외부 인증서버 설정
LDAP, RADIUS, IMAP, POP3, SMTP 또는 기타 타사 시스템을 사용하여 외부 인증 시스템에 인증하도록 정책 서버를 구성할 수 있습니다.
RADIUS
사용자 인증을 위해 기존의 외부 RADIUS 서버와 연동하도록 정책 서버를 구성 할 수 있습니다. 사용자가 접속인증페이지(CWP) 나 에이전트를 통해 인증되면 사용자 비밀번호 가 RADIUS 서버를 통해 인증 됩니다.
왼쪽 상단 항목의 설정 으로 이동합니다.
왼쪽 설정 항목에서 사용자 인증 > 인증연동 으로 이동합니다.
RADIUS 인증연동 메뉴에서 아래를 설정:
서버주소 : 연동하고자하는 외부 RADIUS 인증서버의 IP주소 또는 FQDN 을 설정합니다.
서버포트 : RADIUS 인증서버 서비스포트를 설정합니다.(기본포트: 1812)
인증키 : RADIUS 인증서버와의 상호인증을 위한 인증키를 설정합니다.
수정 버튼을 클릭합니다.
LDAP (Active Directory) 서버 연동
사용자 인증 을 Active Directory 와 연동 하도록 정책 서버 를 구성 할 수 있습니다.
상단 항목의 설정 으로 이동합니다.
왼쪽 설정 항목에서 사용자 인증 > 인증연동 으로 이동합니다.
인증연동 창에서 LDAP 인증연동 메뉴를 찾습니다.
아래 옵션을 찾아 입력:
서버주소: LDAP(ActiveDirectory) 인증연동을 위한 서버시스템의 주소/도메인을 설정합니다.
서버포트: LDAP 서비스 포트번호를 설정합니다. (표준값: Non-SSL=389, SSL=636)
Base DN: LDAP Base DN을 설정합니다. (예: CN=Users,DC=geni,DC=genians,DC=com)
Bind DN: 사용자 검색을 위한 Bind DN 값을 설정합니다. Anonymous검색이 가능 할 경우 공백.(도메인 예:Administrator@genians.com / Bind 계정에는 관리자 권한이 있어야합니다.)
Bind Password: 사용자 검색을 위한 Bind DN 비밀번호를 설정합니다.
Serch Attribute: 사용자 ID를 담고있는 속성값 이름(ActiveDirectory: sAMAccountName)을 설정합니다.
SSL 접속: LDAP 서버 접속시 SSL연결을 사용할지 여부를 선택합니다.
Secondary LADP사용 : Secondary LDAP 사용여부를 선택합니다.
수정 버튼을 클릭합니다.
테스트 를 클릭 하여 구성 설정을 테스트합니다. (테스트 계정은 BASE DN 에있는 모든 사용자 계정이 될 수 있습니다)
Note
알려진 이슈
오류 메시지: "LDAP 서버에 연결하지 못했습니다. URI=ldaps://[IP]:[PORT]/, ERRMSG='-1:Can't contact LDAP server, TLSv1.0=-1:Can't contact LDAP server' "
해결 방법: LDAP 서버 펌웨어를 최신 패치로 업데이트합니다. "보안패치가 되지 않은 서버의 LDAP을 통해 Active Directory에 대해 인증하려고 하는 알려진 문제" 이며, 이는 암호화 호환성으로 인해 발생합니다.
이메일 은 대부분의 조직에서 제공하는 서비스이므로 사용자 디렉토리를 제공하는 것이 가장 쉽습니다. 이메일 에서 사용되는 SMTP , POP3 및 IMAP 을 사용하여 사용자의 아이디 와 비밀번호 를 확인할 수 있습니다 .
IMAP
상단 항목의 설정 으로 이동합니다.
왼쪽 설정 항목에서 사용자 인증 > 인증연동 으로 이동합니다.
메인창에서 IMAP 인증연동 을 찾습니다.
IMAP 서버, IMAP 포트, 사용자도메인 을 입력합니다.
수정 버튼을 클릭합니다.
인증테스트 > 테스트 버튼을 클릭하여 사용자 인증을 테스트합니다.
예제
Service Name |
Server Name |
Port |
Domain |
|---|---|---|---|
Google G Suites |
imap.gmail.com |
993 |
Your Domain |
Exchange Online (Office 365) |
outlook.office365.com |
993 |
Your Domain |
POP3
상단 항목의 설정 으로 이동합니다.
왼쪽 설정 항목에서 사용자 인증 > 인증연동 으로 이동합니다.
메인창에서 POP3 인증연동 을 찾습니다.
POP3 서버, POP3 포트, 사용자도메인 을 입력합니다.
수정 버튼을 클릭합니다.
인증테스트 > 테스트 버튼을 클릭하여 사용자 인증을 테스트합니다.
예제
Service Name |
Server Name |
Port |
Domain |
|---|---|---|---|
Google G Suites |
pop.gmail.com |
995 |
Your Domain |
Exchange Online (Office 365) |
outlook.office365.com |
995 |
Your Domain |
SMTP
상단 항목의 설정 으로 이동합니다.
왼쪽 설정 항목에서 사용자 인증 > 인증연동 으로 이동합니다.
메인창에서 SMTP 인증연동 을 찾습니다.
SMTP 서버, SMTP 포트, 사용자도메인 을 입력합니다.
수정 버튼을 클릭합니다.
인증테스트 > 테스트 버튼을 클릭하여 사용자 인증을 테스트합니다.
Note
Genian NAC는 오직 smtps만 지원합니다. (SMTP over SSL)
예제
Service Name |
Server Name |
Port |
Domain |
|---|---|---|---|
Google G Suites |
smtp.gmail.com |
465 |
Your Domain |
문제 해결
Error
Gmail SMTP 인증연동에 확인 된 이슈 :
인증 테스트: 인증 실패. Authentication failed.SMTP(535-5.7.8:Username and Password not accepted. Learn more at 535 5.7.8 https://support.google.com/mail/?p=BadCredentialsy32sm41405227qt)
Genian NAC 로그 : Login failed. ERRMSG='Authorize(Account disabled)'
수정 : Google 계정 설정/보안에서 보안이 낮은 앱 액세스를 설정합니다.
SAML 2.0
SAML (Security Assertion Markup Language)은 당사자 간에 인증 및 인증 데이터를 교환 할 수 있는 개방형 표준입니다. SAML은 인증이 필요한 최종 사용자 및 SP(서비스 공급자)와 인증 서비스를 제공하는 IdP(인증 공급자)로 구성 됩니다. Genian NAC가 SAML을 통해 Google과 통합되면 Genian NAC는 SP가 되고 Google은 IdP가 됩니다.
다음은 SAML 연동을 위한 기본 구성 단계입니다.
상단 항목의 설정 으로 이동합니다.
왼쪽 설정 항목에서 사용자 인증 > 인증연동 으로 이동합니다.
메인창에서 SAML2 를 찾습니다.
SP Entity ID 및 SP ACS URL 값을 복사합니다.
Genian NAC 의 복사 된 해당값을*IdP server* 에 입력합니다.
IdP Entity ID 및 IdP SSO URL 에 IdP 서버로 부터 얻은 값들을 입력합니다.
x509 Certificate 의 경우 IdP 서버에서 발급한 인증서를 입력합니다.
수정 버튼을 클릭합니다.
인증테스트 > 테스트 버튼을 클릭하여 사용자 인증을 테스트합니다.
Webhook 인증연동
Webhook 인증연동은 사용자가 로그인 시도 시 , Webhook 이벤트가 발생하고 Genian NAC는 Webhook URL을 호출하게 됩니다.
호출된 URL로부터 리턴 성공값이 Genian NAC로 반환되면 사용자 로그인이 되는 인증방식 입니다.
다음은 Webhook 인증연동을 사용하기 위한 설정 방법입니다.
정책 - 노드정책 클릭 후 , Webhook 인증을 사용할 노드정책을 선택합니다.
노드정책 세부 설정에 있는 인증방식에 할당 버튼을 클릭후 Webhook을 추가합니다.( 인증방식 목록 상단에 위치한 인증방식부터 인증에 사용됩니다. )
설정 - 인증연동 - Webhook 인증연동 으로 이동합니다.
이벤트 발생시 호출할 URL 과 호출 방식 을 설정 합니다.( GET,POST중 호출방식을 선택합니다. )
예시) 데이터 형식 - json
GET 방식 : http://호출할 URL/?id={_USERID}&pwd={_USERPASSWORD}
POST 방식 : http://호출할 URL/
POST 방식일 경우 데이터전송타입 을 선택 후 , 데이터 형식에 맞는 POST 데이터를 입력합니다.
예시)데이터 형식 - application/json
POST 데이터 : id={_USERID}&pwd={_USERPASSWORD}
결과검증 정규식을 입력합니다. ( 리턴 성공값을 작성합니다. )
결과메세지 정규식을 입력합니다.
결과메세지 문자셋을 설정합니다.
Note
SSL 기반 암호화 통신 사용을 위해서는, Webhook URL을 https로 수정합니다.
인증 연동 테스트
RADIUS, LDAP, IMAP, POP3 , SMTP 또는 Webhook 의 연동 구성을 테스트하여 성공적인 연결을 확인 할 수 있습니다.
왼쪽 상단 항목의 설정 으로 이동합니다.
왼쪽 설정 항목에서 사용자 인증 > 인증연동 으로 이동합니다.
메인창에서 인증 테스트 을 찾습니다.
설정을 변경한 경우 수정 을 클릭합니다.
테스트 를 클릭하여 변경한 설정에 대해 테스트합니다.