맥 OS X 이용
맥 윈도 통합 문제 해결
아무도 인정하고 싶지는 않겠지만, 단일 업체 이행에는 뭔가 매력이 있다. 종단 노드의 95%가 윈도라면, 다른 5% 역시 윈도일 때가 네트워크를 관리하기가 더 수월해진다. 하지만 현실은 그렇지 못하며 기업의 어딘가에는 언제나 맥에 충성심을 가진 사용자들이 있기 마련이다. 엔터프라이즈 친화적인 맥 OS에 있는 새로운 툴과 기능들을 이용해 이들이 워크스테이션을 윈도 환경에 통합시킬 수 있게 하는 방법을 알아보자.
사실, 대부분의 조직에는 적어도 몇몇의 강적 매킨토시 사용자들이 있기 마련이며, 어떤 경우에는 전체 부서에서 매킨토시를 사용하기도 한다. 맥 사용자들은 기호에 따라서든 필요에 의해서든 어도비 포토샵, 애플 파이널 컷 프로(Apple Final Cut Pro) 및 익스프레스(QuarkXPress) 등과 같은 맥 제품들에 대해 강한 충성심을 갖고 있다. 이더넷 카드와 IP 스택의 경우 이런 장비들은 IP 네트워크에서 접속되고 데이터를 전송할 수 있지만, 그렇다고 반드시 공유 파일을 출력하거나 여기에 액세스할 수 있는 것은 아니다.
DHCP·DNS 서버 필요 없어
애플에서 몇 년 전 아키텍처를 바꾼 이래 대부분의 맥 사용자들은 고전적인 시스템 7 운영시스템을 수용하거나, 혹은 유닉스에서 비롯된 새로운 맥 OS X로 전향했다. 당연한 일이지만 시스템 7은 윈도 시스템과 통합되기가 더 어려운데, 그 이유는 오래된 OS에는 비 애플톡 기반 파일 및 프린트 공유, 터미널 서비스 클라이언트 및 도메인 인증 등에 대한 좋은 지원이 없다. 나아가 이것은 나중에 나온 애플 하드웨어에서는 그대로 돌아가지도 않는다.
하지만 보다 엔터프라이즈 친화적인 맥 OS X를 이용해 맥 윈도 통합 문제를 해결할 수 있다. OS X의 한 가지 이점은 이것이 운영시스템에 따라오긴 하지만 디폴트로 꺼져 있는 애플톡을 필요로 하지 않는다는 것이다. 애플톡은 잡다하고 비효율적이며, 서버와 라우터에서 추가 네트워크 프로토콜이 필요하다는 이유로 기업에서 좋지 못한 소리를 들어 왔다. 이것은 소규모 네트워크에서 보다 더 소용이 되는데, 그 이유는 이것이 자동으로 어드레스를 구성하고 노드를 탐색하기 때문이며, 따라서 DHCP나 DNS 서버가 필요치 않기 때문이다.
맥 OS X에는 윈도 파일 공유 클라이언트와 액티브 디렉토리 통합, 그리고 전통적인 맥 애플리케이션에 대한 지원 등이 함께 한다. 시스템 7 맥 사용자들은 써즈바이 소프트웨어 시스템즈(Thursby Software Systems)의 DAVE를 사용함으로써 얼마간의 교차 플랫폼 기능성을 확보할 수 있다.
맥 윈도 통합의 주 영역으로는 파일 공유, 출력, 인증, 원격 관리 및 윈도 애플리케이션 지원을 꼽을 수 있다.
파일 및 출력
맥 OS X 사용자는 빌트인 삼바 클라이언트를 이용해 윈도 공유로 접속할 수 있다. 삼바는 네이티브 파일 공유 프로토콜인 SMB(Server Message Block)를 사용하는데, 이것은 맥이 윈도 네이티브 프로토콜을 이용해 IP를 통해 접속할 수 있게 해준다. 이는 하나의 큰 진보라고 할 수 있다. 과거에는 접속할 수 있는 유일한 방법이 애플톡을 통하는 길 뿐이었으며, 우선 윈도 박스에서 ‘맥용 파일 서비스(File Services for Mac)’을 실행시키거나, DAVE와 같은 써드파티 애드온을 구입해야 했다.
우리는 삼바 클라이언트를 이용해 시러큐스 대학의 리얼월드 랩에 있는 윈도 NT와 2000 서버로 접속을 했다. 맥 사용자는 고(Go) 메뉴에서 ‘서버로 접속하기(Connect to Server)를 선택하고, IP 어드레스나 서버 이름에 입력한 다음 인증을 한다. 사용자는 워크그룹이나 도메인을 지정할 수 있다. 사용자는 여기에서 공유되는 볼륨을 마운팅할 수 있으며, 윈도 서버에는 변경이 필요치 않다. 애플은 AFP(Apple File Protocol)나 NFS 서버를 사용할 것을 권장하고 있지만 사용자는 윈도 파일 서버에 자신의 홈 디렉토리를 저장할 수도 있다.
파일 저장 및 검색용으로 공유 디렉토리를 이용하는 데는 이점이 있다. 중앙 저장되는 파일들은 여러 컴퓨터에서부터 접근이 가능하며, 보다 중요한 점은 다중 워크스테이션보다 하나의 파일 서버를 백업하는 게 더 수월하다는 것이다.
대부분의 OS X 버전은 SMB를 통해 윈도 사용자들과 드라이브 및 폴더를 공유할 수 있지만, 버전 10.3에는 이 외의 기능들이 있다. 예를 들어 그 OS X 디렉토리 액세스 유틸리티는 합류할 워크그룹뿐만 아니라 윈도 이름을 해석하기 위한 WINS 서버까지 지정할 수 있게 해준다.
애플의 메일 닷 애프(Mail.app)는 익스체인지 메일박스를 지원하며, 익스체인지 서버와의 주소록 동기화를 지원한다. 하지만 익스체인지 서버에서 IMAP를 지원해야 한다. 새로운 메일 닷 애프에는 또한 ‘윈도 친화적인 첨부파일’이 있으며, 이것은 윈도 사용자에게 전송되는 첨부파일이 가끔씩 손상되거나 읽을 수 없게 됐던 이전 버전에서 향상된 부분이다.
맥 OS X와의 출력 공유는 그 어느 때보다도 더 간편하다. 맥, 유닉스 및 윈도 기계는 LPR(Line Printer Remote) 지원 프린터나 프린터 서버로 출력할 수 있으며, 이 서버는 윈도 NT 및 2000 출력 서버에서 사용 가능하다. 단 이 때는 프린터나 출력 서버에서 이 서비스를 반드시 가동시켜야 한다. 일부 고성능 기업 등급의 프린터에는 LPR이 내장돼 있어 OS X 사용자는 프린터의 IP 어드레스만 입력하면 되도록 돼 있다. OS X 10.3은 또한 SMB를 통해 공유 윈도 프린터도 지원하지만, 우리는 LPR을 더 선호하는데, 그 이유는 이것이 가장 호환성이 뛰어난 교차 플랫폼 프린팅 프로토콜이기 때문이다.
사용자 인증
맥 OS X 기계는 LDAP 디렉토리, 노벨 e디렉토리 및 NIS에 대조해 사용자를 인증할 수 있으며, OS X 10.3은 액티브 디렉토리 도메인에 자연적으로 인증을 할 수 있다. 이전의 OS X 버전은 LDAP을 통해서만 AD로 인증을 할 수 있었는데, 이는 쉬운 일이 아니었다.
버전 10.은 또한 싱글사인온의 이점을 이용하고 있으며, 이를 위해서는 WINS 해석(WINS resoution)이 아니라 FQDN(Fully Qualified Domain Name)을 이용해 AD 서버로 접속을 해야 한다.
/Applications/Utilities에 위치한 OS X의 디렉토리 액세스 애플리케이션은 AD 디렉토리 정보를 구성할 수 있게 해준다. 맥 사용자는 AD 포레스트(AD forest)와 도메인 DNS 이름뿐만 아니라 자신의 컴퓨터 ID를 입력한다. 일단 사용자가 인증을 하면, 맥이 도메인에 추가된다.
맥을 도메인의 일부로 만드는 것은 새롭긴 하지만 강력한 기능이다. 사용자들은 더 이상 맥과 도메인 로그인 패스워드를 분리할 필요가 없으며, 사용자의 계정이 모든 사용자용으로 모든 PC에서 수동으로 만들어져야 할 필요도 없다. 또한 집중식 로그온을 처리하기 위해 OS X 서버를 사서 설치할 필요도 없다.
AD 스키마를 약간 변경함으로써 로그인 스크립트를 관리하고 실행시킬 수 있다. 그리고 관리자가 맥으로 액세스가 허용되는 AD 그룹이 어떤 것인지를 지정할 수도 있다. 이를 통해 맥에서 어떤 관리자가 루트액세스 권한을 갖는지를 중앙에서 통제할 수 있게 된다. 게다가 오프라인 작업을 위해 최종 로그인 정보를 캐싱할 수 있는 옵션도 있다. 또한 명령어 라인을 이용해서 맥이 도메인에 원격으로 합류할 수 있게 하는 것도 가능하다. SSH(Secure Shell)를 통해 맥으로 로그인을 하고 다음과 같이 dsconfigad 명령어를 루트로서 실행시켜라.
dsconfigad -a $computername -u $username -p $password -ou “LDAP DN of container for the computer” -forest FQDN -domain FQDN
패스워드 필드는 남겨두고 이것을 수동으로 입력할 수 있지만, 명령어 라인에서 사용자 이름은 지정해야 한다. AD 구성 화면을 닫고 Authentiacation을 클릭하라. 검색 명령에서 ‘맞춤 경로(custom path)’를 선택한 다음 AD 플러그인을 추가하라. 재부팅을 시키면 OS X 10.3 사용자는 AD에 대조해 인증을 할 수 있다. 이러한 프로세스는 또한 명령어 라인에서도 이루어질 수 있으며, 이를 위해 AD 스키마를 변경할 필요는 전혀 없다.
로그인을 하는 어떤 신규 사용자든 자동으로 생성되는 로컬 홈 디렉토리를 갖게 된다. 맥 전용 스키마 추가물들은 맥 클라이언트를 관리하는 데 사용할 수 있다. 보다 상세한 정보는 www.apple.com/server/macosx/pdfs/MacOSX withActiveDirectory.pdf에서 AD 통합에 대한 애플 백서를 참조하라.
윈도 서버에 그래픽적으로 연결할 수 있도록 마이크로소프트는 www.microsoft.com/mac/otherproducts/ otherproducts.aspx?pid=remotedesktopclient에서 맥 리모트 데스크톱 커넥션(Mac Remote Desktop Connection) 클라이언트를 제공하고 있다.
방향을 윈도에서 맥 OS X로 바꾸면 얘기는 달라진다. 애플도 원격 데스크톱 뷰어를 갖고 있긴 하지만 윈도용은 나와 있지 않으며 대신 관리자는 SSH를 통해 맥으로 원격 접속을 해야 한다. 때문에 GUI가 아니라 명령어 라인 주도식의 셸이 주어지게 된다. 예를 들어 기존의 유닉스와 리눅스 기계에서처럼, 관리와 보고서 실행, 그리고 예를 들어 소프트웨어 설치를 위한 셸 스크립트를 만들 수 있다.
새로운 툴 능력 우수
OS 패치 설치를 강행하는 일은 집중식 관리에 있어 가장 중요한 작업 가운데 하나며, OS X는 패치를 쉽고 빠르게 원격으로 설치할 수 있게 해준다. OS X 셸 스크립트와 명령어 라인 툴은 프로시저를 자동화해준다. 즉, SSH를 통해 맥에 먼저 로그인을 한 다음 softwareupdate 명령을 내리면 된다. OS X 10.3에서는 softwareupdate -i 명령을 내리면 된다. 맥은 새 릴리즈에서는 애플 소프트웨어 업데이트 서버를 이용해 확인을 할 것이다. 여기서는 루트 권한을 확보하고 softwareupdate
맥 OS X 사용자도 가끔 윈도 애플리케이션을 돌려야 할 때가 있다. 마이크로소프트가 맥용 인터넷 익스플로러를 발표하긴 했지만 윈도용이랑 같다고 보기는 힘들다. 우리는 윈도용 IE에서만 작동할 웹 사이트를 경험해 본 바가 있다. 사용자들에게 맥과 PC 모두 주기보다는 커넥틱스(Connectix)에서 만들었고 최근 마이크로소프트가 사들인 맥용 VPC(VirtualPC)와 같은 에뮬레이터를 통해 맥에서 윈도를 돌릴 수 있다.
VPC는 완전한 PC 시스템을 에뮬레이팅하기 때문에 OS X 사용자는 윈도나 아니면 다른 어떠한 i386 OS든 돌릴 수가 있게 된다. 이 소프트웨어는 자체 가격은 129달러지만 윈도 라이선스도 필요할 것이다. XP 프로나 W2K 라이선스가 포함된 VPC는 249달러의 가격으로 판매되고 있다.
네트워크에서 맥 사용자를 지원하기가 훨씬 쉬워지고 있다. 기존의 윈도 환경에 이런 워크스테이션들을 통합시켜주는 OS X에 있는 새로운 툴과 능력 덕분에 맥은 이제 더욱 편안한 느낌으로 다가오게 되었다.
키체인의 부활
1991년 애플은 네트워크화된 윈도 파일 공유로 별명(alias)을 만들거나 지름길(shortcut)을 만들 수 있게 해주는 기능을 만들어냈다. 사용자는 네트워크 브라우저를 이용하는 대신 별명을 더블 클릭해서 공유 영역으로 접속할 수 있다. 이것은 자주 이용되는 서버로 접속하는 데 뛰어난 기능으로, OS X에서도 역시 이용할 수 있다.
애플은 OS X 내에 키체인(keychain)이라는 다른 기능을 부활시켰는데, 이것은 사용자 이름과 패스워드의 중앙 저장소다. 시스템 7 프로에서 처음 소개됐지만 나중에는 인기를 얻지 못해 제거됐다. 맥 사용자가 싱글사인온 기능의 혜택을 받을 수 없거나 도메인에 합류할 수 없는 조직을 목표로 하는 키체인은 사용자가 서로 다른 로그인 ID와 패스워드를 가지고도 다중 서버로 신속하게 접속할 수 있게 해준다. 이것은 또한 메일 서버와 VPN 인증으로까지 확장이 된다. 키체인은 암호화된 포맷으로 로그인 증명서를 저장하는데, 이것은 마스터 키체인 패스워드를 입력함으로써 검색될 수 있다.
네트워크 공유로 접속할 때 사용자들은 키체인에 자신들의 증명서를 보관함으로써 다양한 서버용의 로그인 정보를 기억할 필요가 없어진다. 하나의 마스터 패스워드를 사용하면 되기 때문이다. 이점은 사용자들이 보다 복잡하고 다양한 패스워드를 만들어낼 수 있다는 것이며, 대신 이런 패스워드들은 잊어버리기도 쉽다.
Step by Step
OS X 10.3: 액티브 디렉토리 도메인에 합류하는 방법
액티브 디렉토리에 완전한 자격을 갖춘 도메인 이름이 있는지 확인하라. OS X 10.3은 WINS 해석을 통해 AD에 접속할 수 없기 때문에 DNS 관리자에게 이것을 확인해야 한다.
디렉토리 액세스(Directory Access) 유틸리티를 열거나, dsconfigad 명령어 라인 툴을 이용하라. 디렉토리 액세스 유틸리티는 /Applications/Utilityes 안에 있으며, 명령어 라인은 ‘터미널(Terminal)’ 애플리케이션에서 접근할 수 있다.
AD 포레스트, 도메인 및 컴퓨터 ID를 입력하라. 포리스트와 도메인은 AD 관리자로부터 쉽게 얻을 수 있으며, 컴퓨터 ID는 맥의 네트워크 이름을 말한다.
적절한 액세스 권한으로 인증을 하라. 도메인 안에 컴퓨터 객체를 만들 수 있는 허가와 함께 사용자 이름과 패스워드가 필요하다.
액티브 디렉토리 도메인을 인증 검색 경로에 추가하라. 이 단계는 불필요하다고 말들을 하지만 우리 맥을 도메인에 대조해 인증시키는 데 필요했다. 당신의 맥이 도메인에 인증을 하지 않는다면, 이 단계를 시도해 본 다음 재부팅을 하라.
새 사용자가 로그인을 하면 로컬 홈 디렉토리가 자동으로 생성된다. 도메인에 합류하기 전 맥에 로컬 계정을 만들 경우 도메인 사용자 이름은 로컬 이름과 같을 수 있다. 이 경우 맥은 도메인에 대조해서 인증하는 대신 로컬로 인증한다.
