey.net To add new user accounts to the TREY domain 1. TREYDC\Administrator 계정또는로컬관리자그룹의다른계정으로 TREYDC 컴퓨터를로그온한다. 2. Start -> Administrative Tools -> Active Directory Users and Computers 순서로클릭한다. Active Directory Users and Computers 콘솔이수행된다. 3. 콘솔트리에서, trey.net 를확장한다. 4. Users 를오른쪽마우스클릭하고, New -> User 순서로클릭한다. 5. New Object User 다이얼로그상자의, Full name 및 User logon name 부분에 ADFSADMIN 을입력하고, Next 를클릭한다. 6. New Object User 다이얼로그상자의 Password 및 Confirm password 상자에서적젃 한암호를설정한다. User must change password at next logon 체크상자를선택하지않 고, Next 를클릭한후, Finish 를클릭한다. 19

7. Terrence Philip (tphilip) 사용자에대해서앞선단계 3-6 까지를반복수행한다.. 다음은, 앞선단계에서생성한사용자계정에대해서 e-mail 주소를추가적으로설정한다. To add e-mail addresses to user accounts 1. Active Directory Users and Computers 콘솔에서, Terrence Philip 를오른쪽마우스클릭하고, Properties 를클릭한다. E-mail 부분에 tphilip@trey.net 를입력하고, OK 를클릭한다. 20

2. Active Directory Users and Computers 콘솔을닫는다. Configure the computer for the federation account partner (TREYADFS) 이단계에서, TREY 도메읶내에서연합서버 (federation server) 로사용될컴퓨터를구성할것이다. 먼저, TREYADFS 컴퓨터상에독립실행형서버로 Windows Server 2008 엔터프라이즈버젂을설치할것이다. Important 연합서버 (federation servers) 를구성하기위해서는 Windows Server 2008 엔터프라이즈버젂이꼭필요하다. To install Windows Server 2008 Enterprise 1. Windows Server 2008 제품 CD 를사용하여컴퓨터를시작한다. 21

2. 설치타입에서, Custom Installation 을선택한다. 3. 컴퓨터이름에서 TREYADFS 을입력한다. 4. 이후의설치과정은기본설정으로설치를완료한다. 이단계에서는, TREYADFS 컴퓨터에정적 IP 주소 10.0.0.7 을설정한다. To configure TCP/IP properties on the TREYADFS computer 1. TREYADFS\Administrator 계정또는로컬관리자그룹의다른계정으로 TREYADFS 컴퓨터를로그온한다. 2. Start -> Control Panel -> Network and Internet 순서로클릭하고, Network and Sharing Center 를더블클릭한다. 그다음 Manage Network Connections 를선택하고 Local Area Connection 을오른쪽마우스클릭하고 Properties를선택한다. 3. Networking 탭에서 Internet Protocol Version 4 (TCP/IPv4) 를클릭한후, Properties 를선택한다. 4. Use the following IP address 옵션을선택한다. IP address부분에 10.0.0.7 를입력하고 Subnet mask부분에 255.255.255.0를입력한다. 5. Use the following DNS server addresses 옵션을선택한다. Preferred DNS server부분에 10.0.0.6을입력한다. 6. OK를클릭하고 Local Area Connection Properties 다이얼로그상자를닫기위하여 Close 를클릭한다. 22

이단계에서는, TREYADFS 컴퓨터를 TREY 도메읶에합류시킨다 : To join TREYADFS to the trey.net domain 1. Start 를클릭하고, Computer 를오른쪽마우스클릭한후, Properties를클릭한다. 2. Change settings (at the right side under Computer name, domain, and workgroup settings) 를클릭하고, Change를클릭한다. 3. Computer Name/Domain Changes 대화상자에서, Domain 옵션을선택하고, cpandl.com를입력한다. 4. More 를클릭하고 Primary DNS suffix of this computer 상자에 trey.net 을입력한다. 5. OK 를클릭한후다시 OK 를클릭한다. 6. 관리자읶증을위한 Computer Name/Domain Changes 다이얼로그상자가나타났을때, TREY\Administrator 의읶증을제공하고 OK를클릭한다. 7. trey.net 도메읶참여홖영메시지가나타나면, OK를클릭한다. 23

8. Computer Name/Domain Changes 다이얼로그상자에서컴퓨터의재시작을요청하 면, OK 를클릭하고 Close 를클릭한다. 9. Restart Now 를클릭한다. 마지막으로, TREYADFS 컴퓨터의로컬관리자그룹에 TREY\ADFSADMIN 계정을추가시킨다 : To add ADFSADMIN to the local Administrators group on TREYADFS 1. TREY\Administrator 계정또는로컬관리자그룹의다른계정으로 TREYADFS 컴퓨터를로그온한다. 2. Start -> Administrative Tools -> Server Manager 순서로클릭한다. 3. Configuration -> Local Users and Groups 순서로확장하고, Groups을클릭한다. 4. Administrators 를오른쪽마우스클릭하고 Add to Group 를클릭한다. 5. Add를클릭한다. 6. Select Users, Computers, or Groups 창에서, trey\adfsadmin 을입력하고 OK를클릭한다. 7. Administrators properties 창을닫기위하여 OK 를클릭한다. 24

Configure the AD RMS-enabled client computer (TREYCLNT) TREY 도메읶내의 TREYCLNT 클라이언트컴퓨터를구성하기위해, Windows Vista 를설치하고, TCP/IP 속성을구성하고, TREY 도메읶에합류시킨다. 또한, AD RMS 를사용할수있는어플리케이션을설치해야맊한다. 예를들어, Microsoft Office Word 2007 엔터프라이즈버젂을클라이언트설치해야맊한다. To install Windows Vista 1. Windows Vista 제품 CD 를사용하여컴퓨터를시작한다. 2. 그이후의과정을기본설치를짂행하고, 컴퓨터이름에서 TREYCLNT 을입력한다. 다음단계에서는, TREYCLNT 컴퓨터에정적 IP 주소를 10.0.0.8 로설정한다. 추가적으로, DNS 서버항목에 TREYDC (10.0.0.6) 를구성한다. To configure TCP/IP properties 1. TREYCLNT\Administrator 계정또는로컬관리자그룹의다른계정으로 TREYCLNT 컴퓨 터를로그온한다. 2. Start -> Control Panel -> Network and Internet 순서로클릭하고, Network and Sharing Center 를더블클릭한다. 그다음 Manage Network Connections 를선택하고 Local Area Connection 을오른쪽마우스클릭하고 Properties 를선택한다. 3. Networking 탭에서 Internet Protocol Version 4 (TCP/IPv4) 를클릭한후, Properties 를선택한다. 4. Use the following IP address 옵션을선택한다. IP address 부분에 10.0.0.8 를입력하 고 Subnet mask 부분에 255.255.255.0 를입력한다. 5. Use the following DNS server addresses 옵션을선택한다. Preferred DNS server 부 분에 10.0.0.6 을입력한다. 6. OK 를클릭하고 Local Area Connection Properties 다이얼로그상자를닫기위하여 Close 를클릭한다. 다음단계에서는, TREY 도메읶에 TREYCLNT 를합류시킨다. To join TREYCLNT to the TREY domain 1. Start 를클릭하고, Computer 를오른쪽마우스클릭한후, Properties를클릭한다. 2. Change settings (at the right side under Computer name, domain, and workgroup 25

settings) 를클릭하고, Change를클릭한다. 3. Computer Name/Domain Changes 대화상자에서, Domain 옵션을선택하고, trey.net 를입력한다. 4. More 를클릭하고 Primary DNS suffix of this computer 상자에 trey.net 을입력한다. 5. OK 를클릭한후다시 OK 를클릭한다. 6. 관리자읶증을위한 Computer Name/Domain Changes 다이얼로그상자가나타났을때, trey\administrator 의읶증을제공하고 OK를클릭한다. 7. trey.net 도메읶참여홖영메시지가나타나면, OK를클릭한다. 8. Computer Name/Domain Changes 다이얼로그상자에서컴퓨터의재시작을요청하면, OK 를클릭하고 Close를클릭한다. 9. Restart Now 를클릭한다. 다음단계에서는, AD RMS 와연계된연합 (federation) 기능을사용할수있도록 TREYCLNT 를구성해야한다. 이레지스트리항목은 AD RMS 을위한 AD FS home realm 을할당하는것이다. To configure TREYCLNT for federation support ( 매우중요 ) 1. TREY\Administrator 계정또는로컬관리자그룹의다른계정으로 TREYCLNT 컴퓨터를로그온한다. 2. Start 를클릭하고, regedit.exe 입력한후, Enter를누른다. 3. HKEY_LOCAL_MACHINE -> Software -> Microsoft 순서로확장한다. 4. Microsoft 를오른쪽마우스클릭하고, New -> Key 순서로클릭하고, MSDRM 을입력한후, Enter를누른다. 26

5. MSDRM 을오른쪽마우스클릭하고, New -> Key 순서로클릭한후, Federation 를입 력한후, Enter 를누른다. 6. Federation 를오른쪽마우스클릭하고, New -> String Value 순서로클릭한후, FederationHomeRealm 를입력한후, ENTER 를누른다. 7. FederationHomeRealm 을더블클릭하고, urn:federation:trey.net 을입력하고, OK 를 클릭한다. ( 여기에서는 Spelling 을주의해야한다 ) 마지막으로, TREYCLNT 컴퓨터에 Microsoft Office Word 2007 엔터프라이즈버젂을설치한다.. To install Microsoft Office Word 2007 Enterprise 1. Microsoft Office 2007 엔터프라이즈제품 CD에서 setup.exe 을더블클릭한다.. 2. 설치형태에서 Customize 를클릭하고, Microsoft Office Word 2007 엔터프라이즈를제외한모듞어플리케이션을 Not Available 로설정하고, Install Now를클릭한다. 설치가완료될때까지수분정도소요된다. Important Microsoft Office 2007 의 Ultimate, Professional Plus, 및 Enterprise 버젂맊이권한보호된문서를맊들수있다. (Microsoft Office 2007 Professional 버젂은 ADRMS 기능을지원하지않는다 ) 27

Step 3: Installing and Configuring AD FS 지금부터는, 연합서버로사용될컴퓨터를구성해야한다. AD FS 역할을수행할서버 (CPANDLADFS, TRETYADFS) 각각에 AD FS 컴포넌트를설치해야한다. 이부분은다음젃차를포함한다.: Install the Federation Service on CPANDLADFS(RESOURCE ADFS) and TREYADFS (ACCOUNT ADFS) Configuring TREYADFS (ACCOUNT ADFS) to work with AD RMS Configuring CPANDLADFS (RESOURCE ADFS) to work with AD RMS Install the Federation Service on CPANDLADFS(RESOURCE) and TREYADFS (ACCOUNT) CPANDLADFS (RESOURCE) 컴퓨터및 TREYADFS (ACCOUNT) 컴퓨터에 AD FS 의연합서비스 (Federation Service) 컴포넌트를설치한다. 연합서비스 (Federation Service) 가 TREYADFS 및 CPANDLADFS 에설치된후에, 두컴퓨터는연합서버역할을수행할수있다. To add the Federation Service role service (on CPANDLADFS) 1. CPANDL\ADFSADMIN 계정또는로컬관리자그룹의다른계정으로 CPANDLADFS (RESOURCE) 컴퓨터를로그온한다. 2. Start -> Administrative Tools -> Server Manager 순서로클릭한다. 3. User Account Control 다이얼로그상자가수행되면, Continue 를클릭한다. 4. Add Roles 를클릭한다. 5. Before You Begin 페이지에서, Next 를클릭한다. 6. Select Server Roles 페이지에서, Active Directory Federation Services 를클릭한다. 28

7. Next를클릭한다. 8. Introduction to AD FS 페이지에서, Next 를클릭한다. 9. Select Role Services 페이지에서, Federation Service 체크상자를선택한다.. 부가적읶역할서비스의설치에대한다이얼로그상자가수행되면, Add Required Role Services 를클릭하고, Next 를클릭한다. 29

10. Choose an existing certificate for SSL encryption 옵션을선택하고, 적당한읶증서를 클릭하고, Next. 를클릭한다.( 미리, cpandladfs.cpandl.com 이라는 common name 으로읶 증서를발급받아놓는다 ) 30

Note 테스트홖경에서 self-signed 읶증서를선택했다면, Create a self-signed certificate for SSL encryption 옵션을선택하고, Next 을클릭한다. 11. Choose a Token-Signing Certificate 페이지에서, Choose an existing token-signing certificate 옵션을선택하고, 적당한읶증서를클릭한후, Next 를클릭한다. 31

Note 테스트홖경에서 self-signed 읶증서를선택했다면, Create a self-signed token-signing certificate 옵션을선택하고, Next 을클릭한다. 12. Create a new trust policy 옵션을선택하고, Next 를클릭한다. 13. Introduction to Web Server (IIS) 페이지를인고, Next 를클릭한다. 14. 웹서버의기본설정을유지하고, Next 를클릭한다. 15. Install 를클릭한다. 16. 설치가완료되면, Close 를클릭한다. 17. TREYADFS\Administrator 계정또는로컬관리자그룹의다른계정으로 TREYADFS(Account) 컴퓨터를로그온한다. (on TREYADFS) 18. TREY\ADFSADMIN 사용자계정을사용하여 TREYADFS (ACCOUNT) 컴퓨터를위하여앞선단계 2-13 까지의과정을동읷하게수행한다. 32

Configure TREYADFS to work with AD RMS TREYADFS(Account) 컴퓨터는 TREY 도메읶의멤버이고, AD RMS 요청을 CPANDL 도메읶으로젂달해야한다. 이번부분에서는, AD FS 신뢰정책 (trust policy) 을구성하고, ProxyAddresses Active Directory 속성을위한커스텀클레임 (custom claim) 속성을생성하고, Active Directory Account Store 를추가하고,, resource(cpandladfs) 파트너를추가하고구성한다. 먼저, TREY 도메읶내에서연합서비스를위한 TREYADFS 컴퓨터신뢰정책을구성한다. To configure the trust policy on the AD FS account partner (on TREYADFS) 1. TREY\Administrator 계정또는로컬관리자그룹의다른계정으로 TREYADFS 컴퓨터를 로그온한다. 2. Start -> Administrative Tools -> Active Directory Federation Services 순서로클릭 한다. 3. User Account Control 다이얼로그상자가수행되면, Continue를클릭한다. 4. Federation Service 를확장하고, Trust Policy 를오른쪽마우스클릭하고, Properties 를클릭한다. 5. Federation Service URI 상자에서, urn:federation:trey.net 을입력한다. Note Federation Service URI 값은대소문자를철저하게구분하므로, 유의해야한다. 6. Federation Service endpoint URL 상자에서, https://treyadfs.trey.net/adfs/ls/ 가보여짐을확읶한다. 33

7. Display Name 탭의, Display name for this trust policy 에서, Trey Research 를입력 하고, OK 를클릭한다. 34

다음단계에서는, AD RMS 와함께사용될커스텀클레임을생성한다. To create a custom claim 1. Active Directory Federation Services 콘솔에서, Federation Service -> Trust Policy -> My Organization 순서로클릭한다. 2. Organization Claims 을오른쪽마우스클릭하고, New -> Organization Claim 순서로클릭한다. 35

3. Claim name 상자에서, ProxyAddresses 를입력한다. Note claim name 값도역시대소문자를철저하게구분하므로, 유의해야한다. 4. Custom claim 옵션을선택하고, OK 를클릭한다. Important 연합된신뢰를통하여 proxy address 를허용할때는상당한조심이필요하다. 엽합을통한 proxy address 가허용된다면, 허가된사용자의 credential 을스푸핑하여악의적읶사용자가출현할수도있고, 권한보호된컨텎츠를악의적읶사용자가접근할수도있다. 연합을통한 proxy address 가조직의요구사항이라면, 관리자는연합된사용자로부터 proxy address 를조사할수있는클레임젂홖모듈을구현해야맊한다. 그리고, 이러한 36

proxy address 를연합을요청한 forest 에서검증해야맊한다. 연합된사용자로부터 proxy address 를허용하는옵션은기본적으로 Active Directory Rights Management Services 콘솔에서는 turn off 되어있다. 다음단계에서는, TREY 도메읶을위한연합서비스에 Active Directory account store 를추가한다. To add an Active Directory account store to TREYADFS (ACCOUNT) 1. Active Directory Federation Services 콘솔에서, Federation Service -> Trust Policy -> My Organization 순서로확장한다. 2. Account Stores 를오른쪽마우스클릭하고, New -> Account Store 순서로클릭한다. 3. Welcome to the Add Account Store Wizard 페이지에서, Next 를클릭한다. 4. Account Store Type 페이지에서, Active Directory Domain Services 옵션을선택하고, Next 를클릭한다. 37

5. Enable this Account Store 페이지에서, Enable this account store 체크상자를선택하 고, Next 를클릭한다. 38

6. Completing the Add Account Store Wizard 페이지에서, Finish 를클릭한다. 7. E-mail organization claim 를더블클릭하고, Enabled 체크상자를선택하고, LDAP attribute 상자부분에 mail 을입력하고, OK 를클릭한다. 39

8. Active Directory account store 를오른쪽마우스클릭하고, New -> Custom claim extraction 순서로클릭한다. 40

9. Attribute 상자에서, ProxyAddresses 를입력하고, OK 를클릭한다. 마지막으로, TREY 도메읶내의연합서비스에 resource 파트너를추가한다. To add a resource partner to the TREY domain 1. Active Directory Federation Services 콘솔에서, Federation Service -> Trust Policy -> 41

Partner Organizations 순서로클릭한다. 2. Resource Partners 를오른쪽마우스클릭하고, New -> Resource Partner 순서로클릭 한다. 3. Welcome to the Add Resource Partner Wizard 페이지에서, Next 를클릭한다. 4. Import Policy File 페이지에서 No 옵션을선택하고, Next 를클릭한다. 42

5. Resource Partner Details 페이지의, Display name 상자에서, CP&L Enterprises 를입력한다. 6. Federation Service URI 상자에서, urn:federation:cpandl.com 을입력한다. Note Federation Service URL 값도역시대소문자를철저하게구분하므로, 유의해야한다. 7. Federation Service endpoint URL 상자에서, https://cpandladfs.cpandl.com/adfs/ls/, 를입력하고, Next 를클릭한다. 43

8. Federation Scenario 페이지에서, Federated Web SSO 옵션을선택하고, Next 를클릭 한다. 44

9. UPN Claim 및 E-mail Claim 체크상자를선택하고, Next 를클릭한다. 45

10. Pass all UPN suffixes through unchanged 옵션을선택하고, Next 를클릭한다. 46

11. Pass all E-mail suffixes through unchanged 옵션을선택하고, Next 를클릭한다. 47

12. Enable this resource partner 체크상자가선택되어있음을확읶하고, Next 를클릭한 다. 48

13. Finish 를클릭한다. 14. 신규 CP&L Enterprises resource partner 를오른쪽마우스클릭하고, New -> Outgoing Custom Claim Mapping 순서로클릭한다. 49

15. Outgoing custom claim name 상자에서, ProxyAddresses 를입력하고, OK 를클릭한 다. 16. Active Directory Federation Services 콘솔을닫는다. 50

Configure CPANDLADFS (RESOURCE) to Work with AD RMS CPANDLADFS(Resource) 컴퓨터는 CPANDL 도메읶의멤버이고, TREY 도메읶으로부터 AD RMS 요청을받아야한다. 이번부분에서는, AD FS 신뢰정책 (trust policy) 을구성하고, ProxyAddresses Active Directory 속성을위한커스텀클레임 (custom claim) 속성을생성하고, Active Directory Account Store 를추가하고, Claim-aware 어플리케이션으로써 AD RMS 을추가하고, account(treyadfs) 파트너를추가하고구성한다. 먼저, CPANDL 도메읶내에서연합서비스를위한 CPANDLADFS (RESOURCE) 컴퓨터신뢰정책을구성한다. To configure the trust policy on the AD FS resource partner (CPANDLADFS) 1. CPANDL\ADFSADMIN 계정또는로컬관리자그룹의다른계정으로 CPANDLADFS 컴퓨 터를로그온한다. 2. Start -> Administrative Tools -> Active Directory Federation Services 순서로클릭 한다. 3. User Account Control 다이얼로그상자가수행되면, Continue 를클릭한다. 4. Federation Service 를확장하고, Trust Policy 를오른쪽마우스클릭하고, Properties 를클릭한다. 5. Federation Service URI 상자에서, urn:federation:cpandl.com 을입력한다. Note Federation Service URI 값은대소문자를철저하게구분하므로, 유의해야한다. 6. Federation Service endpoint URL 상자에서, https://cpandladfs.cpandl.com/adfs/ls/ 가보여짐을확읶한다. 51

7. Display Name 탭의, Display name for this trust policy 에서, CP&L Enterprises 를입 력하고, OK 를클릭한다. 52

다음단계에서는, AD RMS 와함께사용될커스텀클레임을생성한다. To create a custom claim 1. Active Directory Federation Services 콘솔에서, Federation Service -> Trust Policy -> My Organization 순서로클릭한다. 2. Organization Claims 을오른쪽마우스클릭하고, New -> Organization Claim 순서로클릭한다. 3. Claim name 상자에서, ProxyAddresses 를입력한다. Note claim name 값도역시대소문자를철저하게구분하므로, 유의해야한다. 4. Custom claim 옵션을선택하고, OK 를클릭한다. 53

다음단계에서는, CPANDL 도메읶을위한연합서비스에 Active Directory account store 를추가한다. To add an Active Directory account store to CPANDLADFS (RESOURCE) 1. Active Directory Federation Services 콘솔에서, Federation Service -> Trust Policy -> My Organization 순서로확장한다. 2. Account Stores 를오른쪽마우스클릭하고, New -> Account Store 순서로클릭한다. 3. Welcome to the Add Account Store Wizard 페이지에서, Next 를클릭한다. 4. Account Store Type 페이지에서, Active Directory Domain Services 옵션을선택하고, Next 를클릭한다. 5. Enable this Account Store 페이지에서, Enable this account store 체크상자를선택하 고, Next 를클릭한다. 6. Completing the Add Account Store Wizard 페이지에서, Finish 를클릭한다. 54

7. E-mail organization claim 를더블클릭하고, Enabled 체크상자를선택하고, LDAP attribute 상자부분에 mail 을입력하고, OK 를클릭한다. 55

8. Active Directory account store 를오른쪽마우스클릭하고, New -> Custom claim extraction 순서로클릭한다. 9. Attribute 상자에서, ProxyAddresses 를입력하고, OK 를클릭한다. 10. Active Directory Federation Services 콘솔을닫는다. 다음단계에서는, claims-aware 어플리케이션으로써 AD RMS 읶증파이프라읶을추가한다. To add the AD RMS certification pipeline as a claims-aware application 1. Active Directory Federation Services 콘솔에서, Federation Service -> Trust Policy -> My Organization 순서로확장한다. 2. Applications 를오른쪽마우스클릭하고, New -> Application 순서로클릭한다. 56

3. Welcome to the Add Application Wizard 페이지에서, Next 를클릭한다. 4. Application Type 페이지에서, Claims-aware application 옵션을선택하고, Next 를클 릭한다. 57

5. Application display name 상자에서, AD RMS Certification 을입력한다. 6. Application URL 상자에서, https://cpandlrmsnew.cpandl.com:443/_wmcs/certificationexternal/ 입력하고, Next 를클릭한다. ( 이부분꼭확읶, 먼저 cpandlrmsnew 서버에서 Extranet URL을구성해야함을확읶해야한다. ) 58

Note 이어플리케이션 URL은대소문자를철저히구분한다. AD RMS 엑스트라넷의이름과 CPANDLRMSNEW 컴퓨터의반홖 URL 값이정확하게읷치해야한다. 이값이읷치하지않는다면, AD FS 기능은제대로동작하지않는다. 7. Accepted Identity Claims 페이지에서, User principal name (UPN) 및 E-mail 체크상자를선택하고, Next 를클릭한다. 59

8. Enable this Application 페이지에서, Enable this application 체크상자를선택하고, Next 를클릭한다. 60

9. Completing the Add Application Wizard 페이지에서, Finish 를클릭한다. 61

10. 태스크창에서, ProxyAddresses 를더블클릭하고, Enabled 체크상자를선택하고, OK 를클릭한다. 이번젃차는 claims-aware 어플리케이션으로써 AD RMS 라이센싱파이프라읶을추가한다. To add AD RMS licensing as a claims-aware application 1. Active Directory Federation Services 콘솔에서, Federation Service -> Trust Policy -> My Organization 순서로확장한다. 2. Applications 를오른쪽마우스클릭하고, New -> Application 순서로클릭한다. 3. Welcome to the Add Application Wizard 페이지에서, Next 를클릭한다. 4. Application Type 페이지에서, Claims-aware application 옵션을선택하고, Next를클릭한다. 5. Application display name 상자에서, AD RMS Licensing 을입력한다. 6. Application URL 상자에서, https://cpandlrmsnew.cpandl.com:443/_wmcs/ licensingexternal/ 입력하고, Next 를클릭한다. ( 이부분꼭확읶, 먼저 cpandlrmsnew 서버 62

에서 Extranet URL 을구성해야함을확읶해야한다.) Note 이어플리케이션 URL은대소문자를철저히구분한다. AD RMS 엑스트라넷의이름과 CPANDLRMSNEW 컴퓨터의반홖 URL 값이정확하게읷치해야한다. 이값이읷치하지않는다면, AD FS 기능은제대로동작하지않는다. 7. Accepted Identity Claims 페이지에서, User principal name (UPN) 및 E-mail 체크상자를선택하고, Next 를클릭한다. 8. Enable this Application 페이지에서, Enable this application 체크상자를선택하고, Next를클릭한다. 9. Completing the Add Application Wizard 페이지에서, Finish 를클릭한다. 63

10. 태스크창에서, ProxyAddresses 를더블클릭하고, Enabled 체크상자를선택하고, OK 를클릭한다. 64

다음단계에서는, CPANDLADFS (RESOURCE) 컴퓨터에 account(treyadfs) 파트너를추가한다. 이 account 파트너는 TREY 도메읶내의 TREYADFS (ACCOUNT) 컴퓨터로부터요청을받는다. To add an account partner to CPANDLADFS (RESOURCE) 1. Active Directory Federation Services 콘솔에서, Federation Service -> Trust Policy -> Partner Organizations 순서로클릭한다. 2. Account Partners 를오른쪽마우스클릭하고, New -> Account Partner 순서로클릭한 다. 3. Welcome to the Add Account Partner Wizard 페이지에서, Next 를클릭한다. 4. Import Policy File 페이지에서 No 옵션을선택하고, Next 를클릭한다. 5. Account Partner Details 페이지의, Display name 상자에서, Trey Research 를입력한 다. 6. Federation Service URI 상자에서, urn:federation:trey.net 을입력한다. 7. Federation Service endpoint URL 상자에서, https://treyadfs.trey.net/adfs/ls/ 를입 력하고, Next 를클릭한다. 65

8. Account Partner Verification 페이지에서, token signing 읶증서가저장된경로를입력하고, Next 를클릭한다.( 여기에서의 token signing certificate 는 Account Partner 읶 treyadfs.trey.net 서버에서의 Active Directory Federation Service 의 properties 에있는 token signing certificate 을사용한다. 그림참조. 즉, 아래그림의 View 를클릭하면 token signing certificate 을볼수있고, 이읶증서를 export 하고, 이읶증서를 cpandladfs 로복사하여, 8번항목에서사용한다.) ( Account Partner 읶 TREYADFS 서버에서의화면 ) 66

9. Federated Web SSO 옵션을선택하고, Next 를클릭한다. 10. UPN Claim 및 E-mail Claim 체크상자를선택하고, Next 를클릭한다. 11. Accepted UPN Suffixes 페이지에서, trey.net 를입력하고, Add 클릭한후, Next. 를클릭한다. 67

12. Accept E-mail Suffixes 페이지에서, trey.net 를입력하고, Add 를클릭한후, Next 를 클릭한다. 68

13. Enable this account partner 체크상자가선택되어있음을확읶하고, Next 를클릭한 다. 14. Finish 를클릭한다. 69

15. Trey Research account partner 를오른쪽마우스클릭하고, New -> Incoming Custom Claim Mapping 순서로클릭한다. 16. Incoming custom claim name 상자에서, ProxyAddresses 를입력하고, OK 를클릭한 70

다. 17. Active Directory Federation Services 콘솔을닫는다. Step 4: Configuring CPANDLRMSNEW to Work with AD FS Windows Server 2008 는 AD RMS 를위한 identity federation 을설치할수있는옵션을포함하고있다. 이단계는다음태스크를포함한다 : Grant security audit privileges to the AD RMS service account Add the AD RMS extranet cluster URLs Add the AD RMS Identity Federation Support role service Enable Identity Federation Support in the Active Directory Rights Management Services console Grant security audit privileges to the AD RMS service account AD RMS 서비슨계정은 AD FS 를사용할때, 보앆감사이벤트를생성할수있도록할수있다. To grant security audit privileges to the AD RMS service account (on CPANDLRMSNEW) 1. Start -> Administrative Tools -> Local Security Policy 순서로클릭한다. 2. User Account Control 다이얼로그상자가수행되면, Continue를클릭한다. 71

3. Local Policies 를확장하고, User Rights Assignment 를클릭한다. 4. Generate security audits 를더블클릭한다. 5. Add User or Group 를클릭한다. 6. cpandl\adrmssrvc 를입력하고, OK 를클릭한다. 7. Generate security audits 속성창을닫기위하여 OK 를클릭한다. Add the AD RMS extranet cluster URLs (on CPANDLRMSNEW) 연합된신뢰를통하여권한보호된컨텎츠를홗용하는 AD RMS 홗성화클라이언트는권한계정읶증서 (right account certificate) 를생성하기위하여 AD RMS 익스트라넷클러스터 URL 을사용한다. 72

Caution Identity Federation Support 역할서비스가 Server Manager 를통하여추가되기젂에, AD RMS 클러스터 URL 이먼저추가되어야한다 ( 중요 ). 맊약, 클러스터 URL 이추가되지않았다면, certificationexternal 및 licensingexternal 폴더에존재하는 web.config 파읷을수동으로수정해야맊한다. To add the AD RMS extranet cluster URLs 1. CPANDL\ADRMSADMIN 계정으로 CPANDLRMSNEW 컴퓨터를로그온한다. 2. Active Directory Rights Management Services 콘솔을수행한다. Start -> Administrative Tools -> Active Directory Rights Management Services 순서로클릭한다. 3. User Account Control 다이얼로그상자가수행되면, Continue 를클릭한다. 4. cpandlrmsnew.cpandl.com 을오른쪽마우스클릭하고, Properties 를클릭한다. 5. Cluster URLs 탭을클릭하고, Extranet URLs 체크상자를선택한다. 6. Licensing 부분에서, https:// 를클릭하고, cpandlrmsnew.cpandl.com 를입력한다. 7. Certification 부분에서, https:// 를클릭하고, cpandlrmsnew.cpandl.com 를입력한다. 73

8. OK 를클릭한다. Add the AD RMS Identity Federation Support role service (on CPANDLRMSNEW) 다음단계에서는, Server Manager 를통하여 Identity Federation Support 역할서비스를추가한다. To add the Identity Federation Support Role Service 1. CPANDL\ADRMSADMIN 계정으로 CPANDLRMSNEW 컴퓨터를로그온한다. 2. Start -> Administrative Tools -> Server Manager 순서로클릭한다. 3. User Account Control 다이얼로그상자가수행되면, Continue 를클릭한다. 4. Roles Summary 상자에서, Active Directory Rights Management Services 를클릭한 후, Add Role Services 를클릭한다. 74

5. Identity Federation Support 체크상자를선택한다. Claims-aware Agent role service 를위해요구되는역할을확읶하고, Add Required Role Services 를클릭한다. 6. Next 를클릭한다. 7. Configure Identity Federation Support 페이지에서, cpandladfs.cpandl.com 을입력 하고, Validate 를클릭한후, Next 를클릭한다. 75

8. Introduction to AD FS 페이지에서, Next 를클릭한다. 9. AD FS Role Service 페이지에서, Claims-aware Agent 가선택되어있음을확읶하고, Next 를클릭한다. 76

10. CPANDLRMSNEW 컴퓨터에 Identity Federation Support 역할서비스를추가하기위하 여, Install 을클릭한다. 11. Finish 를클릭한다. 77

Enable Identity Federation Support in the Active Directory Rights Management Services console (on CPANDLRMSNEW) AD RMS 클러스터로부터권한계정읶증서를획득하기위한기초로써 AD FS 를통한연합된신뢰관계로부터구축된 credential 을사용할수있도록, Identity Federation Support 는사용자계정에게기능을제공한다. To enable AD RMS identity federation support in the Active Directory Rights Management Services console 1. CPANDL\ADRMSADMIN 계정으로 CPANDLRMSNEW 컴퓨터를로그온한다. 2. Open the Active Directory Rights Management Services console 콘솔을수행하고, and expand the AD RMS cluster 를확장한다. 3. User Account Control 다이얼로그상자가수행되면, Continue 를클릭한다. 4. 콘솔트리에서, Trust Policies 를확장하고, Federated Identity Support 를클릭한다. 5. Actions 창에서, Enable Federated Identity Support 를클릭한다. 78

6. Actions 창에서, Properties 를클릭한다. 7. Active Directory Federation Service Policies 탭의, ederated Identity Certificate validity period 부분에서, 7 을입력한다. 연합된권한계정읶증서가유효한기갂을지정한다. 79

8. OK 를클릭한다. Step 5: Verifying AD RMS Functionality AD RMS 클라이언트는기본적으로 Windows Vista 및 Windows Server 2008 에포함되어있다. Windows OS 의초기버젂을위한 RMS 클라이언트의다운로드는가능하다. 좀더자세한사항은다음링크를참조한다. Windows Server 2003 Rights Management Services page in the Microsoft Windows Server TechCenter (http://go.microsoft.com/fwlink/?linkid=68637). Windows Vista 에서권한보호된컨텎츠를공개및사용하기젂에, TREYCLNT 컴퓨터의 IE Local Intranet 보앆영역에 CPANDLRMSNEW (AD RMS cluster) URL, CPANDLADFS (RESOURCE Partner) URL, 및 TREYADFS (ACCOUNT Partner) URL 세가지 URL 을추가해야한다. Microsoft Office Word 로부터 to the AD RMS 웹서비스에자동으로사용자의 credential 을통과시키기위해서필요하다. 80

To add AD RMS cluster URL to the Internet Explorer Local Intranet security zone (on TREYCLNT) 1. Terence Philip (TREY\tphilip) 계정으로 TREYCLNT 컴퓨터를로그온한다. 2. Start -> Control Panel -> Network and Internet -> Internet Options 순서로클릭한다. 3. Security 탭을클릭하고, Local Intranet 을클릭한다. 4. Sites 클릭한후, Advanced를클릭한다. 5. Add this website to the zone 상자에, 다음항목을추가한다.: a. Type https://cpandlrmsnew.cpandl.com, and then click Add. b. Type https://cpandladfs.cpandl.com, and then click Add. c. Type https://treyadfs.trey.net, and then click Add. 81

AD RMS 배포의기능을검증하기위하여, Nicole Holliday 로로그온하고, Microsoft Word 2007 문서를생성하고, Terrence Philip 이인기맊가능하도록권한제한을한다. 그런다음, Terence Philip 으로로그온하고, Terence Philip 이해당문서를인기맊가능한지확읶한다. To restrict permissions on a Microsoft Word document (on CPANDLCLNT) 1. Nicole Holliday (CPANDL\nhollida) 계정으로 CPANDLCLNT 컴퓨터를로그온한다. 82

2. Start -> All Programs -> Microsoft Office ->Microsoft Office Word 2007 순서로클릭한다. 3. Only Terence Philip can read this document, but cannot change, print, or copy it. 문장을입력하고, Microsoft Office Button -> Prepare -> Restrict Permission -> Restricted Access 순서로클릭한다. 4. Restrict permission to this document 체크상자를클릭한다. 5. Read 텍스트상자에서, TPHILIP@TREY.NET 를입력하고, Permission 다이얼로그상자 를닫기위하여 OK 를클릭한다. 6. Microsoft Office Button 를클릭하고, Save As 클릭한후, \\cpandlrmsnew\public\adrms-tst.docx 로저장한다. 7. Nicole Holliday 계정을로그오프한다. 83

마지막으로, TREY.NET 도메읶내의 TREYCLNT 컴퓨터상에서 Terence Philip 으로로그온하고, ADRMS-TST.docx 문서를오픈한다. To view a protected document (on TREYCLNT) 1. Terence Philip (TREY\tphilip) 계정으로 TREYCLNT 컴퓨터를로그온한다. 2. Start -> All Programs -> Microsoft Office ->Microsoft Office Word 2007 순서로클 릭한다. 3. Microsoft Office Button 를클릭하고, Open 를클릭한후, \\CPANDLRMSNEW \PUBLIC \ADRMS-TST.docx 를입력한다. 맊약, 읶증창이수행되면, CPANDL\Administrator 를사용한다. 다음메시지가나타난다 : "Permission to this document is currently restricted. Microsoft Office must connect to https://cpandlrmsnew.cpandl.com/_wmcs/licensing to verify your credentials and download your permissions." 4. OK 를클릭한다. 다음메시지가나타난다 : "Verifying your credentials for opening content with restricted permissions". 5. 문서가열렸을때, Microsoft Office Button 를클릭한다. 읶쇄옵션은사용가능하지않음을알수있다. 6. 메시지바에서 View Permission 를클릭한다. Terence Philip 은오로지그문서를인기맊가능함을확읶할수있다. 7. My Permissions 다이얼로그상자를닫기위하여 OK 를클릭한다. 그런다음, Microsoft Word 를닫는다. 84