목차/14. 명령줄·참조

14명령줄·참조명령줄·참조

Identity Awareness를 명령줄로 제어·진단 하는 핵심 도구는 다섯 가지입니다. adlogadlogconfigAD Query가 신원을 제대로 가져오는지 보고 동작을 세밀하게 조정하는 명령이고, pdppep 는 신원 공유의 두 축인 PDP 프로세스(pdpd)와 PEP 프로세스(pepd)를 제어·모니터링하며(Identity Sharing과 PDP·PEP), test_ad_connectivity 는 AD 도메인 컨트롤러와의 연결을 직접 테스트해 신원이 안 잡힐 때 그것이 연결 문제인지 이벤트 로그 문제인지 를 가립니다. 이 장은 이 명령들의 모든 하위 명령·파라미터·옵션·예제 를 빠짐없이 풀어 옮긴 것으로, 요약이 아니라 사전처럼 쓰도록 만들었습니다.

먼저 모든 명령에 공통으로 적용되는 실행 환경 규칙 부터 짚어 둡니다. 거의 모든 adlog·pdp·pep 명령 설명에 똑같은 "Important" 주의가 반복되므로, 한 번만 정리하고 이후로는 다시 적지 않겠습니다.

구문 표기법 (Syntax Legend)

이 가이드와 Check Point 문서 전반은 명령·파라미터·옵션을 가능하면 알파벳 순 으로 싣고, 구문을 다음 약속대로 표기합니다. 이 규칙을 알아야 아래 명령 설명을 정확히 읽을 수 있습니다.

표기
TAB(들여쓰기)중첩된 하위 명령(nested subcommand)을 나타냅니다. 들여쓴 줄은 바로 위 명령의 하위 명령입니다.
중괄호 { }세로줄 `\` 로 구분된 후보 목록. 이 중 하나만 골라 입력합니다.
꺾쇠 < >변수. 사용자가 지원되는 실제 값을 직접 지정 해야 합니다.
대괄호 [ ]선택적(optional) 명령·파라미터. 넣어도 되고 안 넣어도 됩니다.

들여쓰기(TAB) 표기가 가장 헷갈리기 쉽습니다. 예를 들어 이렇게 쓰여 있으면:

    config
        -a <options>
        -d <options>
        -p
        -r
    del <options>

실제로는 아래 중 하나의 명령 만 실행하라는 뜻입니다 — cpwd_admin config -a <options>, cpwd_admin config -d <options>, cpwd_admin config -p, cpwd_admin config -r, 또는 cpwd_admin del <options>. 이 장의 모든 구문 블록은 이 규칙으로 읽으면 됩니다.

adlog

adlogAD Query(예전 이름 AD Log) 프로세스를 제어·모니터링 하는 명령을 모아 둔 도구입니다. 이 명령은 실행되는 위치에 따라 두 가지 동작 모드 로 나뉘고, 모드를 첫 인자로 반드시 지정합니다.

  • adlog a — Security Gateway에서 실행할 때입니다. 이때 AD Query는 Identity Awareness Software Blade에 신원을 공급 해, 정책을 적용하고 신원을 로깅합니다. 구문은 다음과 같습니다.
  adlog a <parameter> [<option>]
  
  • adlog l — Identity Logging을 켠 Log Server에서 실행할 때입니다. 이때는 신원을 로깅 합니다.
  adlog l <parameter> [<option>]
  

아무 파라미터 없이 adlog만 입력하면 쓸 수 있는 옵션을 보여 주고 종료 합니다. 모드(a/l)는 위 설명대로 작업 환경에 맞게 고릅니다. 그 뒤에 올 수 있는 주요 파라미터는 다음과 같습니다.

파라미터설명
(파라미터 없음)이 명령에서 쓸 수 있는 옵션을 보여 주고 종료합니다.
a 또는 l동작 모드를 정합니다. a는 Identity Awareness용 AD Query, l은 Log Server(Identity Logging)용입니다.
control <parameter> <option>AD Query에 제어 명령 을 보냅니다(아래 adlog control).
dcAD 도메인 컨트롤러와의 연결 상태 를 보여 줍니다(아래 adlog dc).
debug <parameter>adlog의 디버그 출력 을 켜고 끕니다(아래 adlog debug).
query <parameter> <option>AD Query가 취득한 신원 데이터베이스 를, 지정한 필터에 따라 보여 줍니다(아래 adlog query).
statisticsadlog가 받은 NT 이벤트 로그 통계 를 IP별·전체로 보여 주고, 식별된 IP 주소 수도 표시합니다(아래 adlog statistics).

adlog control — AD Query에 제어 명령 보내기

AD Query에 제어 명령을 보냅니다. 구문은 다음과 같습니다.

adlog {a | l} control
      muh <options>
      reconf
      srv_accounts <options>
      stop
파라미터설명
muh <options>Multi-User Host(MUH) 목록 을 관리합니다(아래 옵션 참고).
reconfAD Query에 재구성 명령 을 보냅니다. 정책 구성을 SmartConsole에서 정의한 상태로 되돌립니다.
srv_accounts <options>서비스 계정(Service Account) 을 관리합니다(아래 옵션 참고).
stopAD Query를 중지 합니다. 이후 Security Gateway는 AD Query로 새 신원을 더 이상 취득하지 않습니다.

muh 옵션 — Multi-User Host 목록을 다룹니다.

  • 알려진 모든 Multi-User Host(MUH)를 보기:
  adlog {a | l} control muh show
  
  • IP 주소를 Multi-User Host(MUH)로 추가하기:
  adlog {a | l} control muh mark
  
  • IP 주소를 Multi-User Host 목록에서 제거하기:
  adlog {a | l} control muh unmark
  

srv_accounts 옵션 — 서비스 계정을 다룹니다. 서비스 계정이란 실제 사람 사용자가 아니라 컴퓨터에서 돌아가는 서비스에 속한 계정 으로, 일정 횟수 이상 로그인하면 의심 계정으로 분류됩니다.

  • 알려진 모든 서비스 계정 보기:
  adlog {a | l} control srv_accounts show
  
  • 서비스 계정 목록을 모두 비우기:
  adlog {a | l} control srv_accounts clear
  
  • 서비스 계정 목록을 수동으로 갱신하기:
  adlog {a | l} control srv_accounts find
  
  • 서비스 계정 목록에서 계정 이름 하나 제거하기:
  adlog {a | l} control srv_accounts unmark
  

adlog dc — 도메인 컨트롤러 연결 상태

Active Directory 도메인 컨트롤러와의 연결 상태를 보여 줍니다. 모드에 따라 다음 둘 중 하나로 실행합니다.

adlog a dc
adlog l dc

adlog debug — 디버그 출력 켜고 끄기

adlog의 디버그 출력을 켜고 끕니다. 디버그 로그가 기록되는 파일은 실행 환경에 따라 다릅니다.

기능디버그 파일
Security Gateway의 Identity Awareness$FWDIR/log/pdpd.elg
Log Server의 Identity Logging$FWDIR/log/fwd.elg

구문은 다음과 같습니다.

adlog {a | l} debug
      extended
      mode
      off
      on
파라미터설명
extended디버그를 켜면서 확장 디버그 토픽까지 추가합니다.
mode디버그 상태(on 또는 off)를 보여 줍니다.
off디버그를 끕니다.
on디버그를 켭니다.

adlog query — 취득한 신원 데이터베이스 조회

AD Query가 취득한 신원 데이터베이스 를, 지정한 필터에 따라 보여 줍니다. 구문은 다음과 같습니다.

adlog {a | l} query
      all
      ip <IP Address>
      machine <Computer Name>
      string <String>
      user <Username>
파라미터설명
all필터 없이 신원 데이터베이스 전체 를 보여 줍니다.
ip <IP Address>지정한 IP 주소와 관련된 신원만 거릅니다.
machine <Computer Name>지정한 컴퓨터 이름을 기준으로 신원 매핑을 거릅니다.
string <String>지정한 텍스트 문자열을 기준으로 신원 매핑을 거릅니다.
user <Username>지정한 사용자를 기준으로 신원 매핑을 거릅니다.

adlog statistics — NT 이벤트 로그 통계

adlog가 받은 NT 이벤트 로그 에 대한 통계를 IP 주소별과 전체로 보여 주고, 아울러 식별된 IP 주소의 개수 도 보여 줍니다. 모드에 따라 다음 둘 중 하나로 실행합니다.

adlog a statistics
adlog l statistics

adlogconfig

adlogconfig텍스트 메뉴를 통해 AD Query의 고급 설정 을 구성하는 명령입니다. 각 설정에는 기본값이 정해져 있고, 기본값을 바꾸거나 직접 값을 설정하면 그 변경이 $FWDIR/conf/ad_log_override.C 파일에 저장 됩니다.

실행은 환경에 맞게 두 가지로 합니다.

  • Security Gateway / 각 Cluster Member / Security Group에서:
  adlogconfig a
  
  • Identity Logging을 켠 Log Server에서:
  adlogconfig l
  

메뉴 화면 — 기본 출력 읽기

명령을 실행하면 위쪽에는 현재 설정 상태([ ]는 꺼짐, [X]는 켜짐, 숫자/[1]은 설정값) 가 요약되고, 아래쪽에는 1~33번 메뉴 항목 이 나옵니다. 기본 출력은 다음과 같은 모습입니다.

[ ] Override default AD Query configuration
[ ] Enable AD Query
[ ] Create logs also for logoff events
[ ] Create logs with timestamp from AD
Timeout for username-and-IP association (minutes, 0=disabled): 0
Interval for fetching Full Name for known users (days, 0=disabled): 0
Hour of the day for fetching Full Name for known users (0=disabled): 0
Threshold for Multi-User Host detection (logged in users): 7
Timeout for revoked users on single user hosts (seconds): 14400
[X] Mark hosts as Multi-User Hosts after X users logged in
Timeout for Multi-User Host mark (seconds): 2592000
Threshold for Service Account detection (logins): 10
[ ] Automatically exclude Service Accounts
[ ] Override default parameters for AD communication
Interval between AD queries for login events (seconds, 0=disabled): 0
Max returned objects for each AD query data chunk (0=unlimited): 0
[ ] Ignore login events received from other AD Domains
[X] Do not check if AD password expired
[ ] AD authentication mode
[ ] Use NTLMv1
[X] Use NTLMv2
[ ] Assume that all hosts are for single users
[ ] Ignore hostnames of users' computers
[X] Use automatic AD updates about LDAP groups membership
Timeout for accumulating LDAP group updates (seconds): 10
[X] Use LDAP group updates about users only
[ ] Prefer IPv6 addresses for Domain Controllers
[1] WMI query Type

위쪽 요약 줄과 아래쪽 메뉴 번호는 서로 짝지어집니다. 예컨대 요약의 [ ] Enable AD Query는 메뉴 2번의 켜짐 여부를, Threshold for Multi-User Host detection: 7은 메뉴 13번의 값을 그대로 보여 주는 식입니다. [ ] AD authentication mode 줄은 항상 꺼짐([ ])으로만 표시 되며, 실제 선택(NTLMv1/NTLMv2)은 바로 아래 두 줄과 메뉴 21번에서 확인합니다.

메뉴 항목 1~33 자세히

아래 표는 메뉴의 각 번호가 무엇을 설정하며, 기본값과 ad_log_override.C 파일에 어떤 키로 기록되는지를 모두 옮긴 것입니다. Default implicit value 는 기본값(파일에 명시 안 됨)일 때의 의미, Non-Default explicit value 는 기본을 벗어나 명시했을 때의 값입니다.

#메뉴 항목설명·기본값설정 키(ad_log_override.C)
1Use / Do not use the AD Query 'override' file이 메뉴에서 구성한 $FWDIR/conf/ad_log_override.C의 비기본 설정을 쓸지. 기본: 비활성(파일 안 씀). Boolean.:Override (false) / :Override (true)
2Enable / Disable the AD Query feature이 메뉴에서 구성한 비기본 AD Query 설정을 쓸지. 기본: 비활성(파일의 값을 안 씀). Boolean.:EnableAdLog (false) / :EnableAdLog (true)
3Create logs also for logoff events로그인 이벤트뿐 아니라 로그오프 이벤트에도 로그 를 만들지. 기본: 비활성. Boolean.:EnableLogForLoginOrLogoff (false) / (true)
4Create logs with timestamp from AD게이트웨이가 이벤트를 처리한 시각 대신 AD에서 이벤트가 생성된 원래 시각 을 쓸지. 기본: 비활성. Boolean.:UseLogOriginalCreationTime (false) / (true)
5Timeout for username-and-IP association사용자 IP와 사용자 이름의 연결 타임아웃(분). 기본: 0(비활성). Integer.:AssociationTimeout (0x0) / (0x<Hex>)
6Query interval (days) for fetching Full Name알려진 사용자의 전체 이름(Full Name) 을 AD에서 가져오는 간격(일). 기본: 0(비활성). Integer.:FullNameQueryInterval (0x0) / (0x<Hex>)
7Query hour of the day for fetching Full Name전체 이름을 가져올 정시(시각). 기본: 0(비활성). Integer.:FullNameFetchHour (0x0) / (0x<Hex>)
8Add AD Domain and its Domain ControllersAD 도메인·도메인 컨트롤러·사용자 이름·암호를 지정합니다. String(아래 예 참고).:Domains ( … ) 구조
9Delete AD Domain and its Domain Controllers8번으로 구성한 AD 도메인·도메인 컨트롤러를 파일에서 삭제합니다.
10Reconfigure AD username8번으로 구성한 AD 도메인 사용자 이름 을 덮어씁니다.
11Reconfigure AD Password8번으로 구성한 AD 도메인 암호 를 덮어씁니다.
12Reconfigure AD Domain Controllers8번으로 구성한 도메인 컨트롤러 를 덮어씁니다.
13Number of logged in users for MUH detection같은 IP에서 몇 명이 로그인하면 그 IP를 Multi-User Host 로 볼지. 기본: 7명. Integer.:MultiUserThreshold (0x7) / (0x<Hex>)
14Timeout for revoked users on single user hosts(22번을 켰을 때만 적용) 이전에 로그인한 사용자가 새 IP에 연결되는 것을 게이트웨이가 무시하는 시간. 이 동안 그 사용자는 다른 컴퓨터에서 로그인하면 트래픽을 통과시키지 못합니다. 기본: 14400초(240분). Integer.:RevokedUserTimout (0x3840) / (0x<Hex>)
15Mark / Do not mark hosts as MUH after X users끄면 X명 넘게 로그인해도 IP를 MUH로 표시하지 않음. X는 13번 값. 기본: 활성(표시함). Boolean.:DisableMultiUserPersistDB (false) / (true)
16Timeout for Multi-User Host markX명 넘게 로그인한 IP를 MUH로 표시해 두는 기간. 기본: 2592000초(30일). Integer.:MultiUserPersistMachineTimeout (0x278d00) / (0x<Hex>)
17Override / Do not override parameters for AD communication18·19번 설정을 쓸지. 기본: 비활성(기본 파라미터 사용). Boolean.:QueryWhitinCount (false) / (true)
18Interval between AD queries for login events게이트웨이가 AD에 로그인 이벤트를 묻는 주기(초). 기본: 1초. Integer.:FullNameQueryInterval (0x0) / (0x<Hex>)
19Max returned objects per data chunkAD에 로그인 이벤트를 물을 때 데이터 청크당 반환 사용자 수. 기본: 청크당 100명. Integer.:QueryMaxReturnedObjects (0x64) / (0x<Hex>)
20Check / Do not check if AD password expired (24h)게이트웨이가 AD 접속에 쓰는 계정의 암호 만료를 24시간마다 점검 할지. 기본: 비활성(점검 안 함). Boolean.:DisablePassExpCheck (true) / (false)
21AD authentication mode - NTLMv1 / NTLMv2AD 접속 시 인증 모드 를 NTLMv1/NTLMv2 중 무엇으로 할지. 기본: NTLMv2. Boolean.:UseNTLMv2 (true) / (false)
22Assume / Do not assume all hosts are single-user소스 IP와 사용자 이름 사이에 연결을 하나만 유지 할지. 같은 컴퓨터에 다른 사용자가 로그인하면 새 사용자가 이전 사용자를 대체합니다. 기본: 비활성. Boolean.:SingleUserAssumption (false) / (true)
23Threshold for Service Account detection서로 다른 IP에서 몇 번 로그인 하면 그 사용자를 서비스 계정으로 볼지. 기본: 10회. Integer.:ServiceAccountThreshold (0xa) / (0x<Hex>)
24Ignore / Do not ignore login events from other AD DomainsAD Query에 구성한 도메인과 다른 도메인의 로그인 이벤트를 무시 할지. 기본: 비활성(무시 안 함). Boolean.:IgnoreDifferentDomains (false) / (true)
25Exclude / Do not exclude Service Accounts automatically사용자 연결에서 서비스 계정을 자동 제외 할지. 기본: 비활성(제외 안 함). Boolean.:ExcludeServiceAccounts (false) / (true)
26Ignore / Do not ignore hostnames of users' computers사용자가 로그인한 컴퓨터의 호스트 이름을 무시 할지. 기본: 비활성(무시 안 함). Boolean.:DontReportMachines (false) / (true)
27Ignore / Do not ignore automatic AD updates about LDAP groupsLDAP 그룹 멤버십에 대한 AD 자동 업데이트를 무시 할지. 기본: 활성(무시 안 함). Boolean.:LdapGroupsUpdateEnable (true) / (false)
28Timeout for accumulating LDAP group updates(27번을 켰을 때만 적용) 사용자 접근을 다시 계산하기 전, LDAP 그룹 알림을 모아 두는 시간(초). 기본: 10초. Integer.:LdapGroupsUpdateDelay (0x0) / (0x<Hex>)
29Use LDAP group updates about users only / all changes(27번을 켰을 때만 적용) 사용자 관련 변경에 대한 LDAP 알림만 처리할지, 모든 변경을 처리할지. 기본: 활성(사용자 관련만). Boolean.:LdapGroupsUpdateAll (false) / (true)
30Prefer / Do not prefer IPv6 addresses for Domain ControllersDNS 질의가 IPv4·IPv6를 모두 돌려줄 때 IPv6를 우선 할지. 기본: 비활성(우선 안 함). Boolean.:PreferIPv6DCAddresses (false) / (true)
31WMI query typeAD용 WMI 질의 유형. 기본: 1. Integer.(아래 표):WmiQueryType (0x1) / (0x<Hex>)
32Exit without saving변경을 저장하지 않고 메뉴를 빠져나갑니다.
33Save configuration and exit변경을 저장하고 메뉴를 빠져나갑니다.

31번 WMI 질의 유형(WMI query type) 의 세 가지 값은 다음과 같습니다.

IDWMI 질의 이름설명
1Admin query일반 질의. 전달된 보안 이벤트 로그(forwarded security events) 읽기를 포함 합니다. 계정이 Server Operators 그룹의 멤버여야 합니다.
2Fallback from Admin to non-Admin폴백 구성. 먼저 기본 일반 질의를 시도하고, WMI 권한 오류로 실패하면 Non-Admin(축소) 질의를 시도합니다.
3Non-Admin query축소 질의. 전달된 이벤트 없이 항상 질의합니다. Server Operators 그룹 멤버십이 필요 없습니다.

pdp

pdp 명령은 PDP 프로세스(pdpd)를 제어·모니터링 합니다. 기본 구문은 다음과 같습니다.

pdp <command> [<parameter> [<option>]]

아무 파라미터 없이 pdp만 입력하면 쓸 수 있는 옵션을 보여 주고 종료합니다. 사용할 수 있는 명령 그룹은 다음과 같습니다(각 그룹은 아래에서 자세히 다룹니다).

명령설명
ad <parameter> <option>AD Query용으로, 게이트웨이의 신원 DB에 신원을 추가/제거 합니다.
auth <parameter> <option>인증·인가 옵션을 보고 설정합니다.
broker <parameter> <option>PDP Identity Broker 를 제어합니다.
conciliation <parameter> <option>세션 조정(conciliation) 메커니즘 을 제어합니다.
connections <parameter>PEP 게이트웨이·터미널 서버·Identity Collector와의 PDP 연결을 보여 줍니다.
control <parameter> <option>PDP 파라미터를 제어합니다.
debug <parameter> <option>PDP 디버그를 제어합니다.
idc <parameter> <option>Identity Collector 관련 작업입니다.
idp <parameter> <option>SAML 기반 인증 관련 작업입니다.
monitor <parameter> <option>연결된 PDP 세션 상태를 모니터링합니다.
muh <parameter> <option>Multi-User Host를 보여 줍니다.
nested_groups <parameter>LDAP 중첩 그룹(Nested Group) 구성을 보여 줍니다.
network <parameter>네트워크 관련 기능 정보를 보여 줍니다.
radius <parameter> <option>RADIUS 어카운팅 옵션을 보고 설정합니다.
roles <parameter> <option>사용자 역할(role) 정보를 보여 줍니다.
status <parameter>시작 시각·구성 시각 등 PDP 상태 정보를 보여 줍니다.
tasks_manager <parameter>PDP 작업 상태를 보여 줍니다.
timers <parameter>세션별 PDP 타이머 정보를 보여 줍니다.
topology_map모든 PDP·PEP 주소의 토폴로지를 보여 줍니다.
tracker <parameter>PDP 로그에 TRACKER 토픽 을 추가합니다.
update <parameter>사용자·컴퓨터의 그룹 멤버십을 다시 계산합니다.
vpn <parameter>VPN 원격 접속 클라이언트의 신원 데이터를 보내는 VPN 게이트웨이를 보여 줍니다.

pdp ad — 신원 직접 추가·제거

AD Query용으로 게이트웨이의 신원 DB에 신원을 더하거나 빼는 명령입니다. 일반 구문은 다음과 같습니다.

pdp ad
      associate <options>
      disassociate <options>

pdp ad associate — 신원을 추가 합니다. 그룹 데이터는 AD에 있어야 합니다.

pdp ad associate ip <IP Address> u <Username> d <Domain> [m <Computer Name>] [t <Timeout>] [s]
파라미터설명
ip <IP Address>신원의 IP 주소.
u <Username>신원의 사용자 이름.
d <Domain>ID 서버의 도메인.
m <Computer Name>신원에 정의된 컴퓨터.
t <Timeout>AD Query 타임아웃. 기본 5시간.
su <Username>m <Computer>순차적으로 연결 합니다 — 먼저 컴퓨터를 추가한 뒤 사용자를 DB에 추가합니다.

pdp ad disassociate — 신원을 제거 합니다. 제거된 사용자는 Identity Awareness가 인증하지 않습니다.

pdp ad disassociate ip <IP Address> {u <Username> | m <Computer Name>} [r {override | probed | timeout}]
파라미터설명
ip <IP Address>신원의 IP 주소.
u <Username>신원의 사용자 이름.
m <Computer Name>신원에 정의된 컴퓨터.
`r {override \probed \timeout}`SmartConsole의 Logs & Events > Logs 탭에 표시할 사유.

pdp auth — 인증·인가 옵션

PDP의 인증/인가 옵션을 구성합니다. 구문은 다음과 같습니다.

pdp auth
      allow_empty_result <options>
      count_in_non_ldap_group <options>
      fetch_by_sid <options>
      force_domain <options>
      kerberos_any_domain <options>
      kerberos_encryption <options>
      reauth_agents_after_policy <options>
      recovery_interval <options>
      username_password <options>

대부분의 하위 옵션은 disable(끄기)·enable(켜기)·status(상태 보기) 의 세 형태를 공통으로 가집니다.

파라미터설명
allow_empty_resultSID 기반으로 AD에서 로컬 그룹을 가져올 때, 모든 SID가 외부(foreign)여도 성공 하도록 구성/조회. (disable/enable/status)
count_in_non_ldap_groupSmartConsole의 user picker에서 개별 선택한 사용자와 LDAP 브랜치 그룹의 멤버십 식별 을 구성/조회. (disable/enable/status)
fetch_by_sidSID 기반 로컬 그룹 가져오기 를 구성/조회. (disable/enable/status)
force_domain보고된 도메인과 인가 도메인을 기준으로 신원의 소스를 일치 시키도록 구성/조회. (disable/enable/status)
kerberos_any_domain가용한 모든 Kerberos principal 사용 을 구성/조회. (disable/enable/status)
kerberos_encryptionKerberos 암호화 유형 을 설정(set)/조회(get).
reauth_agents_after_policy정책 설치 후 Identity Agent 자동 재인증 을 구성/조회. (disable/enable/status)
recovery_interval더 높은 우선순위의 PDP로 다시 연결을 시도하는 빈도 를 구성/조회. (disable/enable/set <초>/show)
username_password사용자 이름·암호 인증 을 구성/조회. (disable/enable/status)

예를 들어 recovery_interval 의 빈도를 설정하려면 다음과 같이 씁니다.

pdp auth recovery_interval set <Number of Seconds>

pdp broker — Identity Broker 제어

PDP Identity Broker를 제어하는 명령입니다(Broker). 구문은 다음과 같습니다.

pdp broker
      debug {set | unset} <options>
      discard <options>
      identity_cache_mode status
      reconnect <options>
      session <options>
      status [-e]
      sync <options>

debug set / unset — Broker 디버그를 제어합니다. Publisher PDP·Subscriber PDP 각각에 대해, 일반(pub/sub)·확장(pub_ext/sub_ext)·통신(pub_transport/sub_transport) 로그 를 켜고(set) 끕니다(unset). 형식은 모두 pdp broker debug {set|unset} <topic> <IP Address> 입니다.

디버그 토픽대상
pub <IP> / pub_ext <IP>원격 Publisher PDP의 일반 / 확장 로그.
pub_transport <IP>원격 Publisher PDP와의 통신 로그. Subscriber PDP 쪽에서 켜면 Publisher의 JSON 요청을 관찰할 수 있습니다(메시지 미수신·파싱 문제·Sharing ID 같은 내용 검증 등).
sub <IP> / sub_ext <IP>원격 Subscriber PDP의 일반 / 확장 로그.
sub_transport <IP>원격 Subscriber PDP와의 통신 로그.

나머지 파라미터는 다음과 같습니다.

파라미터설명
discard show_timeout <Publisher IP>연결 끊김 동안 해당 Publisher PDP에서 받은 세션을 폐기하기까지의 타임아웃을 조회.
discard set_timeout <Publisher IP> <Timeout>그 폐기 타임아웃(초)을 설정.
identity_cache_mode statusPDP-to-PDP 공유 프로토콜(Identity Broker)의 Identity Cache Mode 현재 상태 표시.
reconnect <Subscriber IP>지정한 Subscriber PDP로 즉시 재연결을 강제. keep-alive 간격·지수 백오프를 무시하고 곧바로 핸드셰이크/keep-alive를 보냅니다.
session <Subscriber IP>지정한 Subscriber PDP의 Identity Broker 세션 정보 표시.
status [-e]원격 Publisher·Subscriber PDP의 상태 표시. -eSubscriber PDP 포트와 마지막 오류 시각·설명 등 더 많은 정보를 더함.
sync <option>지정한 Publisher/Subscriber PDP와 신원을 동기화.

sync 의 세부 옵션은 다음과 같습니다.

pdp broker sync pub <Publisher IP>            # 특정 Publisher에 동기화 요청
pdp broker sync pub all                       # 모든 Publisher에 동기화 요청
pdp broker sync sub <Subscriber IP>           # 특정 Subscriber와 동기화 시작
pdp broker sync sub all                       # 모든 Subscriber와 동기화 시작
pdp broker sync schedule add <Publisher IP> "<HH:MM>"     # 동기화 시각 추가
pdp broker sync schedule remove <Publisher IP> "<HH:MM>"  # 현재 스케줄 제거
pdp broker sync schedule show [<Publisher IP>]            # 현재 스케줄 보기

pdp conciliation — 세션 조정

세션 조정(conciliation) 메커니즘을 제어합니다. 각 신원 소스에 대해 "한 컴퓨터에 사용자가 한 명/여러 명 있다"는 가정 을 켜고 끄는 것이 핵심입니다. 구문은 다음과 같습니다.

pdp conciliation
      adq_single_user <option>
      api_multiple_users <option>
      idc_multiple_users <option>
      rad_multiple_users <option>
파라미터설명
adq_single_user각 컴퓨터에 AD Query 사용자가 한 명 이라는 가정을 조회·제어.
api_multiple_users각 컴퓨터에 Web-API 사용자가 여럿 이라는 가정을 조회·제어.
idc_multiple_users각 컴퓨터에 Identity Collector 사용자가 여럿 이라는 가정을 조회·제어.
rad_multiple_users각 컴퓨터에 RADIUS 사용자가 여럿 이라는 가정을 조회·제어.

각 파라미터의 옵션은 disable(끄기)·enable(켜기)·stat(현재 상태 보기) 입니다. 예: pdp conciliation adq_single_user enable.

pdp connections — PEP·터미널 서버·IDC 연결 보기

PEP 게이트웨이·터미널 서버·Identity Collector와의 PDP 연결을 보여 줍니다.

pdp connections
      idc
      pep
      ts
파라미터설명
idc연결된 Identity Collector 목록.
pep현재 PDP가 업데이트해야 할 모든 PEP의 연결 상태.
ts연결된 모든 터미널 서버 목록.

pdp control — PDP 제어

PDP를 제어하는 명령입니다.

pdp control
      revoke_ip <IP address>
      sync
파라미터설명
revoke_ip <IP address>지정한 IP 주소에 관련된 세션을 로그아웃 시킵니다.
syncPDP와 PEP 사이의 동기화를 강제로 개시. 실행하면 PDP가 연결된 모든 세션의 최신 정보를 PEP들에 알려, 작업이 끝나면 PDP와 PEP가 같은 최신 세션 정보를 갖게 됩니다.

pdp debug — PDP 디버그

PDP의 디버그를 제어합니다. 구문은 다음과 같습니다.

pdp debug
      async1
      ccc {off | on}
      memory
      off
      on
      reset
      rotate
      set <Topic Name> <Severity>
      spaces [<0 - 5>]
      stat
      unset <Topic Name>
파라미터설명
async1비동기 명령줄을 echo 명령으로 30초간 테스트.
`ccc {off \on}`CCC 디버그 로그 를 PDP 로그 파일($FWDIR/log/pdpd.elg)에 쓸지(on)·말지(off).
memorypdpd 데몬의 메모리 소비량 표시.
offPDP 디버그 끄기.
onPDP 디버그 켜기.
resetDebug Topic·Severity 옵션을 초기화.
rotatePDP 로그 파일 로테이트(인덱스 증가): pdpd.elgpdpd.elg.0pdpd.elg.1
set <Topic> <Severity>지정한 Debug Topic·Severity 기준으로 기록할 로그를 필터링.
spaces [<0 - 5>]pdpd.elg의 들여쓰기 칸 수를 보고 설정. 0(기본)~5.
stat현재 디버그 상태 표시.
unset <Topic>지정한 Debug Topic을 해제.

Debug Topic은 all, 그리고 Check Point Support가 보고된 문제에 따라 주는 더 구체적인 토픽 들이 있습니다. Severity는 all·critical·events·important·surprise 가 있습니다.

pdp idc — Identity Collector 작업

Identity Collector 관련 작업입니다. 구문은 다음과 같습니다.

pdp idc
      groups_consolidation <options>
      groups_update <options>
      muh <options>
      service_accounts <options>
      status
파라미터설명
groups_consolidation외부 그룹과 가져온 그룹의 통합 을 조회·구성. enable(기본)/disable/status.
groups_updateIdentity Collector의 LDAP 그룹 자동 업데이트. on(현재 상태 가져오기)/off(기본, 비활성)/status.
muhMulti-User Host 탐지. mark <IP>(MUH로 표시)/show(목록)/unmark <IP>(해제).
service_accounts의심 서비스 계정 조회·구성(기본 활성, 아래 옵션).
status구성된 신원 소스(Identity Collector)의 상태 표시.

service_accounts 세부 옵션:

pdp idc service_accounts show                                  # 현재 모드·알려진 SA·제외 계정 통계
pdp idc service_accounts set_threshold <2-1000>                # 동시 로그인 임계값(기본 100)
pdp idc service_accounts set_auto_prevention {enable | disable} # Prevent 모드 켜기(기본)/끄기
pdp idc service_accounts mark <username>                       # 특정 사용자명을 SA로 표시
pdp idc service_accounts add_exception <username_1> <username_2> ...    # SA로 탐지 안 함
pdp idc service_accounts delete_exception <username_1> <username_2> ... # 지정 횟수 넘으면 SA로 탐지
pdp idc service_accounts unmark_service_accounts               # 특정 사용자명을 SA 목록에서 제거
pdp idc service_accounts unmark_service_accounts_all           # 모든 사용자명을 SA 목록에서 제거

pdp idp — SAML 기반 인증

SAML 기반 인증과 관련된 작업입니다.

pdp idp groups <options>

groups외부 그룹과 가져온 그룹의 통합 방식을 설정·조회합니다.

pdp idp groups set {only | prefer | union | ignore}
pdp idp groups status
동작
onlyIdentity Provider가 보낸 그룹만 고려. 구성된 User Directory의 그룹은 무시.
preferIdentity Provider가 보낸 그룹을 우선. IdP가 그룹을 안 보낼 때만 User Directory 그룹을 고려. 기본값.
unionUser Directory 그룹과 IdP 그룹을 모두 고려.
ignoreUser Directory 그룹만 고려. IdP가 보낸 그룹은 무시.

pdp monitor — 연결된 세션 모니터링

연결된 PDP 세션 상태를 모니터링합니다. 다양한 필터로 원하는 출력을 얻을 수 있습니다.

pdp monitor
      all
      client_type <Client Type>
      cv_ge <Version>
      cv_le <Version>
      groups <Group Name>
      ip <IP address>
      machine <Computer Name>
      machine_exact
      mad
      network
      s_port
      summary
      user <Username>
      user_exact
파라미터설명
all연결된 모든 세션 정보.
client_type <Client Type>지정한 클라이언트 유형으로 연결된 세션. 유형: AD Query·Identity Agent·portal(Captive Portal)·unknown.
cv_ge <Version>지정 버전 이상 의 클라이언트 버전으로 연결된 세션.
cv_le <Version>지정 버전 이하 의 클라이언트 버전으로 연결된 세션.
groups <Group Name>지정 그룹의 멤버인 사용자·컴퓨터 세션.
ip <IP address>지정 IP 주소의 세션 정보.
machine <Computer Name>지정 컴퓨터 이름의 세션 정보.
machine_exact정확히 일치 하는 컴퓨터 이름으로 거른 세션.
mad관리 자산(managed asset) 관련 세션. 예: 컴퓨터 인증에 성공한 모든 세션.
network네트워크 와일드카드로 거른 세션. 예: 192.168.72.*
s_port할당된 소스 포트로 거른 세션(MUH 세션만).
summary요약 모니터링 데이터.
user <Username>지정 사용자 이름의 세션 정보.
user_exact정확히 일치 하는 사용자로 거른 세션.

pdp muh — Multi-User Host 보기

Multi-User Host(MUH)를 보여 줍니다.

pdp muh status

pdp nested_groups — LDAP 중첩 그룹

게이트웨이가 LDAP 중첩 그룹(Nested Group)을 질의하는 방식을 구성하고, 현재 구성을 보여 줍니다.

pdp nested_groups
      auto_tune {enable | disable}
      clear
      depth <options>
      disable
      enable
      show
      status
      __set_state <options>
파라미터설명
`auto_tune {enable \disable}`자동 튜닝 켜기/끄기. 게이트웨이와 관리 서버의 LDAP 구성을 보고 최적 중첩 그룹 상태를 계산해 자동 선택합니다. 끄면 이전에 __set_state로 설정한 상태로 돌아갑니다.
cleardepth가 부족했던 사용자 목록을 지웁니다.
depth <1 - 40>중첩 그룹 깊이(1~40)를 설정.
disable중첩 그룹 끄기.
enable중첩 그룹 켜기.
showdepth가 부족했던 사용자 목록 표시.
status중첩 그룹 구성 상태 표시.
`__set_state {1 \2 \3 \4}`중첩 그룹 상태 설정(아래 표).

__set_state 의 네 가지 상태:

상태이름동작·권장 환경
1Recursive기본값. 사용자마다 그룹 멤버십을 질의하고, 각 그룹을 재귀적으로 질의해 중첩 그룹을 알아냅니다. 중첩 그룹이 적거나 없는 환경에 권장.
2Per-userLDAP 질의 한 번으로 중첩 수준까지 포함한 사용자의 모든 그룹 을 받습니다. AD forest의 어느 브랜치든 그룹을 보여 주며 Global Catalog 포트(TCP 3268/3269)로 보냅니다. 정책에 중첩 그룹을 포함한 Access Role이 있을 때, 교차 도메인 트리를 쓸 때 권장(sk134292).
3Multi per-groupLDAP 질의 한 번에 사용자와 그룹을 담아, 그 사용자가 해당 그룹에 포함되는지 응답받습니다. 모든 유형의 사용자·그룹이 있고 중첩 그룹을 가진 Access Role이 적은 환경에 권장.
4Per user, single branch per AULDAP 질의 한 번으로 중첩 수준 포함 모든 그룹을 받되, LDAP account unit에 지정된 브랜치 의 그룹만 보여 줍니다. 모든 LDAP 포트(TCP 3268/3269, 389/636)에서 동작. 각 account unit에 단일 브랜치를 쓸 때 사용.

pdp network — 네트워크 정보

네트워크 관련 기능 정보를 보여 줍니다.

pdp network {info | registered}
파라미터설명
infoPDP가 아는 네트워크 목록.
registered네트워크 주소와 등록된 게이트웨이(PEP 모듈)의 매핑.

pdp radius — RADIUS 어카운팅

RADIUS 어카운팅 옵션을 보고 설정합니다. 구문은 다음과 같습니다.

pdp radius
      ip
            reset
            set <options>
      groups
            fetch <options>
            reset
            set <options>
      parser
            reset
            set <options>
      roles
            fetch <options>
            reset
            set <options>
      status
파라미터설명
ip보조 IP 옵션 구성. reset(초기화) 및 set <attribute index> [-a <vendor specific attribute index>] [-c <vendor code>].
groups사용자 그룹 옵션 구성. `fetch {off \on}(RADIUS 메시지에서 그룹을 가져올지), reset, 그리고 머신용 set -m …·사용자용 set -u …`.
parser파싱 옵션 구성. resetset <attribute index> [-c <vendor code> -a <vendor specific attribute index>] -p <prefix> -s <suffix>.
rolesRADIUS 메시지에서 역할 을 얻는 방법 구성. `fetch {off \on}, reset, 머신용 set -m …·사용자용 set -u …`.
status현재 상태 표시.

groups·rolesset 은 머신(-m)·사용자(-u)별로 다음 형태를 씁니다.

pdp radius groups set -m <attribute index> [-a <vendor specific attribute index>] [-c <vendor code>] [-d <delimiter>]
pdp radius groups set -u <attribute index> [-a <vendor specific attribute index>] [-c <vendor code>] [-d <delimiter>]

pdp roles — 역할 정보

사용자 역할 정보를 다룹니다. 일반 구문은 다음과 같습니다.

pdp roles
      extract
      fetch <options>

pdp roles extractpdp roles fetch 로 만든 $FWDIR/tmp/roles_command_output.txt 파일에서 역할을 추출해 보여 줍니다.

pdp roles extract

pdp roles fetch — 제공한 Access Role 정보와 일치하는 역할을 가져와 같은 파일에 저장합니다.

pdp roles fetch [-ip <IP Address>]
      -u "<Username>" -is "<Identity Source>"
      -ug "<User Group 1>","<User Group 2>",...
      -mg "<Machine Group 1>","<Machine Group 2>",...
파라미터설명
-ip <IP Address>선택. Networks 창에서 명시적으로 선택한 객체를 포함하는 Access Role을 계산·가져올 때, 신원·호스트·세션의 IP 주소를 지정.
-u "<Username>" -is "<Identity Source>"사용자 이름과 신원 소스 지정. 신원 소스(대소문자 구분): portal·Identity_Agent·Remote_Access·AD_Query·IFMAP·Terminal_Server_Identity_Agent·Radius_Accounting.
-ug "<User Group 1>",...사용자 그룹. 쉼표로 구분해 나열. AD 그룹은 접두사 ad_group_ 를 붙임. 예: -ug "ad_group_LaptopUsers".
-mg "<Machine Group 1>",...머신 그룹. 규칙은 사용자 그룹과 동일. 예: -mg "ad_group_Laptops".

pdp status — PDP 상태

시작 시각·구성 시각 등 PDP 상태 정보를 보여 줍니다.

pdp status show

pdp tasks_manager — 작업 상태

PDP 작업의 상태(현재 실행 중·이전·대기 중)를 보여 줍니다.

pdp tasks_manager status

pdp timers — 타이머 정보

세션별 PDP 타이머 정보를 보여 줍니다.

pdp timers show

보여 주는 타이머는 다음과 같습니다 — User Auth Timer, Machine Auth Timer, Pep Cache Timer, Compliance Timer, Keep Alive Timer, Ldap Fetch Timer.

pdp topology_map — 토폴로지

모든 PDP·PEP 주소의 토폴로지를 보여 줍니다.

pdp topology_map

pdp tracker — TRACKER 토픽

PDP 디버그 중 TRACKER 디버그 토픽 을 PDP 로그에 추가합니다(기본으로 켜져 있음). 분산 환경에서 PDP-to-PEP 신원 공유와 통신을 모니터링 할 때 매우 유용합니다.

pdp tracker {off | on}
파라미터설명
offPDP 로그의 TRACKER 이벤트 로깅 끄기.
onPDP 로그의 TRACKER 이벤트 로깅 켜기.

pdp update — 그룹 멤버십 재계산

모든 사용자·컴퓨터의 그룹 멤버십을 다시 계산 합니다.

pdp update {all | specific}
파라미터설명
all모든 사용자·컴퓨터의 그룹 멤버십 재계산.
specific지정한 사용자 한 명 또는 컴퓨터 하나의 그룹 멤버십 재계산.

pdp vpn — 연결된 VPN 게이트웨이

VPN 원격 접속 클라이언트의 신원 데이터를 보내는 연결된 VPN 게이트웨이 를 보여 줍니다.

pdp vpn show

pep

pep 명령은 PEP 프로세스(pepd)를 제어·모니터링 합니다. 기본 구문은 다음과 같습니다.

pep <command> [<parameter> [<option>]]

사용할 수 있는 명령은 네 가지입니다.

명령설명
control <parameter> <option>PEP 파라미터를 제어.
debug <parameter> <option>PEP 디버그를 제어.
show <parameter> <option>PEP 정보를 표시.
tracker <parameter>PEP 디버그 중 TRACKER 토픽 을 PEP 로그에 추가.

pep control — PEP 제어

PEP를 제어하는 명령입니다. 구문은 다음과 같습니다.

pep control
      extended_info_storage <options>
      gbuf_cache <option>
      identity_cache_mode status
      kbuf_cache <option>
      portal_dual_stack <options>
      tasks_manager status <options>
파라미터설명
extended_info_storagePEP가 디버그용 확장 신원 정보를 저장 할지. disable(저장 안 함)/enable(저장).
gbuf_cacheIdentity Awareness 커널 테이블용 전역 버퍼 캐시(global buffer cache) 제어(아래 옵션).
identity_cache_mode statusPDP-to-PEP 공유 프로토콜의 Identity Cache Mode 현재 상태 표시.
kbuf_cacheIdentity Awareness 커널 테이블용 커널 버퍼 캐시(kernel buffer cache) 제어(아래 옵션).
portal_dual_stack포털 듀얼 스택(IPv4·IPv6) 지원 제어. disable/enable.
tasks_manager statusPEP 작업 상태(현재 실행 중·이전·대기 중) 표시.

gbuf_cachekbuf_cache 는 옵션 형태가 같습니다.

pep control gbuf_cache status                          # 현재 상태 보기
pep control gbuf_cache enable                          # 켜기(기본)
pep control gbuf_cache disable                         # 끄기
pep control gbuf_cache memory_limit show               # 현재 메모리 한도 보기
pep control gbuf_cache memory_limit set <Number of Bytes>  # 메모리 한도 설정(기본 100MB = 104,857,600바이트)

(kbuf_cachestatus/enable/disable/memory_limit show/memory_limit set <Number of Bytes> 로 동일.)

pep debug — PEP 디버그

PEP의 디버그를 제어합니다. 구문은 다음과 같습니다.

pep debug
      memory
      off
      on
      reset
      rotate
      set <options>
      spaces [<options>]
      stat
      unset <options>
파라미터설명
memorypepd 데몬의 메모리 소비량 표시.
offPEP 디버그 끄기.
onPEP 디버그 켜기.
resetDebug Topic·Severity 옵션 초기화.
rotatePEP 로그 파일 로테이트: pepd.elgpepd.elg.0pepd.elg.1
set <Topic> <Severity>지정한 Debug Topic·Severity 기준으로 기록할 로그 필터링.
spaces [0~5]$FWDIR/log/pepd.elg의 들여쓰기 칸 수 표시·설정. 기본 0.
stat현재 디버그 상태 표시.
unset <Topic>지정한 Debug Topic 해제.

Debug Topic은 all 및 Check Point Support가 주는 구체 토픽, Severity는 all·critical·events·important·surprise 가 있습니다.

pep show — PEP 정보 보기

PEP 정보를 보여 줍니다. 구문은 다음과 같습니다.

pep show
    conciliation_clashes
        all
        clear
        ip <Session IP Address>
    network
        pdp
        registration
    pdp
        all
        id <ID of PDP>
    stat
    topology_map
    user
        all
        query
                cid <IP[,ID]>
                cmp <Compliance>
                mchn <Computer Name>
                mgrp <Group>
                pdp <IP[,ID]>
                role <Identity Role>
                ugrp <Group>
                uid <UID String>
                usr <Username>
파라미터설명
conciliation_clashes세션 조정 충돌(clash) 표시. all(모두 보기)/clear(모두 지우기)/ip <Session IP Address>(특정 세션 IP로 거름).
network pdpNetwork-to-PDP 매핑 테이블 표시.
network registration네트워크 등록 테이블 표시.
pdp all연결된 모든 PDP 표시.
pdp id <ID of PDP>지정한 PDP 정보 표시.
statpepd 데몬이 마지막으로 시작된 시각마지막으로 정책을 받은 시각 표시.
topology_map모든 PDP·PEP 주소의 토폴로지 표시.
user allPEP가 아는 모든 클라이언트 목록 표시.
user query <filters>지정한 필터로 사용자 목록을 질의(아래).

user query 의 필터는 다음과 같습니다.

필터설명
cid <IP[,ID]>지정한 Client ID 의 항목.
cmp <Compliance>지정한 컴플라이언스 항목.
mchn <Computer Name>지정한 컴퓨터 이름 항목.
mgrp <Group>지정한 머신 그룹 항목.
pdp <IP[,ID]>지정한 PDP가 업데이트한 항목.
role <Identity Role>지정한 신원 역할 항목.
ugrp <Group>지정한 사용자 그룹 항목.
uid <UID String>지정한 전체/부분 UID 와 일치하는 항목.
usr <Username>지정한 사용자 이름 항목.

pep tracker — TRACKER 토픽

PEP 디버그 중 TRACKER 디버그 토픽 을 PEP 로그에 추가합니다(기본으로 켜져 있음). 분산 환경에서 PDP-to-PEP 신원 공유와 통신을 모니터링 할 때 유용합니다.

pep tracker {off | on}
파라미터설명
offPEP 로그의 TRACKER 이벤트 로깅 끄기.
onPEP 로그의 TRACKER 이벤트 로깅 켜기.

test_ad_connectivity

test_ad_connectivity 는 Security Gateway에서 AD 도메인 컨트롤러로 연결 테스트 를 실행하는 유틸리티입니다. 신원이 안 잡힐 때 연결 자체의 문제인지 이벤트 로그 쪽 문제인지 가르는 출발점이 됩니다. 파라미터는 두 곳 중 하나로 줄 수 있습니다.

  • 명령줄 에 직접 적기(아래 표).
  • $FWDIR/conf/test_ad_connectivity.conf 구성 파일에 적기. 단, 이 파일에 적는 값은 공백을 포함할 수 없고 따옴표로 감쌀 수 없 습니다.

구문은 다음과 같습니다.

[Expert@HostName:0]# $FWDIR/bin/test_ad_connectivity -h
[Expert@HostName:0]# $FWDIR/bin/test_ad_connectivity <Parameter_1 Value_1> <Parameter_2 Value_2> ... <Parameters And Options>

파라미터는 다음과 같습니다(필수/선택 구분 포함).

파라미터필수/선택설명
-h선택내장 도움말 표시.
-a필수(택1)화면에서 암호를 입력받습니다. 암호 지정은 -a·-c·-p하나만 씁니다.
-b <LDAP Search Base String>선택LDAP Search Base 문자열 지정.
-c <Password in Clear Text>필수(택1)사용자 암호를 평문 으로 지정. (-a/-c/-p 중 하나)
-d <Domain Name>필수AD 도메인 이름 지정. 예: ad.mycompany.com.
-D <User DN>필수LDAP user DN을 직접 지정(유틸리티가 DN을 자동으로 알아내지 않음).
-f <AD Fingerprint for LDAPS>선택LDAPS용 AD 지문 지정.
-i <IPv4 address of DC>필수테스트할 AD 도메인 컨트롤러의 IPv4 주소 지정.
-I <IPv6 address of DC>필수테스트할 AD 도메인 컨트롤러의 IPv6 주소 지정.
-o <File Name>필수출력 파일 이름 지정. 항상 $FWDIR/tmp/ 디렉터리 에 저장됩니다.
-p <Obfuscated Password>필수(택1)사용자 암호를 난독화(obfuscated) 형태로 지정. (-a/-c/-p 중 하나)
-l선택LDAP 연결 테스트만 실행(WMI 테스트 안 함).
-L <Timeout>선택LDAP 테스트만의 타임아웃(밀리초). 이 시간이 지나도 LDAP 테스트가 진행 중이면 LDAP·WMI 테스트 모두 실패 처리됩니다.
-M선택데모 모드 로 실행.
-r <Port Number>선택LDAP/LDAPS 연결 포트 번호. 기본: LDAP 389, LDAPS 636.
-s선택LDAP 연결을 SSL 위로 하도록 지정.
-t <Timeout>선택LDAP·WMI 테스트 전체 의 총 타임아웃(밀리초).
-u <Username>필수AD의 관리자 사용자 이름 지정.
-v선택지정한 출력 파일의 전체 경로 를 출력.
-x <Domain Name>필수AD 도메인 이름 지정(예: ad.mycompany.com). 이 옵션은 암호를 화면에서 입력받 습니다.
-w선택WMI 연결 테스트만 실행(LDAP 테스트 안 함).

그 밖의 참조

원문 끝에는 다른 가이드와 마찬가지로 Working with Kernel Parameters·Kernel Debug 가 있는데, 이는 Security Gateway 가이드의 명령줄·커널 참조와 같은 공통 주제이니 그쪽을 참고하세요. 또 Appendix: Regular Expressions 는 신원 매칭 등에서 패턴을 쓸 때의 정규표현식 문법으로, QoS 가이드의 정규표현식 부록과 같은 Check Point 표준 메타문자(\ [ ] ( ) {min,max} . ? * + | ^ $ -)와 비출력 문자·문자 유형(\d \D \s \S \w \W 등) 표기를 따릅니다.

정리하면, 일상 운영은 SmartConsole로 하되 AD 연동 진단은 adlog·adlogconfig·test_ad_connectivity, 신원 공유 점검은 pdp·pep 로 내려가며, 모든 명령은 클러스터·Scalable Platform·VSX 환경에서 위에 정리한 공통 실행 규칙 을 지켜 실행합니다.