목차/06. 5부. 관리자 세션 흐름

065부. 관리자 세션 흐름관리자·사용자 계정 관리

이 장은 누가 보안 환경을 운영하고(관리자), 누구를 보호하는지(사용자) 를 정의하고, 인증하고, 관리하는 모든 방법을 빠짐없이 정리합니다. Check Point 환경에서 가장 먼저 마주치는 두 종류의 대상 — 관리자(Administrator)사용자(User) — 가 어떻게 다른지부터 시작해, 각각을 만드는 절차, 다섯 가지 외부 인증 방식(RADIUS·TACACS·SecurID·OS Password·SAML·API Key), 외부 LDAP·User Directory 연동, 권한 프로파일(Permission Profile), Trusted Client, 그리고 관리자가 SmartConsole에서 일하는 세션(Session) 흐름까지 한 흐름으로 풀어 둡니다.

관리자와 사용자, 무엇이 다른가

관리자(Administrator)SmartConsole·CLI·관리 API로 Check Point 보안 환경을 관리·유지하는 IT 전문가 입니다. 관리자는 보안 제품을 설치·구성·유지하고, 네트워크 트래픽과 보안 정책을 다루며, 시스템 성능을 모니터링하고 보안 문제를 해결하며, 최신 Hotfix와 업데이트로 환경을 최신 상태로 유지합니다.

사용자(User)Check Point 환경에서 트래픽을 일으키는 대상을 나타내는 객체 입니다. 관리자가 사용자 객체를 만들고, 관리하고, 모니터링합니다. 관리자는 Security Rule Base 로 인증된 사용자의 접근 권한을 제한하거나 허용하며, 특정 사용자에 대한 Access Control 규칙(Remote Access VPN, Identity Awareness 등)을 구성할 수 있습니다. 사용자는 자신이 어떤 그룹에 속하는지 알지 못합니다. 민감한 정보와 자원에 대한 접근을 인가된 사용자에게만 제한 하는 것이 조직의 네트워크와 데이터를 지키는 핵심입니다.

가장 중요한 구분은 누가 인증하느냐 입니다.

---

사용자 계정은 환경에서 트래픽을 만드는 사용자를 나타내는 객체입니다. 모든 사용자는 SmartConsole에서 직접 정의되어 Management Server의 관리 데이터베이스에 저장 됩니다(Active Directory 같은 외부 서버에 정의된 사용자와 대비). 관리자가 정책을 설치하면, Management Server가 해당 사용자 데이터를 관리 대상 Security Gateway로 복사 합니다. 관리자가 데이터베이스를 설치할 때(Menu > Install Database)는 Log Server 같은 다른 관리 대상 서버로도 사용자 데이터가 복사됩니다.

사용자 계정 만들기 — 인증 방식 고르기

SmartConsole에서 사용자 계정을 만들 때는 다음 인증 방식 중 하나를 고릅니다.

인증 방식설명
Check Point PasswordSmartConsole에 설정하는 정적(static) 암호입니다. 암호는 Security Gateway의 로컬 데이터베이스에 저장 되며, 추가 소프트웨어가 필요 없습니다.
OS PasswordSecurity Gateway가 설치된 컴퓨터의 운영체제에 저장된 암호입니다. Windows 도메인에 저장된 암호도 쓸 수 있고, 추가 소프트웨어가 필요 없습니다.
RADIUSRemote Authentication Dial-In User Service. 인증 기능을 액세스 서버에서 분리해 보안성과 확장성을 주는 외부 인증 방식입니다. 관리자가 사용자를 RADIUS 그룹 에 배정한 내용에 따라 게이트웨이가 접근 권한을 제어합니다. 이 그룹은 Security Rule Base에서 자원 접근을 제한·허용하는 데 쓰입니다. 게이트웨이는 원격 사용자의 인증 요청을 RADIUS 서버로 전달하고, 사용자 계정 정보를 가진 RADIUS 서버가 실제 인증을 수행합니다. RADIUS 프로토콜은 게이트웨이와 통신할 때 UDP를 사용 합니다. RADIUS 그룹을 쓰려면 RADIUS 서버의 사용자 프로파일에 return attribute 를 정의해야 하며, 이 속성에 사용자가 속한 그룹 이름(예: RAD_<그룹명>)이 담겨 게이트웨이로 반환됩니다. Gaia에서는 속성 "Vendor-Specific"(26) 를 쓰며 RFC 2865를 따릅니다.
TACACSTerminal Access Controller Access Control System. 라우터·네트워크 액세스 서버 등에 하나 이상의 중앙 서버로 접근 제어를 제공하는 외부 인증 방식입니다. 게이트웨이가 원격 사용자의 인증 요청을 TACACS 서버로 전달하고, 사용자 계정 정보를 가진 TACACS 서버가 인증합니다. 물리 카드키·토큰 카드, Kerberos 비밀키 인증을 지원하며, 사용자 이름·암호·인증 서비스·계정 정보를 모두 암호화 해 통신을 안전하게 합니다.
SecurID사용자가 토큰 인증기(token authenticator) 를 소지하고 PIN·암호를 함께 입력해야 하는 방식입니다. 토큰은 RSA Authentication Manager(AM) 와 동기화된 일회용 암호를 생성하며, 하드웨어(키링·신용카드 크기)나 소프트웨어 형태입니다. 모든 토큰은 약 1분마다 바뀌는 무작위 일회용 접근 코드를 만들고, 이 코드는 AM이 검증해야 합니다. 게이트웨이는 인증 요청을 AM으로 전달하며 AM 에이전트 로 동작합니다. SecurID에는 별도로 지정할 파라미터가 없고, 인증 요청은 SDK 지원 API 또는 REST API로 보낼 수 있습니다.

위 Check Point 인증 방식 중 하나로 인증을 구성한 뒤에는, 추가로 인증서 파일(certificate file) 을 만들 수 있습니다. 그러면 사용자는 위 인증 방식이나 인증서 파일 둘 중 하나로 게이트웨이에 인증할 수 있습니다. 인증서 파일은 SmartConsole에서 만들며, 사용자는 두 가지 방법으로 로그인합니다.

  • Certificate File 옵션 으로 로그인 — 인증서 파일을 쓰려면 암호를 입력해야 합니다.
  • 인증서 파일을 Windows SmartConsole 컴퓨터의 Windows Certificate Store 에 가져오면(import), 저장된 인증서로 CAPI Certificate 옵션 을 통해 로그인합니다. 이때는 암호 없이 로그인합니다.

기존 사용자 변경하기

  1. Object Explorer에서 User/Identity > Users 를 클릭합니다.
  2. 사용자를 더블클릭하면 User 창이 열립니다.
  3. 필요한 속성을 바꿉니다.
  4. OK 를 클릭합니다.

사용자 삭제하기

  1. Object Explorer에서 User/Identity > Users 를 클릭합니다.
  2. 계정을 우클릭하고 Delete 를 선택합니다.
  3. 확인 창에서 Yes 를 클릭합니다.

사용자 그룹 관리

사용자 그룹(User Group) 은 사용자 계정의 모음입니다. 규칙의 Source 또는 Destination 에는 개별 사용자가 아니라 사용자 그룹을 추가 합니다. 사용하지 않는 그룹은 편집·삭제할 수 있습니다.

새 사용자 그룹 만들기

  1. Object Explorer(F11)에서 New > More > User/Identity > User Group 을 클릭합니다.
  2. 새 그룹의 이름을 입력합니다.
  3. 사용자나 사용자 그룹마다 [+] 를 클릭해 목록에서 객체를 선택합니다.
  4. 선택 설정을 구성합니다 — Mailing List Address, Comment, Tag, Color.
  5. OK 를 클릭합니다.

기존 그룹에 사용자·그룹 추가하기

  1. Object Explorer(F11)에서 Object Categories > Users/Identities > User Groups 를 선택합니다.
  2. 사용자 그룹을 우클릭하고 Edit 를 클릭합니다.
  3. + 를 클릭합니다.
  4. 사용자나 사용자 그룹을 선택합니다.
  5. OK 를 클릭합니다.

사용자 만료 기본 설정

사용자 계정이 곧 만료되면, SmartConsole에서 그 사용자의 속성을 열 때 알림이 표시됩니다.

  1. 메인 Menu 에서 Global Properties 를 선택합니다.
  2. User Accounts 를 클릭합니다.
  3. Expire at 또는 Expire after 를 선택합니다.
    • Expire at — 달력에서 만료 날짜를 고릅니다.
    • Expire after — 계정 생성일로부터 만료까지의 일수를 입력합니다.
  4. Show accounts expiration indication 를 선택하고 일수를 입력합니다. 이 일수만큼 만료 전에 사용자 객체에 경고가 표시되며, 그동안 계정을 더 길게 유지하려면 만료 설정을 편집해 근무 손실을 막을 수 있습니다.

Check Point Password 인증으로 사용자 만들기

Check Point Password 는 SmartConsole에 설정하는 정적 암호이고, 게이트웨이 로컬 DB에 저장되며 추가 소프트웨어가 필요 없습니다. 구성 후 인증서 파일 인증도 함께 둘 수 있습니다.

  1. Object Explorer(F11)에서 New > More > User/Identity > User 를 클릭하면 New User 창이 열립니다.
  2. 템플릿을 선택하고 OK 를 클릭합니다.
  3. User Name 을 입력합니다 — 고유하고 대소문자를 구분 하는 문자열입니다.
  1. General Properties 를 구성합니다.
    • Expiration Date — 이 날짜 이후로는 사용자가 자원·애플리케이션에 접근할 수 없습니다. 기본값은 Global Properties > User Accounts > Expiration Date 에 정의된 날짜입니다.
    • 선택 설정 — Comment, Email Address, Mobile Phone Number.
  2. Groups — 사용자를 사용자 그룹에 추가합니다.
  3. Authentication 을 구성합니다.
    • 드롭다운에서 Check Point Password 를 선택합니다.
  • Set new password 를 클릭합니다.
  • Location — 이 사용자가 데이터·트래픽을 주고받을 수 있는 객체를 선택합니다. Allowed locations 에서:
    • SourcesAdd 로 이 사용자가 데이터·트래픽을 받을 수 있는 객체를 추가합니다.
    • DestinationAdd 로 이 사용자가 데이터·트래픽을 보낼 수 있는 객체를 추가합니다.
  • Time — 사용자가 특정 요일·시간에만 인증되도록 설정합니다.
    • From / To — 근무일의 시작·종료 시각. 이 범위 밖에서 로그인을 시도하면 인증되지 않습니다.
    • Days in week / Daily — 사용자가 인증·접근할 수 있는 요일. 선택하지 않은 날에 시도하면 인증되지 않습니다.
  • Certificates — 사용자 계정에 SIC 인증서를 생성·등록해 Check Point 시스템에서 사용자를 인증합니다.
    1. New 를 클릭합니다.
    2. key 또는 p12 파일을 선택합니다.
      • Registration key for certificate enrollment — 인증서를 활성화하는 등록 키를 보냅니다. 등록 키 만료 전까지 사용자가 인증서를 활성화할 수 있는 일수를 지정합니다.
      • Certificate file (p12) — 비공개 암호가 걸린 .p12 인증서 파일을 만듭니다. 인증서 암호를 입력·확인합니다.
    3. OK 를 클릭합니다.
  1. Encryption — 사용자가 원격에서 접근하면 원격 사용자와 내부 자원 사이 트래픽이 암호화됩니다.
    1. 사용자의 암호화 방식을 선택합니다.
    2. Edit 를 클릭하면 암호화 Properties 창이 열립니다(다음 단계는 IKE Phase 2 용이며 방식마다 다를 수 있음).
    3. Authentication 탭에서 인증 스킴을 선택합니다.
      • Password — 미리 공유한 비밀 암호로 인증. 암호를 입력·확인합니다.
      • Public Key — 인증서 파일에 담긴 공개키로 인증합니다.
    4. OK 를 클릭합니다.
  2. OK 를 클릭합니다.

OS Password 인증으로 사용자 만들기

OS Password 는 Security Gateway가 설치된 컴퓨터의 운영체제(또는 Windows 도메인)에 저장된 암호이며 추가 소프트웨어가 필요 없습니다. 절차는 Check Point Password와 거의 같고, 차이는 6단계에서 인증 방식으로 OS Password 를 고르는 것뿐입니다.

  1. Object Explorer(F11)에서 New > More > User/Identity > User 를 클릭합니다.
  2. 템플릿을 선택하고 OK.
  3. User Name 을 입력합니다(위와 같은 CN/DN 규칙 적용).
  4. General Properties — Expiration Date, Comment, Email Address, Mobile Phone Number.
  5. Groups — 그룹에 추가합니다.
  6. Authentication — 드롭다운에서 OS Password 를 선택합니다. (인증 방식을 고르지 않으면 로그인 불가) Set new password 를 클릭합니다.
  7. Location — Sources / Destination을 지정합니다.
  8. Time — 근무 요일·시간을 지정합니다.
  9. Certificates — SIC 인증서를 생성·등록합니다(Registration key 또는 p12 파일, Revoke 가능).
  10. Encryption — IKE Phase 2 암호화와 Authentication 탭에서 Password / Public Key 스킴을 설정합니다.
  11. OK 를 클릭합니다.

RADIUS 서버 인증으로 사용자 만들기

RADIUS 는 인증 기능을 액세스 서버에서 분리해 보안성과 확장성을 주는 외부 인증 방식입니다. 게이트웨이는 원격 사용자의 인증 요청을 RADIUS 서버로 전달하고, 사용자 정보를 가진 RADIUS 서버가 인증하며, RADIUS 프로토콜은 UDP 로 통신합니다. RADIUS 그룹을 쓰려면 RADIUS 서버의 사용자 프로파일에 return attribute 를 정의해야 합니다(Gaia는 "Vendor-Specific"(26), RFC 2865).

사용자는 단일 RADIUS 서버나 RADIUS 서버 그룹 으로 인증합니다. 서버 그룹은 동일한 RADIUS 서버들의 High Availability 그룹으로, 우선순위가 가장 높은 서버가 실패하면 다음으로 높은 서버가 이어받 습니다.

1. SmartConsole에서 새 RADIUS Server 객체 구성

  1. Object Explorer에서 New > More > Server > RADIUS 를 선택합니다.
  2. 서버에 Name 을 줍니다(임의의 이름 가능).
  3. Host 필드에서 드롭다운을 클릭하고 New 로 RADIUS 서버의 IP 주소를 가진 New Host를 만듭니다.
  4. OK 를 클릭하고, 이 호스트가 Host 필드에 보이는지 확인합니다.
  5. Shared Secret 필드에 RADIUS 서버에 미리 정의해 둔 비밀 키를 입력합니다.
  6. OK 를 클릭합니다.
  7. SmartConsole 세션을 Publish 합니다.

2. 새 사용자를 만들고 인증 방식을 RADIUS로 지정

  1. Object Explorer(F11)에서 New > More > User/Identity > User.
  2. 템플릿 선택 후 OK.
  3. User Name 입력(CN/DN 규칙 적용).
  4. General Properties — Expiration Date, Comment, Email, Mobile Phone Number.
  5. Groups — 그룹에 추가.
  6. Authentication — 드롭다운에서 RADIUS 선택. (방식 미선택 시 로그인 불가)
  7. Location — Sources / Destination 지정.
  8. Time — 근무 요일·시간 지정.
  9. Certificates — SIC 인증서 생성·등록(Registration key / p12, Revoke 가능).
  10. Encryption — IKE Phase 2와 Authentication 탭(Password / Public Key).
  11. OK.

3. (선택) SmartConsole 인증용 RADIUS 서버 그룹 구성

  1. 그룹에 넣을 모든 서버를 구성하고 각 서버의 우선순위(priority) 를 입력합니다. 숫자가 작을수록 우선순위가 높 습니다(예: 1·2·3이면 1번을 먼저 시도).
  2. 서버 그룹을 만듭니다 — Object Explorer에서 New > Server > More > RADIUS Group.
  3. 그룹 속성을 구성하고 서버를 추가합니다.
    1. 그룹 Name 을 줍니다.
    2. 추가할 서버마다 (+) 를 클릭하고 드롭다운에서 선택합니다.
    3. OK.
    4. 세션을 Publish 합니다.
  4. 새 사용자를 추가합니다.
  5. 세션을 Publish 합니다.

TACACS 서버 인증으로 사용자 만들기

TACACS 는 라우터·네트워크 장비에 중앙 서버로 접근 제어를 제공하는 외부 인증 방식입니다. 게이트웨이가 원격 사용자의 요청을 TACACS 서버로 전달하고, 사용자 정보를 가진 TACACS 서버가 인증합니다. 물리 카드키·토큰 카드, Kerberos 비밀키를 지원하며 모든 인증 요청의 이름·암호·서비스·계정 정보를 암호화합니다. 단일 서버나 TACACS 서버 그룹(HA, 우선순위 기반 이어받기)으로 인증할 수 있습니다.

1. SmartConsole에서 새 TACACS+ 서버 객체 구성

  1. Object Explorer에서 New > More > Server > TACACS.
  2. 서버에 Name 을 줍니다.
  3. Host 필드 드롭다운에서 New 로 TACACS 서버 IP를 가진 New Host를 만듭니다.
  4. OK, Host 필드에 보이는지 확인합니다.
  5. Servers Type 를 선택합니다.
  1. Secret key 를 입력합니다(TACACS+ 유형을 골랐을 때만 필요).
  2. OK.

2. 새 사용자를 만들고 인증 방식을 TACACS로 지정

User Name(CN/DN 규칙) → General Properties → Groups → Authentication 에서 TACACS 선택 → Location → Time → Certificates → Encryption → OK 의 순서로, RADIUS 사용자 생성과 동일한 흐름을 따릅니다. (인증 방식을 고르지 않으면 로그인 불가)

3. (선택) TACACS 서버 그룹 구성

  1. 그룹에 넣을 서버를 모두 구성하고 우선순위를 입력합니다(숫자가 작을수록 높음).
  2. Object Explorer에서 New > Server > More > TACACS Group 으로 그룹을 만듭니다.
  3. 그룹 Name 을 주고, (+) 로 서버를 추가한 뒤 OKPublish.
  4. 새 사용자를 추가하고 세션을 Publish 합니다.

SecurID 인증으로 사용자 만들기

SecurID 는 토큰 인증기와 PIN·암호를 함께 요구하는 방식입니다. 토큰은 RSA Authentication Manager(AM) 와 동기화된 일회용 암호를 약 1분마다 생성하고, 게이트웨이가 AM 에이전트 로서 모든 접근 요청을 AM으로 보내 검증받습니다. 별도 파라미터가 없으며, 인증 요청은 SDK 지원 API 또는 REST API로 보냅니다.

1) 인증 요청을 보낼 API 구성

두 가지 API 중 하나를 켤 수 있습니다.

SDK-supported API — UDP 포트 5500 에서 독점 프로토콜을 쓰는 독점 API입니다.

  1. ACE/Server에서 sdconf.rec 파일을 만들어 컴퓨터로 복사합니다(자세한 내용은 RSA 문서 참고).
  1. SmartConsole에서 SecurID 객체를 열고 Browsesdconf.rec 파일을 객체로 가져옵니다.
  2. 정책을 설치합니다.

REST API

  1. Security Gateway 명령줄에 접속합니다.
  2. Expert mode 로 로그인합니다.
  3. VSX Gateway·VSX Cluster Member라면 VSID 0 컨텍스트로 이동합니다.
   vsenv 0
   
  1. 현재 $CPDIR/conf/RSARestServer.conf 파일을 백업합니다.
   cp -v $CPDIR/conf/RSARestServer.conf{,_BKP}
   
  1. $CPDIR/conf/RSARestServer.conf 파일을 편집해 다음을 채웁니다.
    • host — RSA 서버의 호스트 이름
    • port, client key, accessid — RSA SecurID Authentication API 창에서 가져옴
    • certificate — 인증서 파일 이름
  2. 변경을 저장하고 편집기를 닫습니다.

2) 사용자 그룹 구성

  1. SmartConsole에서 Object Explorer(F11)를 엽니다.
  2. New > More > User/Identity > User Group.
  3. 그룹 이름(예: SecurID_Users)을 입력합니다. 그룹은 비어 있어야 합니다.
  4. OKPublish → 정책 설치.

3) SecurID 인증 사용자 만들기

구성 절차는 SmartConsole에 정의되는 내부 사용자외부 사용자 가 다릅니다.

내부 사용자(internal users) — Management Server 데이터베이스에 보관됩니다.

  1. Object Explorer(F11)를 엽니다.
  2. New > More > User/Identity > User.
  3. 템플릿을 고르고 OK.
  4. General 페이지에서 기본 Name(Authentication Manager가 인증에 쓰는 이름)을 입력하고 Expiration date 를 설정합니다.
  5. Authentication 페이지의 Authentication Method 드롭다운에서 SecurID 를 선택합니다.
  6. OK.

외부 사용자(external users) — Legacy SmartDashboard에서 구성하며, Management Server 데이터베이스에 보관되지 않습니다.

  1. SmartConsole에서 Manage & Settings > Blades 를 클릭합니다.
  2. Mobile Access 영역에서 Configure in SmartDashboard 를 클릭하면 Legacy SmartDashboard가 열립니다.
  3. 왼쪽 아래 Network Objects 창에서 Users 를 클릭합니다.
  4. 빈 공간을 우클릭하고 알맞은 옵션을 선택합니다.
    • 외부 인증 스킴이 하나면 New > External User Profile > Match all users.
    • 둘 이상이면 New > External User Profile > Match by domain.
  5. External User Profile 속성을 구성합니다.
    • General Properties
      • Match all users 면: 이름은 기본값 generic* 그대로 두고 Expiration Date를 설정합니다.
      • Match by domain 면: External User Profile name을 입력하고(Authentication Manager가 인증에 사용), Expiration Date와 Domain Name matching definitions 를 설정합니다.
    • Authentication 페이지 — Authentication Scheme 드롭다운에서 SecurID 를 선택합니다.
    • OK.
  6. 상단 툴바에서 Update(또는 CTRL S)를 클릭합니다.
  7. Legacy SmartDashboard를 닫습니다.

4) SecurID 구성 마무리

  1. Address Translation Rule Base에서 Security Gateway와 Authentication Manager 사이 연결이 NAT되지 않도록 합니다. Virtual System에서는 sk107281을 따릅니다.
  2. SmartConsole에서 정책을 Save · verify · install 합니다.

게이트웨이에 인터페이스가 여러 개면, SecurID 에이전트가 AM의 응답을 복호화할 때 잘못된 인터페이스 IP를 써 인증이 실패 하는 경우가 있습니다. 이를 해결하려면 sdconf.rec 와 같은 디렉터리에 sdopts.rec 텍스트 파일을 만들고 다음 줄을 넣습니다.

CLIENT_IP=<IP Address>

여기서 <IP Address> 는 Authentication Manager에 정의된 게이트웨이의 기본 IP(서버로 라우팅되는 인터페이스의 IP)입니다. 예:

CLIENT_IP=192.168.20.30

Access Role

Access Role 객체는 다음 기준으로 네트워크 접근을 구성하게 해 줍니다.

  • 네트워크(Networks)
  • 사용자·사용자 그룹(Users and user groups)
  • 컴퓨터·컴퓨터 그룹(Computers and computer groups)
  • Remote Access VPN 클라이언트(R80.10 이상 게이트웨이에서 지원)

Identity Awareness 소프트웨어 블레이드를 켠 뒤에는 Access Role 객체를 만들어 Access Control Policy 규칙의 Source·Destination 열에 쓸 수 있습니다. 자세한 내용은 R82 Identity Awareness Administration Guide를 참고하세요.

Access Role 추가

  1. 객체 트리에서 New > More > Users > Access Role 을 클릭합니다.
  2. Access Role의 Name 을 입력합니다.
  3. Comment(선택)를 입력합니다.
  4. 객체 Color(선택)를 고릅니다.
  5. Networks 창에서 선택합니다 — Any network 또는 Specific networks(목록에서 네트워크 선택).
  6. Users 창에서 선택합니다 — Any user, All identified users(지원되는 인증 방식으로 식별된 모든 사용자: 내부·AD·LDAP), 또는 Specific users/groups.
  7. Machines 창에서 선택합니다 — Any machine, All identified machines(AD로 식별된 머신), 또는 Specific machines.
  8. Remote Access Clients 창에서 원격 접근 클라이언트를 선택합니다.
  9. OK.

Identity Awareness 엔진은 LDAP 그룹 멤버십 변경을 자동으로 인식 해 Access Role을 포함한 신원 정보를 갱신합니다.

---

Check Point User Directory 는 사용자별 정보를 저장합니다.

User Directory로 할 수 있는 일:

  • High Availability 구성 — 사용자 데이터를 여러 서버에 복제해 백업합니다.
  • Multiple Account Units 구성 — 분산 데이터베이스를 다룹니다.
  • LDAP Account Unit 정의 — 암호화된 User Directory 연결을 만듭니다.
  • Profiles 구성 — 여러 LDAP 벤더를 지원합니다.

User Directory 사전 고려사항

User Directory를 쓰기 전에 다음을 계획합니다.

  • User Directory 서버를 사용자 관리·CRL 조회·사용자 인증 중 무엇에 쓸지 결정합니다.
  • 필요한 Account Unit 개수를 정합니다(서버당 하나, 또는 한 서버의 브랜치를 여러 Account Unit으로 나눔).
  • High Availability 구성 여부를 결정합니다.
  • HA·쿼리를 위한 User Directory 서버 간 우선순위 순서 를 정합니다.
  • 공통 속성(조직 내 역할·권한 등)을 가진 사용자끼리 묶이도록 Account Unit·브랜치·서브브랜치에 사용자를 배정합니다.

User Directory 배포

User Directory는 Security Management Server와 LDAP 서버를 통합해, Security Gateway가 LDAP 정보를 쓰게 합니다.

p.80
p.80
항목설명
1Security Gateway — LDAP 사용자 정보와 CRL을 조회
2Internet
3Security Gateway — LDAP 사용자 정보를 질의하고 CRL을 조회하며 인증을 위한 bind 작업을 수행
4Security Management Server — User Directory로 사용자 정보를 관리
5LDAP server — 하나 이상의 Account Unit을 보유한 서버

User Directory 활성화

SmartConsole에서 Management Server가 Account Unit의 사용자를 관리하도록 켭니다.

  1. Menu > Global Properties > User Directory 를 선택합니다.
  2. Use User Directory for Security Gateways 를 선택합니다.
  3. 로그인·암호 설정을 구성합니다.
  4. OK.
  5. Gateways & Servers 뷰(Ctrl+1)에서 Security Management Server 객체를 편집합니다.
  6. General Properties > Management 탭에서 Network Policy ManagementUser Directory 를 선택합니다.
  7. OK → 정책 설치.

LDAP용 User Directory 스키마

User Directory 기본 스키마는 사용자 디렉터리의 데이터 구조를 설명 하며 LDAP 서버용 사용자 정의를 담습니다. 이 스키마에는 IKE 관련 속성, 인증 방식, 원격 사용자 값 같은 Management Server·Security Gateway 고유 데이터가 없 습니다.

모든 사용자가 같은 인증 방식을 쓰고 기본 템플릿대로 정의된다면 기본 스키마를 써도 됩니다. 하지만 사용자 정의가 제각각이면 LDAP 서버에 Check Point 스키마 를 적용하는 편이 낫습니다. Check Point 스키마는 LDAP 구조에 Management Server·Security Gateway 고유 데이터를 더해, 사용자 인증 기능으로 객체 정의를 확장합니다. 예를 들어 fw1Person 객체 클래스는 Person 정의에 필수·선택 속성을 더하고, fw1Template 는 사용자 정보 템플릿을 정의하는 독립 속성입니다.

스키마 검사(Schema Checking)

스키마 검사가 켜지면, User Directory는 모든 Check Point 객체 클래스와 속성이 디렉터리 스키마에 정의되어 있을 것 을 요구합니다. User Directory 작업 전에는 스키마 검사를 꺼야 하며(켜져 있으면 통합 실패), Check Point 객체 클래스·속성을 서버 스키마에 적용한 뒤 다시 켭니다.

OID 고유 속성

fw1 로 시작하는 고유 객체 클래스·속성에는 각각 고유한 OID(Object Identifier) 가 있습니다.

object classOID
fw1template1.3.114.7.4.2.0.1
fw1person1.3.114.7.4.2.0.2

고유 속성의 OID는 모두 1.3.114.7.4.2.0.X 접두사를 공유하며, X 값만 속성마다 다릅니다.

User Directory 스키마 속성

속성설명
cn엔트리 이름(Common Name). 사용자는 로그인 이름인 uid 와 다를 수 있습니다. DN을 구성하는 RDN으로도 쓰입니다.
uid사용자의 로그인 이름. "Internal Password"를 제외한 모든 인증 방식에서 외부 인증 시스템에 전달되며 반드시 정의되어야 합니다. 각 사용자 엔트리는 고유한 UID 를 가져야 합니다. 모호하거나 여러 Account Unit에 같은 uid가 있을 때는 전체 DN으로 로그인할 수도 있습니다.
description사용자 설명 텍스트. 기본값 "no value".
mail사용자 이메일 주소. 기본값 "no value".
member0개 이상의 값. 템플릿에서는 이 템플릿을 쓰는 사용자 엔트리의 DN, 그룹에서는 사용자의 DN.
userPassword인증 방식(fw1auth-method)이 "Internal Password"일 때 필요. crypt 로 해시할 수 있으며 형식은 "{crypt}xxyyyyyyyyyyy"(xx 는 salt, yyy... 는 해시된 암호). 해시 없이 저장할 수도 있으나 권장하지 않으며, 서버에서 해시한다면 이중 해시를 막기 위해 여기서는 해시를 지정하지 말고 SSL을 쓰세요. 게이트웨이는 이 속성을 쓰기만 하고 읽지 않으며, 암호 검증은 bind 작업으로 합니다.
fw1authmethodRADIUS·TACACS·SecurID·OS Password·Defender 중 하나. SmartConsole의 Account Unit 창 Authentication 탭의 Default authentication scheme로 덮어쓸 수 있습니다.
fw1authserver인증을 수행할 서버 이름. fw1auth-method 가 RADIUS·TACACS일 때 필요(RADIUS면 서버·서버 그룹·"Any", TACACS면 TACACS 서버 이름).
fw1pwdLastMod암호를 마지막으로 바꾼 날짜. 형식 yyyymmdd.
fw1expiration-date사용자가 게이트웨이에 로그인할 수 있는 마지막 날짜. 형식 yyyymmdd. 기본값 "no value".
fw1hour-range-from로그인 가능 시작 시각. 형식 hh:mm. 기본값 00:00.
fw1hour-range-to로그인 가능 종료 시각. 형식 hh:mm. 기본값 23:59.
fw1day로그인 가능한 요일(SUN·MON…). 기본값은 모든 요일.
fw1allowed-src사용자가 클라이언트를 실행할 수 있는 네트워크 객체 이름들, "Any"(제한 없음), 또는 "no value". 기본값 "no value".
fw1allowed-dst사용자가 접근할 수 있는 네트워크 객체 이름들, "Any", 또는 "no value". 기본값 "no value".
fw1allowed-vlan현재 사용되지 않음.
fw1SR-keymSecuRemote 세션 키 암호화 알고리즘 — CLEAR·FWZ1·DES·Any. 기본값 Any.
fw1SR-datamSecuRemote 데이터 암호화 알고리즘 — CLEAR·FWZ1·DES·Any. 기본값 Any.
fw1SR-mdmSecuRemote 데이터 서명 알고리즘 — none 또는 MD5. 기본값 none.
fw1enc-fwz-expirationSecuRemote 사용자가 게이트웨이에 재인증해야 하는 분(分) 수.
fw1sr-auth-trackSecuRemote 인증 성공 시 생성할 예외 — none·cryptlog·cryptalert. 기본값 none.
fw1groupTemplate그룹 멤버십 문제 해결용 플래그. TRUE 면 사용자가 직접 속한 그룹에 더해, 템플릿이 멤버인 모든 그룹의 멤버 로도 간주. 기본값 False.
fw1ISAKMP-EncMethodIKE를 쓰는 SecuRemote 사용자의 키 암호화 방식 — DES·3DES(둘 다 가능). 기본값 DES,3DES.
fw1ISAKMP-AuthMethodsIKE SecuRemote 사용자의 허용 인증 방식 — preshared·signatures. 기본값 signatures.
fw1ISAKMP-HashMethodsIKE SecuRemote 사용자의 데이터 무결성 방식 — MD5·SHA1(둘 다 필요). 기본값 MD5,SHA1.
fw1ISAKMP-TransformIKE SecuRemote 사용자의 IPSec Transform — AH 또는 ESP. 기본값 ESP.
fw1ISAKMP-DataIntegrityMethodIKE SecuRemote 사용자의 데이터 무결성 방식 — MD5 또는 SHA1. 기본값 SHA1.
fw1ISAKMP-SharedSecretIKE SecuRemote 사용자의 사전 공유 비밀. 값은 fw ikecrypt 명령줄로 계산.
fw1ISAKMP-DataEncMethodIKE SecuRemote 사용자의 데이터 암호화 방식. 기본값 DES.
fw1enc-MethodsSecuRemote 사용자의 허용 암호화 방식 — FWZ·ISAKMP(=IKE). 기본값 FWZ.
fw1userPwdPolicy암호를 언제·누가 바꿀 수 있는지 정의.
fw1badPwdCount연속 허용되는 잘못된 암호 입력 횟수.
fw1lastLoginFailure마지막 로그인 실패 시각.
memberof template사용자가 멤버인 템플릿의 DN.

Netscape LDAP 스키마

Netscape 디렉터리 서버에 고유 스키마를 추가하려면 $FWDIR/lib/ldap/schema.ldif 파일을 씁니다.

이 ldif 파일은 새 속성을 스키마에 추가하고, 기존 fw1person·fw1template 정의를 삭제한 뒤 새 정의를 더합니다. 변경하려면 schema.ldif 와 함께 ldapmodify 명령을 실행합니다.

User Directory 프로파일

User Directory 프로파일 은 더 정확한 요청을 정의하고 서버와의 통신을 향상하는 구성 가능한 LDAP 정책 입니다. 프로파일이 LDAP 서버별 고유 지식 대부분을 담당하므로, 서로 다른 벤더의 LDAP 서버를 통합할 수 있습니다. 예를 들어 인증된 OPSEC User Directory 서버에는 OPSEC_DS 프로파일을 적용해 OPSEC 고유 속성을 얻습니다.

LDAP 서버는 객체 저장소·스키마·관계가 제각각입니다 — RDN에 cn 을 쓰는 곳도 uid 를 쓰는 곳도 있고, AD는 memberOf 로 그룹 소속을 표현하지만 표준 LDAP은 그룹 객체에 member 를 둡니다. 암호 저장 형식도 다르고, v3로 분류되지만 스키마를 확장하지 못하는 서버도 있으며, AD에는 accountExpires 가 있지만 다른 서버는 Check Point 속성 fw1expirationdate 가 필요합니다.

기본 User Directory 프로파일

프로파일설명
OPSEC_DS표준 OPSEC 인증 User Directory의 기본 프로파일
Netscape_DSNetscape Directory Server 프로파일
Novell_DSNovell Directory Server 프로파일
Microsoft_ADMicrosoft Active Directory 프로파일

프로파일 수정

프로파일에는 세 가지 주요 범주가 있습니다.

  • Common — User Directory 읽기·쓰기 공통 설정
  • Read — 읽기 전용 설정
  • Write — 쓰기 전용 설정

같은 항목을 범주별로 다른 값으로 둘 수 있어, 작업 종류에 따라 서버가 다르게 동작합니다.

  • 프로파일 적용 — Account Unit을 열고 프로파일을 선택합니다.
  • 프로파일 변경 — 새 프로파일을 만들고, 기존 프로파일 설정을 복사한 뒤 값을 바꿉니다.

사용자 정보를 효율적으로 가져오기

User Directory 작업은 사용자·사용자 그룹·사용자 템플릿(그룹 엔트리로 정의되고 사용자가 멤버)에 대해 수행됩니다. 그룹·템플릿과 사용자를 정의하는 모드는 사용자 정보를 가져올 때 성능에 큰 영향 을 줍니다. 세 가지 모드가 있습니다.

  • Member 모드 — 그룹의 각 멤버에 Member 속성을 두고, 값은 그 멤버의 DN.
  • MemberOf 모드 — 각 그룹에 Memberof 속성을 두고, 값은 그룹 엔트리의 DN.
  • Both 모드 — 멤버와 그룹 모두에 Memberof 속성을 둠.

가장 효율적인 것은 MemberOfBoth 모드 로, 사용자 자신에 그룹 소속 정보가 있어 추가 쿼리가 필요 없습니다.

User-to-Group 멤버십 모드 설정

각 User Directory 서버의 프로파일 객체에서 objects_5_0.C 파일을 통해 멤버십 모드를 설정합니다.

  • user-to-group / template-to-group 모드 — GroupMembership 속성을 Member·MemberOf·Both 중 하나로 설정.
  • user-to-template 모드 — TemplateMembership 속성을 Member·MemberOf 중 하나로 설정.

데이터베이스 변환 후 프로파일을 알맞은 멤버십 설정으로 두고 Management Server를 시작한 다음, 모든 게이트웨이에 정책/사용자 데이터베이스를 설치 해 새 구성을 적용합니다.

프로파일 속성

다음은 프로파일에 정의되는 주요 속성, 기본값, 그리고 Microsoft_AD 등에서의 다른 값입니다.

속성설명기본값 / 기타
UserLoginAttr고유 사용자명 속성(uid). 사용자명으로 조회할 때 쿼리에 사용.uid(대부분) / SamAccountName(Microsoft_AD), 단일 값
UserPasswordAttr사용자 암호 속성.userPassword(대부분) / unicodePwd(Microsoft_AD), 단일 값
TemplateObjectClassCheck Point 템플릿 객체 클래스. 기본값을 바꾸면 fw1template 관련 속성으로 스키마를 확장해야 함.fw1template, 복수 값
ExpirationDateAttr계정 만료일 속성(CP 확장 속성 또는 기존 속성).fw1expiration-date(대부분) / accountExpires(Microsoft_AD), 단일 값
ExpirationDateFormat만료일 형식.CP 형식은 yyyymmdd, 단일 값
PsswdDateFormat암호 변경일 형식.CP(대부분, yyyymmdd) / MS(Microsoft_AD), 단일 값
PsswdDateAttr암호 최종 변경일 속성.fw1pwdLastMod(대부분) / pwdLastSet(Microsoft_AD), 단일 값
BadPwdCountAttr잘못된 암호 인증 횟수 저장·읽기 속성.fw1BadPwdCount, 단일 값
ClientSideCrypt0이면 암호를 암호화하지 않고, 1이면 DefaultCryptAlgorithm 으로 암호화.0(대부분) / 1(Netscape_DS). 미암호화 시 SSL 권장
DefaultCryptAlgorithm새 암호 업데이트 전 암호화 알고리즘.Plain(대부분) / Crypt(Netscape_DS) / SHA1, 단일 값
CryptedPasswordPrefix암호화된 암호 업데이트 시 붙이는 접두 텍스트.{Crypt}(Netscape_DS), 단일 값
PhoneNumberAttr사용자 전화번호 저장·읽기 속성.internationalisednumber, 단일 값
AttributesTranslationMap서버 종류별 특이성을 해결하는 속성 변환 맵. 예: X.500은 속성명에 - 를 허용하지 않으므로 fw1-expiration=fw1expiration 처럼 변환 지정.none, 복수 값
ListOfAttrsToAvoid읽기/쓰기 기본 속성 목록에서 제거할 속성명. 서버 스키마가 지원하지 않는 속성을 빼 작업 실패를 막음(특히 CP 스키마 미확장 시 유용).기본값 없음, 복수 값
BranchObjectClassAccount Unit을 SmartConsole에서 열 때 트리 브랜치로 질의할 객체 유형.Organization·OrganizationalUnit·Domain(대부분) / Container 추가(Microsoft_AD), 복수 값
BranchOCOperatorOne 이면 OR 쿼리(조건 하나라도 맞으면 표시), All 이면 AND 쿼리.One, 단일 값
OrganizationObjectClassorganization 아이콘으로 표시할 객체. BranchObjectClass에도 있어야 함.organization, 복수 값
OrgUnitObjectClassorganization unit 아이콘으로 표시할 객체.organizationalUnit(대부분) / Container(Microsoft_AD), 복수 값
DomainObjectClassDomain 아이콘으로 표시할 객체.Domain, 복수 값
UserObjectClass사용자 객체로 읽을 객체.User(Microsoft_AD) / Person·OrganizationalPerson·inetOrgPerson·fw1Person(대부분), 복수 값
UserOCOperatorOne 이면 OR, All 이면 AND 쿼리.One, 단일 값
GroupObjectClass (읽기)그룹으로 읽을 객체.groupOfNames·groupOfUniqueNames(대부분) / Group(Microsoft_AD), 복수 값
GroupOCOperatorOne 이면 OR, All 이면 AND 쿼리.One, 단일 값
GroupMembership그룹과 멤버 사이 관계 모드(읽기).Member(대부분) / MemberOf(Microsoft_AD) / Both, 단일 값
UserMembershipAttrMemberOf·Both 모드일 때 사용자·템플릿에서 그룹 소속을 읽는 속성.MemberOf, 단일 값
TemplateMembershipuser-to-template 멤버십 모드.Member(대부분) / MemberOf(Microsoft_AD), 단일 값
TemplateMembershipAttrMember 모드일 때 템플릿에서 사용자 멤버(User DN)를 읽는 속성.member, 복수 값
UserTemplateMembershipAttrMemberOf 모드일 때 사용자 객체에서 연관 템플릿 DN을 읽는 속성.member, 복수 값
OrganizationRDN새 organization unit 생성 시 RDN 속성 이름.o, 단일 값
OrgUnitRDN새 organizational Unit 생성 시 RDN 속성 이름.ou, 단일 값
UserRDN새 User 객체 생성 시 RDN 속성 이름.cn, 단일 값
GroupRDN새 Group 객체 생성 시 RDN 속성 이름.cn, 단일 값
DomainRDN새 Domain 객체 생성 시 RDN 속성 이름.dc, 단일 값
AutomaticAttrsSmartConsole에서 객체 생성 시 자동으로 더할 속성. 형식 Objectclass:name:value.user:userAccountControl:66048(Microsoft_AD), 복수 값
GroupObjectClass (쓰기)그룹 수정 시 객체 클래스별 멤버십 속성 매핑. 형식 ObjectClass:memberattr.groupOfNames:member·groupOfUniqueNames:uniqueMember, 복수 값
OrgUnitObjectClass (쓰기)OrganizationalUnit 생성·수정 시 쓸 ObjectClass(읽기와 다를 수 있음).OrganizationalUnit, 복수 값
OrganizationObjectClass (쓰기)Organization 생성·수정 시 쓸 ObjectClass.Organization, 복수 값
UserObjectClass (쓰기)사용자 객체 생성·수정 시 쓸 ObjectClass.User(Microsoft_AD) / person·organizationalPerson·inetOrgPerson·fw1Person(기타), 복수 값
DomainObjectClass (쓰기)domain context 객체 생성·수정 시 쓸 ObjectClass.Domain, 복수 값

User Directory 서버에서 사용자 관리

SmartConsole에서 Account Unit의 사용자·그룹은 LDAP 서버와 같은 트리 구조 로 보입니다. User Directory 사용자를 보려면 Users and Administrators 를 열며, LDAP Groups 폴더가 서버의 구조와 계정을 담습니다. User Directory 템플릿을 바꾸면 그 템플릿을 쓰는 사용자에게 즉시 반영 되고, 사용자 정의를 수동으로 바꾸면 그 변경도 서버에 즉시 적용됩니다.

여러 서버에 사용자 분산

조직 사용자는 여러 LDAP 서버에 분산할 수 있으며, 각 LDAP 서버는 별도의 Account Unit 으로 표현됩니다.

LDAP 정보 관리

User Directory는 SmartDashboard로 LDAP 서버에 저장된 사용자·OU 정보를 관리하게 해 줍니다.

  1. SmartConsole에서 Manage & Settings > Blades 로 갑니다.
  2. Configure in SmartDashboard 를 클릭하면 SmartDashboard가 열립니다.
  3. 객체 트리에서 Servers and OPSEC 를 선택합니다.
  4. Account Unit 을 더블클릭하면 LDAP 도메인 객체가 열립니다.
  5. LDAP 브랜치 를 더블클릭하면 Management Server가 LDAP 서버를 질의하고 객체를 보여 줍니다.
  6. Objects List 창을 펼칩니다.
p.105
p.105
  1. LDAP 객체를 더블클릭하면 사용자 정보가 표시됩니다.
  2. 사용자를 우클릭하고 Edit 를 선택하면 LDAP User Properties 창이 열립니다.
  3. 정보·설정을 편집하고 OK.

User Directory용 LDAP 그룹

User Directory용 LDAP 그룹을 만들면 사용자를 유형별로 분류해 정책 규칙에 쓸 수 있습니다. 사용자를 추가하거나 동적 필터를 만들 수 있습니다.

  1. SmartConsole에서 Object Categories > New > More > Users > LDAP group 을 엽니다.
  2. New LDAP Group 창에서 User Directory 그룹의 Account Unit 을 선택합니다.
  3. Group's Scope 를 정합니다 — All Account-Unit's Users(모든 사용자), Only Sub Tree(지정 브랜치의 사용자), Only Group in branch(지정 DN 접두사 브랜치의 사용자).
  4. 고급 LDAP 필터를 적용합니다 — Apply filter for dynamic group 을 클릭하고 필터 조건을 입력합니다.
  5. OK.

예: - 매니저 User 객체의 객체 클래스가 myOrgManager 면 필터 objectclass=myOrgManagers 로 Managers 그룹을 정의. - 이메일이 us.org.com 으로 끝나면 필터 mail=*us.org.com 으로 US 그룹을 정의.

User Directory 서버에서 정보 가져오기

게이트웨이가 인증에 사용자 정보가 필요하면 다음 과정을 거칩니다.

  1. 내부 관리 데이터베이스에서 사용자를 찾습니다.
  2. 없으면 우선순위가 가장 높은 Account Unit 의 LDAP 서버를 질의합니다.
  3. 그 질의가 실패하면(예: 연결 끊김) 다음으로 높은 우선순위 서버를 질의합니다. Account Unit이 여러 개면 동시에 질의 하고, 조건을 가장 먼저 만족한 Account Unit(또는 모든 만족 Account Unit)의 결과를 씁니다.
  4. 모든 LDAP 서버 질의가 실패하면 generic external user profile 에 사용자를 매칭합니다.

User Directory 쿼리 실행

쿼리로 User Directory 사용자·그룹 데이터를 가져옵니다. 성능을 위해 연결이 열려 있을 때 Account Unit을 쿼리하세요(게이트웨이가 일부 연결을 열어 둠).

  1. SmartConsole에서 Manage & Settings > Blades > Configure in SmartDashboard.
  2. Objects Tree에서 Users 를 클릭합니다.
  3. Account Unit을 더블클릭해 LDAP 서버 연결을 엽니다.
  4. Account Unit을 우클릭하고 Query Users/Group 을 선택하면 LDAP Query Search 창이 열립니다. Advanced 로 Users·groups·templates 등 객체 유형을 고릅니다.
  5. 쿼리를 정의합니다.
  6. 조건을 더 추가하려면 값을 선택·입력하고 Add 를 누릅니다.

쿼리 조건:

  • Attributes — 사용자 속성 선택/입력.
  • Operators — 연산자 선택.
  • Value — 비교할 값. 실제 속성과 같은 형식(예: fw1expiration-dateyyyymmdd).
  • Free Form — 직접 쿼리 식 입력(LDAP 쿼리 식 구문은 RFC 1558 참고).
  • Add — 조건을 쿼리에 추가.

예를 들어 Attributes=mail, Contains, Value=Andy 로 쿼리하면 서버는 다음 필터로 질의합니다.

(objectclass=organizationalPerson)(objectclass=inetOrgPerson))
(|(cn=Brad)(mail=*Andy*)))

여러 LDAP 서버 질의

Management Server와 Security Gateway는 여러 LDAP 서버를 동시에 다룰 수 있습니다. 사용자가 어디에 정의됐는지 모르면 모든 LDAP 서버를 질의하며, 인증서로 작업할 때는 사용자 DN을 보고 위치를 찾기도 합니다.

Account Unit

Account Unit 은 하나 이상의 LDAP 서버에 있는 사용자 정보 브랜치를 나타내는 객체 로, LDAP 서버와 Management Server·Security Gateway 사이의 인터페이스입니다. Account Unit은 여러 개 둘 수 있고, 사용자를 한 Account Unit의 브랜치들로 나누거나 여러 Account Unit으로 나눌 수 있습니다.

LDAP Account Unit 다루기

LDAP Account Unit Properties 창에서 Account Unit을 새로 만들거나 편집합니다.

  • 만들기 — Objects 탭에서 New > More > User/Identity > LDAP Account unit.
  • 편집 — Object Explorer(CTRL+E)에서 Users/Identities > LDAP Account Units 를 펼쳐 Account Unit을 우클릭하고 Edit.

각 탭의 설정은 다음과 같습니다.

General 탭 — Management Server가 Account Unit을 어떻게 쓸지 구성합니다.

  • Name — Account Unit 이름
  • Comment / Color — 선택
  • Profile — LDAP 벤더
  • Domain — 같은 사용자명이 여러 Account Unit에 쓰일 때의 AD 도메인(AD Query·SSO에도 필요)
  • Prefix — non-AD 서버에서 같은 사용자명이 여러 Account Unit에 쓰일 때의 접두사
  • Account Unit usage
    • CRL retrieval — CA가 폐기 정보를 게이트웨이에 보내는 방식을 관리
    • User Management — 이 LDAP 서버의 사용자 정보를 사용(User Directory가 켜져 있어야 함)
  • Active Directory Query — 이 AD 서버를 Identity Awareness 소스로 사용
  • Enable Unicode support — 비영어 LDAP 사용자 정보 인코딩
  • Active Directory SSO configuration — AD용 Kerberos SSO(Domain Name·Account Name·Password·Ticket 암호화 방식) 구성

Servers 탭 — 이 Account Unit이 쓰는 LDAP 서버를 추가·편집·삭제합니다.

  1. Add(또는 Edit)를 클릭하면 LDAP Server Properties 창이 열립니다.
  2. Host 드롭다운에서 서버 객체를 선택합니다(필요하면 New 로 새 Host 생성).
  3. 로그인 자격 증명과 Default priority 를 입력합니다.
  1. 게이트웨이의 접근 권한을 선택합니다 — Read data from this server, Write data to this server.
  2. Encryption 탭에서 선택적 SSL 암호화를 구성합니다 — Use Encryption (SSL)(암호화 포트 번호 입력), Fetch(서버 이름·CA 이름·CA 지문 가져오기), CRL check(서버 인증서 폐기 확인). 인증서를 쓰려면 LDAP 서버가 SSL Strong encryption 으로 구성돼야 합니다.
  3. OK.

서버를 제거하려면 표에서 서버를 선택하고 Remove 를 클릭합니다. 모든 서버가 같은 자격 증명을 쓰면 Update Account Credentials 로 한꺼번에 바꿀 수 있습니다.

Objects Management 탭 — Management Server가 질의할 LDAP 서버와 브랜치를 구성합니다.

  1. Manage objects on 드롭다운에서 LDAP 서버 객체를 선택합니다.
  2. Fetch branches 를 클릭하면 LDAP 브랜치가 표시됩니다.
  3. Branches in use 를 구성합니다 — Add(LDAP Branch Definition 창에서 새 Branch Path 입력), Edit(수정), Delete(삭제).
  4. 필요하면 Prompt for password when opening this Account Unit 를 선택합니다(선택).
  5. LDAP 데이터베이스에 저장할 Return entries 수를 구성합니다(기본 500).

Authentication 탭 — Account Unit의 인증 스킴을 구성합니다.

  • Use common group path for queries — 모든 LDAP 그룹 객체에 한 경로를 써 그룹 객체 쿼리를 한 번으로 줄임
  • Allowed authentication schemes — 이 Account Unit에서 허용할 인증 스킴(Check Point Password·SecurID·RADIUS·OS Password·TACACS)
  • Users' default values — 새 LDAP 사용자의 기본값:
    • User template — 만들어 둔 템플릿
    • Default authentication scheme — 허용 스킴 중 하나
  • Limit login failures(선택):
    • Lock user's account after — 잠금까지의 로그인 실패 횟수
    • Unlock user's account after — 잠금 해제까지의 초
  • IKE pre-shared secret encryption key — 이 Account Unit의 IKE 사용자용 사전 공유 비밀 키

설정을 마치면 OKAccess Control Policy 설치.

LDAP 서버 수정

  1. LDAP Account Unit Properties > Servers 탭에서 서버를 더블클릭합니다.
  2. General 탭에서 LDAP 서버의 Port·Login DN·Password·Priority(서버가 여러 개일 때)·게이트웨이 권한을 바꿀 수 있습니다.
  3. Encryption 탭에서 Management Server·게이트웨이와 LDAP 서버 사이 암호화 설정을 바꿉니다(암호화 시 포트·강도 입력).

Account Unit과 High Availability

User Directory 복제로 HA를 구성하면 하나의 Account Unit이 복제된 모든 서버를 대표 합니다. 예를 들어 한 Account Unit에 두 복제 서버를 정의하고, 두 게이트웨이가 같은 Account Unit을 쓸 수 있습니다.

p.114
p.114
항목설명
1Security Management Server — User Directory에서 사용자 데이터를 관리. 두 서버가 정의된 Account Unit 객체를 가짐
2User Directory 서버 복제본
3Security Gateway — 가장 가까운 복제본(2)에서 사용자 데이터·CRL을 조회
4Internet
5Security Gateway — 가장 가까운 복제본(6)에서 사용자 데이터·CRL을 조회
6User Directory 서버 복제본

High Availability 우선순위 설정

복제본이 여러 개면 Account Unit에서 각 LDAP 서버의 우선순위를 정합니다. Management Server는 한 복제본하고만 연결 하며, 나머지 복제본은 standby로 동기화돼야 합니다.

  1. LDAP Account Unit Properties 창을 엽니다.
  2. Servers 탭을 엽니다.
  3. 원하는 우선순위 순서로 LDAP 서버를 추가합니다.

인증서로 인증하기

Management Server와 게이트웨이는 인증서로 LDAP 서버와의 통신을 보호할 수 있습니다. 인증서를 구성하지 않으면 인증 없이 통신합니다.

  1. Management Server에 연결된 모든 SmartConsole 창을 닫습니다.
  2. 인증할 각 Account Unit에서 ldap_use_cert_auth 속성을 true 로 설정합니다.
    1. Database Tool(GuiDBEdit Tool) 로 Management Server에 연결합니다.
    2. 왼쪽 창에서 Table > Managed Objects > servers 로 이동합니다.
    3. 오른쪽 창에서 Account Unit 객체를 선택합니다.
    4. 아래 창에서 ldap_use_cert_auth 를 찾아 true 로 설정합니다.
    5. 변경을 저장하고 Database Tool을 닫습니다.
  3. SmartConsole로 Management Server에 연결합니다.
  4. CA 객체를 추가합니다 — Object Explorer(F11)에서 New > More > Server > More > Trusted CA, Certificate Authority Type 에서 External Check Point CA 를 선택하고 나머지 옵션을 설정합니다.
  5. 인증서 기반 연결이 필요한 모든 네트워크 객체(Security Management Server·Security Gateway·Policy Server)에서, IPSec VPN 페이지의 Repository of Certificates Available 목록에 Add 하고, Certificate Properties 창에서 정의한 CA를 선택합니다.
  1. Management Server와 LDAP 서버 간 연결을 테스트합니다.

외부 LDAP 서버에 관리자·사용자 구성

Check Point는 LDAP 등 외부 관리 기술을 자사 솔루션과 통합합니다. 관리자·사용자 수가 많으면 LDAP 같은 외부 데이터베이스를 쓰는 것이 Management Server 성능에 좋 습니다.

  • 관리자·사용자를 외부 LDAP 서버로 관리할 수 있습니다.
  • 게이트웨이가 CRL을 조회할 수 있습니다.
  • Management Server가 LDAP 데이터로 관리자·사용자를 인증할 수 있습니다.
  • 다른 애플리케이션이 LDAP에 모은 관리자·사용자 데이터를 공유할 수 있습니다.

도메인을 Check Point 관리 데이터베이스로 관리할지, 외부 LDAP 서버로 구현할지 선택할 수 있습니다.

Microsoft Active Directory

Microsoft Windows 2000 advanced server(이상)에는 정교한 User Directory 서버가 있어 Management Server의 사용자 데이터베이스로 쓸 수 있습니다. 기본적으로 AD 서비스는 꺼져 있으며, 활성화하려면 Start > Run 에서 dcpromo 명령을 실행하거나 System Configuration 창에서 Active Directory 설정 마법사를 실행합니다.

AD 구조 예시는 다음과 같습니다.

DC=qa, DC=checkpoint,DC=com
CN=Configuration,DCROOT
CN=Schema,CN=Configuration,DCROOT
CN=System,DCROOT
CN=Users,DCROOT
CN=Builtin,DCROOT
CN=Computers,DCOOT
OU=Domain Controllers,DCROOT
...

Windows 2000 도구가 만든 사용자·그룹 객체는 대부분 CN=Users, DCROOT 브랜치에, 일부는 CN=Builtin, DCROOT 에 저장되며, 다른 브랜치에도 만들 수 있습니다. CN=Schema, CN=Configuration, DCROOT 브랜치에는 모든 스키마 정의가 있습니다.

Check Point는 기존 AD 객체를 그대로 쓰거나 새 유형을 더할 수 있습니다. 사용자는 기존 User를 "그대로" 쓰거나 fw1person 을 "User"의 보조(auxiliary)로 확장해 완전한 기능을 얻으며, 기존 AD "Group" 유형도 그대로 지원됩니다. fw1template 객체 클래스를 더해 User Directory 템플릿을 만들 수 있고, 이 정보는 schema_microsoft_ad.ldif 파일로 디렉터리에 내려받습니다.

  • Performance — AD는 그룹 정보가 사용자 객체 안에 저장돼, 사용자 객체를 가져올 때 그룹 배정에 추가 쿼리가 필요 없 어 디렉터리 쿼리 수가 크게 줄어듭니다.
  • Manageability — SmartConsole로 기존·신규 객체를 만들고 관리할 수 있으나, 일부 AD 고유 필드는 SmartConsole에서 활성화되지 않습니다.
  • Enforcement — 스키마를 확장하지 않고도 기존 AD 객체로 작업할 수 있습니다. 내부 Template 객체를 정의해 AD 서버의 User Directory Account Unit에 배정하면 됩니다(예: AD 암호로 모든 사용자에게 IKE+Hybrid를 켜려면 IKE 속성을 켜고 인증 방식을 "Check Point password"로 한 템플릿 생성).

레지스트리 설정 업데이트 — AD 스키마를 수정하려면 HKLM\System\CurrentControlSet\Services\NTDS\Parameters 아래에 0이 아닌 값을 가진 DWORD 키 Schema Update Allowed 를 추가합니다.

제어 위임(Delegating Control) — 기본적으로 Administrator는 User Directory 프로토콜로 스키마를 수정하거나 디렉터리 객체를 관리할 수 없으므로, 특정 사용자·그룹에 디렉터리 제어를 위임해야 합니다.

  1. Users and Computers Control 콘솔을 엽니다.
  2. 왼쪽 도메인 이름을 우클릭하고 Delegate control 을 선택하면 Delegation of Control 마법사가 열립니다.
  3. Administrator 또는 System Administrators 그룹의 다른 사용자를 디렉터리 제어 권한 목록에 추가합니다.
  4. 머신을 재부팅합니다.

AD 스키마 확장

SmartConsole로 AD 사용자를 구성하려면 AD 스키마 파일을 수정합니다.

  1. Security Gateway에서 스키마 파일 디렉터리 $FWDIR/lib/ldap 로 갑니다.
  2. schmea_microsoft_ad.ldif 를 AD 서버의 C:\ 드라이브로 복사합니다.
  3. AD 서버에서 텍스트 편집기로 스키마 파일을 엽니다.
  4. DOMAINNAME 값을 LDIF 형식의 도메인 이름으로 바꿉니다. 예: sample.checkpoint.comDC=sample,DC=checkpoint,DC=com.
  5. modify 섹션 끝에 대시(-) 문자가 있는지 확인합니다. 예:
   dn: CN=User,CN-
   Schema,CN=Configuration,DC=sample,DC=checkpoint,DC=com
   changetype: modify
   add: auxiliaryClass
   auxiliaryClass: 1.3.114.7.3.2.0.2
   -
   
  1. 다음을 실행합니다.
   ldifde -i -f c:/schema_microsoft_ad.ldif
   

AD에 새 속성 추가

다음은 AD에 속성 하나를 추가하는 LDIF 예시입니다.

changetype: add
adminDisplayName: fw1auth-method
attributeID: 1.3.114.7.4.2.0.1
attributeSyntax: 2.5.5.4
cn: fw1auth-method
distinguishedName:
CN=fw1auth-method,CN=Schema,CN=Configuration,DCROOT
instanceType: 4
isSingleValued: FALSE
LDAPDisplayName: fw1auth-method
name: fw1auth-method
objectCategory:
CN=Attribute-
Schema,CN=ConfigurationCN=Schema,CN=Configuration,DCROOT
ObjectClass: attributeSchema
oMSyntax: 20
rangeLower: 1
rangeUpper: 256
showInAdvancedViewOnly: TRUE

모든 Check Point 속성을 같은 방식으로 추가할 수 있습니다. 모든 속성의 LDIF 정의는 $FWDIR/lib/ldapschema_microsoft_ad.ldif 에 있습니다. ldapmodify 실행 전에 파일의 모든 DCROOT 를 조직의 도메인 루트로 바꿉니다(예: support.checkpoint.comdc=support,dc=checkpoint,dc=com).

예시 명령(dc=support,dc=checkpoint,dc=com 도메인의 Administrator 계정 사용):

ldapmodify -c -h support.checkpoint.com -D
cn=administrator,cn=users,dc=support,dc=checkpoint,dc=com" -w
SeCrEt -f $FWDIR/lib/ldap/schema_microsoft_ad.ldif

LDAP Account Unit의 관리자·서비스 계정 암호 갱신

게이트웨이는 SmartConsole LDAP Account Unit에 저장된 LDAP 서버 사용자명·암호로 LDAP 서버에 인증하고, 연결을 맺은 뒤에는 재인증 없이 그 연결을 재사용 합니다. AD의 LDAP 서버 암호를 바꾸면 변경이 적용되도록 다음을 해야 합니다.

  1. LDAP Account Unit의 정보를 갱신합니다.
  2. 정책을 설치합니다.

---

관리자 계정은 Check Point 관리 데이터베이스나 외부 LDAP 서버 에 저장할 수 있고, Security Management Server가 인증합니다. 관리자로서 객체·사용자 정의 같은 업무를 다른 관리자에게 위임할 수 있으니, 필요한 권한을 가진 관리자 계정 을 만드세요.

관리자 계정 만들기 — 인증 방식 고르기

대규모 네트워크 보안을 위해 먼저 관리 팀을 꾸리고 업무를 위임하세요. 관리자 계정은 SmartConsole에서, 또는 First Time Configuration Wizard로 만들길 권장합니다. 다음 인증 방식 중 하나를 고릅니다.

인증 방식설명
Check Point PasswordSmartConsole에 설정하는 정적 암호. 암호는 Management Server 로컬 DB에 저장. 추가 소프트웨어 불필요.
OS PasswordManagement Server가 설치된 OS(또는 Windows 도메인)에 저장된 암호. 추가 소프트웨어 불필요.
RADIUS외부 인증. Management Server가 인증 요청을 RADIUS 서버로 전달하고, 관리자 정보를 가진 RADIUS 서버가 인증. UDP로 통신.
TACACS외부 인증. Management Server가 원격 관리자의 요청을 TACACS 서버로 전달. 물리 카드키·토큰·Kerberos 지원, 모든 요청 정보 암호화.
SecurID토큰 인증기 + PIN/암호. Management Server가 AM 에이전트로 동작하며 요청을 AM으로 전달. 별도 파라미터 없음, SDK API·REST API 사용.
API Key관리 API 호출 시 클라이언트가 제공하는 토큰. 사용자명/암호 대신 토큰으로 API 인터페이스에만 인증(SmartConsole 인증에는 사용 불가).
SAML외부 3rd party Identity Provider를 통해 SAML 프로토콜로 SmartConsole에 로그인. 지원 IdP: Okta·Ping Identity·Azure.

Check Point 인증 방식 중 하나를 구성한 뒤 추가로 인증서 파일 인증을 둘 수 있습니다. 관리자는 Certificate File 옵션(암호 필요) 또는 Windows Certificate Store에 가져온 CAPI Certificate 옵션(암호 불필요)으로 SmartConsole에 로그인하며, 자기 계정이 없는 다른 관리자에게 인증서를 줘 로그인하게 할 수도 있습니다.

cpconfig(Check Point Configuration Tool)로 관리자 만들기

cpconfig로 관리자를 만들면:

  • 관리자를 활성화하려면 Check Point Services를 재시작 해야 합니다.
  cpstop ; cpstart
  
  • 다른 관리자는 표시되지 않습니다.
  • 인증 방식은 자동으로 Check Point Password 가 됩니다.

관리자 계정 편집·삭제·만료

편집

  1. Manage & Settings > Permissions & Administrators 를 클릭합니다.
  2. 관리자 계정을 더블클릭하면 Administrators properties 창이 열립니다.

삭제 — 보안을 위해, 인력이 떠나거나 이동하면 관리자 계정을 삭제하는 것이 모범 사례입니다.

  1. Manage & Settings > Permissions & Administrators 를 클릭합니다(기본으로 Administrators 창 표시).
  2. 계정을 선택하고 Delete 를 클릭합니다.
  3. 확인 창에서 Yes.

관리자 기본 만료 설정 — 여러 계정에 같은 만료 설정을 쓰려면 기본값을 정하고, 만료가 가까우면 알림을 띄울 수 있습니다.

  1. Manage & Settings > Permissions & Administrators > Advanced 를 클릭하고 Advanced 를 클릭합니다.
  2. Default Expiration Date 에서 설정을 고릅니다 — Never expires, Expire at(달력에서 날짜), Expire after(생성일로부터 일·월·연 수).
  3. Expiration notifications 에서 Show 'about to expire' indication in administrators view 를 선택하고 며칠 전부터 알릴지 입력합니다.
  4. 세션을 Publish 합니다.

SmartConsole 세션 타임아웃 구성

SmartConsole을 안전하게 쓰려면 타임아웃 설정이 기본 요건 입니다. 관리자가 쓰지 않으면 자동 로그아웃됩니다.

  1. Manage & Settings 를 클릭합니다.
  2. Permissions & Administrators > Advanced 를 선택합니다.
  3. Idle Timeout 영역에서 Perform logout after being idle 를 선택합니다.
  4. 분 수를 입력합니다. 이 시간만큼 유휴 상태면 자동 로그아웃되며, 모든 변경은 보존 됩니다.

관리자 인증서 폐기

인증서로 인증하는 관리자가 일시적으로 업무를 못 보면 그 계정의 인증서를 폐기할 수 있습니다. 계정은 남되 인증서로는 인증할 수 없으며, 추가 인증 방식(암호 등)이 있으면 그 방식으로는 인증 할 수 있습니다.

  1. Manage & Settings > Permissions & Administrators.
  2. 관리자 계정을 선택하고 Edit.
  3. General > Authentication 에서 Revoke 를 클릭합니다.

관리자 로그인 제한·잠금 해제·다중 관리자

로그인 시도 제한

Check Point 암호로 로그인하는 관리자에게 다음을 구성할 수 있습니다 — SmartConsole이 계정을 잠그기까지의 로그인 시도 횟수, 잠긴 뒤 자동 해제까지의 분 수.

  1. Manage & Settings 뷰 또는 Multi-Domain 뷰로 갑니다.
  2. Permissions & Administrators > Advanced > Login Restrictions 로 갑니다.

관리자 계정 잠금 해제

Manage Administrators 권한을 가진 관리자는, 잠긴 관리자가 Check Point 암호로 인증할 경우 그 관리자를 잠금 해제할 수 있습니다.

  1. Manage & Settings 뷰 또는 Multi-Domain 뷰로 갑니다.
  2. 잠긴 관리자를 우클릭하고 Unlock Administrator 를 선택합니다. 또는 unlock-administrator API 명령을 씁니다.

다중 관리자

두 관리자가 같은 이름으로 관리자 계정을 만들면, 첫 관리자가 세션을 publish한 뒤 두 번째 관리자는 publish할 수 없 습니다. 두 번째 관리자는 이름도 바꿀 수 없으므로, 세션 변경을 discard하고 다시 연결해야 합니다.

Check Point Password 인증으로 관리자 만들기

  1. 새 관리자를 만들고 인증 방식을 Check Point Password로 지정합니다.
    1. Manage & Settings > Permissions & Administrators > Administrators 에서 New 를 클릭합니다.
    2. 관리자 이름을 줍니다.
    3. Authentication method 에서 Check Point Password 를 선택합니다.
    4. Set New Password 를 클릭하고 Password를 입력·확인합니다.
    5. (선택) Authentication > Certificate Information 에서 Create 를 클릭합니다.
      1. 암호를 입력합니다.
      2. OK.
      3. 인증서 파일을 SmartConsole 컴퓨터의 안전한 위치에 저장합니다.
        • File name 필드에 로그인 이름이 포함 됐는지 확인합니다.
        • Save as type에 Certificate Files (*p12) 가 선택됐는지 확인합니다. 인증서 파일은 PKCS #12 형식이며 .p12 확장자입니다.
        • 인증서 파일에는 개인 키가 들어 있으므로 암호로 보호 합니다. 발급 후 파일과 암호를 관리자에게 전달하면, 그 관리자가 인증서로 인증할 수 있습니다.
    6. Permission Profile 을 배정합니다.
    7. Expiration 에서 만료일을 미래의 유효한 날짜 로 설정합니다.
    8. OK → 세션 Publish.
  2. (선택) 인증서 파일을 Windows Certificate Store로 가져옵니다.
  1. 저장한 *.p12 파일을 우클릭하고 Install PFX 를 클릭하면 Certificate Import Wizard가 열립니다.
    1. Store Location 에서 Current User(기본) 또는 Local Machine 을 선택합니다.
    2. Next.
    3. 인증서 생성 때 쓴 같은 암호를 입력합니다.
    4. Enable strong private key protection해제 합니다.
    5. Mark this key as exportable 을 선택합니다.
    6. Next.
    7. Place all certificates in the following store 를 선택하고 Browse > Personal > OK.
    8. NextFinish.

OS Password 인증으로 관리자 만들기

절차는 Check Point Password와 거의 같으며, 차이는 인증 방식에서 OS Password 를 고르는 것입니다(이 방식에는 Set New Password 단계가 없음).

  1. Manage & Settings > Permissions & Administrators > Administrators > New.
  2. 관리자 이름을 줍니다.
  3. Authentication method 에서 OS Password 를 선택합니다.
  4. (선택) Certificate Information에서 Create 로 인증서를 만들어 .p12 로 저장합니다(위와 동일한 주의사항).
  5. Permission Profile 을 배정합니다.
  6. Expiration 을 미래 날짜로 설정합니다.
  7. OKPublish.
  8. (선택) 위와 같은 절차로 .p12 를 Windows Certificate Store에 가져옵니다.

RADIUS 서버 인증으로 관리자 만들기

SmartConsole 관리자는 단일 RADIUS 서버나 RADIUS 서버 그룹(HA, 우선순위 기반)으로 RADIUS 인증할 수 있습니다. 그룹의 모든 멤버는 같은 프로토콜 을 써야 합니다.

  1. SmartConsole에서 새 RADIUS 서버 객체를 구성합니다.
    1. Object Explorer에서 New > More > Server > RADIUS.
    2. 서버 Name 을 줍니다.
    3. Host 드롭다운에서 New 로 RADIUS 서버 IP를 가진 New Host를 만듭니다.
    4. OK(Host 필드에 표시됨).
    5. Shared Secret 에 RADIUS 서버에 미리 정의한 비밀 키를 입력합니다.
    6. OKPublish.
  2. 새 관리자를 만들고 인증 방식을 RADIUS로 지정합니다.
    1. Manage & Settings > Permissions & Administrators > Administrators > New.
    2. RADIUS 서버에 정의된 이름 으로 관리자 이름을 줍니다.
    3. Authentication method 에서 RADIUS 를 선택합니다.
    4. 앞서 만든 RADIUS Server 를 선택합니다.
    5. (선택) Certificate Information에서 인증서를 만듭니다(.p12, 위와 동일한 주의사항).
    6. Permission Profile 을 배정합니다.
    7. Expiration 을 미래 날짜로 설정합니다.
    8. OKPublish.
  3. (선택) RADIUS 서버 그룹을 구성합니다 — 서버에 우선순위(숫자가 작을수록 높음)를 주고, Object Explorer에서 New > Server > More > RADIUS Group 으로 그룹을 만든 뒤 (+) 로 서버를 추가, OKPublish.
  4. (선택) 위와 같은 절차로 .p12 를 Windows Certificate Store에 가져옵니다.

TACACS 서버 인증으로 관리자 만들기

TACACS 서버·TACACS 서버 그룹(HA, 우선순위 기반, 같은 프로토콜)으로 인증할 수 있습니다.

  1. SmartConsole에서 새 TACACS 서버 객체를 추가합니다.
    1. Object Explorer에서 New > More > Server > TACACS.
    2. 서버 Name 을 입력합니다.
    3. Host 드롭다운에서 New 로 TACACS 서버 IP를 가진 New Host를 만듭니다.
    4. OK(Host 필드에 표시됨).
    5. Server type 를 선택합니다.
    6. TACACS+ 라면 미리 정의한 Secret key 를 입력합니다.
    7. OKPublish.
  2. 새 관리자를 만들고 인증 방식을 TACACS로 지정합니다.
    1. Manage & Settings > Permissions & Administrators > Administrators > New.
    2. TACACS 서버에 정의된 이름 으로 관리자 이름을 입력합니다.
    3. Authentication Method 에서 TACACS 를 선택합니다.
    4. 앞서 만든 TACACS Server 를 드롭다운에서 선택합니다.
    5. (선택) Certificate Information에서 인증서를 만듭니다.
    6. Permission Profile 을 배정합니다.
    7. Expiration 을 미래 날짜로 설정합니다.
    8. OKPublish.
  3. (선택) TACACS 서버 그룹을 구성합니다 — 우선순위를 주고 New > Server > More > TACACS Group 으로 그룹을 만든 뒤 서버를 추가, OKPublish.
  4. (선택) .p12 를 Windows Certificate Store에 가져옵니다.

SecurID 인증으로 관리자 만들기

  1. Management Server가 SecurID를 쓰도록 구성합니다(SDK 지원 API를 쓸 때만 해당).
    1. Management Server 명령줄에 접속합니다.
    2. Expert mode 로 로그인합니다.
    3. sdconf.rec 파일을 /var/ace/ 로 복사합니다. 디렉터리가 없으면 만듭니다.
      mkdir -v /var/ace/
      
  1. sdconf.rec 에 모든 권한을 줍니다.
      chmod -v 777 /var/ace/sdconf.rec
      
  1. SecurID Server 객체를 구성합니다.
    1. Object Explorer에서 New > More > Server > New SecurID.
    2. 서버 Name 을 줍니다.
    3. (SDK 지원 API만) Browsesdconf.rec 를 선택합니다 — Management Server에 있는 파일의 사본이어야 합니다.
    4. OK.
  2. 새 관리자를 만들고 인증 방식을 SecurID로 지정합니다.
    1. Manage & Settings > Permissions & Administrators > Administrators > New.
    2. 관리자 이름(고유·대소문자 구분)을 줍니다.
    3. Authentication method 에서 SecurID 를 선택합니다.
    4. (선택) Certificate Information에서 인증서를 만듭니다(.p12, 위와 동일).
    5. Permission Profile 을 배정합니다.
    6. Expiration 을 미래 날짜로 설정합니다.
    7. OKPublish.
  3. (선택) .p12 를 Windows Certificate Store에 가져옵니다.

SAML 인증 로그인으로 관리자 만들기

SAML 인증은 관리자가 외부 3rd party Identity Provider를 통해 SAML 프로토콜로 SmartConsole에 로그인하게 합니다. IdP가 관리자 정보를 보관하고 인증을 수행합니다. 지원 IdP: Okta·Ping Identity·Azure.

Use Case

Azure 계정을 가진 관리자가 SmartConsole로 일하려는데, Azure용·SmartConsole용으로 이름·암호를 따로 쓰면 서로 다른 암호·만료 정책을 관리해야 하고, 두 암호를 기억해야 하며, 인력이 떠날 때 모든 앱에서 제거 해야 하는 부담이 생깁니다. IdP를 쓰면 관리자는 Azure에 한 번 인증한 뒤 추가 암호 입력 없이 SmartConsole에 연결되고, Management Server에 자기 암호를 노출하지도 않습니다.

SAML 인증 처리 흐름

  1. 관리자가 SmartConsole 로그인을 시도합니다.
  2. SmartConsole이 관리자를 브라우저의 미리 구성된 URL로 보냅니다.
  3. Management Server가 SAML 요청과 함께 브라우저를 IdP로 보냅니다.
  4. IdP가 관리자를 인증합니다.
  5. IdP가 SAML assertion을 만들어 브라우저를 통해 Management Server로 보냅니다.
  6. Management Server가 SAML assertion을 검증합니다.
  7. 인증되면 Management Server가 인증 데이터와 함께 브라우저를 SmartConsole로 보냅니다.
  8. SmartConsole이 이 데이터로 Management Server에 세션을 엽니다.
p.144
p.144

SAML 인증 로그인 구성

  1. IdP에서 SmartConsole 애플리케이션을 만들고 설정을 구성합니다(자세한 내용은 IdP 문서 참고).
    • 클라이언트가 IdP 웹사이트에 접속할 수 있어야 하고, 이를 막는 정책 규칙이 없어야 합니다.
    • SmartConsole 애플리케이션 통합에 "username" 속성 매핑이 있어야 하고, "sign assertion and response" 옵션을 선택해야 합니다.
    • IdP는 여러 URL에 응답을 보낼 수 있습니다. Management HA 환경에서는 필요한 수만큼 Reply URL을 입력합니다. 응답에는 반환될 IP 주소가 포함 돼야 하며, 없으면 응답이 폐기됩니다. Reply URL에서 "Default" 사용을 끄세요.
p.145
p.145
  1. SmartConsole에서 Identity Provider 객체를 만들고 구성합니다.
    1. Object Explorer에서 New > More > User/Identity > Identity Provider.
    2. 다음 속성을 구성합니다.
      • Name(예: Azure)
      • Use Identity Provider forManaging administrator access 선택(SmartConsole 인증 처리)
  • Data Required by the SAML Identity Provider — SmartConsole이 환경에 맞춰 Identifier (Entity ID)Reply URL 을 만듭니다. 이 값을 IdP의 SmartConsole 애플리케이션 속성에 입력합니다.

URL 대신 도메인 이름을 쓰려면 (NAT 뒤의 Management Server·Multi-Domain Server, HA 환경에서는 각 Management Server에서): 1. Management Server 명령줄에 접속해 Expert mode 로 로그인합니다. 2. $CPDIR/tmp/.CPprofile.sh 파일을 편집합니다.

         vi $CPDIR/tmp/.CPprofile.sh
         
  1. 파일 맨 아래에 다음 줄을 추가합니다.
         SAML_IP_OR_NAME=<Your Domain Name>;export SAML_IP_OR_NAME
         

예:

         SAML_IP_OR_NAME=example.com;export SAML_IP_OR_NAME
         
  1. 저장하고 편집기를 닫습니다.
    1. Check Point 서비스를 재시작합니다(SmartConsole 클라이언트 연결이 끊깁니다).
         # Security Management Server
         cpstop ; cpstart
         # Multi-Domain Server
         mdsstop ; mdsstart
         
  1. SmartConsole로 Management Server에 연결하고, IdP 웹사이트의 Reply URL에서 IP 주소를 도메인 이름으로 바꿉니다.
  • Data received from the SAML Identity Provider
    • Import metadata file — IdP가 만든 이 파일에는 IdP와 Management Server 간 신뢰를 맺는 데 필요한 모든 정보가 있습니다.
    • metadata 파일이 없으면 수동 입력 — Identifier (Entity ID)(IdP 고유 식별자), Login (URL)(SAML 요청을 게시하는 IdP 엔드포인트), Certificate file(IdP 서명 검증용 인증서).
    • OKPublish.
  • SmartConsole에서 Manage & Settings > Permissions & Administrators > Advanced > Identity Provider > Identity Provider for Managing Administrator Access 에서 만든 IdP 객체를 선택합니다.
    • Security Management Server에서는 IdP를 하나만 쓸 수 있습니다.
    • Multi-Domain Security Management Server에서는 Domain마다 IdP 하나. Multi-Domain Server에만 IdP를 두고 Domain에 없으면 Domain Management Server가 Multi-Domain Server의 IdP를 씁니다. super user만 Domain에 IdP를 배정할 수 있고, Domain의 IdP는 그 Domain용 권한 프로파일을 가진 관리자·그룹만 인증할 수 있습니다.
  • IdP로 인증하는 관리자(또는 관리자 그룹)를 만듭니다.
    1. Manage & Settings > Permissions & Administrators > Administrators.
    2. 아이콘을 클릭하고 New Administrator 또는 New Identity Provider Administrator Group 을 선택합니다.
    3. 관리자 설정:
      • Name — IdP의 username 속성에 정의된 이름과 정확히 일치 해야 합니다.
      • Authentication MethodIdentity Provider 선택.
      • Permissions — 필요한 권한 프로파일 배정.

관리자 그룹 설정: - Name — 그룹 객체 이름(임의). - Group ID/name — IdP에 정의된 그룹 속성과 정확히 일치 해야 합니다. - Permission — 필요한 권한 프로파일 배정.

  1. SmartConsole에 IdP로 로그인하는 방법은 두 가지입니다.

SmartConsole 로그인 창으로 로그인 1. SmartConsole을 엽니다. 2. 첫 드롭다운에서 Identity Provider 를 선택합니다. Management Server가 데이터베이스에 관리자가 있는지 확인하고, 있으면 로그인시키며, 없으면 관리자 그룹에 속하는지 확인해 그 그룹의 권한 으로 로그인시킵니다. 3. Management Server의 IP·호스트 이름을 입력합니다. 4. Login with SSO 를 클릭합니다.

  • 관리자가 개별 계정과 그룹에 모두 속하면 개별 계정의 권한 을 받습니다.
    • 여러 그룹에 속하면 알파벳 순으로 가장 앞선 그룹의 권한 을 받습니다.
    • Management Server 세션이 살아 있는 동안 IdP에서 관리자 객체를 끊거나 편집해도 세션은 끊기지 않 습니다.

SmartConsole 구성 파일로 로그인 — SAML 로그인용 구성 파일로 SmartConsole을 띄우려면 Windows 명령 프롬프트에서:

   SmartConsole.exe -p "Full Path to the Configuration File"
   

예:

   cd /d "C:\Program Files (x86)\CheckPoint\SmartConsole\R82\"
   SmartConsole.exe -p "D:\MySAML_Configuration.xml"
   

필요한 구성 파일(평문 XML):

   <?xml version="1.0" encoding="utf-8"?>
   <RemoteLaunchParemeters
   xmlns:xsi="http:/www.w3.org/2001/XMLSchema-instance"
   xmlns:xsd="http:/www.w3.org/2001/XMLSchema">
   <ServerIP>IP Address of the Management Server</ServerIP>
   <DomainName>Name of the Domain Management Server</DomainName>
   <ReadOnly>False</ReadOnly>
   <CloudDemoMode>False</CloudDemoMode>
   <IsSamlLogin>1</IsSamlLogin>
   </RemoteLaunchParemeters>
   
파라미터설명
<ServerIP>Management Server의 IP 주소
<DomainName>Multi-Domain Server 연결 시 Domain Management Server 객체 이름
<ReadOnly>Read-Only 모드 여부 — False(쓰기 모드), True(읽기 전용)
<CloudDemoMode>Demo Mode 여부 — False(일반), True(데모)
<IsSamlLogin>SAML 로그인 여부 — 1(활성), 0(비활성)

IP 172.30.44.55 Management Server 예시:

   <?xml version="1.0" encoding="utf-8"?>
   <RemoteLaunchParemeters
   xmlns:xsi="http:/www.w3.org/2001/XMLSchema-instance"
   xmlns:xsd="http:/www.w3.org/2001/XMLSchema">
   <ServerIP>172.30.44.55</ServerIP>
   <ReadOnly>False</ReadOnly>
   <CloudDemoMode>False</CloudDemoMode>
   <IsSamlLogin>1</IsSamlLogin>
   </RemoteLaunchParemeters>
   

SAML 구성 후에도 추가로 인증서 파일 인증을 둘 수 있어, IdP나 인증서 파일 중 하나로 로그인할 수 있습니다.

API Key 인증으로 관리자 만들기

API key 는 클라이언트가 API 호출 시 제공하는 토큰입니다. 사용자명/암호 대신 토큰으로 API 인터페이스에 인증할 수 있습니다.

  1. Manage & Settings > Permissions & Administrators > Administrators 에서 상단 New 아이콘을 클릭합니다.
  2. 관리자 이름을 줍니다.
  3. Authentication Method 에서 API Key 를 선택합니다.
  4. Generate API key 를 클릭합니다.
p.153
p.153
  1. 새 API key 창에서 Copy key to Clipboard 를 클릭하고 키를 저장해 둡니다(관리자에게 전달).
  2. OK.
  3. 세션을 Publish 합니다.

예제 — API key로 로그인해 게이트웨이 만들기

  1. Expert mode 로 로그인합니다.
  2. 생성한 키로 로그인하고 표준 출력을 파일로 저장합니다(> 로 리디렉션).
   mgmt_cli login api-key <api-key> > /<path_to>/<filename>
   

예:

   mgmt_cli login api-key mvYSiHVmlJM+J0tu2FqGag12 > /var/tmp/token.txt
   
  1. -s 플래그로 mgmt_cli 명령을 실행합니다.
   mgmt_cli -s /<path_to>/<filename> add simple-gateway name <gateway name> ip-address <ip address> one-time-password <password> blade <true>
   

예:

   mgmt_cli -s /var/tmp/token.txt add simple-gateway name "gw1" ip-address 192.168.3.181 one-time-password "aaaa" firewall true vpn true
   

자세한 내용은 Check Point Management API Reference를 참고하세요. API 인증 후에도 인증서 파일 인증을 추가로 둘 수 있습니다.

---

관리자에게 권한 프로파일 배정

권한 프로파일(Permission Profile)Management Server·SmartConsole 관리 권한을 미리 정의한 묶음 으로, 한 프로파일을 여러 관리자에게 배정할 수 있습니다. Manage Administrators 권한을 가진 관리자만 프로파일을 만들고 관리할 수 있습니다. (Multi-Domain 관리자용 프로파일은 R82 Multi-Domain Security Management Administration Guide 참고)

권한 프로파일 변경·생성

Super User 권한 관리자는 프로파일을 편집·생성·삭제할 수 있습니다. 다음은 기본 제공 프로파일로, 변경·삭제할 수 없고 복제(clone)해서 수정 합니다.

기본 프로파일설명
Read Only All모든 항목 읽기 권한. 쓰기 권한 없음
Read Write All모든 항목 읽기·쓰기 권한
Super User모든 읽기·쓰기 권한 + 관리자·세션 관리

관리자의 프로파일 변경

  1. Manage & Settings > Permissions & Administrators.
  2. 관리자 계정을 더블클릭합니다.
  3. Permissions 에서 다른 Permission Profile 을 선택합니다.
  4. OK.

프로파일 변경

  1. Manage & Settings > Permissions & Administrators > Permission Profiles.
  2. 바꿀 프로파일을 더블클릭합니다.
  3. 설정을 바꾸고 Close.

새 프로파일 만들기

  1. Manage & Settings > Permissions & Administrators > Permission Profiles.
  2. New Profile 을 클릭합니다.
  3. 고유한 이름을 입력합니다.
  4. 프로파일 유형을 고릅니다 — Read/Write All(모든 기능 변경 가능), Auditor (Read Only All)(보기만 가능), Customized(사용자 정의).
  5. OK.

프로파일 삭제

  1. Manage & Settings > Permissions & Administrators > Permission Profiles.
  2. 프로파일을 선택하고 Delete. 관리자에게 배정된 프로파일은 삭제할 수 없 으며, 오류 메시지의 Where Used 로 사용 관리자를 확인합니다.
  3. 배정되지 않았으면 확인 창에서 Yes.

사용자 정의(Customized) 권한 구성

Gateways·Access Control·Threat Prevention·Others·Monitoring and Logging·Events and Reports·Management 등 자원별로, 이 프로파일의 관리자가 기능을 구성할 수 있는지(Write), 보기만 할 수 있는지(Read) 를 정합니다.

  • Selected — 관리자가 그 기능을 가짐
  • Not selected — 가지지 않음

Read·Write 옵션이 있는 기능은 — Read(기능을 갖되 변경 불가), Write(기능을 갖고 변경 가능)입니다.

구성 절차

  1. Profile 객체의 Overview > Permissions 에서 Customized 를 선택합니다.
  2. 다음 페이지에서 권한을 구성합니다.
    • Gateways — Provisioning·Scripts 권한
    • Access Control — Access Control Policy 권한
    • Threat Prevention — Threat Prevention Policy 권한
    • Others — Common Objects·사용자 데이터베이스·HTTPS Inspection·Client Certificates 권한
    • Monitoring and Logging — 로그 생성·조회와 모니터링 기능 권한
    • Events and Reports — SmartEvent 기능 권한
  3. Management 에서 다음 권한을 구성합니다.
권한설명
Manage Administrators다른 관리자 계정 관리
Manage Sessions다른 관리자 세션의 disconnect·discard·publish·take over
High Availability OperationsHA 구성·작업
Management API Loginmgmt_cli(Linux·Windows), Gaia CLI(clish), Web Services(REST)로 API 명령 실행 로그인. 관리자가 자동 스크립트를 못 돌리게 막을 때 유용
Cloud Management Extension (CME) APICME 구성 읽기·편집
Publish sessions without an approval승인 없이 publish
Approve / reject other sessions다른 세션 승인·거부
Manage integration with Infinity ServicesSmartConsole의 Infinity Services 뷰로 Infinity Portal 연결
  1. OK.

Access Control Layer 권한 구성

서로 다른 Layer의 소유권을 다른 관리자에게 위임해 Access Control Policy 관리를 단순화할 수 있습니다. Layer에 권한 프로파일을 배정하며, 그 프로파일에는 Edit Layer by the selected profiles in a layer editor 권한이 있어야 합니다.

Layer 권한을 프로파일에 주기

  1. Profile 객체의 Access Control > Policy 에서 Edit Layer by the selected profiles in a layer editor 를 선택합니다.
  2. OK.

Layer에 프로파일 배정

  1. SmartConsole에서 Menu > Manage policies and layers.
  2. 왼쪽에서 Layers 를 클릭합니다.
  3. Layer를 선택하고 Edit.
  4. 왼쪽에서 Permissions 를 선택합니다.
  5. + 를 클릭하고 Layer 권한이 있는 프로파일을 선택합니다.
  6. OKClosePublish.

Access Control·Threat Prevention 권한 구성

프로파일 객체에서 기능과 Read/Write 권한을 선택합니다.

  • Access Control — Layer를 편집하려면 그 Layer의 모든 소프트웨어 블레이드 권한 이 있어야 합니다. Actions 에서:
    • Install Policy — 게이트웨이에 Access Control Policy 설치
    • Application & URL Filtering Update — 애플리케이션·웹사이트 패키지 다운로드·설치
  • Threat PreventionActions 에서:
    • Install Policy — 게이트웨이에 Threat Prevention Policy 설치
    • IPS Update — IPS 보호 패키지 다운로드·설치

Monitoring·Logging·Events·Reports 권한 구성

프로파일 객체에서 기능과 Read/Write 권한을 선택합니다.

  • Monitoring and Logging Features — Monitoring, Management Logs, Track Logs, Application and URL Filtering Logs 등.
  • Events and Reports Features (SmartEvent)
    • SmartEvent — Events(Logs & Events 뷰), Policy(SmartEvent GUI의 정책·설정), Reports(Logs & Events)
    • SmartEvent Application & URL Filtering reports only

Trusted Client 정의

Management Server 접근을 지정한 호스트 목록으로 제한 하려면 Trusted Clients 를 구성합니다. 다음 방식으로 정의할 수 있습니다.

Trusted Client 정의설명
Any모든 호스트
IPv4 Address지정 IPv4 주소를 가진 단일 호스트
IPv4 Address Range지정 범위의 IPv4 주소를 가진 호스트들
IPv4 NetmaskIPv4 주소·넷마스크로 정의된 서브넷의 호스트들
IPv6 Address지정 IPv6 주소를 가진 단일 호스트
IPv6 Address Range지정 범위의 IPv6 주소를 가진 호스트들
IPv6 NetmaskIPv6 주소·넷마스크로 정의된 서브넷의 호스트들
Name지정 호스트 이름을 가진 호스트
Wild cards (IP only)지정 정규식으로 기술된 IP 주소를 가진 호스트들

Super User 권한 관리자만 Trusted Client를 추가·편집·삭제할 수 있습니다.

새 Trusted Client 추가

  1. Manage & Settings > Permissions & Administrators > Trusted Clients.
  2. New 를 클릭합니다.
  3. 고유한 이름을 입력합니다.
  4. 클라이언트 유형을 고르고 값을 구성합니다(Any는 값 없음, IPv4/IPv6 Address·Range·Netmask·Name·Wild cards는 위 표대로).
  5. OK.

Trusted Client 수정 — Trusted Clients에서 클라이언트를 더블클릭하고 설정을 바꾼 뒤 OK.

Trusted Client 삭제 — Trusted Clients에서 선택하고 Delete → 확인 창에서 Yes.

---

SmartConsole에서 관리자는 세션(Session) 으로 일합니다. 관리자가 SmartConsole에 로그인할 때마다 세션이 생성 되고, 세션 안의 변경은 자동 저장됩니다. 이 변경은 비공개(private) 라 그 관리자만 볼 수 있으며, 충돌을 막기 위해 다른 관리자는 편집 중인 객체·규칙에 잠금 아이콘을 봅니다. 변경 보고서로 세션의 모든 변경을 확인할 수 있습니다.

관리자는 비공개 변경을 publish 하거나 discard 할 수 있습니다. 변경을 정책 설치에 포함하거나 다른 관리자에게 공유하려면 반드시 publish 해야 하며, publish되지 않은 변경은 정책 설치에 포함되지 않습니다. publish 전에 세션에 이름과 간단한 설명을 다는 것이 좋습니다.

세션 게시(Publish)

SmartConsole의 validations 창은 고유하지 않은 객체 이름, 유효하지 않은 객체 사용 같은 오류를 보여 줍니다. publish 전에 이런 오류를 고치세요.

  • 세션 publish — 툴바에서 Publish 를 클릭합니다. publish하면 새 데이터베이스 버전 이 만들어져 revision 목록에 표시됩니다.
  • 이름·설명 추가 — 툴바에서 Session 을 클릭하고 Session Details 창에서 이름·설명을 입력한 뒤 OK.
  • 세션 discard — 툴바에서 Discard 를 클릭합니다.

SmartConsole Session 뷰에서 작업하기

Session 뷰 는 시스템의 모든 게시되지 않은 세션 을 보여 줍니다 — 현재 관리자, 다른 관리자, 다른 애플리케이션의 세션 모두. 열은 사용자 정의할 수 있고 소유자·이름·설명·연결 모드·비공개 변경 수·잠금 수·애플리케이션 등을 표시합니다. Manage & Settings > Sessions > View Sessions 로 봅니다.

비공개 세션에 할 수 있는 작업은 프로파일의 Manage Sessions 권한에 따라 다릅니다.

Manage Session 권한 없는 관리자Manage Session 권한 있는 관리자
자기 세션 publish·discard자기 세션 publish·discard
다른 관리자가 연 세션, 그들의 잠금 수·변경 수 조회다른 관리자가 연 세션, 그들의 잠금 수·변경 수 조회
애플리케이션이 만든 세션(예: API CLI 세션) take over다른 관리자 비공개 세션의 Publish & Disconnect
다른 관리자 비공개 세션의 Disconnect & Discard
다른 관리자의 비공개 세션 disconnect
애플리케이션이 만든 세션 take over
다른 관리자의 비공개 세션 take over

비공개 세션의 변경 보기

특정 세션(현재 또는 다른 세션)의 변경을 보고서로 만들어 추적·모니터링·디버깅할 수 있습니다. 변경 보고서는 정책 규칙과 공통 네트워크 객체의 변경만 담습니다(sk166435 참고).

  • 현재 세션 — 툴바의 Changes 버튼을 클릭하면 보고서가 생성됩니다.
  • 임의 세션Manage & Settings > Sessions > View Sessions 에서 세션을 클릭하고 Changes 를 클릭하면, 선택한 비공개 세션 간 비교 보고서가 생성됩니다.

비활성 세션의 잠긴 객체 take over

비활성 세션의 관리자가 객체를 잠가 둔 채 다시 로그인할 수 없으면, 그 세션을 take over할 수 있습니다.

  1. 다른 관리자 계정으로 SmartConsole에 로그인합니다.
  2. Manage & Settings > Sessions > View Sessions.
  3. 잠긴 객체를 가진 관리자의 세션을 우클릭하고 Take over 를 선택합니다. 이제 객체를 열어 publish·discard로 잠금을 풀 수 있습니다.

여러 세션으로 작업하기

여러 세션으로 일하면, 현재 비공개 세션을 publish하지 않고도 추가 세션을 열 수 있습니다.

Use Case

비공개 세션에서 작업 중에 급한 문제를 해결해 달라는 요청을 받았다고 합시다. 현재 세션을 publish·discard하고 싶지 않다면, 새 비공개 세션을 열어 변경하고 그것만 publish한 뒤 이전 세션으로 돌아옵니다.

여러 세션 켜기

  1. 해당 권한 프로파일을 엽니다.
  2. Management 페이지에서 Manage Sessions 권한이 선택됐는지 확인합니다.
  3. Manage & Settings View > Sessions > Advanced 를 엽니다.
  4. Each administrator can manage multiple SmartConsole sessions at the same time 를 선택합니다.
  5. 변경을 publish합니다.

여러 세션을 쓰면 — 같은 계정으로 여러 세션을 열어 관리하고, 활성 세션과 저장된 세션 사이를 전환하고, 다른 세션을 publish·discard·disconnect하고, take over할 수 있습니다.

SmartConsole Session 메뉴

여러 세션을 켜면 Session 메뉴에 새 옵션이 생깁니다.

옵션설명
Edit sessions details세션 이름·설명 변경
Create new sessionIn the current window(현재 SmartConsole에서 새 세션), In a new window(새 SmartConsole에서 새 세션)
Recent최근 세션 목록. 선택하면 현재 SmartConsole에서 엶
More이전에 만들어 저장한 세션을 보는 Open Session 창. 현재 도메인에서 현재 관리자가 소유한 세션 만 표시. Actions 메뉴로 현재 또는 새 SmartConsole에서 엶

SmartConsole Session 뷰(여러 세션)

여러 세션을 켜면 추가 작업을 할 수 있습니다.

대상가능한 작업
내가 소유한 세션Discard and Disconnect / Publish and Disconnect / Disconnect / 이전 세션 열기
비공개 변경을 한 다른 관리자의 세션Publish and Disconnect(그들의 변경) / Discard and Disconnect / Disconnect / Take over(그들의 변경)
비공개 세션이 없는 다른 관리자의 세션Take over
  • 단일 세션에서는 take over 전에 변경을 publish·discard해야 하지만, 여러 세션에서는 필요 없 습니다.
  • 여러 세션에서는 다른 데스크톱에서 이미 연결된 세션에 접속한 관리자도 기본적으로 그 세션을 take over 할 수 있습니다.

여러 세션 ↔ 단일 세션 전환

여러 세션에서 단일 세션 허용으로 바꾸면:

  • 자기 소유 세션은 여전히 publish·discard·open 할 수 있습니다.
  • 모든 미게시 세션을 publish·discard하기 전까지 새 세션을 만들 수 없 습니다.
  • 저장된 비공개 세션을 모두 처리하기 전까지 다른 관리자·애플리케이션(예: mgmt_cli API 세션)의 세션을 take over할 수 없습니다.

세션 승인 절차 (SmartWorkflow·Identity Provider)

이 기능은 관리자가 publish하기 전에 다른 관리자의 세션 변경을 검토·승인 하게 합니다. 누가 승인을 받아야 하고 누가 승인할 수 있는지 정의합니다.

구성

  1. 승인이 필요한 관리자 "A" 용 권한 프로파일 생성
    1. Manage & Settings > Permissions & Administrators > Permission Profiles > New Profile.
    2. Overview 에서 Read/Write All 또는 Customized 선택.
    3. Management 에서 Publish sessions without an approval 옵션을 해제 합니다.
    4. 나머지를 구성하고 OK → publish.
  2. 관리자 "A" 계정 생성 — Administrators > New Administrator 에서 이름·속성을 구성하고 위에서 만든 프로파일을 배정한 뒤 OK.
  3. 승인하는 관리자 "B" 용 권한 프로파일 생성
    1. Permission Profiles > New Profile.
    2. Overview 에서 Read/Write All 또는 Customized 선택.
    3. Management 에서 Approve/reject other sessions선택 합니다.
    4. 나머지를 구성하고 OK.
  4. 관리자 "B" 계정 생성 — 이름·속성을 구성하고 "B"용 프로파일을 배정한 뒤 OK → publish.
  5. 변경을 승인받으려면 SmartConsole 상단 툴바에서 Submit Request 를 클릭합니다.

관리자 "A"가 규칙을 수정하고 Submit 하면 SmartConsole이 그 규칙·객체를 잠그고 자물쇠 아이콘 을 표시합니다(객체는 우클릭 View 로 속성만 볼 수 있음).

  1. 관리자 "B"가 검토·승인합니다.
  1. Manage & Settings > Sessions > View Sessions.
    1. 승인 대기 세션을 우클릭합니다.
    2. Review change report 로 변경을 검토합니다.
    3. 우클릭 후 — Approve(게시, 이후 "A"가 정책 설치 가능) 또는 Reject(반려, 사유 입력 필요) 를 선택합니다.
  1. 관리자 "A"는 Manage & Settings·View Sessions 탭에서 검토 결과 알림을 보고, 세션을 클릭해 open session 으로 고칩니다.