.. _twostep-auth-gotp: 정부OTP인증센터 GOTP ========================================== 본 가이드는 모바일 OTP 시스템인 정부OTP인증센터의 GOTP와 네트워크 접근제어 시스템인 Genian NAC의 연동 기능을 수행하기 위한 설정 방법을 안내합니다. 개요 ------------------------------------------ 본 연동은 **Genian NAC 일반 사용자인증 진행 시 기존의 ID/PW 방식을 대체하여 GOTP(OTP) 인증으로 변경하기 위한 연동입니다.** 연동의 구성은 Genian NAC가 GOTP 전용 연동도구(정책서버 플러그인)를 제공하며, 사용자가 Genian NAC에 사용자인증 시도 시, GOTP 서버에서 사용자의 모바일 단말로 OTP(One Time Password)를 발행하게 하여, OTP 정보를 입력하는 방식의 인증 구성입니다. **권장 버전** .. csv-table:: :header: "제품명 (구성요소)", "버전", "비고" :widths: 30 30 40 "Genian NAC (정책서버)", "V5.0 이상", "2019.03 이후 Release 버전" "GOTP", "", "2018.03 이후 Release 버전" 연동의 목적 ------------------------------------------ Genian NAC와 GOTP 연동은 다음의 효과를 제공합니다. **사용자인증 시 로그인 보안을 위한 OTP 인증 환경 제공** - GOTP와 Genian NAC의 정책서버 플러그인 연동을 통해 사용자는 Genian NAC 사용자인증 진행 시, 기존의 ID/PW 방식 대신 GOTP(OTP)로 인증합니다. - GOTP 연동으로 인해, 기존의 ID/PW 방식 대비 패스워드 도난, 계정 가로채기 등으로 인한 위협에 대해서 상대적으로 안전한 로그인 환경을 제공합니다. **미인증 사용자에게 네트워크 차단 사유 및 안내페이지 자동 연결** - GOTP를 Genian NAC와 연동하여 구성하므로 GOTP 인증과정을 거치지 않은 사용자 단말의 네트워크 접근 시 차단하며, 차단에 대한 사유 및 해결에 대한 안내페이지를 제공하여 관리자의 업무부담을 줄여줍니다. 사전준비 사항 ------------------------------------------ **GOTP 관련 사전준비** **1. GOTP 연계 신청 및 GPKI API(라이선스)와 GOTP API(API Key) 준비** API 호출 시 사용되는 GPKI API(라이선스)는 각 기관마다 다르기 때문에 기관 담당자는 GOTP 인증센터로 직접 GOTP 연계 신청 시 발급되는 **GPKI API(라이선스)** 와 **GOTP API(API Key)** 파일을 준비 한 후 연동 진행 시 지니언스 담당 엔지니어 혹은 기술지원팀에 제출합니다 **2. 연동을 위한 기관 전용 Genian NAC 정책서버 플러그인 제작 요청** 기관 담당자는 GPKI API(라이선스)와 GOTP API(API Key) 확인 후 **정책서버 플러그인 제작 요청** 을 해주시기 바랍니다. .. note:: 본 작업은 최초 1회에 한하며, 지니언스 담당 엔지니어 혹은 기술지원팀에 요청하시면 됩니다. **3. GOTP 인증 서버로 API 호출을 위한 네트워크 접근허용 신청** Genian NAC에서 정부OTP 인증 서버로 접근이 가능하도록 하기 위해 기관 담당자는 국가정보자원관리원으로 네트워크 접근허가 신청을 하시기 바랍니다. .. note:: - 행정망 : www.gotp.go.kr, 8080 / 인터넷망 : www.gotp.go.kr, 80 - 네트워크 접근허용 신청문의: 국가정보자원관리원 서비스데스크(1577-0577) **4. 모바일 단말에 GOTP App 설치** 일반 사용자는 Genian NAC 사용자인증 진행 시, 인증코드 발급을 위한 GOTP App을 모바일 단말에 설치하시기 바랍니다. **Genian NAC 사전준비** **1. 연동을 위한 Genian NAC 정책서버 플러그인 준비** Genian NAC는 각 기관별로 지니언스가 제공하는 전용 Genian NAC 정책서버 플러그인 (특수목적을 위해 별도 제작된 Package)이 활용되며, 일반 정보는 다음과 같습니다. .. csv-table:: :header: "Genian NAC 정책서버 플러그인 파일명", "비고" :widths: 25 75 "GWP100006-5.0.gwp", "별도 제작 시 라이선스와 API Key가 달라도 GWP100006-5.0.gwp 정책서버 플러그인 명칭은 동일하기 때문에 기관 담당자는 확인 후 업로드 하시기 바랍니다." **2. GOTP 기능 수행을 위한 라이브러리 준비** Genian NAC와 GOTP 연동 기능의 수행을 위해 Genian NAC 정책서버에 추가적인 라이브러리가 필요합니다. 정책서버 플러그인 제작 시 라이브러리 파일이 같이 제공, 업데이트 됩니다. (라이브러리 압축 파일명: **lib.tar.gz** ) **3. 인증코드 발급 시 활용되는 매체코드와 일련번호 간 정합성 보장을 위한 사용자 정보 최신화, 동기화** Genian NAC와 연동 후 GOTP 인증코드 발급 시 매체코드와 GOTP 일련번호가 활용됩니다. 두 정보는 Genian NAC에서 사용자 정보동기화를 통해 Custom 필드에 저장해야 합니다. - CUSTOM08 필드: 매체코드 (H/W, Mobile, PC, 스마트폰 등 매체에 대한 코드 저장) - CUSTOM09 필드: 기기일련번호 (각 기관별 정부OTP 매체의 고유한 일련번호 저장) 사용자 정보동기화 방법은 :ref:`외부 사용자 정보 동기화 ` 를 참고하시기 바랍니다. .. note:: - 기관 담당자는 해당되는 두 정보에 대한 제공 방식과 정보동기화를 위해 지니언스 담당 엔지니어 혹은 기술지원팀에 문의 후 협의하여 정보동기화를 진행하시기 바랍니다. 연동을 위한 Genian NAC 설정 ------------------------------------------ 본 과정에서 다루는 Genian NAC의 설정 부분은 GOTP와 연동을 위해 최소한의 부분만을 소개합니다. 최초 1 회만 작업해주시면 이후엔 자동으로 적용됩니다. **Step 1: 연동을 위한 정책서버 플러그인 업로드** 1) Genian NAC Web콘솔에서 **시스템 > 업데이트 관리 > 소프트웨어 > 정책서버 플러그인** 메뉴로 이동 2) **작업선택 > 플러그인 업로드 > 파일선택** 버튼을 클릭하여 업로드할 **GWP100006-5.0.gwp** 플러그인 선택 3) **업로드** 버튼 클릭 4) 목록으로 이동하여 **GOTP 인증 모듈 > 재기동시 설치완료예정** 버튼 클릭 후 팝업창에서 **확인** 버튼 클릭 (관리콘솔 웹 어플리케이션 재기동을 수행해야 최종 설치가 완료됩니다.) **Step 2: 정책서버 플러그인 설정** 1) Genian NAC Web콘솔에서 **시스템 > 업데이트 관리 > 소프트웨어 > 정책서버 플러그인** 메뉴로 이동 2) **GOTP 인증 모듈** 플러그인 클릭 3) **설정항목** 에서 다음과 같이 설정 값 입력 .. csv-table:: :header: "설정 항목", "설정 값", "참고" :widths: 20 35 45 "대기시간", "3", "GOTP에서 인증코드 발급 시 Timeout 시간 입력 (분 단위)" "타이틀", "GOTP인증", "Genian NAC를 통해 사용자인증 진행 시 인증창에 표시되는 타이틀 문구 입력" "URL", "/plugin/gwp100006/otpAuth.xhtml?init=1", "GOTP 서버로 API 호출 시 사용되는 Parameter값" "Width", "300", "인증코드 입력 창의 가로 크기 입력 (최소 300px 권장)" "height", "130", "인증코드 입력 창의 세로 크기 입력 (최소 130px 권장)" "mode", "active", "정책서버 플러그인 사용 모드 선택 (active: 사용 모드 / test: 테스트 모드)" **Step 3: Genian NAC 정책서버의 Hostname 확인 및 변경** Genian NAC와 GOTP 연동 시 정책서버 플러그인 업로드 이후 GPKI API(라이선스)는 Genian NAC 정책서버의 Hostname에 맵핑되어 있는 서버 IP를 체크합니다. Genian NAC에 기본으로 설정되는 Hostname은 **Genians** 입니다. GOTP와 연동을 위해서는 Hostname을 서버 IP가 맵핑되어 있는 **GPKI** 로 설정되어 있어야 합니다. - 지니언스 기술지원팀 또는 지니언스의 공식적인 기술파트너사의 지원으로 진행됩니다. **Step 4: Genian NAC 정책서버에 필수 라이브러리 설치** Genian NAC와 GOTP 제품간 정상적인 연동을 위해 Genian NAC 정책서버의 업데이트가 필요합니다. - 지니언스 기술지원팀 또는 지니언스의 공식적인 기술파트너사의 지원으로 진행됩니다. **Step 5: 연동기능 적용을 위한 노드정책 설정** 1) Genian NAC Web콘솔에서 **정책 > 노드정책** 메뉴로 이동 2) 사용자인증 GOTP 연동을 적용할 노드그룹(ex. 모든노드)이 포함된 **노드정책** 클릭 (특정그룹에만 적용시, 별도의 노드그룹을 생성하여 활용) 3) **세부설정 > 인증정책 > 인증방법** 항목 셀렉트박스에서 **비밀번호인증** 선택 4) **세부설정 > 인증정책 > 인증방법 > 인증방식** 항목 우측 **할당** 버튼 클릭 5) **GOTP** 항목만 우측으로 이동 후 **확인** 버튼 클릭 (GOTP를 제외한 나머지 인증 방식 제거) 6) 하단부 **수정** 버튼 클릭 7) 우측 상단 **변경정책적용** 버튼 클릭하여 정책 적용 이 과정을 통해서 Genian NAC와 GOTP가 연동되어 Genian NAC 사용자인증 수행 시 일반 사용자는 GOTP 인증이 가능하도록 구성됩니다.