
.. _sso-ad:

AD Dommain Login
===================================

Genian NAC는 Windows 또는 macOS 에이전트를 이용하여 Active Directory 대체인증 하는데 사용할 수 있습니다.

AD를 통한 대체인증을 사용하려면 먼저 노드정책을 활성화해야 합니다.

#. 상단 항목에서 **정책** 으로 이동합니다.
#. 왼쪽 정책 항목에서 **노드정책** 으로 이동합니다.
#. 활성화를 원하는 원하는 정책 이름을 클릭합니다.

**인증정책** 에서 다음을 수행합니다.

#. **인증대체정보** 에서 **Active Directory** 를 선택합니다.
#. **AD 허용 도메인명** 을 입력합니다.
#. **수정** 버튼을 클릭합니다.


Agent 기반 AD 대체인증 설정
-------------------------------

    - 에이전트를 설치합니다. (:doc:`/install/installing-agent`)
    - 에이전트 실행 / 설치 계정은 도메인관리자 계정이나 설치권한을 가진 계정으로 설정해야합니다. 에이전트가 로컬 계정에 설치되어 있으면 SSO가 작동하지 않습니다.

.. _sso-agentless:

Agentless AD 대체인증 설정
------------------------------

    - 아래 설정 추가 시 Agent를 설치하지 않은 노드에서도 인증대체 기능을 사용할 수 있습니다.
    - 도메인 컨트롤러에 대한 WMI 쿼리를 통해 에이전트없는 SSO를 수행합니다 (도메인에 인증된 모든 노드 지원).
    - 네트워크 센서는 AD서버에 발생한 도메인 로그인 이벤트 로그와 네트워크 센서가 Netbios를 통해 탐지한 단말의 호스트/도메인명을 비교하여 인증 대체를 수행합니다. 
      따라서 네트워크센서가 단말의 netbios, remote WMI 등 과의 통신이 원활한 상태여야합니다.

#. 상단 항목의 **설정** 으로 이동합니다.
#. 왼쪽 설정 항목에서 **사용자인증 > 인증연동 > AD인증대체** 로 이동합니다.

아래의 항목을 입력하여 **AD인증대체** 설정을 완료합니다.

    #. **서버 접속 센서** : AD 서버에 접속할 센서를 선택합니다. (선택안함 설성시 정책서버에서 접속합니다.)
    #. **서버주소** : AD 인증대체를 위한 서버시스템의 주소/도메인을 입력합니다. 노드가 도메인에 가입된 경우 노드의 사용자정보를 인증정보로 대체합니다.
    #. **User ID** : 이벤트 로그 모니터링을 위한 AD 서버의 사용자 ID를 입력합니다.
    #. **Password** : 이벤트 로그 모니터링을 위한 AD 서버의 사용자 Password를 입력합니다.
    #. **Secondary AD 사용** : Secondary AD 사용여부를 선택합니다.
    #. **수정** 버튼을 클릭합니다.


**AD 환경설정**

#. 입력한 AD 사용자 계정이 다음 그룹에 포함되는지 확인합니다.

    - Distributed COM Users
    - Event Log Readers
    - Domain Users
    - AD configuration
#. 명령 프롬프트에서 `wmimgmt.msc` 를 실행합니다.
#. WMI 제어 속성 보안탭에서 CIMV2 폴더를 선택합니다.
#. 보안을 클릭하고 추가를 누른 다음 NAC에 설정한 사용자 계정을 선택합니다.
#. 계정사용, 원격으로부터 사용가능을 허용으로 설정합니다.
#. 확인 버튼을 클릭하여 설정을 완료합니다.

**단말의 AD도메인 가입여부 확인방법**

1. AD서버에서 확인하는 방법
    - AD 서버에서 **제어판 > 관리도구 > Active Directory 사용자 및 컴퓨터** 를 실행합니다.
    - **도메인 > Computers** 를 클릭하여 우측의 가입된 컴퓨터 목록을 확인합니다.

2. 클라이언트 단말에서 확인하는 방법
    - 클라이언트 단말의 CMD에서 ``ping [AD 도메인]`` 이 정상적인 IP로 해석되는지 확인합니다.

Genian NAC는 WMI쿼리를 통해 에이전트 없는 단말의 SSO를 수행합니다. 다음링크를 참고하여 WMI 구성을 설정해주시기 바랍니다.

.. toctree::
   :maxdepth: 1

   ms-wmi

- :ref:`faq` 의 Agentless 관련 항목을 참고해주시기 바랍니다.

.. note: 세부동작방식 GN-19274