Point to Site VPN에서 Azure AD 인증 지원...을 시도했습니다 (2 부)

요전날 기사에서는 VPN 게이트웨이를 새로 만들고 Azure AD 인증을 활성화했습니다.
이번에는 Point to Site 구성이 구성된 VPN 게이트웨이에 대해 Azure AD 인증을 사용하도록 설정합니다. 이런 경우가 많다고 생각합니다.

이번 시나리오



다음과 같은 포인트 대 사이트 구성이 있다고 가정합니다.
  • 터널 유형 ... "IKEv2 및 SSTP (SSL)"
  • 인증 유형 ... "Azure 인증서 (VPN 클라이언트 인증서로 인증)"※ 루트 인증서도 업로드되었습니다



  • 이 환경을 OpenVPN에서 Azure AD 인증을 사용하도록 설정합니다.

    우선은 문서대로 해 본다



    ※이하보다, 요전날의 기사의 Azure AD 테넌트에 Azure VPN 등록 까지 실시 완료라고 상정해 이야기합니다.

    그러면 요전날의 기사와 같이, 이하의 문서를 참고로 조작해 갑니다.

    참고: Azure AD 인증을 사용하는 P2S Open VPN 연결을 위한 Azure Active Directory 테넌트 만들기 > 3. VPN 게이트웨이에서 Azure AD 인증 사용

    대상 Azure AD 테넌트의 속성을 열고 디렉터리 ID를 복사한 다음 텍스트 편집기 등에 기록해 둡니다.



    위 문서의 "3.VPN 게이트웨이에서 Azure AD 인증 사용"의 8단계에서 설명한 대로 PowerShell에서 다음 명령을 실행하여 VPN 게이트웨이에서 Azure AD 인증을 활성화합니다.
    ※ ""를 방금 복사 한 Azure AD 테넌트의 "디렉토리 ID"로 바꾸십시오.
    ※터널의 종류를 「OpenVPN」으로 변경하고 싶으므로 함께 지정
    $rgName = "<Resource group>"
    $gwName = "<name of VPN gateway>"
    $aadTenantUri = "https://login.microsoftonline.com/<your Directory ID>"
    $aadIssuerUri = "https://sts.windows.net/<your Directory ID>/"
    $gw = Get-AzVirtualNetworkGateway -Name $gwName -ResourceGroupName $rgName
    Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw `
     -AadTenantUri $aadTenantUri `
     -AadAudienceId "41b23e61-6c1e-4545-b367-cd054e0ed4b4" `
     -AadIssuerUri $aadIssuerUri `
     -VpnClientProtocol OpenVPN
    

    실행 결과는 다음과 같습니다. 예외가 발생했습니다 ... Komatta



    "VPN 클라이언트 구성에는 Radius 서버 또는 VPN 클라이언트 인증서 또는 Azure AD 인증 설정 중 하나만 포함될 수 있습니다."

    ...예. 알아요.

    "Set-AzVirtualNetworkGateway"명령은 기존의 설정 내용을 덮어 쓰는 것이라고 마음대로 생각하고 있었습니다만, 아무래도 그렇지 않은 것 같습니다.

    이런 식으로 해결했습니다.



    Azure 포털에서



    먼저 Azure 포털에서 할 수 있는 작업을 해봅시다.



    설정 항목마다 변경할 수 있는지 여부는 다음과 같이 확인했습니다.
  • 터널 유형 ... 드롭 다운 목록에서 OpenVPN (SSL)을 다시 선택할 수 있습니다.
  • 인증 유형 ... "Azure 인증서"또는 "RADIUS 인증"만 선택할 수 있습니다.
  • 루트 증명서 ... 등록된 증명서를 삭제할 수 있다.

    그래서 "터널 종류"와 "루트 인증서"에 대해 다음과 같이 설정 변경했습니다.



    PowerShell에서



    PowerShell에서 Get-AzVirtualNetworkGateway 명령을 사용하여 설정을 확인합니다.
    VPN 클라이언트 프로토콜이 OpenVPN이고 루트 인증서(및 해지된 인증서)가 비어 있습니다.



    그런 다음 앞에서 설명한 Set-AzVirtualNetworkGateway 명령을 다시 실행합니다.
    ... 이번에는 성공한 것 같습니다.



    그래서



    이전의 "Set-AzVirtualNetworkGateway"명령 예외가 발생한 원인은
    "Azure AD 인증 설정과 루트 인증서 설정이 충돌했기 때문에 (본래 Azure AD 인증을 설정할 때 루트 인증서 설정이 없어야합니다 ...라고 가정합니다."
    라고 생각합니다.

    해결!



    그리고는 클라이언트 구성 프로파일 다운로드 하고, VPN 클라이언트 설정 합니다.

    이렇게 문제없이 VPN에 연결할 수있었습니다.

  • 좋은 웹페이지 즐겨찾기