목차/05. Identity Source — Browser-Based Authentication

05Identity Source — Browser-Based AuthenticationIdentity Source — Browser-Based Authentication

Browser-Based Authentication웹 브라우저를 통해 사용자의 신원을 취득 하는 Identity Source입니다. 미식별 사용자가 보호된 자원에 접근하려 하면, Security Gateway가 이들을 Captive Portal 이라는 웹 페이지로 보내 인증을 받게 합니다. 이 방식에는 두 갈래가 있습니다 — 사용자가 직접 사용자명·암호를 입력해 로그인하는 Captive Portal 과, AD에 이미 로그인한 사용자를 추가 입력 없이 투명하게 인증하는 Transparent Kerberos Authentication 입니다.

이 장은 SmartConsole의 Identity Awareness 페이지에서 Browser-Based Authentication을 켜고, 포털의 위치·접근·인증·외관·사용자 접근을 모두 설정하는 과정을 빠짐없이 정리합니다. 그리고 실제 현장에서 이 소스가 어떻게 신원을 얻어 내는지를 시나리오로 풀어 둡니다. 인증서·언어·Kerberos 세부 구성·2FA 같은 고급 항목은 별도로 고급 브라우저 인증에서 다룹니다.

두 가지 인증 방식 이해하기

Captive Portal

Captive Portal미식별 사용자가 사용자명·암호로 로그인하는 웹 포털 입니다. 인증을 마친 사용자는 포털에서 링크를 눌러 원래 가려던 목적지로 이동합니다. 이 방식은 비-AD 사용자(비-Windows 기기, 게스트 등)의 신원 집행에 가장 잘 맞 고, Identity Agent를 강제로 설치하기 어려운 환경에 적합합니다. 단순 로깅보다는 누가 어떤 자원에 접근할 수 있는지를 집행(enforcement) 하려는 목적에 쓰입니다.

Transparent Kerberos Authentication

Transparent Kerberos AuthenticationAD에 이미 로그인한 사용자를 자격 증명 재입력 없이 투명하게 SSO(Single Sign-On)로 인증 합니다. 사용자가 도메인에 한 번 인증해 두면 인가된 모든 네트워크 자원에 추가 로그인 없이 접근합니다. 만약 Kerberos 인증이 실패하면 사용자는 Captive Portal로 리디렉션 되어 수동으로 로그인하게 됩니다.

이 방식은 AD 환경의 알려진 사용자에게 신원 집행용 으로 쓰이며, Identity Agent나 Keep Alive를 사용하지 않습니다. Kerberos SSO가 성공하면 사용자는 Captive Portal 화면 자체를 보지 않으므로, Identity Agent 다운로드 링크나 자동 로그아웃 옵션 같은 포털 옵션은 무시 됩니다.

Browser-Based Authentication 켜기

SmartConsole의 Identity Awareness 페이지에서 Identity Sources 영역을 보면 됩니다. 여기서 Browser-Based Authentication 을 선택하면 미식별 사용자가 Captive Portal로 보내 집니다. 만약 Transparent Kerberos Authentication 을 함께 구성해 두면, 브라우저는 Captive Portal을 띄우기 전에 먼저 AD 사용자를 식별하려고 시도 합니다.

이미 Identity Awareness Wizard나 SmartConsole에서 포털을 구성해 두었다면, 그 포털의 URL이 Browser-Based Authentication 항목 아래에 표시됩니다.

설정을 시작하려면 다음과 같이 합니다.

  1. Browser-Based Authentication 을 선택하고 Settings 를 클릭합니다.
  2. Portal Settings 창에서 아래의 다섯 가지 항목을 차례로 구성합니다.

Portal Settings — 다섯 가지 구성 항목

a. Portal Network Location (포털 위치)

포털을 이 Security Gateway에서 돌릴지, 아니면 다른 Identity Awareness Security Gateway에서 돌릴지 를 정합니다. 기본값은 Captive Portal이 같은 Security Gateway에 있는 것 으로, 이 경우 Gateway가 미식별 사용자를 자기 자신의 Captive Portal로 리디렉션합니다. 이것이 가장 기본적인 구성입니다.

조금 더 고급으로, 포털을 다른 Security Gateway에서 돌리는 구성 도 가능합니다. 자세한 내용은 Identity Awareness Environment 절을 참고하세요.

b. Access Settings (접근 설정)

Edit 를 눌러 Portal Access Settings 창을 엽니다. 여기서는 다음을 설정합니다.

항목설명
Main URL사용자가 Captive Portal로 리디렉션될 기본 URL 입니다. Identity Awareness 구성 마법사에서 이미 지정했을 수도 있습니다.
AliasesAliases 버튼을 눌러 기본 포털 URL로 리디렉션되는 URL 별칭 을 추가합니다. 예를 들어 ID.yourcompany.com 으로 들어온 사용자를 Captive Portal로 보낼 수 있습니다. 별칭이 동작하려면 DNS 서버에서 별칭이 Main URL로 resolve 되어야 합니다.
CertificateImport 를 눌러 포털 웹사이트가 사용할 인증서를 가져옵니다. 인증서를 가져오지 않으면 포털은 Check Point가 자동 생성한 인증서를 사용하는데, 브라우저가 Check Point를 신뢰할 수 있는 CA로 인식하지 못하면 경고가 뜰 수 있습니다. 자세한 내용은 Server Certificates 참고.
AccessibilityEdit 를 눌러 포털에 어디에서 접근할 수 있는지 를 선택합니다. 마법사에서 이미 지정했을 수 있으며, 선택지는 Security Gateway에 구성된 토폴로지에 따라 달라집니다.

Accessibility — 즉 이 인터페이스들에 연결된 네트워크를 쓰는 사용자가 어떻게 Captive Portal로 보내질지에 대한 선택지는 다음과 같습니다.

  • Through all interfaces — 모든 인터페이스를 통해.
  • Through internal interfaces — 내부 인터페이스를 통해. 여기에는 다시 세부 선택이 있습니다.
    • Including undefined internal interfaces — 정의되지 않은 내부 인터페이스 포함.
    • Including DMZ internal interfaces — DMZ 내부 인터페이스 포함.
    • Including VPN Encrypted interfacesroute-based VPN 터널(VTIs)을 맺는 데 쓰는 인터페이스 포함.
  • According to the Firewall policy누가 포털에 접근할 수 있는지를 정한 규칙이 따로 있을 때 이 옵션을 선택합니다.

c. Authentication Settings (인증 설정)

Settings 를 눌러 Authentication Settings 창을 엽니다. 여기서는 다음을 구성합니다.

Browser transparent Single Sign-OnTransparent Kerberos Authentication으로 사용자를 식별 하려면 Automatically authenticate users from computers in the domain 를 선택합니다.

  • Main URLSSO 과정을 시작할 URL 입니다. 투명 인증이 실패하면 사용자는 구성된 Captive Portal로 리디렉션됩니다. 이 URL에는 Identity Awareness Gateway의 DNS 이름이나 IP 주소가 들어갑니다.

Authentication Method알려진 사용자가 인증할 때 사용할 방식 하나 를 선택합니다.

방식설명
Defined on user record (Legacy Authentication)인증 방식을 Security Gateway Object Properties > Other > Legacy Authentication 에서 가져옵니다.
User name and password내부(internal)에 구성하거나 LDAP 서버 에 구성할 수 있습니다.
RADIUS구성된 RADIUS 서버 를 목록에서 선택합니다.

User Directories — Security Gateway가 사용자를 인증할 때 사용자를 찾으러 갈 곳을 한 군데 이상 선택합니다.

디렉터리설명
Internal users내부 사용자 디렉터리.
LDAP usersLDAP 사용자 디렉터리. Any(모든 LDAP 서버의 사용자) 또는 Specific(선택한 특정 LDAP 서버의 사용자) 중 선택.
External user profiles외부 사용자 프로파일을 가진 사용자 디렉터리.

기본값은 모든 사용자 디렉터리 옵션이 선택된 상태 입니다. 사용자가 특정 디렉터리에만 있고 인증 시 Security Gateway 성능을 최대로 끌어올리고 싶다면 한두 개만 선택하세요. 사용자명이 동일한 사용자 가 있으면 domain\user 형식으로 로그인해야 합니다.

d. Customize Appearance (외관 맞춤)

Edit 를 눌러 Portal Customization 창을 열면, 사용자가 Captive Portal에서 보게 될 이미지를 편집할 수 있습니다. 화면에서 번호로 표시된 요소를 다음과 같이 구성합니다.

번호이름GUI에서 할 일
1Portal Title포털 제목을 입력합니다. 기본 제목은 Network Login 입니다.
2Company LogoUse my company logo 를 선택하고 Browse 로 포털에 쓸 로고 이미지를 고릅니다.
2Company Logo for mobilesUse my company logo for mobiles 를 선택하고 Browse모바일 기기에서 접근하는 사용자를 위한 더 작은 로고 이미지를 고릅니다.

e. User Access (사용자 접근)

사용자가 Captive Portal에서 식별되어 네트워크 접근을 얻기 위해 무엇을 할 수 있는지 를 구성합니다. 두 가지 로그인 방식이 있습니다.

Name and password login (이름·암호 로그인)

사용자에게 현재 사용자명과 암호를 입력 하라고 요구하며, 알려진 사용자만 인증 할 수 있습니다. Settings 를 눌러, 사용자명·암호를 성공적으로 입력한 알려진 사용자에 대한 설정을 구성합니다.

  • Access will be granted for xxx minutes다시 인증하기 전까지 네트워크 자원에 접근할 수 있는 시간 입니다.
  • Ask for user agreement — 사용자에게 사용자 동의서에 서명 하게 할 수 있습니다. Edit 를 눌러 동의서를 업로드합니다. 알려진 사용자에게는 보통 동의서가 필요 없으므로 기본적으로 선택되어 있지 않 습니다.
  • Adjust portal settings for specific user groups특정 사용자 그룹을 추가해 다른 사용자와 다른 설정 을 줄 수 있습니다. 여기서 사용자 그룹에 지정한 설정은 Portal Settings의 다른 곳에서 구성한 설정을 덮어씁니다. 사용자 그룹마다 구성할 수 있는 항목은 다음과 같습니다.
    • 사용자 동의서를 수락해야 하는지 여부.
    • Identity Agent를 내려받아야 하는지, 그렇다면 어느 것인지.
    • Identity Agent 설치를 미룰 수 있는지, 그리고 언제까지 미룰 수 있는지.

Unregistered guests login (미등록 게스트 로그인)

Security Gateway가 알지 못하는 게스트라도 필요한 정보를 입력하면 네트워크에 접근 하게 해 줍니다. Settings 를 눌러 게스트 설정을 구성합니다.

  • Access will be granted for xxx minutes다시 인증하기 전까지 게스트가 네트워크 자원에 접근할 수 있는 시간 입니다.
  • 입력해야 할 데이터(이름·회사·이메일·전화번호 등), 접근 허용 시간, 사용자 동의서 필요 여부와 그 본문을 정합니다.

Browser-Based Authentication으로 신원 얻기

Browser-Based Authentication 은 다음과 같은 미식별 사용자로부터 신원을 취득 합니다.

  • Linux 컴퓨터나 iPhone처럼 알 수 없는 기기에서 접속하는 관리형(managed) 사용자.
  • 파트너나 계약직처럼 관리되지 않는(unmanaged) 게스트 사용자.

미식별 사용자가 식별된 사용자에게만 허용된 자원에 접근 하려 하면, 자동으로 Captive Portal로 보내집니다. Transparent Kerberos Authentication이 구성되어 있으면, 브라우저는 Captive Portal을 띄우기 전에 도메인에 로그인된 사용자를 SSO로 먼저 식별 하려고 시도합니다.

다음 두 시나리오로 실제 동작을 살펴봅니다.

시나리오 #1 — 관리되지 않는 기기의 알려진 사용자

ACME의 CEO가 개인용 iPad를 새로 샀고, 그 iPad로 내부 Finance Web 서버 에 접근하고 싶어 합니다. iPad는 Active Directory 도메인의 멤버가 아니므로 AD Query로는 자연스럽게 식별되지 않 지만, Captive Portal에 자신의 AD 자격 증명을 입력 하면 사무실 컴퓨터에서와 똑같은 접근을 얻습니다. 자원 접근 권한은 Firewall Rule Base의 규칙에 따라 결정됩니다.

필요한 SmartConsole 구성

  1. Security Gateway에서 Identity Awareness Software Blade 를 켭니다.
  2. Identity Sources 중 하나로 Browser-Based Authentication 을 선택하고 Settings 를 클릭합니다.
  3. Portal Settings 창의 User Access 영역에서 Name and password login 이 선택되어 있는지 확인합니다.
  4. Rule Base에 사용자가 네트워크 목적지에 접근하도록 허용하는 새 규칙을 만들고, Actionaccept 로 선택합니다.
  5. Action 열을 우클릭하고 More 를 선택하면 Action Settings 창이 열립니다.
  6. Enable Identity Captive Portal 을 선택합니다.
  7. OK 를 클릭합니다.
  8. 규칙의 Source 에서 우클릭해 Access Role 을 만듭니다.
    • a. Access Role의 Name 을 입력합니다.
    • b. Users 페이지에서 Specific users 를 선택하고 해당 사용자를 고릅니다.
    • c. Machines 페이지에서 Any machine 이 선택되어 있는지 확인합니다.
    • d. OK 를 클릭하면 Access Role이 규칙에 추가됩니다.

규칙은 다음과 같은 형태가 됩니다.

NameSourceDestinationVPNServiceActionTrack
CEO Access(Access Role)Finance_ServerAny TraffichttpAccept (Enable Identity Captive Portal)Log

사용자 경험

CEO가 개인 기기로 Finance 서버에 접근하는 과정은 이렇습니다.

  1. 개인 기기에서 Finance 서버로 접속을 시도하면 Captive Portal 이 열립니다.
  2. 평소 쓰는 시스템 자격 증명을 Captive Portal에 입력하면 Welcome to the network 창이 뜹니다.
  3. 이제 Finance 서버에 정상적으로 접근할 수 있습니다.

로그에서의 사용자 식별

Logs & Events 뷰의 Logs 탭에 있는 로그 항목을 보면, 시스템이 개인 기기에서 접속한 사용자를 어떻게 인식했는지 가 드러납니다. 이 식별은 Captive Portal로 취득한 신원 을 사용한 것입니다.

시나리오 #2 — 관리되지 않는 기기의 게스트 사용자

ACME에는 게스트가 자주 방문하고, CEO는 이들이 자기 노트북으로 인터넷에 접근 할 수 있게 해 주고 싶어 합니다.

IT 관리자 Amy는 미등록 게스트가 포털에 로그인해 네트워크 접근을 얻도록 Captive Portal을 구성하고, 인증되지 않은 게스트는 인터넷에만 접근 하도록 Rule Base에 규칙을 만듭니다. 게스트가 인터넷에 접속하려 하면 Captive Portal이 열리고, 게스트는 이름·회사·이메일·전화번호를 입력한 뒤 네트워크 접근 동의서의 약관에 동의합니다. 그러면 지정한 시간 동안 인터넷 접근 이 허용됩니다.

필요한 SmartConsole 구성

  1. Security Gateway에서 Identity Awareness Software Blade 를 켭니다.
  2. Identity Sources 중 하나로 Browser-Based Authentication 을 선택하고 Settings 를 클릭합니다.
  3. Portal Settings 창의 Users Access 영역에서 Unregistered guest login 이 선택되어 있는지 확인합니다.
  4. Unregistered guest login - Settings 를 클릭합니다.
  5. Unregistered Guest Login Settings 창에서 다음을 구성합니다.
    • 게스트가 입력해야 할 데이터.
    • 사용자가 네트워크 자원에 접근할 수 있는 시간.
    • 사용자 동의서 필요 여부와 그 본문.
  6. 식별된 사용자가 조직에서 인터넷에 접근 하도록 Access Role 규칙을 만듭니다.
    • a. Source 를 우클릭해 Access Role 을 선택합니다.
    • b. Users 탭에서 All identified users 를 선택합니다.
  7. 인증되지 않은 게스트가 인터넷에만 접근 하도록 Access Role 규칙을 만듭니다.
    • a. Source 를 우클릭해 Access Role 을 선택합니다.
    • b. Users 탭에서 Specific users > Unauthenticated Guests 를 선택합니다.
    • c. Actionaccept 로 선택합니다.
    • d. Action 열을 우클릭하고 Edit Properties 를 선택하면 Action Properties 창이 열립니다.
    • e. Enable Identity Captive Portal 을 선택합니다.
    • f. OK 를 클릭합니다.

사용자 경험

ACME의 게스트가 인터넷에 접근하는 과정은 이렇습니다.

  1. 노트북으로 인터넷 사이트에 접속하려 하면, 아직 식별되지 않아 인터넷에 접근할 수 없으므로 Captive Portal 이 열립니다.
  2. Captive Portal에 자신을 식별할 데이터를 입력하고, 네트워크 접근 동의서를 읽은 뒤 동의합니다.
  3. 그러면 지정된 시간 동안 인터넷 접근이 허용됩니다.