06Identity Source — AD QueryIdentity Source — AD Query

AD Query는 AD의 Security Event Log를 WMI로 읽어 누가 어느 IP에서 로그인했는지 알아냅니다. 그래서 AD 사용자·컴퓨터만 탐지 한다는 한계가 있습니다.

구성 전에 갖춰야 할 것이 있습니다. 게이트웨이에서 RADIUS Accounting을 켜 두고(RADIUS 회계 서버로 동작하려면), AD 도메인 컨트롤러에 대한 LDAP Account Unit 객체를 구성 해야 합니다. 인증 모드로는 NTLMv1·NTLMv2를 지원 하며, R81.20부터 기본이 NTLMv2 입니다.

설정은 AD 관리자 자격 증명이 필요 할 만큼 간단하지만, 관리자 계정을 서드파티 장비의 서비스 계정으로 쓰기 꺼려진다면 관리자 권한 없이 AD Query를 구성 하는 방법(sk43874)도 있습니다.

게이트웨이(또는 Log Server)와 AD 컨트롤러 사이에 방화벽이 있으면 WMI 트래픽을 허용 해야 합니다. 출발지=AD Query를 도는 게이트웨이, 목적지=도메인 컨트롤러, 서비스=ALL_DCE_RPC, Action=Accept 규칙을 만들어 설치합니다(DCE RPC 연결 문제는 sk37453).

신원 정보가 로그에 안 보이면, 연결을 확인한 뒤에도 → AD에 필요한 보안 이벤트 로그가 실제로 기록되는지 확인합니다. 진단에는 adlog·test_ad_connectivity 명령이 유용합니다. AD Query로 취득한 신원은 Identity Sharing으로 다른 게이트웨이와 공유해 부하를 줄일 수 있습니다.