파수 Enterprise DRM
본 가이드는 문서보안 제품인 파수의 Enterprise DRM과 네트워크 접근제어 시스템인 Genian NAC의 사용자 인증에 대한 연동 기능을 수행하기 위한 설정 방법을 안내합니다.
개요
파수 Enterprise DRM과 Genian NAC의 연동 구성시, 로그인 프로세스는 Genian NAC 인증 > 파수 Enterprise DRM 인증용 프로그램 자동실행 > 파수 Enterprise DRM 인증의 프로세스로 구성됩니다.
(Genian NAC가 사용자 단말에서 타사장비와의 연동 시, 범용적으로 활용하는 에이전트인증-플러그인을 이용한 인증방법으로 설명합니다.)
Genian NAC와 파수 Enterprise DRM제품 간 연동 전, 사용자는 Genian NAC 로그인 이후, 추가적으로 파수 Enterprise DRM의 로그인과정을 수행하여야 하지만, 연동 구성시 Genian NAC의 에이전트를 통한 사용자 인증시, 파수 Enterprise DRM 로그인프로세스가 순차적으로 수행하도록 구성됩니다.
권장 버전
제품명 (구성요소) |
버전 |
비고 |
---|---|---|
Genian NAC (정책서버) |
V5.0 이상 |
2016.12 이후 Release 버전 |
Genian NAC (에이전트) |
V5.0.6 이상 |
2016.12 이후 Release 버전 |
Fasoo Enterprise DRM |
5.0 이상 |
2016.11 이후 Release 버전 |
연동의 목적
Genian NAC와 파수 Enterprise DRM의 연동은 다음의 효과를 제공합니다.
- SSO 환경 구성
Genian NAC 에이전트가 사용자 인증시, 파수 Enterprise DRM의 인증을 이어서 수행하도록 구성되어, 사용자는 추가적인 파수 Enterprise DRM 인증의 과정 없이 인증과정을 수행할 수 있습니다.
- NAC 미인증 사용자에게 네트워크 차단 및 PC를 사용할 수 없도록 조치
Genian NAC 인증을 거친 후, 파수 Enterprise DRM의 인증을 수행하도록 구성되며, 인증을 거치지 않은 사용자는 PC를 사용할 수 없도록 조치하는 기능을 제공합니다.
이는 사용자가 네트워크에 접근하지 않더라도 PC 내부의 정보에 접근할 우려가 있기 때문에 파수 Enterprise DRM의 목적인 문서보안을 항시수행하도록 Genian NAC가 미인증 사용자는 PC에 어떠한 행위도 못하도록 하여, 내부정보를 보호하는데 도움을 줍니다.
사전준비 사항
연동을 위한 Genian NAC 에이전트 플러그인 확인
Genian NAC 는 파수 Enterprise DRM 과 SSO 구현을 위해, 사용자인증 연동 구현시에 제품의 기본패키지에서 제공되는 에이전트 인증창 플러그인을 활용합니다. (기본 제공되므로 별도로 업로드를 하지 않으셔도 됩니다.)
Genian NAC 에이전트 플러그인 파일명
비고
NAC-GeniAuth-R-59378-1.1.0.gpf (세부버전은 상이할 수 있음)
Genian NAC 에이전트 V5.0 이상 (2016.12 이후 Release 버전)
기본 제공된 에이전트 플러그인의 버전이 가이드에서의 권장버전보다 같거나 높으면 별도로 업로드는 하지 않으셔도 됩니다.
파수 Enterprise DRM 인증연동파일, 파일의 실행경로, 실행옵션, 암호화 방식의 확인(파수 제공)
파수Enterprise DRM 인증실행용 파일은 ㈜파수에서 제공 받아야하며, 연동시 사용되는 경로와 실행옵션은 다음과 같습니다.
참고) 파수Enterprise DRM의 연동인증 실행용 파일에 따라 아래의 각 설정 값은 달라질 수 있습니다.
파수Enterprise DRM 인증실행용 파일 (예. f_ssoex_cast.exe)
실행경로: C:WindowsSystem32f_ssoex_cast.exe
실행옵션: -username={AUTH_ID} -password={AUTH_PWD}
암호화 방식: BASE64, AES, BLOWFISH, CAST, SEED중 선택
연동을 위한 Genian NAC 설정
본 과정에서 다루는 Genian NAC의 설정 부분은 파수 Enterprise DRM과 연동을 위해 최소한의 부분만을 소개합니다. 최초 1 회만 작업해주시면 이후엔 자동으로 적용됩니다.
- Step 1: 연동을 위한 에이전트 플러그인 버전 확인
시스템 > 업데이트 관리 > 소프트웨어 > 에이전트 플러그인 으로 이동 후, 에이전트 인증창 플러그인 버전을 비교합니다.
NAC-GeniAuth-R-59378-1.1.0.gpf 보다 낮은 버전이면, Step2 를 실행합니다.
- Step 2: 연동을 위한 에이전트 플러그인 업로드
만약, NAC-GeniAuth-R-59378-1.1.0.gpf 이상버전인 경우, Step2 를 생략합니다.
Genian NAC Web 콘솔에서 시스템>업데이트 관리 > 소프트웨어 > 에이전트 플러그인 메뉴로 이동합니다.
작업선택 > 플러그인 업로드 > 파일선택 순으로 선택한 후, NAC-GeniAuth-R-59378-1.1.X.gpf 플러그인 선택
업로드 버튼 클릭
- Step 3: 에이전트 노드액션 설정
Genian NAC Web 콘솔에서 정책 > 노드정책 > 노드액션 > 노드액션 관리 메뉴로 이동
에이전트 인증창 플러그인 클릭
플러그인 설정 > 기타 > 인증 후 실행 에서 추가 버튼을 클릭하여 다음과 같이 설정 값 추가
설정 항목
설정 값
참고
실행경로
경로명 직접입력
선택아래 '실행경로 설정' 참고
경로입력창
C:\WINDOWS\SysWow64\f_ssoex_cast.exe
C:\WINDOWS\System32\f_ssoex_cast.exe
각각 만들어서 두개의 경로를 생성함
실행옵션
-nac '-authid:{AUTH_ID} -authpw:{AUTH_PWD}'
AUTH_ID는 입력 아이디, AUTH_PWD는 입력 비밀번호로 자동 변경됨
암호화 방식
암호화 방식의 선택
BASE64, AES(128bit), BLOWFISH(64bit), CAST(128bit), SEED(128bit) 중 선택
암호화 키
상호협의한 암호화키 입력
BASE64는 암호화키 생략
Note
실행경로 설정:
경로명 직접입력
외에 8개가 추가옵션으로 제공되지만, 상대경로의 경우, OS 패치 업데이트 등으로 인해, 변경의 가능성이 있으므로,경로명 직접입력
으로 설정을 권장함
- Step 4: 에이전트인증창 플러그인 적용을 위한 노드정책 설정
본 과정에서는 에이전트인증창 플러그인을 노드정책에 적용하기 위한 것으로, 이미 에이전트인증창 플러그인을 활용하고 있다면 생략가능 합니다.
Genian NAC Web 콘솔에서 정책 > 노드정책 메뉴로 이동
사용자인증 연동을 적용할 노드그룹 (ex. 모든노드)이 포함된 노드정책 클릭 (특정그룹에만 적용시, 별도의 노드그룹을 생성하여 활용)
하단 노드액션 설정 항목으로 이동 후 할당 버튼 클릭
에이전트 인증창 노드액션을 우측으로 이동 후 추가 버튼 클릭
하단 부 수정 버튼 클릭
우측 상단 변경정책적용 버튼 클릭하여 정책 적용