AD Dommain Login

Genian NAC는 Windows 또는 macOS 에이전트를 이용하여 Active Directory 대체인증 하는데 사용할 수 있습니다. 또는 정책서버-LDAP(Active directory) 인증연동을 통해서도 대체인증이 가능합니다.

AD를 통한 대체인증을 사용하려면 먼저 노드정책을 활성화해야합니다.

  1. 상단 항목에서 정책 으로 이동합니다.
  2. 왼쪽 정책 항목에서 노드정책 으로 이동합니다.
  3. 활성화를 원하는 원하는 정책 이름을 클릭합니다.

인증정책 에서 다음을 수행합니다.

  1. 인증대체정보 에서 Active Directory 를 선택합니다.
  2. AD 허용 도메인명 을 입력합니다.
  3. 수정 버튼을 클릭합니다.

Agent 기반 AD 대체인증 설정

  • 에이전트를 설치합니다. (에이전트 설치)
  • 에이전트 실행 / 설치 계정은 도메인관리자 계정이나 설치권한을 갖고 있는 계정으로 설정해야합니다. 에이전트가 로컬 계정에 설치되어 있으면 SSO가 작동하지 않습니다.

Agentless AD 대체인증 설정

  • 아래 설정 추가시 Agent를 설치하지 않은 노드에서도 인증대체 기능을 사용할 수 있습니다.
  • 도메인 컨트롤러에 대한 WMI 쿼리를 통해 에이전트없는 SSO를 수행합니다 (도메인에 인증 된 모든 노드 지원).
  1. 상단 항목의 설정 으로 이동합니다.
  2. 왼쪽 설정 항목에서 사용자인증 > 인증연동 로 이동합니다.

아래를 통해 LDAP 인증연동 설정:

  1. 서버주소 : 연동 하고자 하는 외부 LDAP(ActiveDirectory) 서버의 IP 또는 도메인을 설정합니다.
  2. Bind DN : 서버의 이벤트 로그 모니터링을 위한 Bind DN 값을 설정합니다.
  3. Bind Password : 서버의 이벤트 로그 모니터링을 위한 Bind DN 비밀번호를 설정합니다.
  4. 인증대체 : On 으로 설정합니다.
  5. 수정 버튼을 클릭합니다.

도메인 컨트롤러 설정

  1. Bind DN 사용자계정이 다음 그룹에 포함되는지 확인합니다.

    아래사항에 포함된 계정에는 관리자 권한이 필요하지 않습니다.

    • Distributed COM Users
    • Event Log Readers
    • Server Operators
  2. 명령 프롬프트에서 wmimgmt.msc 를 실행합니다.

  3. WMI 제어 속성 보안탭에서 CIMV2 폴더를 선택합니다.

  4. 보안을 클릭하고 추가를 누른다음 Bind DN 계정을 선택합니다.

  5. 계정활성화, 원격사용을 선택합니다.

  6. 적용합니다.