AD Dommain Login

Genian NAC는 Windows 또는 macOS 에이전트를 이용하여 Active Directory 대체인증 하는데 사용할 수 있습니다.

AD를 통한 대체인증을 사용하려면 먼저 노드정책을 활성화해야 합니다.

1. 상단 항목에서 정책 으로 이동합니다.

2. 왼쪽 정책 항목에서 노드정책 으로 이동합니다.

3. 활성화를 원하는 원하는 정책 이름을 클릭합니다.

인증정책 에서 다음을 수행합니다.

1. 인증대체정보 에서 Active Directory 를 선택합니다.

2. AD 허용 도메인명 을 입력합니다.

3. 수정 버튼을 클릭합니다.

Agent 기반 AD 대체인증 설정

• 에이전트를 설치합니다. (에이전트 설치)

• 에이전트 실행 / 설치 계정은 도메인관리자 계정이나 설치권한을 가진 계정으로 설정해야합니다. 에이전트가 로컬 계정에 설치되어 있으면 SSO가 작동하지 않습니다.

Agentless AD 대체인증 설정

• 아래 설정 추가 시 Agent를 설치하지 않은 노드에서도 인증대체 기능을 사용할 수 있습니다.

• 도메인 컨트롤러에 대한 WMI 쿼리를 통해 에이전트없는 SSO를 수행합니다 (도메인에 인증된 모든 노드 지원).

• 네트워크 센서는 AD서버에 발생한 도메인 로그인 이벤트 로그와 네트워크 센서가 Netbios를 통해 탐지한 단말의 호스트/도메인명을 비교하여 인증 대체를 수행합니다. 따라서 네트워크센서가 단말의 netbios, remote WMI 등 과의 통신이 원활한 상태여야합니다.

1. 상단 항목의 설정 으로 이동합니다.

2. 왼쪽 설정 항목에서 사용자인증 > 인증연동 > AD인증대체 로 이동합니다.

아래의 항목을 입력하여 AD인증대체 설정을 완료합니다.

1. 서버 접속 센서 : AD 서버에 접속할 센서를 선택합니다. (선택안함 설성시 정책서버에서 접속합니다.)

2. 서버주소 : AD 인증대체를 위한 서버시스템의 주소/도메인을 입력합니다. 노드가 도메인에 가입된 경우 노드의 사용자정보를 인증정보로 대체합니다.

3. User ID : 이벤트 로그 모니터링을 위한 AD 서버의 사용자 ID를 입력합니다.

4. Password : 이벤트 로그 모니터링을 위한 AD 서버의 사용자 Password를 입력합니다.

5. Secondary AD 사용 : Secondary AD 사용여부를 선택합니다.

6. 수정 버튼을 클릭합니다.

AD 환경설정

1. 입력한 AD 사용자 계정이 다음 그룹에 포함되는지 확인합니다.

   • Distributed COM Users

   • Event Log Readers

   • Domain Users

   • AD configuration

2. 명령 프롬프트에서 wmimgmt.msc 를 실행합니다.

3. WMI 제어 속성 보안탭에서 CIMV2 폴더를 선택합니다.

4. 보안을 클릭하고 추가를 누른 다음 NAC에 설정한 사용자 계정을 선택합니다.

5. 계정사용, 원격으로부터 사용가능을 허용으로 설정합니다.

6. 확인 버튼을 클릭하여 설정을 완료합니다.

단말의 AD도메인 가입여부 확인방법

1. AD서버에서 확인하는 방법

   • AD 서버에서 제어판 > 관리도구 > Active Directory 사용자 및 컴퓨터 를 실행합니다.

   • 도메인 > Computers 를 클릭하여 우측의 가입된 컴퓨터 목록을 확인합니다.

2. 클라이언트 단말에서 확인하는 방법

   • 클라이언트 단말의 CMD에서 ping [AD 도메인] 이 정상적인 IP로 해석되는지 확인합니다.

Genian NAC는 WMI쿼리를 통해 에이전트 없는 단말의 SSO를 수행합니다. 다음링크를 참고하여 WMI 구성을 설정해주시기 바랍니다.

• 원격 WMI 정보수집을 위한 환경 설정

• FAQ 의 Agentless 관련 항목을 참고해주시기 바랍니다.