14명령줄·참조명령줄·참조
Identity Awareness를 명령줄로 제어·진단 하는 핵심 도구는 다섯 가지입니다. adlog 와 adlogconfig 는 AD Query가 신원을 제대로 가져오는지 보고 동작을 세밀하게 조정하는 명령이고, pdp 와 pep 는 신원 공유의 두 축인 PDP 프로세스(pdpd)와 PEP 프로세스(pepd)를 제어·모니터링하며(Identity Sharing과 PDP·PEP), test_ad_connectivity 는 AD 도메인 컨트롤러와의 연결을 직접 테스트해 신원이 안 잡힐 때 그것이 연결 문제인지 이벤트 로그 문제인지 를 가립니다. 이 장은 이 명령들의 모든 하위 명령·파라미터·옵션·예제 를 빠짐없이 풀어 옮긴 것으로, 요약이 아니라 사전처럼 쓰도록 만들었습니다.
먼저 모든 명령에 공통으로 적용되는 실행 환경 규칙 부터 짚어 둡니다. 거의 모든 adlog·pdp·pep 명령 설명에 똑같은 "Important" 주의가 반복되므로, 한 번만 정리하고 이후로는 다시 적지 않겠습니다.
구문 표기법 (Syntax Legend)
이 가이드와 Check Point 문서 전반은 명령·파라미터·옵션을 가능하면 알파벳 순 으로 싣고, 구문을 다음 약속대로 표기합니다. 이 규칙을 알아야 아래 명령 설명을 정확히 읽을 수 있습니다.
| 표기 | 뜻 | |
|---|---|---|
| TAB(들여쓰기) | 중첩된 하위 명령(nested subcommand)을 나타냅니다. 들여쓴 줄은 바로 위 명령의 하위 명령입니다. | |
중괄호 { } | 세로줄 `\ | ` 로 구분된 후보 목록. 이 중 하나만 골라 입력합니다. |
꺾쇠 < > | 변수. 사용자가 지원되는 실제 값을 직접 지정 해야 합니다. | |
대괄호 [ ] | 선택적(optional) 명령·파라미터. 넣어도 되고 안 넣어도 됩니다. |
들여쓰기(TAB) 표기가 가장 헷갈리기 쉽습니다. 예를 들어 이렇게 쓰여 있으면:
config
-a <options>
-d <options>
-p
-r
del <options>실제로는 아래 중 하나의 명령 만 실행하라는 뜻입니다 — cpwd_admin config -a <options>, cpwd_admin config -d <options>, cpwd_admin config -p, cpwd_admin config -r, 또는 cpwd_admin del <options>. 이 장의 모든 구문 블록은 이 규칙으로 읽으면 됩니다.
adlog
adlog 는 AD Query(예전 이름 AD Log) 프로세스를 제어·모니터링 하는 명령을 모아 둔 도구입니다. 이 명령은 실행되는 위치에 따라 두 가지 동작 모드 로 나뉘고, 모드를 첫 인자로 반드시 지정합니다.
adlog a— Security Gateway에서 실행할 때입니다. 이때 AD Query는 Identity Awareness Software Blade에 신원을 공급 해, 정책을 적용하고 신원을 로깅합니다. 구문은 다음과 같습니다.
adlog a <parameter> [<option>]
adlog l— Identity Logging을 켠 Log Server에서 실행할 때입니다. 이때는 신원을 로깅 합니다.
adlog l <parameter> [<option>]
아무 파라미터 없이 adlog만 입력하면 쓸 수 있는 옵션을 보여 주고 종료 합니다. 모드(a/l)는 위 설명대로 작업 환경에 맞게 고릅니다. 그 뒤에 올 수 있는 주요 파라미터는 다음과 같습니다.
| 파라미터 | 설명 |
|---|---|
| (파라미터 없음) | 이 명령에서 쓸 수 있는 옵션을 보여 주고 종료합니다. |
a 또는 l | 동작 모드를 정합니다. a는 Identity Awareness용 AD Query, l은 Log Server(Identity Logging)용입니다. |
control <parameter> <option> | AD Query에 제어 명령 을 보냅니다(아래 adlog control). |
dc | AD 도메인 컨트롤러와의 연결 상태 를 보여 줍니다(아래 adlog dc). |
debug <parameter> | adlog의 디버그 출력 을 켜고 끕니다(아래 adlog debug). |
query <parameter> <option> | AD Query가 취득한 신원 데이터베이스 를, 지정한 필터에 따라 보여 줍니다(아래 adlog query). |
statistics | adlog가 받은 NT 이벤트 로그 통계 를 IP별·전체로 보여 주고, 식별된 IP 주소 수도 표시합니다(아래 adlog statistics). |
adlog control — AD Query에 제어 명령 보내기
AD Query에 제어 명령을 보냅니다. 구문은 다음과 같습니다.
adlog {a | l} control
muh <options>
reconf
srv_accounts <options>
stop| 파라미터 | 설명 |
|---|---|
muh <options> | Multi-User Host(MUH) 목록 을 관리합니다(아래 옵션 참고). |
reconf | AD Query에 재구성 명령 을 보냅니다. 정책 구성을 SmartConsole에서 정의한 상태로 되돌립니다. |
srv_accounts <options> | 서비스 계정(Service Account) 을 관리합니다(아래 옵션 참고). |
stop | AD Query를 중지 합니다. 이후 Security Gateway는 AD Query로 새 신원을 더 이상 취득하지 않습니다. |
muh 옵션 — Multi-User Host 목록을 다룹니다.
- 알려진 모든 Multi-User Host(MUH)를 보기:
adlog {a | l} control muh show
- IP 주소를 Multi-User Host(MUH)로 추가하기:
adlog {a | l} control muh mark
- IP 주소를 Multi-User Host 목록에서 제거하기:
adlog {a | l} control muh unmark
srv_accounts 옵션 — 서비스 계정을 다룹니다. 서비스 계정이란 실제 사람 사용자가 아니라 컴퓨터에서 돌아가는 서비스에 속한 계정 으로, 일정 횟수 이상 로그인하면 의심 계정으로 분류됩니다.
- 알려진 모든 서비스 계정 보기:
adlog {a | l} control srv_accounts show
- 서비스 계정 목록을 모두 비우기:
adlog {a | l} control srv_accounts clear
- 서비스 계정 목록을 수동으로 갱신하기:
adlog {a | l} control srv_accounts find
- 서비스 계정 목록에서 계정 이름 하나 제거하기:
adlog {a | l} control srv_accounts unmark
adlog dc — 도메인 컨트롤러 연결 상태
Active Directory 도메인 컨트롤러와의 연결 상태를 보여 줍니다. 모드에 따라 다음 둘 중 하나로 실행합니다.
adlog a dc
adlog l dcadlog debug — 디버그 출력 켜고 끄기
adlog의 디버그 출력을 켜고 끕니다. 디버그 로그가 기록되는 파일은 실행 환경에 따라 다릅니다.
| 기능 | 디버그 파일 |
|---|---|
| Security Gateway의 Identity Awareness | $FWDIR/log/pdpd.elg |
| Log Server의 Identity Logging | $FWDIR/log/fwd.elg |
구문은 다음과 같습니다.
adlog {a | l} debug
extended
mode
off
on| 파라미터 | 설명 |
|---|---|
extended | 디버그를 켜면서 확장 디버그 토픽까지 추가합니다. |
mode | 디버그 상태(on 또는 off)를 보여 줍니다. |
off | 디버그를 끕니다. |
on | 디버그를 켭니다. |
adlog query — 취득한 신원 데이터베이스 조회
AD Query가 취득한 신원 데이터베이스 를, 지정한 필터에 따라 보여 줍니다. 구문은 다음과 같습니다.
adlog {a | l} query
all
ip <IP Address>
machine <Computer Name>
string <String>
user <Username>| 파라미터 | 설명 |
|---|---|
all | 필터 없이 신원 데이터베이스 전체 를 보여 줍니다. |
ip <IP Address> | 지정한 IP 주소와 관련된 신원만 거릅니다. |
machine <Computer Name> | 지정한 컴퓨터 이름을 기준으로 신원 매핑을 거릅니다. |
string <String> | 지정한 텍스트 문자열을 기준으로 신원 매핑을 거릅니다. |
user <Username> | 지정한 사용자를 기준으로 신원 매핑을 거릅니다. |
adlog statistics — NT 이벤트 로그 통계
adlog가 받은 NT 이벤트 로그 에 대한 통계를 IP 주소별과 전체로 보여 주고, 아울러 식별된 IP 주소의 개수 도 보여 줍니다. 모드에 따라 다음 둘 중 하나로 실행합니다.
adlog a statistics
adlog l statisticsadlogconfig
adlogconfig 는 텍스트 메뉴를 통해 AD Query의 고급 설정 을 구성하는 명령입니다. 각 설정에는 기본값이 정해져 있고, 기본값을 바꾸거나 직접 값을 설정하면 그 변경이 $FWDIR/conf/ad_log_override.C 파일에 저장 됩니다.
실행은 환경에 맞게 두 가지로 합니다.
- Security Gateway / 각 Cluster Member / Security Group에서:
adlogconfig a
- Identity Logging을 켠 Log Server에서:
adlogconfig l
메뉴 화면 — 기본 출력 읽기
명령을 실행하면 위쪽에는 현재 설정 상태([ ]는 꺼짐, [X]는 켜짐, 숫자/[1]은 설정값) 가 요약되고, 아래쪽에는 1~33번 메뉴 항목 이 나옵니다. 기본 출력은 다음과 같은 모습입니다.
[ ] Override default AD Query configuration
[ ] Enable AD Query
[ ] Create logs also for logoff events
[ ] Create logs with timestamp from AD
Timeout for username-and-IP association (minutes, 0=disabled): 0
Interval for fetching Full Name for known users (days, 0=disabled): 0
Hour of the day for fetching Full Name for known users (0=disabled): 0
Threshold for Multi-User Host detection (logged in users): 7
Timeout for revoked users on single user hosts (seconds): 14400
[X] Mark hosts as Multi-User Hosts after X users logged in
Timeout for Multi-User Host mark (seconds): 2592000
Threshold for Service Account detection (logins): 10
[ ] Automatically exclude Service Accounts
[ ] Override default parameters for AD communication
Interval between AD queries for login events (seconds, 0=disabled): 0
Max returned objects for each AD query data chunk (0=unlimited): 0
[ ] Ignore login events received from other AD Domains
[X] Do not check if AD password expired
[ ] AD authentication mode
[ ] Use NTLMv1
[X] Use NTLMv2
[ ] Assume that all hosts are for single users
[ ] Ignore hostnames of users' computers
[X] Use automatic AD updates about LDAP groups membership
Timeout for accumulating LDAP group updates (seconds): 10
[X] Use LDAP group updates about users only
[ ] Prefer IPv6 addresses for Domain Controllers
[1] WMI query Type위쪽 요약 줄과 아래쪽 메뉴 번호는 서로 짝지어집니다. 예컨대 요약의 [ ] Enable AD Query는 메뉴 2번의 켜짐 여부를, Threshold for Multi-User Host detection: 7은 메뉴 13번의 값을 그대로 보여 주는 식입니다. [ ] AD authentication mode 줄은 항상 꺼짐([ ])으로만 표시 되며, 실제 선택(NTLMv1/NTLMv2)은 바로 아래 두 줄과 메뉴 21번에서 확인합니다.
메뉴 항목 1~33 자세히
아래 표는 메뉴의 각 번호가 무엇을 설정하며, 기본값과 ad_log_override.C 파일에 어떤 키로 기록되는지를 모두 옮긴 것입니다. Default implicit value 는 기본값(파일에 명시 안 됨)일 때의 의미, Non-Default explicit value 는 기본을 벗어나 명시했을 때의 값입니다.
| # | 메뉴 항목 | 설명·기본값 | 설정 키(ad_log_override.C) |
|---|---|---|---|
| 1 | Use / Do not use the AD Query 'override' file | 이 메뉴에서 구성한 $FWDIR/conf/ad_log_override.C의 비기본 설정을 쓸지. 기본: 비활성(파일 안 씀). Boolean. | :Override (false) / :Override (true) |
| 2 | Enable / Disable the AD Query feature | 이 메뉴에서 구성한 비기본 AD Query 설정을 쓸지. 기본: 비활성(파일의 값을 안 씀). Boolean. | :EnableAdLog (false) / :EnableAdLog (true) |
| 3 | Create logs also for logoff events | 로그인 이벤트뿐 아니라 로그오프 이벤트에도 로그 를 만들지. 기본: 비활성. Boolean. | :EnableLogForLoginOrLogoff (false) / (true) |
| 4 | Create logs with timestamp from AD | 게이트웨이가 이벤트를 처리한 시각 대신 AD에서 이벤트가 생성된 원래 시각 을 쓸지. 기본: 비활성. Boolean. | :UseLogOriginalCreationTime (false) / (true) |
| 5 | Timeout for username-and-IP association | 사용자 IP와 사용자 이름의 연결 타임아웃(분). 기본: 0(비활성). Integer. | :AssociationTimeout (0x0) / (0x<Hex>) |
| 6 | Query interval (days) for fetching Full Name | 알려진 사용자의 전체 이름(Full Name) 을 AD에서 가져오는 간격(일). 기본: 0(비활성). Integer. | :FullNameQueryInterval (0x0) / (0x<Hex>) |
| 7 | Query hour of the day for fetching Full Name | 전체 이름을 가져올 정시(시각). 기본: 0(비활성). Integer. | :FullNameFetchHour (0x0) / (0x<Hex>) |
| 8 | Add AD Domain and its Domain Controllers | AD 도메인·도메인 컨트롤러·사용자 이름·암호를 지정합니다. String(아래 예 참고). | :Domains ( … ) 구조 |
| 9 | Delete AD Domain and its Domain Controllers | 8번으로 구성한 AD 도메인·도메인 컨트롤러를 파일에서 삭제합니다. | — |
| 10 | Reconfigure AD username | 8번으로 구성한 AD 도메인 사용자 이름 을 덮어씁니다. | — |
| 11 | Reconfigure AD Password | 8번으로 구성한 AD 도메인 암호 를 덮어씁니다. | — |
| 12 | Reconfigure AD Domain Controllers | 8번으로 구성한 도메인 컨트롤러 를 덮어씁니다. | — |
| 13 | Number of logged in users for MUH detection | 같은 IP에서 몇 명이 로그인하면 그 IP를 Multi-User Host 로 볼지. 기본: 7명. Integer. | :MultiUserThreshold (0x7) / (0x<Hex>) |
| 14 | Timeout for revoked users on single user hosts | (22번을 켰을 때만 적용) 이전에 로그인한 사용자가 새 IP에 연결되는 것을 게이트웨이가 무시하는 시간. 이 동안 그 사용자는 다른 컴퓨터에서 로그인하면 트래픽을 통과시키지 못합니다. 기본: 14400초(240분). Integer. | :RevokedUserTimout (0x3840) / (0x<Hex>) |
| 15 | Mark / Do not mark hosts as MUH after X users | 끄면 X명 넘게 로그인해도 IP를 MUH로 표시하지 않음. X는 13번 값. 기본: 활성(표시함). Boolean. | :DisableMultiUserPersistDB (false) / (true) |
| 16 | Timeout for Multi-User Host mark | X명 넘게 로그인한 IP를 MUH로 표시해 두는 기간. 기본: 2592000초(30일). Integer. | :MultiUserPersistMachineTimeout (0x278d00) / (0x<Hex>) |
| 17 | Override / Do not override parameters for AD communication | 18·19번 설정을 쓸지. 기본: 비활성(기본 파라미터 사용). Boolean. | :QueryWhitinCount (false) / (true) |
| 18 | Interval between AD queries for login events | 게이트웨이가 AD에 로그인 이벤트를 묻는 주기(초). 기본: 1초. Integer. | :FullNameQueryInterval (0x0) / (0x<Hex>) |
| 19 | Max returned objects per data chunk | AD에 로그인 이벤트를 물을 때 데이터 청크당 반환 사용자 수. 기본: 청크당 100명. Integer. | :QueryMaxReturnedObjects (0x64) / (0x<Hex>) |
| 20 | Check / Do not check if AD password expired (24h) | 게이트웨이가 AD 접속에 쓰는 계정의 암호 만료를 24시간마다 점검 할지. 기본: 비활성(점검 안 함). Boolean. | :DisablePassExpCheck (true) / (false) |
| 21 | AD authentication mode - NTLMv1 / NTLMv2 | AD 접속 시 인증 모드 를 NTLMv1/NTLMv2 중 무엇으로 할지. 기본: NTLMv2. Boolean. | :UseNTLMv2 (true) / (false) |
| 22 | Assume / Do not assume all hosts are single-user | 소스 IP와 사용자 이름 사이에 연결을 하나만 유지 할지. 같은 컴퓨터에 다른 사용자가 로그인하면 새 사용자가 이전 사용자를 대체합니다. 기본: 비활성. Boolean. | :SingleUserAssumption (false) / (true) |
| 23 | Threshold for Service Account detection | 서로 다른 IP에서 몇 번 로그인 하면 그 사용자를 서비스 계정으로 볼지. 기본: 10회. Integer. | :ServiceAccountThreshold (0xa) / (0x<Hex>) |
| 24 | Ignore / Do not ignore login events from other AD Domains | AD Query에 구성한 도메인과 다른 도메인의 로그인 이벤트를 무시 할지. 기본: 비활성(무시 안 함). Boolean. | :IgnoreDifferentDomains (false) / (true) |
| 25 | Exclude / Do not exclude Service Accounts automatically | 사용자 연결에서 서비스 계정을 자동 제외 할지. 기본: 비활성(제외 안 함). Boolean. | :ExcludeServiceAccounts (false) / (true) |
| 26 | Ignore / Do not ignore hostnames of users' computers | 사용자가 로그인한 컴퓨터의 호스트 이름을 무시 할지. 기본: 비활성(무시 안 함). Boolean. | :DontReportMachines (false) / (true) |
| 27 | Ignore / Do not ignore automatic AD updates about LDAP groups | LDAP 그룹 멤버십에 대한 AD 자동 업데이트를 무시 할지. 기본: 활성(무시 안 함). Boolean. | :LdapGroupsUpdateEnable (true) / (false) |
| 28 | Timeout for accumulating LDAP group updates | (27번을 켰을 때만 적용) 사용자 접근을 다시 계산하기 전, LDAP 그룹 알림을 모아 두는 시간(초). 기본: 10초. Integer. | :LdapGroupsUpdateDelay (0x0) / (0x<Hex>) |
| 29 | Use LDAP group updates about users only / all changes | (27번을 켰을 때만 적용) 사용자 관련 변경에 대한 LDAP 알림만 처리할지, 모든 변경을 처리할지. 기본: 활성(사용자 관련만). Boolean. | :LdapGroupsUpdateAll (false) / (true) |
| 30 | Prefer / Do not prefer IPv6 addresses for Domain Controllers | DNS 질의가 IPv4·IPv6를 모두 돌려줄 때 IPv6를 우선 할지. 기본: 비활성(우선 안 함). Boolean. | :PreferIPv6DCAddresses (false) / (true) |
| 31 | WMI query type | AD용 WMI 질의 유형. 기본: 1. Integer.(아래 표) | :WmiQueryType (0x1) / (0x<Hex>) |
| 32 | Exit without saving | 변경을 저장하지 않고 메뉴를 빠져나갑니다. | — |
| 33 | Save configuration and exit | 변경을 저장하고 메뉴를 빠져나갑니다. | — |
31번 WMI 질의 유형(WMI query type) 의 세 가지 값은 다음과 같습니다.
| ID | WMI 질의 이름 | 설명 |
|---|---|---|
| 1 | Admin query | 일반 질의. 전달된 보안 이벤트 로그(forwarded security events) 읽기를 포함 합니다. 계정이 Server Operators 그룹의 멤버여야 합니다. |
| 2 | Fallback from Admin to non-Admin | 폴백 구성. 먼저 기본 일반 질의를 시도하고, WMI 권한 오류로 실패하면 Non-Admin(축소) 질의를 시도합니다. |
| 3 | Non-Admin query | 축소 질의. 전달된 이벤트 없이 항상 질의합니다. Server Operators 그룹 멤버십이 필요 없습니다. |
pdp
pdp 명령은 PDP 프로세스(pdpd)를 제어·모니터링 합니다. 기본 구문은 다음과 같습니다.
pdp <command> [<parameter> [<option>]]아무 파라미터 없이 pdp만 입력하면 쓸 수 있는 옵션을 보여 주고 종료합니다. 사용할 수 있는 명령 그룹은 다음과 같습니다(각 그룹은 아래에서 자세히 다룹니다).
| 명령 | 설명 |
|---|---|
ad <parameter> <option> | AD Query용으로, 게이트웨이의 신원 DB에 신원을 추가/제거 합니다. |
auth <parameter> <option> | 인증·인가 옵션을 보고 설정합니다. |
broker <parameter> <option> | PDP Identity Broker 를 제어합니다. |
conciliation <parameter> <option> | 세션 조정(conciliation) 메커니즘 을 제어합니다. |
connections <parameter> | PEP 게이트웨이·터미널 서버·Identity Collector와의 PDP 연결을 보여 줍니다. |
control <parameter> <option> | PDP 파라미터를 제어합니다. |
debug <parameter> <option> | PDP 디버그를 제어합니다. |
idc <parameter> <option> | Identity Collector 관련 작업입니다. |
idp <parameter> <option> | SAML 기반 인증 관련 작업입니다. |
monitor <parameter> <option> | 연결된 PDP 세션 상태를 모니터링합니다. |
muh <parameter> <option> | Multi-User Host를 보여 줍니다. |
nested_groups <parameter> | LDAP 중첩 그룹(Nested Group) 구성을 보여 줍니다. |
network <parameter> | 네트워크 관련 기능 정보를 보여 줍니다. |
radius <parameter> <option> | RADIUS 어카운팅 옵션을 보고 설정합니다. |
roles <parameter> <option> | 사용자 역할(role) 정보를 보여 줍니다. |
status <parameter> | 시작 시각·구성 시각 등 PDP 상태 정보를 보여 줍니다. |
tasks_manager <parameter> | PDP 작업 상태를 보여 줍니다. |
timers <parameter> | 세션별 PDP 타이머 정보를 보여 줍니다. |
topology_map | 모든 PDP·PEP 주소의 토폴로지를 보여 줍니다. |
tracker <parameter> | PDP 로그에 TRACKER 토픽 을 추가합니다. |
update <parameter> | 사용자·컴퓨터의 그룹 멤버십을 다시 계산합니다. |
vpn <parameter> | VPN 원격 접속 클라이언트의 신원 데이터를 보내는 VPN 게이트웨이를 보여 줍니다. |
pdp ad — 신원 직접 추가·제거
AD Query용으로 게이트웨이의 신원 DB에 신원을 더하거나 빼는 명령입니다. 일반 구문은 다음과 같습니다.
pdp ad
associate <options>
disassociate <options>pdp ad associate — 신원을 추가 합니다. 그룹 데이터는 AD에 있어야 합니다.
pdp ad associate ip <IP Address> u <Username> d <Domain> [m <Computer Name>] [t <Timeout>] [s]| 파라미터 | 설명 |
|---|---|
ip <IP Address> | 신원의 IP 주소. |
u <Username> | 신원의 사용자 이름. |
d <Domain> | ID 서버의 도메인. |
m <Computer Name> | 신원에 정의된 컴퓨터. |
t <Timeout> | AD Query 타임아웃. 기본 5시간. |
s | u <Username> 와 m <Computer> 를 순차적으로 연결 합니다 — 먼저 컴퓨터를 추가한 뒤 사용자를 DB에 추가합니다. |
pdp ad disassociate — 신원을 제거 합니다. 제거된 사용자는 Identity Awareness가 인증하지 않습니다.
pdp ad disassociate ip <IP Address> {u <Username> | m <Computer Name>} [r {override | probed | timeout}]| 파라미터 | 설명 | ||
|---|---|---|---|
ip <IP Address> | 신원의 IP 주소. | ||
u <Username> | 신원의 사용자 이름. | ||
m <Computer Name> | 신원에 정의된 컴퓨터. | ||
| `r {override \ | probed \ | timeout}` | SmartConsole의 Logs & Events > Logs 탭에 표시할 사유. |
pdp auth — 인증·인가 옵션
PDP의 인증/인가 옵션을 구성합니다. 구문은 다음과 같습니다.
pdp auth
allow_empty_result <options>
count_in_non_ldap_group <options>
fetch_by_sid <options>
force_domain <options>
kerberos_any_domain <options>
kerberos_encryption <options>
reauth_agents_after_policy <options>
recovery_interval <options>
username_password <options>대부분의 하위 옵션은 disable(끄기)·enable(켜기)·status(상태 보기) 의 세 형태를 공통으로 가집니다.
| 파라미터 | 설명 |
|---|---|
allow_empty_result | SID 기반으로 AD에서 로컬 그룹을 가져올 때, 모든 SID가 외부(foreign)여도 성공 하도록 구성/조회. (disable/enable/status) |
count_in_non_ldap_group | SmartConsole의 user picker에서 개별 선택한 사용자와 LDAP 브랜치 그룹의 멤버십 식별 을 구성/조회. (disable/enable/status) |
fetch_by_sid | SID 기반 로컬 그룹 가져오기 를 구성/조회. (disable/enable/status) |
force_domain | 보고된 도메인과 인가 도메인을 기준으로 신원의 소스를 일치 시키도록 구성/조회. (disable/enable/status) |
kerberos_any_domain | 가용한 모든 Kerberos principal 사용 을 구성/조회. (disable/enable/status) |
kerberos_encryption | Kerberos 암호화 유형 을 설정(set)/조회(get). |
reauth_agents_after_policy | 정책 설치 후 Identity Agent 자동 재인증 을 구성/조회. (disable/enable/status) |
recovery_interval | 더 높은 우선순위의 PDP로 다시 연결을 시도하는 빈도 를 구성/조회. (disable/enable/set <초>/show) |
username_password | 사용자 이름·암호 인증 을 구성/조회. (disable/enable/status) |
예를 들어 recovery_interval 의 빈도를 설정하려면 다음과 같이 씁니다.
pdp auth recovery_interval set <Number of Seconds>pdp broker — Identity Broker 제어
PDP Identity Broker를 제어하는 명령입니다(Broker). 구문은 다음과 같습니다.
pdp broker
debug {set | unset} <options>
discard <options>
identity_cache_mode status
reconnect <options>
session <options>
status [-e]
sync <options>debug set / unset — Broker 디버그를 제어합니다. Publisher PDP·Subscriber PDP 각각에 대해, 일반(pub/sub)·확장(pub_ext/sub_ext)·통신(pub_transport/sub_transport) 로그 를 켜고(set) 끕니다(unset). 형식은 모두 pdp broker debug {set|unset} <topic> <IP Address> 입니다.
| 디버그 토픽 | 대상 |
|---|---|
pub <IP> / pub_ext <IP> | 원격 Publisher PDP의 일반 / 확장 로그. |
pub_transport <IP> | 원격 Publisher PDP와의 통신 로그. Subscriber PDP 쪽에서 켜면 Publisher의 JSON 요청을 관찰할 수 있습니다(메시지 미수신·파싱 문제·Sharing ID 같은 내용 검증 등). |
sub <IP> / sub_ext <IP> | 원격 Subscriber PDP의 일반 / 확장 로그. |
sub_transport <IP> | 원격 Subscriber PDP와의 통신 로그. |
나머지 파라미터는 다음과 같습니다.
| 파라미터 | 설명 |
|---|---|
discard show_timeout <Publisher IP> | 연결 끊김 동안 해당 Publisher PDP에서 받은 세션을 폐기하기까지의 타임아웃을 조회. |
discard set_timeout <Publisher IP> <Timeout> | 그 폐기 타임아웃(초)을 설정. |
identity_cache_mode status | PDP-to-PDP 공유 프로토콜(Identity Broker)의 Identity Cache Mode 현재 상태 표시. |
reconnect <Subscriber IP> | 지정한 Subscriber PDP로 즉시 재연결을 강제. keep-alive 간격·지수 백오프를 무시하고 곧바로 핸드셰이크/keep-alive를 보냅니다. |
session <Subscriber IP> | 지정한 Subscriber PDP의 Identity Broker 세션 정보 표시. |
status [-e] | 원격 Publisher·Subscriber PDP의 상태 표시. -e는 Subscriber PDP 포트와 마지막 오류 시각·설명 등 더 많은 정보를 더함. |
sync <option> | 지정한 Publisher/Subscriber PDP와 신원을 동기화. |
sync 의 세부 옵션은 다음과 같습니다.
pdp broker sync pub <Publisher IP> # 특정 Publisher에 동기화 요청
pdp broker sync pub all # 모든 Publisher에 동기화 요청
pdp broker sync sub <Subscriber IP> # 특정 Subscriber와 동기화 시작
pdp broker sync sub all # 모든 Subscriber와 동기화 시작
pdp broker sync schedule add <Publisher IP> "<HH:MM>" # 동기화 시각 추가
pdp broker sync schedule remove <Publisher IP> "<HH:MM>" # 현재 스케줄 제거
pdp broker sync schedule show [<Publisher IP>] # 현재 스케줄 보기pdp conciliation — 세션 조정
세션 조정(conciliation) 메커니즘을 제어합니다. 각 신원 소스에 대해 "한 컴퓨터에 사용자가 한 명/여러 명 있다"는 가정 을 켜고 끄는 것이 핵심입니다. 구문은 다음과 같습니다.
pdp conciliation
adq_single_user <option>
api_multiple_users <option>
idc_multiple_users <option>
rad_multiple_users <option>| 파라미터 | 설명 |
|---|---|
adq_single_user | 각 컴퓨터에 AD Query 사용자가 한 명 이라는 가정을 조회·제어. |
api_multiple_users | 각 컴퓨터에 Web-API 사용자가 여럿 이라는 가정을 조회·제어. |
idc_multiple_users | 각 컴퓨터에 Identity Collector 사용자가 여럿 이라는 가정을 조회·제어. |
rad_multiple_users | 각 컴퓨터에 RADIUS 사용자가 여럿 이라는 가정을 조회·제어. |
각 파라미터의 옵션은 disable(끄기)·enable(켜기)·stat(현재 상태 보기) 입니다. 예: pdp conciliation adq_single_user enable.
pdp connections — PEP·터미널 서버·IDC 연결 보기
PEP 게이트웨이·터미널 서버·Identity Collector와의 PDP 연결을 보여 줍니다.
pdp connections
idc
pep
ts| 파라미터 | 설명 |
|---|---|
idc | 연결된 Identity Collector 목록. |
pep | 현재 PDP가 업데이트해야 할 모든 PEP의 연결 상태. |
ts | 연결된 모든 터미널 서버 목록. |
pdp control — PDP 제어
PDP를 제어하는 명령입니다.
pdp control
revoke_ip <IP address>
sync| 파라미터 | 설명 |
|---|---|
revoke_ip <IP address> | 지정한 IP 주소에 관련된 세션을 로그아웃 시킵니다. |
sync | PDP와 PEP 사이의 동기화를 강제로 개시. 실행하면 PDP가 연결된 모든 세션의 최신 정보를 PEP들에 알려, 작업이 끝나면 PDP와 PEP가 같은 최신 세션 정보를 갖게 됩니다. |
pdp debug — PDP 디버그
PDP의 디버그를 제어합니다. 구문은 다음과 같습니다.
pdp debug
async1
ccc {off | on}
memory
off
on
reset
rotate
set <Topic Name> <Severity>
spaces [<0 - 5>]
stat
unset <Topic Name>| 파라미터 | 설명 | |
|---|---|---|
async1 | 비동기 명령줄을 echo 명령으로 30초간 테스트. | |
| `ccc {off \ | on}` | CCC 디버그 로그 를 PDP 로그 파일($FWDIR/log/pdpd.elg)에 쓸지(on)·말지(off). |
memory | pdpd 데몬의 메모리 소비량 표시. | |
off | PDP 디버그 끄기. | |
on | PDP 디버그 켜기. | |
reset | Debug Topic·Severity 옵션을 초기화. | |
rotate | PDP 로그 파일 로테이트(인덱스 증가): pdpd.elg → pdpd.elg.0 → pdpd.elg.1 … | |
set <Topic> <Severity> | 지정한 Debug Topic·Severity 기준으로 기록할 로그를 필터링. | |
spaces [<0 - 5>] | pdpd.elg의 들여쓰기 칸 수를 보고 설정. 0(기본)~5. | |
stat | 현재 디버그 상태 표시. | |
unset <Topic> | 지정한 Debug Topic을 해제. |
Debug Topic은 all, 그리고 Check Point Support가 보고된 문제에 따라 주는 더 구체적인 토픽 들이 있습니다. Severity는 all·critical·events·important·surprise 가 있습니다.
pdp idc — Identity Collector 작업
Identity Collector 관련 작업입니다. 구문은 다음과 같습니다.
pdp idc
groups_consolidation <options>
groups_update <options>
muh <options>
service_accounts <options>
status| 파라미터 | 설명 |
|---|---|
groups_consolidation | 외부 그룹과 가져온 그룹의 통합 을 조회·구성. enable(기본)/disable/status. |
groups_update | Identity Collector의 LDAP 그룹 자동 업데이트. on(현재 상태 가져오기)/off(기본, 비활성)/status. |
muh | Multi-User Host 탐지. mark <IP>(MUH로 표시)/show(목록)/unmark <IP>(해제). |
service_accounts | 의심 서비스 계정 조회·구성(기본 활성, 아래 옵션). |
status | 구성된 신원 소스(Identity Collector)의 상태 표시. |
service_accounts 세부 옵션:
pdp idc service_accounts show # 현재 모드·알려진 SA·제외 계정 통계
pdp idc service_accounts set_threshold <2-1000> # 동시 로그인 임계값(기본 100)
pdp idc service_accounts set_auto_prevention {enable | disable} # Prevent 모드 켜기(기본)/끄기
pdp idc service_accounts mark <username> # 특정 사용자명을 SA로 표시
pdp idc service_accounts add_exception <username_1> <username_2> ... # SA로 탐지 안 함
pdp idc service_accounts delete_exception <username_1> <username_2> ... # 지정 횟수 넘으면 SA로 탐지
pdp idc service_accounts unmark_service_accounts # 특정 사용자명을 SA 목록에서 제거
pdp idc service_accounts unmark_service_accounts_all # 모든 사용자명을 SA 목록에서 제거pdp idp — SAML 기반 인증
SAML 기반 인증과 관련된 작업입니다.
pdp idp groups <options>groups 는 외부 그룹과 가져온 그룹의 통합 방식을 설정·조회합니다.
pdp idp groups set {only | prefer | union | ignore}
pdp idp groups status| 값 | 동작 |
|---|---|
only | Identity Provider가 보낸 그룹만 고려. 구성된 User Directory의 그룹은 무시. |
prefer | Identity Provider가 보낸 그룹을 우선. IdP가 그룹을 안 보낼 때만 User Directory 그룹을 고려. 기본값. |
union | User Directory 그룹과 IdP 그룹을 모두 고려. |
ignore | User Directory 그룹만 고려. IdP가 보낸 그룹은 무시. |
pdp monitor — 연결된 세션 모니터링
연결된 PDP 세션 상태를 모니터링합니다. 다양한 필터로 원하는 출력을 얻을 수 있습니다.
pdp monitor
all
client_type <Client Type>
cv_ge <Version>
cv_le <Version>
groups <Group Name>
ip <IP address>
machine <Computer Name>
machine_exact
mad
network
s_port
summary
user <Username>
user_exact| 파라미터 | 설명 |
|---|---|
all | 연결된 모든 세션 정보. |
client_type <Client Type> | 지정한 클라이언트 유형으로 연결된 세션. 유형: AD Query·Identity Agent·portal(Captive Portal)·unknown. |
cv_ge <Version> | 지정 버전 이상 의 클라이언트 버전으로 연결된 세션. |
cv_le <Version> | 지정 버전 이하 의 클라이언트 버전으로 연결된 세션. |
groups <Group Name> | 지정 그룹의 멤버인 사용자·컴퓨터 세션. |
ip <IP address> | 지정 IP 주소의 세션 정보. |
machine <Computer Name> | 지정 컴퓨터 이름의 세션 정보. |
machine_exact | 정확히 일치 하는 컴퓨터 이름으로 거른 세션. |
mad | 관리 자산(managed asset) 관련 세션. 예: 컴퓨터 인증에 성공한 모든 세션. |
network | 네트워크 와일드카드로 거른 세션. 예: 192.168.72.* |
s_port | 할당된 소스 포트로 거른 세션(MUH 세션만). |
summary | 요약 모니터링 데이터. |
user <Username> | 지정 사용자 이름의 세션 정보. |
user_exact | 정확히 일치 하는 사용자로 거른 세션. |
pdp muh — Multi-User Host 보기
Multi-User Host(MUH)를 보여 줍니다.
pdp muh statuspdp nested_groups — LDAP 중첩 그룹
게이트웨이가 LDAP 중첩 그룹(Nested Group)을 질의하는 방식을 구성하고, 현재 구성을 보여 줍니다.
pdp nested_groups
auto_tune {enable | disable}
clear
depth <options>
disable
enable
show
status
__set_state <options>| 파라미터 | 설명 | |||
|---|---|---|---|---|
| `auto_tune {enable \ | disable}` | 자동 튜닝 켜기/끄기. 게이트웨이와 관리 서버의 LDAP 구성을 보고 최적 중첩 그룹 상태를 계산해 자동 선택합니다. 끄면 이전에 __set_state로 설정한 상태로 돌아갑니다. | ||
clear | depth가 부족했던 사용자 목록을 지웁니다. | |||
depth <1 - 40> | 중첩 그룹 깊이(1~40)를 설정. | |||
disable | 중첩 그룹 끄기. | |||
enable | 중첩 그룹 켜기. | |||
show | depth가 부족했던 사용자 목록 표시. | |||
status | 중첩 그룹 구성 상태 표시. | |||
| `__set_state {1 \ | 2 \ | 3 \ | 4}` | 중첩 그룹 상태 설정(아래 표). |
__set_state 의 네 가지 상태:
| 상태 | 이름 | 동작·권장 환경 |
|---|---|---|
| 1 | Recursive | 기본값. 사용자마다 그룹 멤버십을 질의하고, 각 그룹을 재귀적으로 질의해 중첩 그룹을 알아냅니다. 중첩 그룹이 적거나 없는 환경에 권장. |
| 2 | Per-user | LDAP 질의 한 번으로 중첩 수준까지 포함한 사용자의 모든 그룹 을 받습니다. AD forest의 어느 브랜치든 그룹을 보여 주며 Global Catalog 포트(TCP 3268/3269)로 보냅니다. 정책에 중첩 그룹을 포함한 Access Role이 있을 때, 교차 도메인 트리를 쓸 때 권장(sk134292). |
| 3 | Multi per-group | LDAP 질의 한 번에 사용자와 그룹을 담아, 그 사용자가 해당 그룹에 포함되는지 응답받습니다. 모든 유형의 사용자·그룹이 있고 중첩 그룹을 가진 Access Role이 적은 환경에 권장. |
| 4 | Per user, single branch per AU | LDAP 질의 한 번으로 중첩 수준 포함 모든 그룹을 받되, LDAP account unit에 지정된 브랜치 의 그룹만 보여 줍니다. 모든 LDAP 포트(TCP 3268/3269, 389/636)에서 동작. 각 account unit에 단일 브랜치를 쓸 때 사용. |
pdp network — 네트워크 정보
네트워크 관련 기능 정보를 보여 줍니다.
pdp network {info | registered}| 파라미터 | 설명 |
|---|---|
info | PDP가 아는 네트워크 목록. |
registered | 네트워크 주소와 등록된 게이트웨이(PEP 모듈)의 매핑. |
pdp radius — RADIUS 어카운팅
RADIUS 어카운팅 옵션을 보고 설정합니다. 구문은 다음과 같습니다.
pdp radius
ip
reset
set <options>
groups
fetch <options>
reset
set <options>
parser
reset
set <options>
roles
fetch <options>
reset
set <options>
status| 파라미터 | 설명 | |
|---|---|---|
ip | 보조 IP 옵션 구성. reset(초기화) 및 set <attribute index> [-a <vendor specific attribute index>] [-c <vendor code>]. | |
groups | 사용자 그룹 옵션 구성. `fetch {off \ | on}(RADIUS 메시지에서 그룹을 가져올지), reset, 그리고 머신용 set -m …·사용자용 set -u …`. |
parser | 파싱 옵션 구성. reset 및 set <attribute index> [-c <vendor code> -a <vendor specific attribute index>] -p <prefix> -s <suffix>. | |
roles | RADIUS 메시지에서 역할 을 얻는 방법 구성. `fetch {off \ | on}, reset, 머신용 set -m …·사용자용 set -u …`. |
status | 현재 상태 표시. |
groups·roles 의 set 은 머신(-m)·사용자(-u)별로 다음 형태를 씁니다.
pdp radius groups set -m <attribute index> [-a <vendor specific attribute index>] [-c <vendor code>] [-d <delimiter>]
pdp radius groups set -u <attribute index> [-a <vendor specific attribute index>] [-c <vendor code>] [-d <delimiter>]pdp roles — 역할 정보
사용자 역할 정보를 다룹니다. 일반 구문은 다음과 같습니다.
pdp roles
extract
fetch <options>pdp roles extract — pdp roles fetch 로 만든 $FWDIR/tmp/roles_command_output.txt 파일에서 역할을 추출해 보여 줍니다.
pdp roles extractpdp roles fetch — 제공한 Access Role 정보와 일치하는 역할을 가져와 같은 파일에 저장합니다.
pdp roles fetch [-ip <IP Address>]
-u "<Username>" -is "<Identity Source>"
-ug "<User Group 1>","<User Group 2>",...
-mg "<Machine Group 1>","<Machine Group 2>",...| 파라미터 | 설명 |
|---|---|
-ip <IP Address> | 선택. Networks 창에서 명시적으로 선택한 객체를 포함하는 Access Role을 계산·가져올 때, 신원·호스트·세션의 IP 주소를 지정. |
-u "<Username>" -is "<Identity Source>" | 사용자 이름과 신원 소스 지정. 신원 소스(대소문자 구분): portal·Identity_Agent·Remote_Access·AD_Query·IFMAP·Terminal_Server_Identity_Agent·Radius_Accounting. |
-ug "<User Group 1>",... | 사용자 그룹. 쉼표로 구분해 나열. AD 그룹은 접두사 ad_group_ 를 붙임. 예: -ug "ad_group_LaptopUsers". |
-mg "<Machine Group 1>",... | 머신 그룹. 규칙은 사용자 그룹과 동일. 예: -mg "ad_group_Laptops". |
pdp status — PDP 상태
시작 시각·구성 시각 등 PDP 상태 정보를 보여 줍니다.
pdp status showpdp tasks_manager — 작업 상태
PDP 작업의 상태(현재 실행 중·이전·대기 중)를 보여 줍니다.
pdp tasks_manager statuspdp timers — 타이머 정보
세션별 PDP 타이머 정보를 보여 줍니다.
pdp timers show보여 주는 타이머는 다음과 같습니다 — User Auth Timer, Machine Auth Timer, Pep Cache Timer, Compliance Timer, Keep Alive Timer, Ldap Fetch Timer.
pdp topology_map — 토폴로지
모든 PDP·PEP 주소의 토폴로지를 보여 줍니다.
pdp topology_mappdp tracker — TRACKER 토픽
PDP 디버그 중 TRACKER 디버그 토픽 을 PDP 로그에 추가합니다(기본으로 켜져 있음). 분산 환경에서 PDP-to-PEP 신원 공유와 통신을 모니터링 할 때 매우 유용합니다.
pdp tracker {off | on}| 파라미터 | 설명 |
|---|---|
off | PDP 로그의 TRACKER 이벤트 로깅 끄기. |
on | PDP 로그의 TRACKER 이벤트 로깅 켜기. |
pdp update — 그룹 멤버십 재계산
모든 사용자·컴퓨터의 그룹 멤버십을 다시 계산 합니다.
pdp update {all | specific}| 파라미터 | 설명 |
|---|---|
all | 모든 사용자·컴퓨터의 그룹 멤버십 재계산. |
specific | 지정한 사용자 한 명 또는 컴퓨터 하나의 그룹 멤버십 재계산. |
pdp vpn — 연결된 VPN 게이트웨이
VPN 원격 접속 클라이언트의 신원 데이터를 보내는 연결된 VPN 게이트웨이 를 보여 줍니다.
pdp vpn showpep
pep 명령은 PEP 프로세스(pepd)를 제어·모니터링 합니다. 기본 구문은 다음과 같습니다.
pep <command> [<parameter> [<option>]]사용할 수 있는 명령은 네 가지입니다.
| 명령 | 설명 |
|---|---|
control <parameter> <option> | PEP 파라미터를 제어. |
debug <parameter> <option> | PEP 디버그를 제어. |
show <parameter> <option> | PEP 정보를 표시. |
tracker <parameter> | PEP 디버그 중 TRACKER 토픽 을 PEP 로그에 추가. |
pep control — PEP 제어
PEP를 제어하는 명령입니다. 구문은 다음과 같습니다.
pep control
extended_info_storage <options>
gbuf_cache <option>
identity_cache_mode status
kbuf_cache <option>
portal_dual_stack <options>
tasks_manager status <options>| 파라미터 | 설명 |
|---|---|
extended_info_storage | PEP가 디버그용 확장 신원 정보를 저장 할지. disable(저장 안 함)/enable(저장). |
gbuf_cache | Identity Awareness 커널 테이블용 전역 버퍼 캐시(global buffer cache) 제어(아래 옵션). |
identity_cache_mode status | PDP-to-PEP 공유 프로토콜의 Identity Cache Mode 현재 상태 표시. |
kbuf_cache | Identity Awareness 커널 테이블용 커널 버퍼 캐시(kernel buffer cache) 제어(아래 옵션). |
portal_dual_stack | 포털 듀얼 스택(IPv4·IPv6) 지원 제어. disable/enable. |
tasks_manager status | PEP 작업 상태(현재 실행 중·이전·대기 중) 표시. |
gbuf_cache 와 kbuf_cache 는 옵션 형태가 같습니다.
pep control gbuf_cache status # 현재 상태 보기
pep control gbuf_cache enable # 켜기(기본)
pep control gbuf_cache disable # 끄기
pep control gbuf_cache memory_limit show # 현재 메모리 한도 보기
pep control gbuf_cache memory_limit set <Number of Bytes> # 메모리 한도 설정(기본 100MB = 104,857,600바이트)(kbuf_cache 도 status/enable/disable/memory_limit show/memory_limit set <Number of Bytes> 로 동일.)
pep debug — PEP 디버그
PEP의 디버그를 제어합니다. 구문은 다음과 같습니다.
pep debug
memory
off
on
reset
rotate
set <options>
spaces [<options>]
stat
unset <options>| 파라미터 | 설명 |
|---|---|
memory | pepd 데몬의 메모리 소비량 표시. |
off | PEP 디버그 끄기. |
on | PEP 디버그 켜기. |
reset | Debug Topic·Severity 옵션 초기화. |
rotate | PEP 로그 파일 로테이트: pepd.elg → pepd.elg.0 → pepd.elg.1 … |
set <Topic> <Severity> | 지정한 Debug Topic·Severity 기준으로 기록할 로그 필터링. |
spaces [0~5] | $FWDIR/log/pepd.elg의 들여쓰기 칸 수 표시·설정. 기본 0. |
stat | 현재 디버그 상태 표시. |
unset <Topic> | 지정한 Debug Topic 해제. |
Debug Topic은 all 및 Check Point Support가 주는 구체 토픽, Severity는 all·critical·events·important·surprise 가 있습니다.
pep show — PEP 정보 보기
PEP 정보를 보여 줍니다. 구문은 다음과 같습니다.
pep show
conciliation_clashes
all
clear
ip <Session IP Address>
network
pdp
registration
pdp
all
id <ID of PDP>
stat
topology_map
user
all
query
cid <IP[,ID]>
cmp <Compliance>
mchn <Computer Name>
mgrp <Group>
pdp <IP[,ID]>
role <Identity Role>
ugrp <Group>
uid <UID String>
usr <Username>| 파라미터 | 설명 |
|---|---|
conciliation_clashes | 세션 조정 충돌(clash) 표시. all(모두 보기)/clear(모두 지우기)/ip <Session IP Address>(특정 세션 IP로 거름). |
network pdp | Network-to-PDP 매핑 테이블 표시. |
network registration | 네트워크 등록 테이블 표시. |
pdp all | 연결된 모든 PDP 표시. |
pdp id <ID of PDP> | 지정한 PDP 정보 표시. |
stat | pepd 데몬이 마지막으로 시작된 시각 과 마지막으로 정책을 받은 시각 표시. |
topology_map | 모든 PDP·PEP 주소의 토폴로지 표시. |
user all | PEP가 아는 모든 클라이언트 목록 표시. |
user query <filters> | 지정한 필터로 사용자 목록을 질의(아래). |
user query 의 필터는 다음과 같습니다.
| 필터 | 설명 |
|---|---|
cid <IP[,ID]> | 지정한 Client ID 의 항목. |
cmp <Compliance> | 지정한 컴플라이언스 항목. |
mchn <Computer Name> | 지정한 컴퓨터 이름 항목. |
mgrp <Group> | 지정한 머신 그룹 항목. |
pdp <IP[,ID]> | 지정한 PDP가 업데이트한 항목. |
role <Identity Role> | 지정한 신원 역할 항목. |
ugrp <Group> | 지정한 사용자 그룹 항목. |
uid <UID String> | 지정한 전체/부분 UID 와 일치하는 항목. |
usr <Username> | 지정한 사용자 이름 항목. |
pep tracker — TRACKER 토픽
PEP 디버그 중 TRACKER 디버그 토픽 을 PEP 로그에 추가합니다(기본으로 켜져 있음). 분산 환경에서 PDP-to-PEP 신원 공유와 통신을 모니터링 할 때 유용합니다.
pep tracker {off | on}| 파라미터 | 설명 |
|---|---|
off | PEP 로그의 TRACKER 이벤트 로깅 끄기. |
on | PEP 로그의 TRACKER 이벤트 로깅 켜기. |
test_ad_connectivity
test_ad_connectivity 는 Security Gateway에서 AD 도메인 컨트롤러로 연결 테스트 를 실행하는 유틸리티입니다. 신원이 안 잡힐 때 연결 자체의 문제인지 이벤트 로그 쪽 문제인지 가르는 출발점이 됩니다. 파라미터는 두 곳 중 하나로 줄 수 있습니다.
- 명령줄 에 직접 적기(아래 표).
$FWDIR/conf/test_ad_connectivity.conf구성 파일에 적기. 단, 이 파일에 적는 값은 공백을 포함할 수 없고 따옴표로 감쌀 수 없 습니다.
구문은 다음과 같습니다.
[Expert@HostName:0]# $FWDIR/bin/test_ad_connectivity -h
[Expert@HostName:0]# $FWDIR/bin/test_ad_connectivity <Parameter_1 Value_1> <Parameter_2 Value_2> ... <Parameters And Options>파라미터는 다음과 같습니다(필수/선택 구분 포함).
| 파라미터 | 필수/선택 | 설명 |
|---|---|---|
-h | 선택 | 내장 도움말 표시. |
-a | 필수(택1) | 화면에서 암호를 입력받습니다. 암호 지정은 -a·-c·-p 중 하나만 씁니다. |
-b <LDAP Search Base String> | 선택 | LDAP Search Base 문자열 지정. |
-c <Password in Clear Text> | 필수(택1) | 사용자 암호를 평문 으로 지정. (-a/-c/-p 중 하나) |
-d <Domain Name> | 필수 | AD 도메인 이름 지정. 예: ad.mycompany.com. |
-D <User DN> | 필수 | LDAP user DN을 직접 지정(유틸리티가 DN을 자동으로 알아내지 않음). |
-f <AD Fingerprint for LDAPS> | 선택 | LDAPS용 AD 지문 지정. |
-i <IPv4 address of DC> | 필수 | 테스트할 AD 도메인 컨트롤러의 IPv4 주소 지정. |
-I <IPv6 address of DC> | 필수 | 테스트할 AD 도메인 컨트롤러의 IPv6 주소 지정. |
-o <File Name> | 필수 | 출력 파일 이름 지정. 항상 $FWDIR/tmp/ 디렉터리 에 저장됩니다. |
-p <Obfuscated Password> | 필수(택1) | 사용자 암호를 난독화(obfuscated) 형태로 지정. (-a/-c/-p 중 하나) |
-l | 선택 | LDAP 연결 테스트만 실행(WMI 테스트 안 함). |
-L <Timeout> | 선택 | LDAP 테스트만의 타임아웃(밀리초). 이 시간이 지나도 LDAP 테스트가 진행 중이면 LDAP·WMI 테스트 모두 실패 처리됩니다. |
-M | 선택 | 데모 모드 로 실행. |
-r <Port Number> | 선택 | LDAP/LDAPS 연결 포트 번호. 기본: LDAP 389, LDAPS 636. |
-s | 선택 | LDAP 연결을 SSL 위로 하도록 지정. |
-t <Timeout> | 선택 | LDAP·WMI 테스트 전체 의 총 타임아웃(밀리초). |
-u <Username> | 필수 | AD의 관리자 사용자 이름 지정. |
-v | 선택 | 지정한 출력 파일의 전체 경로 를 출력. |
-x <Domain Name> | 필수 | AD 도메인 이름 지정(예: ad.mycompany.com). 이 옵션은 암호를 화면에서 입력받 습니다. |
-w | 선택 | WMI 연결 테스트만 실행(LDAP 테스트 안 함). |
그 밖의 참조
원문 끝에는 다른 가이드와 마찬가지로 Working with Kernel Parameters·Kernel Debug 가 있는데, 이는 Security Gateway 가이드의 명령줄·커널 참조와 같은 공통 주제이니 그쪽을 참고하세요. 또 Appendix: Regular Expressions 는 신원 매칭 등에서 패턴을 쓸 때의 정규표현식 문법으로, QoS 가이드의 정규표현식 부록과 같은 Check Point 표준 메타문자(\ [ ] ( ) {min,max} . ? * + | ^ $ -)와 비출력 문자·문자 유형(\d \D \s \S \w \W 등) 표기를 따릅니다.
정리하면, 일상 운영은 SmartConsole로 하되 AD 연동 진단은 adlog·adlogconfig·test_ad_connectivity, 신원 공유 점검은 pdp·pep 로 내려가며, 모든 명령은 클러스터·Scalable Platform·VSX 환경에서 위에 정리한 공통 실행 규칙 을 지켜 실행합니다.