Point to Site VPN에서 Azure AD 인증 지원...을 시도했습니다 (2 부)
이번에는 Point to Site 구성이 구성된 VPN 게이트웨이에 대해 Azure AD 인증을 사용하도록 설정합니다. 이런 경우가 많다고 생각합니다.
이번 시나리오
다음과 같은 포인트 대 사이트 구성이 있다고 가정합니다.
이 환경을 OpenVPN에서 Azure AD 인증을 사용하도록 설정합니다.
우선은 문서대로 해 본다
※이하보다, 요전날의 기사의 Azure AD 테넌트에 Azure VPN 등록 까지 실시 완료라고 상정해 이야기합니다.
그러면 요전날의 기사와 같이, 이하의 문서를 참고로 조작해 갑니다.
참고: Azure AD 인증을 사용하는 P2S Open VPN 연결을 위한 Azure Active Directory 테넌트 만들기 > 3. VPN 게이트웨이에서 Azure AD 인증 사용
대상 Azure AD 테넌트의 속성을 열고 디렉터리 ID를 복사한 다음 텍스트 편집기 등에 기록해 둡니다.
위 문서의 "3.VPN 게이트웨이에서 Azure AD 인증 사용"의 8단계에서 설명한 대로 PowerShell에서 다음 명령을 실행하여 VPN 게이트웨이에서 Azure AD 인증을 활성화합니다.
※ ""를 방금 복사 한 Azure AD 테넌트의 "디렉토리 ID"로 바꾸십시오.
※터널의 종류를 「OpenVPN」으로 변경하고 싶으므로 함께 지정
$rgName = "<Resource group>"
$gwName = "<name of VPN gateway>"
$aadTenantUri = "https://login.microsoftonline.com/<your Directory ID>"
$aadIssuerUri = "https://sts.windows.net/<your Directory ID>/"
$gw = Get-AzVirtualNetworkGateway -Name $gwName -ResourceGroupName $rgName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw `
-AadTenantUri $aadTenantUri `
-AadAudienceId "41b23e61-6c1e-4545-b367-cd054e0ed4b4" `
-AadIssuerUri $aadIssuerUri `
-VpnClientProtocol OpenVPN
실행 결과는 다음과 같습니다. 예외가 발생했습니다 ... Komatta
"VPN 클라이언트 구성에는 Radius 서버 또는 VPN 클라이언트 인증서 또는 Azure AD 인증 설정 중 하나만 포함될 수 있습니다."
...예. 알아요.
"Set-AzVirtualNetworkGateway"명령은 기존의 설정 내용을 덮어 쓰는 것이라고 마음대로 생각하고 있었습니다만, 아무래도 그렇지 않은 것 같습니다.
이런 식으로 해결했습니다.
Azure 포털에서
먼저 Azure 포털에서 할 수 있는 작업을 해봅시다.
설정 항목마다 변경할 수 있는지 여부는 다음과 같이 확인했습니다.
터널 유형 ... 드롭 다운 목록에서 OpenVPN (SSL)을 다시 선택할 수 있습니다. 인증 유형 ... "Azure 인증서"또는 "RADIUS 인증"만 선택할 수 있습니다. 루트 증명서 ... 등록된 증명서를 삭제할 수 있다.
그래서 "터널 종류"와 "루트 인증서"에 대해 다음과 같이 설정 변경했습니다.
PowerShell에서
PowerShell에서 Get-AzVirtualNetworkGateway 명령을 사용하여 설정을 확인합니다.
VPN 클라이언트 프로토콜이 OpenVPN이고 루트 인증서(및 해지된 인증서)가 비어 있습니다.
그런 다음 앞에서 설명한 Set-AzVirtualNetworkGateway 명령을 다시 실행합니다.
... 이번에는 성공한 것 같습니다.
그래서
이전의 "Set-AzVirtualNetworkGateway"명령 예외가 발생한 원인은
"Azure AD 인증 설정과 루트 인증서 설정이 충돌했기 때문에 (본래 Azure AD 인증을 설정할 때 루트 인증서 설정이 없어야합니다 ...라고 가정합니다."
라고 생각합니다.
해결!
그리고는 클라이언트 구성 프로파일 다운로드 하고, VPN 클라이언트 설정 합니다.
이렇게 문제없이 VPN에 연결할 수있었습니다.
Reference
이 문제에 관하여(Point to Site VPN에서 Azure AD 인증 지원...을 시도했습니다 (2 부)), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/tetsuya-ooooo/items/e9c3691b382913bcf1af
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
※터널의 종류를 「OpenVPN」으로 변경하고 싶으므로 함께 지정
$rgName = "<Resource group>"
$gwName = "<name of VPN gateway>"
$aadTenantUri = "https://login.microsoftonline.com/<your Directory ID>"
$aadIssuerUri = "https://sts.windows.net/<your Directory ID>/"
$gw = Get-AzVirtualNetworkGateway -Name $gwName -ResourceGroupName $rgName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw `
-AadTenantUri $aadTenantUri `
-AadAudienceId "41b23e61-6c1e-4545-b367-cd054e0ed4b4" `
-AadIssuerUri $aadIssuerUri `
-VpnClientProtocol OpenVPN
실행 결과는 다음과 같습니다. 예외가 발생했습니다 ... Komatta
"VPN 클라이언트 구성에는 Radius 서버 또는 VPN 클라이언트 인증서 또는 Azure AD 인증 설정 중 하나만 포함될 수 있습니다."
...예. 알아요.
"Set-AzVirtualNetworkGateway"명령은 기존의 설정 내용을 덮어 쓰는 것이라고 마음대로 생각하고 있었습니다만, 아무래도 그렇지 않은 것 같습니다.
이런 식으로 해결했습니다.
Azure 포털에서
먼저 Azure 포털에서 할 수 있는 작업을 해봅시다.
설정 항목마다 변경할 수 있는지 여부는 다음과 같이 확인했습니다.
그래서 "터널 종류"와 "루트 인증서"에 대해 다음과 같이 설정 변경했습니다.
PowerShell에서
PowerShell에서 Get-AzVirtualNetworkGateway 명령을 사용하여 설정을 확인합니다.
VPN 클라이언트 프로토콜이 OpenVPN이고 루트 인증서(및 해지된 인증서)가 비어 있습니다.
그런 다음 앞에서 설명한 Set-AzVirtualNetworkGateway 명령을 다시 실행합니다.
... 이번에는 성공한 것 같습니다.
그래서
이전의 "Set-AzVirtualNetworkGateway"명령 예외가 발생한 원인은
"Azure AD 인증 설정과 루트 인증서 설정이 충돌했기 때문에 (본래 Azure AD 인증을 설정할 때 루트 인증서 설정이 없어야합니다 ...라고 가정합니다."
라고 생각합니다.
해결!
그리고는 클라이언트 구성 프로파일 다운로드 하고, VPN 클라이언트 설정 합니다.
이렇게 문제없이 VPN에 연결할 수있었습니다.
Reference
이 문제에 관하여(Point to Site VPN에서 Azure AD 인증 지원...을 시도했습니다 (2 부)), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/tetsuya-ooooo/items/e9c3691b382913bcf1af텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)