09Identity Sharing과 PDP·PEPIdentity Sharing과 PDP·PEP

PDP(Policy Decision Point) 는 지정된 신원 소스에서 신원을 얻어, 그룹 멤버십을 조회하고 Access Role을 계산해 다른 게이트웨이와 공유 합니다. PEP(Policy Enforcement Point) 는 그 신원을 받아 Rule Base에 적용해 정책을 집행 하고, 필요하면 사용자를 Captive Portal로 redirect합니다.

핵심 이점은 한 게이트웨이(PDP)만 그룹 조회·Access Role 계산을 하고, 나머지(PEP)는 공유받아 신원 소스와 User Directory 부하를 크게 줄인다는 것입니다. 지원 구성은 유연합니다 — 한 PDP가 여러 PEP에 공유, 한 PEP가 여러 PDP에서 수신, PDP·PEP가 다른 게이트웨이면 Smart-Pull, 같은 게이트웨이면 Push 방식을 씁니다.

설정은 SmartConsole에서 게이트웨이 객체의 Identity Awareness > Identity Sharing 에서 합니다 — 공유하는 쪽(PDP)은 "Share local identities with other gateways", 받는 쪽(PEP)은 "Get identities from other gateways" 를 켜고 PDP를 선택한 뒤 정책을 설치합니다.

Smart-Pull 은 PEP가 필요할 때만 PDP에서 신원을 당겨(pull) 옵니다. 대규모 환경에서 모든 PEP가 모든 신원을 가질 필요는 없으니(예: 소규모 지점), 공간을 아끼고 불필요한 전송을 피 합니다. 흐름은 신원 취득(PDP가 Class C 네트워크 단위로 PEP에 알림) → 서브넷 등록(PEP가 연결 발생 시 더 작은 서브넷에 등록) → 신원 전파(PDP가 등록된 PEP에 즉시 게시) 입니다. Push 는 PDP가 신원을 얻는 즉시 PEP에 게시 하며, 한 게이트웨이가 PDP·PEP 역할을 겸하면 Push만 지원 됩니다.

여러 소스에서 같은 IP에 대해 서로 다른 신원 이 들어오면 조정이 필요합니다. PDP의 Identity Conciliation(R80.40+)이 이를 처리합니다 — 활성 세션이 있는 IP에 새 신원 업데이트가 오면 Override(기존 삭제, 새 것 유지), Reject(새 것 거부, 기존 유지), Append(새 정보를 기존 세션에 추가) 중 하나를 택합니다. PEP 쪽에도 대응하는 Conciliation 동작이 있습니다.

정상 동작 시 PDP↔PEP 사이에 두 연결이 열립니다 — Identity connection(PDP→PEP, 포트 15105, 신원 정보) 과 Network connection(PEP→PDP, 포트 28581, 네트워크 정보) 입니다(Push 모드 PEP는 Identity만 수신). 클러스터면 VIP로 연결 하며 active 멤버만 incoming을 받습니다. 상태는 PDP에서 pdp connections pep, PEP에서 pep show pdp all 로 확인합니다(명령줄·참조).

여러 관리 도메인에 걸친 더 정교한 공유는 Identity Broker에서 다룹니다.