13문제 해결·FAQ·CLI 참조문제 해결·FAQ·CLI 참조
마지막 장은 운영에서 마주치는 실무를 모았습니다 — Mobile Access가 잘 안 될 때의 점검 순서, 자주 묻는 질문이 가리키는 곳, 그리고 게이트웨이에서 직접 쓰는 명령줄(CLI) 도구 입니다. 대부분의 구성은 SmartConsole에서 하지만, 문제를 짚어내고 서비스를 다루는 일은 게이트웨이의 명령줄과 로그를 직접 들여다봐야 할 때가 많습니다. 이 장은 그 길을 빠짐없이 안내합니다.
문제 해결
웹 연결 문제 — 쿠키부터 의심한다
Mobile Access Web Applications 에서 HTTP 쿠키를 쓰거나 요구하는 응용 을 다룰 때 웹 연결 문제가 생기곤 합니다. 원인은 분명합니다 — Microsoft Internet Explorer 가 같은 상황에서 웹 서버로 평소 보내던 일부 쿠키를 Mobile Access는 전달하지 않기 때문입니다. 이 문제의 해결책은 sk31636 에 정리돼 있으니 그대로 따르면 됩니다.
Outlook Web Access(OWA) 문제 해결
Mobile Access를 배포한 뒤 OWA 에 문제가 생겼다면, 다음 순서로 접근합니다.
- 이 관리 가이드의 관련 절을 먼저 읽습니다 — 애플리케이션의 Mobile Access Applications 부분을 보세요.
- 아래 OWA 점검 목록(Troubleshooting OWA Checklist) 을 차례로 짚습니다.
- 그래도 안 되면 Common OWA problems 절에서 증상에 맞는 항목을 찾습니다.
OWA 점검 목록
OWA 사용 중 문제가 있을 때 밟을 단계입니다.
- 트래픽 로그에서 오류를 확인 합니다. 로그가 문제 지점을 콕 집어 줄 때가 많습니다.
- Mobile Access 없이 같은 시나리오를 재현 해 보고, 그때는 문제가 생기지 않는지 확인합니다(그러면 원인이 Mobile Access 쪽임을 알 수 있습니다).
- 연결성을 검증 합니다. 다음이 모두 충족돼야 합니다.
- Mobile Access 장비가 모든 관련 Microsoft Exchange 서버 로 가는 네트워크 경로를 가지고 있고, 해당 서버 포트(보통 80 또는 443)에 닿을 수 있을 것. HTTP·HTTPS 패킷이 Exchange 서버까지 도달할 수 있어야 합니다.
- Mobile Access 사용자가 Mobile Access 장비로 가는 네트워크 경로를 가지고 있을 것.
- 구성이 유효한지 검증 합니다. 다음을 모두 확인합니다.
- OWA 버전이 Mobile Access에서 지원되는 버전 일 것.
- 클라이언트 측 브라우저가 OWA와 Mobile Access 양쪽에서 지원될 것.
- OWA Services 가 해당 서버가 받아들이는 프로토콜을 쓰도록 구성돼 있을 것. 예를 들어 Exchange 서버가 HTTPS만 받도록 돼 있다면, Mobile Access의 OWA 웹 응용도 반드시 HTTPS를 써야 합니다.
- 보안 제한(Security restrictions)이 꺼져 있을 것(아래 "OWA의 보안 제한 문제 해결" 절 참고).
- 사용자가 필요한 모든 자원에 접근할 권한을 가지고 있을 것.
- OWA 서비스가 해당 Exchange 서버 버전에 맞는 올바른 경로(path) 로 구성돼 있을 것.
지원되지 않는 기능 목록
다음 OWA 기능·플랫폼·제품 버전은 Mobile Access가 지원하지 않습니다.
- Outlook Web Access(OWA) 5.5
- Microsoft Exchange 2003 위에서 도는 OWA 2000 (*)
- Outlook Mobile Access
(*) 별표 항목은 Mobile Access와 함께 테스트되지는 않았으나, 그런 환경에 성공적으로 통합된 사례는 있습니다.
위 기능 중 하나를 반드시 써야 한다면 SSL Network Extender(SNX) 를 사용하세요.
Common OWA problems
다음 절들은 Mobile Access를 거쳐 OWA로 접속할 때 생기는 문제를 다룹니다.
OWA 인증 문제 해결
사용자가 Mobile Access에 로그인한 뒤 OWA 응용에 접근하려 하면, OWA가 다시 한번 인증 자격 증명을 요구합니다. OWA에는 두 가지 인증 방식이 있습니다 — 기본인 일반 HTTP 기반 인증(HBA) 과 폼 기반 인증(FBA, Form-Based Authentication) 입니다. 여기에 더해 Mobile Access는 HBA·FBA를 통한 단일 로그인(SSO) 도 지원합니다.
HBA 문제
내부 웹 서버가 Integrated Windows Authentication(NTLM) 이나 다른 HTTP 기반 인증을 요구하면, Mobile Access는 로그인 자격 증명을 묻는 대화상자를 띄우거나 사용자의 포털 자격 증명을 대신 쓰려고 합니다(웹 응용 구성에 따라 다름). HBA 관련 문제는 IIS의 웹 기반 암호 관리 서비스 때문에 생길 수 있습니다.
OWA 같은 IIS 웹 응용은 IIS 웹 기반 암호 관리 서비스를 쓰도록 구성할 수 있는데, 이 서비스 덕분에 사용자가 웹 서버를 통해 Windows NT 암호를 바꿀 수 있습니다. 그런데 이 서비스는 공격에 취약한 것으로 알려진 IIS HTR 기술 을 쓰며, 공격자가 사용자 시스템에서 악성 코드를 돌릴 수 있게 합니다. Microsoft는 오래전부터 업무상 꼭 필요한 경우가 아니면 웹 서버에서 HTR을 끄라고 권고해 왔습니다(Microsoft Security Bulletin MS02-028).
이 권고에 맞춰 IPS 는 기본적으로 HTR 익스플로잇을 막습니다. HTR 메커니즘을 허용하고 싶다면, IPS General HTTP Worm Catcher 보호에서 htr worm pattern을 비활성화 한 뒤 SmartDashboard에서 보안 정책을 설치하세요.
단일 로그인(SSO) 문제
문제를 짚을 때는 SSO가 원인일 가능성부터 배제합니다 — Mobile Access 사용자 포털의 자격 증명 목록에서 OWA 사용자 자격 증명을 제거 해 보세요.
OWA 권한 부여 문제 해결
Mobile Access의 권한 부여 메커니즘은 관리자가 경로별·호스트별·포트별 로 자원 접근을 허용하게 해 줍니다. Mobile Access는 OWA를 특별한 성질을 가진 웹 응용으로, 특별한 웹 서버에 붙는 것으로 봅니다. 권한 부여 문제는 다음에서 비롯됩니다.
OWA 웹 응용 구성과 Exchange 서버 설정의 불일치 — OWA 포트·프로토콜·경로 설정이 해당 Exchange 서버 설정과 어긋나면 문제가 생깁니다. OWA Service는 반드시 Exchange 서버 구성에 맞춰 설정해야 하며, 그렇지 않으면 Mobile Access가 응용 접근을 허용하지 못합니다.
설명하자면, Exchange 서버의 FBA 설정은 클라이언트가 SSL을 쓰도록 요구하므로 어떤 서버 측 구성요소(IIS 등)는 SSL 트래픽도 받아야 합니다. FBA를 구성할 때 Exchange 관리자에게는 다음 메시지가 표시됩니다.
Forms Based Authentication requires clients to use a SSL connection.
If SSL encryption is not off-loaded to another source, complete the following steps:
- Configure SSL
- Restart the IIS service즉 보통은 IIS가 SSL 위에서 동작하도록 설정됩니다. 하지만 SSL 암호화를 다른 곳으로 오프로드하고 IIS 자체는 HTTP도 허용하는 복잡한 경우, Mobile Access 관리자가 HTTPS 트래픽도 허용해야 한다는 사실을 모를 수 있어 불일치가 생깁니다.
해결책 — Mobile Access 블레이드의 OWA 응용 구성이 Exchange 서버의 구성 요건과 일치하도록 맞춥니다.
또 다른 원인은 OWA에 대한 대체 참조(Alternative References) 입니다. 일부 회사는 중간 웹사이트(intermediary website) 를 거쳐 OWA에 접근하는데, 이 중간 웹사이트가 OWA 서버를 IP나 호스트 이름으로 참조합니다. OWA 서버 접근을 정의할 때 이 중간 웹사이트를 빠뜨리면 Mobile Access에서 권한 부여 실패가 일어날 수 있습니다.
증상은 사용자마다 다릅니다 — 런타임 JavaScript 오류가 나거나 OWA가 응답하지 않을 수 있습니다(자세한 내용은 Insufficient User Permissions 참고). 이런 문제는 프록시·Security Gateway·웹사이트 같은 중개자 없이 OWA 동작을 테스트해 보며 짚어냅니다. 대부분의 권한 부여 실패는 다음 오류 메시지로 나타납니다.
Error: Access denied. The destination of your request has not been
configured, or you do not have authorization access to it. (401).OWA의 보안 제한 문제 해결
Mobile Access는 내부 네트워크를 외부 위협으로부터 막는 여러 내장 보안 기능을 쓰고, 단말 보안 기능으로 엔드포인트도 보호합니다. 그런데 이 보호 메커니즘이 정상적인 사용자 활동을 방해할 때 가 있습니다. 그 가능성을 배제하려면, 문제 해결 동안 모든 Web Intelligence 보호를 끄고 보안 정책을 설치해 봅니다. 증상은 사례마다 크게 달라 일일이 적지 않으니, 다음 단계로 짚어 나갑니다.
- 보안 제한 때문에 차단된 URL이 있는지 트래픽 로그 를 확인합니다.
- 오탐(false-positive)을 줄이기 위해
- SmartDashboard의 IPS 탭에서 Protections > By Protocol > Integrated > Web Intelligence 로 가서, Application Layer Protection Level 의 모든 설정을 Low 로 내립니다.
- ASCII Only Request 보호에서 Block non ASCII characters in form fields 를 해제합니다.
- SmartDashboard에서 보안 정책을 설치합니다.
- 2단계로 안 풀리면
- Mobile Access 웹 응용의 Endpoint Compliance 페이지를 Allow caching of all content 로 바꿉니다.
- SmartDashboard의 IPS 탭 Web Intelligence에서
- HTTP Protocol Inspection > HTTP Methods 보호의 Block standard Unsafe HTTP methods 를 해제합니다.
- Malicious Code > General HTTP Worm Catcher 보호에서
htrworm pattern을 비활성화합니다.
- 관리 포털에서 보안 정책을 설치합니다.
- 3단계로도 안 풀리면 다음을 순서대로 시도합니다.
- 모든 Web Intelligence 보호를 끕니다.
- 모든 IPS 보호를 끕니다.
- SmartDashboard에서 보안 정책을 설치합니다.
OWA의 성능 문제 해결
OWA에서 성능 문제는 다음 이유로 생깁니다.
로그 문제 — 콘솔로 접근하는 Debug 로그·Trace 로그 의 생성과, 이들이 너무 커졌을 때의 저장이 장비 성능을 크게 떨어뜨릴 수 있습니다.
Debug·Trace 로그를 끄는 방법
$CVPNDIR/conf/httpd.conf파일을 다음과 같이 수정합니다.LogLevel파라미터를emerg로 설정합니다.- 아래 줄들이 주석 처리(앞에
#)돼 있는지 확인합니다.
#CvpnTraceLogMaxByte 10000000
#CvpnWsDebugSubjects ...
cvpnrestart명령을 실행합니다.- Mobile Access 클러스터라면 모든 클러스터 멤버 에 반복합니다.
기존 Debug·Trace 로그를 비우는 방법
$CVPNDIR/log디렉터리의httpd.log*파일을 모두 비우거나 삭제합니다.$CVPNDIR/log의mod_ws.log파일을 비우거나 삭제합니다.$CVPNDIR/log의mod_ws_boa.log파일을 비우거나 삭제합니다.$CVPNDIR/log/trace_log디렉터리 아래 파일을 모두 삭제합니다.- 클러스터라면 모든 멤버에 반복합니다.
SSL 위의 OWA, 또는 FBA가 켜진 OWA — OWA 서비스는 보안 네트워크 안에서 SSL 위로 동작하도록 구성할 수 있습니다. 보통 Exchange 서버가 SSL 암호화 트래픽(HTTPS)을 받도록 돼 있을 때 이렇게 합니다. OWA가 FBA를 쓰도록 구성된 경우가 바로 그렇습니다 — FBA를 켜면 IIS가 Exchange 관리자에게 웹 응용을 SSL 위로 동작시키라고 요구합니다. 그런데 보안 네트워크 안에서 OWA를 SSL로 쓰면 SSL 협상이 크게 늘어나 성능과 브라우징 경험이 나빠집니다. SSL 협상은 매우 CPU 집약적이기 때문입니다. 해결하려면
- 보안 네트워크 안에서는 HTTPS 대신 HTTP 를 쓰도록 토폴로지를 바꾸거나,
- 더 성능 좋은 장비를 씁니다.
느린 네트워크 문제 — Mobile Access를 OWA 토폴로지에 넣으면 사용자가 원격지에서 기업 자원에 접속할 수 있습니다. 원격지에서 접속하는 사용자는 일시적·영구적 네트워크 문제를 겪을 수 있고, 그런 망의 패킷 손실률과 처리량은 크게 들쭉날쭉 합니다.
지연(latency) 오버헤드 문제 — Mobile Access는 Security Gateway를 지나는 모든 HTTP 트래픽을 검사하고 수정 하며, 패킷마다 처리에 시간이 듭니다. 그래서 Mobile Access를 거치는 연결과 거치지 않는 연결 사이에는 지연 차이가 생기고, 절대 경과 시간으로 본 오버헤드는 전달되는 데이터 양에 비례 합니다. 이메일·일정·작업 항목이 많은 사용자일수록 체감이 큽니다. 해결책은 더 성능 좋은 장비 로 Mobile Access의 성능을 높여 지연 오버헤드를 최소화하는 것입니다.
SSL 타임아웃 문제 — Mobile Access를 거쳐 Internet Explorer로 작업할 때 SSL 타임아웃이 생길 수 있습니다. 이는 느려짐을 일으키고, 심하면 브라우저가 일시적·영구적으로 응답하지 않게 만듭니다. 해결하려면
- 가능하면 관련 Microsoft 문서의 안내에 따라 Internet Explorer 를 업그레이드 하거나,
- 그게 어렵다면 특정 호스트·경로와 통신할 때 keep-alive 패킷을 쓰지 않도록 Mobile Access를 구성합니다.
특정 위치에 keep-alive 없이 동작하게 하는 방법
- 해당 웹 응용이 쓰는 호스트마다 LocationMatch 디렉티브를 추가합니다. 모든 디렉티브는
$CVPNDIR/conf/includes/Main.virtualhost.conf파일의 VirtualHost 절에 넣습니다(자세한 내용은 Apache 문서mod/core.html#locationmatch참고).
<LocationMatch "CVPNHost=<IP or DNS name delimited by dots>">
SetEnv nokeepalive
</LocationMatch>
예시:
<LocationMatch "CVPNHost=208\.77\.188\.166">
SetEnv nokeepalive
</LocationMatch>
........
<LocationMatch "CVPNHost=myhost\.example\.com|CVPNHost=myhost">
SetEnv nokeepalive
</LocationMatch>
cpstop을 실행한 뒤cpstart를 실행합니다.- 클러스터의 각 멤버에 반복합니다.
이 밖에 권한 부여(Authorization) 문제도 성능 저하처럼 보일 수 있으니, 앞의 권한 부여 절을 함께 참고하세요.
OWA로 첨부 파일 저장하기
OWA로 첨부 파일을 저장하려 하면 Mobile Access가 파일 이름에 전체 경로를 덧붙입니다. 예를 들어 파일 이름이 이렇게 나옵니다.
Bulletin1H.PDF,CVPNHost=192.168.201.6,CVPNProtocol=http,CVPNOrg=full,CVPNExtension=.PDF이를 해결하려면 웹 응용이 Path Translation 또는 Hostname Translation 을 쓰도록 구성합니다(애플리케이션의 Mobile Access Applications 참고).
Citrix 문제 해결
Mobile Access 배포 후 Citrix에 문제가 있다면, 먼저 애플리케이션의 Citrix Services 절을 본 다음 아래 점검 목록을 따릅니다.
Citrix 점검 목록
연결성 문제
- Mobile Access가 쓰려는 모든 Web Interface 서버 로 가는 경로를 가지고 있고, 해당 포트(보통 80 또는 443)에 닿을 수 있는지 확인합니다. HTTP·HTTPS가 Web Interface 서버로 통해야 합니다.
- Mobile Access가 쓰려는 모든 Presentation 서버 로 가는 경로를 가지고 있고, 해당 포트(보통 1494 또는 2598)에 닿을 수 있는지 확인합니다. ICA 프로토콜 이 Presentation 서버로 통해야 합니다.
- (있다면) 쓰려는 모든 STA 서버 로 가는 경로를 가지고 있고, STA 서버의 80 포트 에 닿을 수 있으며 HTTP가 통하는지 확인합니다.
- Mobile Access 사용자가 Mobile Access 장비로 가는 경로를 가지고 있는지 확인합니다.
구성 문제
- Citrix 서버·클라이언트가 Mobile Access에서 지원되는 버전 인지 확인합니다.
- 필요한 모든 STA 서버가 Mobile Access의 해당 Citrix Services 에 구성돼 있는지 확인합니다.
- Mobile Access 서버 인증서가 다음을 만족하는지 확인합니다.
- Security Gateway의 전체 주소 도메인 이름(FQDN, 예:
www.example.com) 으로 발급됐을 것. - 올바르게 구성돼 있을 것.
- 클라이언트 측에서 신뢰될 것.
- Security Gateway의 전체 주소 도메인 이름(FQDN, 예:
파일 공유(File Shares) 문제 해결
- 파일 공유 접근이 실패하면 Mobile Access가 유용한 오류 메시지를 줍니다. 다만 사용자가 파일 서버에 존재하지 않는 공유에 접근 하려 하면, Mobile Access가 이를 Access Denied 오류와 늘 구분하지는 못합니다. 이 경우 자격 증명 입력 폼이 다시 뜨거나 Access Denied 오류가 나올 수 있습니다.
- Windows Explorer 뷰어 로도 보통 웹사이트를 둘러볼 수 있지만, 이때 SNX 창이 제대로 안 뜨고 Mobile Access 로그인 페이지가 나올 수 있습니다. 웹 기반 뷰어(Web-based viewer)를 쓰는 것을 권장 합니다.
- 사용자 포털에서 파일 공유를 둘러볼 때 대부분의 파일은 클릭으로 열리지만,
.wmv같은 일부 파일 은 그렇게 열 수 없어 로컬 데스크톱으로 내려받아 거기서 열어야 합니다. 웹 기반 뷰어에서는 파일을 우클릭해 "Save Target As..."로 내려받고, Windows File Explorer 뷰어에서는 로컬 데스크톱으로 복사하거나 드래그 앤 드롭해 내려받습니다. - Mobile Access로 파일에 접근할 때 파일을 보는 데 쓰이는 클라이언트 응용은 파일 형식에 따라 다릅니다.
jpg같은 일부 형식은 웹 브라우저로 열리도록 구성할 수 있는데, 일부 클라이언트 구성에서는 그런 파일을 열 때 요청한 파일 대신 Mobile Access 로그인 페이지가 나올 수 있습니다. 이때는 클라이언트가 모든 패치·수정이 적용된 최신 권장 브라우저 버전 을 쓰는지 확인하고, 특히 엔드포인트에 Internet Explorer 패치 Q823353 을 설치하세요. - VSX 와 함께 Mobile Access 파일 공유를 쓸 때는 호스트 이름의 DNS 해석이 제대로 안 될 수 있습니다.
/etc/resolve.conf파일이 올바르게 구성됐는지 확인하거나,$CVPNDIR/conf/cvpnd.C안의vsxMountWithIPAddress값을false에서true로 바꿉니다. 그러면 마운트에 호스트 이름 대신 호스트 IP를 씁니다.
푸시 알림(Push Notifications) 문제 해결
상황 — 푸시 알림을 구성했는데 사용자가 Capsule Workspace 에서 푸시 알림을 보지 못합니다.
이때는 Push Notification Status Utility 와 Monitoring Push Notification Usage 로 문제를 짚습니다(모바일 기기의 Mobile Access for Smartphones and Tablets 참고). 추가로 sk109039 도 함께 보세요.
자주 묻는 질문(FAQ)
운영 중 자주 나오는 질문은 대개 이 가이드의 다른 장이나 sk로 이어집니다. 아래 표가 그 길잡이입니다.
| 질문 | 참고할 곳 |
|---|---|
| Mobile Access가 지원하는 브라우저·운영체제는? | R82 Release Notes |
| 자격 증명을 저장할 수 있나요? | 애플리케이션의 Single Sign-On |
| 다중 인증(Multi-factor authentication)은 어떻게 구성하나요? | 인증의 User Authentication and Session Management in Mobile Access |
| Security Gateway마다 다른 인증을 쓰려면? | 인증의 User Authentication and Session Management in Mobile Access |
| Mobile Access에 프록시를 구성하려면? | • Exchange 서버용 — 모바일 기기의 Exchange Mail Applications for Smartphones and Tablets<br>• DynamicID SMS용 — 인증의 User Authentication and Session Management in Mobile Access<br>• 웹 응용용 — sk34810 |
| Mobile Access 포털 없이 내부 자원에 접근하게 하려면? | Reverse Proxy |
| 웹 응용에서 WebSocket이 지원되나요? | 애플리케이션의 Mobile Access Applications |
| SNX가 무엇인가요? | SSL Network Extender(SNX) Administration Guide |
CLI 참조 — 게이트웨이에서 직접 다루는 도구
대부분의 구성은 SmartConsole에서 하지만, Mobile Access 게이트웨이에는 직접 쓰는 명령줄 도구 가 여럿 있습니다. 전체 구문은 R82 CLI Reference Guide 에 있고, 여기서는 자주 쓰는 명령을 추려 쓰임과 매개변수를 빠짐없이 설명합니다.
CLI 구문 표기법 읽는 법
이 가이드(와 Check Point 문서 전반)는 명령·파라미터·옵션을 가능하면 알파벳 순 으로 싣고, 구문을 다음 약속대로 표기합니다.
| 표기 | 뜻 | |
|---|---|---|
| TAB(들여쓰기) | 중첩된 하위 명령을 나타냅니다. 들여쓴 줄은 위 명령의 하위 명령입니다. | |
중괄호 { } | 세로줄 `\ | ` 로 구분된 후보 목록. 이 중 하나만 고를 수 있습니다. |
꺾쇠 < > | 변수. 사용자가 지원되는 실제 값을 직접 지정 해야 합니다. | |
대괄호 [ ] | 선택적(optional) 명령·파라미터. 넣어도 되고 안 넣어도 됩니다. |
들여쓰기(TAB) 표기가 헷갈리기 쉬운데, 예를 들어 이렇게 쓰여 있으면:
config
-a <options>
-d <options>
-p
-r
del <options>실제로는 아래 중 하나의 명령 을 실행하라는 뜻입니다 — cpwd_admin config -a <options>, cpwd_admin config -d <options>, cpwd_admin config -p, cpwd_admin config -r, 또는 cpwd_admin del <options>.
admin_wizard — 연결성 테스트 마법사
admin_wizard 는 관리 클라이언트 마법사를 돌려 웹사이트·Exchange 서버 서비스·LDAP 서버로의 연결성을 테스트 합니다.
cancel
estimation
exchange_wizard <Exchange Server Address> <User Name> <Password> [<Options>]
ldap <LDAP server>
wizard <Web Site Address>기본 파라미터는 다음과 같습니다.
| 파라미터 | 설명 |
|---|---|
| (파라미터 없음) | 내장 도움말을 보여 줍니다. |
cancel | 이미 돌고 있는 관리 클라이언트 마법사를 종료합니다. |
estimation | 마법사가 몇 초나 걸릴지 예상합니다. |
exchange_wizard <주소> <사용자> <암호> [<옵션>] | Exchange 서버의 응답을 테스트합니다(아래 상세). |
ldap <LDAP server> | 지정한 LDAP 서버로의 연결성을 테스트합니다. IP나 호스트 이름으로 지정합니다. |
wizard <Web Site Address> | 지정한 URL로의 연결성을 테스트합니다. |
exchange_wizard 는 Exchange 서버 응답을 테스트하며, 주소 프로토콜(HTTP/HTTPS)과 인증 방식(Basic/NTLM)을 찾아내고, 사용자용 ActiveSync·EWS 서비스 접근성을 점검하며, Web 명령은 URL 접근을 확인하고, OWA 명령은 outlook web access URL을 돌려줍니다. 기본 파라미터는 <Exchange Server Address>(IP 또는 호스트 이름), <User Name>, <Password> 이고, [<Options>] 로 테스트 옵션을 줍니다.
| 옵션 | 설명 | |||
|---|---|---|---|---|
| `-t {as \ | ews \ | owa \ | all}` | 테스트할 서비스 지정. 둘 이상은 쉼표로 구분(예: as,ews). all(기본, 전부) · as(ActiveSync) · ews(Exchange Web Services) · owa(Exchange의 OWA 주소 탐색). |
-d <DNS Servers> | DNS 서버를 지정합니다. | |||
-x <Proxy Servers> | 프록시 서버를 지정합니다. | |||
-c <Username>:<Password> | 프록시 서버 인증용 사용자 이름·암호를 지정합니다. | |||
-n | Basic·NTLM 대신 NTLM 인증만 허용합니다. | |||
-m <Domain Name> | 사용자 도메인 이름을 지정합니다. | |||
-s <ActiveSync Path> | 지정한 ActiveSync 서비스 경로를 테스트합니다(기본 /Microsoft-Server-ActiveSync). | |||
-e <EWS Path> | 지정한 EWS 서비스 경로를 테스트합니다(기본 /EWS/Exchange.asmx). | |||
-f <File Name> | 테스트 결과를 지정한 파일에 씁니다. | |||
-r | 구성된 프록시·DNS·HTTP 프로토콜·인증 방식으로 요청을 보냅니다. -n을 함께 주면 NTLM, 안 주면 Basic만 씁니다. | |||
-v | HTTP 요청을 verbose로 만듭니다. 결과 파일은 $CVPNDIR/log/trace_log/ 에 저장됩니다. | |||
-p | 웹 서버의 SSL 인증서를 검증합니다. |
예시:
admin_wizard wizard www.checkpoint.com # URL 접근성 확인
admin_wizard ldap 192.168.0.55 # LDAP 서버 접근성 확인
admin_wizard exchange_wizard exchange.example.com username user1 -t as,ews # ActiveSync·EWS 확인cvpnd_admin — cvpnd 프로세스 동작 변경
cvpnd_admin 은 Mobile Access cvpnd 프로세스의 동작을 바꿉니다.
appMonitor status
clear_kernel_tables
clear_portal_cache
debug <options>
ics_update
isEnabled
license <options>
policy [{graceful | hard}]
revoke <Certificate Serial Number>| 파라미터 | 설명 | |
|---|---|---|
appMonitor <options> | Application Monitor 를 제어합니다. 이 컴포넌트는 내부 서버의 가동 시간을 추적하며, 문제가 있으면 시스템 경고 로그를 만듭니다. restart(재시작) · start(시작) · status(기능·감시 대상 응용·상태 표시) · stop(중지). | |
clear_kernel_tables | Mobile Access의 모든 커널 테이블을 비웁니다. | |
clear_portal_cache | 모든 열린 세션에 대해, 포털에 표시되는 응용의 캐시를 비웁니다. | |
debug set TDERROR_ALL_ALL=5 | 돌고 있는 cvpnd 프로세스의 모든 디버그 출력을 켭니다. 출력은 $CVPNDIR/log/cvpnd.elg 에 쌓입니다. | |
debug off | 모든 cvpnd 디버그 출력을 끕니다. | |
debug trace on / debug trace users=<Username> | TraceLogger 기능. 인증된 Mobile Access 트래픽의 송수신을 통째로 캡처합니다. 출력은 $CVPNDIR/log/trace_log/ 에 저장됩니다. on은 모든 사용자, users=<Username>은 지정 사용자에 대해 켭니다. | |
ics_update | 새 ICS 업데이트를 게시한 뒤 Mobile Access 서비스를 갱신합니다. | |
isEnabled | 정책상 Mobile Access가 활성화돼 있는지 확인합니다. | |
license <options> | 라이선스 수와 상태를 보여 줍니다. all(MOB·MOBMAIL 둘 다) · mob(MOB) · mobmail(MOBMAIL). | |
| `policy [{graceful \ | hard}]` | 현재 정책에 따라 서비스를 갱신합니다. policy·policy graceful은 각 httpd 프로세스가 현재 요청을 마친 뒤 종료, policy hard는 모든 httpd 프로세스가 즉시 종료해 진행 중인 http 요청을 끊습니다. |
revoke <Certificate Serial Number> | 주어진 일련번호 인증서의 폐기를 알립니다. |
cvpnd_settings — 로컬 구성 파일 다루기
cvpnd_settings 는 Mobile Access 게이트웨이의 로컬 구성 파일 $CVPNDIR/conf/cvpnd.C 를 바꿉니다. 속성 값을 가져오거나(get) 설정해(set) cvpnd 프로세스를 구성합니다. 앞 장들에서 ESOD 우회·IPS 로컬 설정·Secure Workspace 완화 모드 등을 켤 때 등장했던 명령입니다.
cvpnd_settings [<Configuration File>] {get | set | add | listAdd | listRemove | internal} <Attribute-Name> [<Attribute-Value>]DynamicID 재전송용 구문:
cvpnd_settings [<Configuration File>] {set | get} smsMaxResendRetries [<Number>]Kerberos 인증용 구문:
cvpnd_settings [<Configuration File>] {set | get} useKerberos {true | false}
cvpnd_settings [<Configuration File>] {listAdd | listRemove} kerberosRealms [<Your AD Name>]전체 파라미터 설명은 cvpnd_settings -h 로 볼 수 있습니다.
| 파라미터 | 설명 |
|---|---|
-h | 파라미터를 전부 설명하는 내장 도움말을 보여 줍니다. |
<Configuration File> | 바꿀 구성 파일의 경로와 이름을 지정합니다. |
get | 기존 속성의 값, 또는 리스트의 값들을 가져옵니다. |
set | 속성 값을 설정합니다. 그 속성이 없으면 새로 추가 합니다. |
add | 새 속성을 추가합니다. 이미 있으면 바꾸지 않습니다. |
listAdd | 지정한 속성을 리스트에 추가합니다. |
listRemove | 지정한 속성을 리스트에서 제거합니다. |
internal | cvpnd.C 대신 $CVPNDIR/conf/cvpnd_internal_settings.C 파일을 바꾸도록 지정합니다. |
<Attribute-Name> | 속성 이름을 지정합니다. |
<Attribute-Value> | 속성 값을 지정합니다. |
<Number> | SMS 재전송 시도 횟수를 지정합니다. |
<Your AD Name> | Active Directory 이름을 지정합니다. |
예시:
cvpnd_settings set myFlag 1 # 속성 myFlag를 1로 설정
cvpnd_settings get myFlag # myFlag의 현재 값 보기
cvpnd_settings set myFlag # myFlag 값을 비우거나, 새 속성/리스트 myFlag 생성
cvpnd_settings listAdd myFlag a.example.com # 리스트에 a.example.com 추가cvpn_ver — 버전 보기
cvpn_ver 는 Mobile Access Software Blade의 버전을 보여 줍니다.
cvpn_ver예시 출력:
[Expert@MyGW:0]# cvpn_ver
This is Check Point Mobile Access R82 - Build 123
[Expert@MyGW:0]#cvpnstart / cvpnstop / cvpnrestart — 서비스 제어
서비스를 다루는 명령이 가장 기본입니다.
cvpnstart—cvpnstop으로 멈춰 둔 모든 Mobile Access Software Blade 서비스를 시작합니다.cvpnstop— 모든 Mobile Access Software Blade 서비스를 중지합니다.cvpnrestart— 모든 Mobile Access Software Blade 서비스를 재시작합니다.
cvpnstop
cvpnrestart [--with-pinger]cvpnrestart 의 --with-pinger 옵션은 ActiveSync·OWA 푸시 메일 알림을 담당하는 Pinger 서비스 까지 함께 재시작합니다.
deleteUserSettings — 사용자 저장 설정 삭제
deleteUserSettings 는 한 명 이상의 최종 사용자가 저장한 영구 설정(즐겨찾기·쿠키·자격 증명) 을 모두 삭제합니다.
deleteUserSettings [-s] <Username1> [<Username2> ...]| 파라미터 | 설명 |
|---|---|
-s | 최종 사용자 화면에 출력 없이 조용히(silent) 실행합니다. |
<Username> | 설정을 삭제할 사용자 이름. 내부 사용자는 username을, LDAP 사용자는 LDAP 설정에 맞는 전체 DN 을 씁니다. |
예시:
deleteUserSettings [-s] user1 # 내부 사용자 user1
deleteUserSettings [-s] CN=user1,OU=users,DC=example,DC=com # LDAP 사용자 user1fwpush — 푸시 알림 관리
fwpush 는 게이트웨이의 fwpushd 프로세스에 명령 인터럽트를 보냅니다.
debug <options>
del <options>
info
print
send <options>
unsub <options>| 파라미터 | 설명 | ||||
|---|---|---|---|---|---|
| `debug {off \ | on \ | reset \ | set all all \ | stat}` | 푸시 알림 데몬의 디버그를 제어합니다(자세한 내용은 sk109039). |
| `del {-token <Token> \ | -uid <User-UID>}` | 지정 토큰을 삭제하거나, 지정 사용자의 모든 토큰을 삭제합니다. del -token <Token>은 모든 사용자에서 그 토큰을, del -uid <User-UID>는 그 사용자의 모든 토큰을 삭제합니다. | |||
info | 푸시 큐의 데이터를 가져옵니다 — 큐 항목 수, 가장 오래된/새로운 항목이 큐에 머문 초, 배치가 큐에서 기다린 초, 다음 배치 전송까지 초, 배치 오류·인증 요청 타임아웃 수. | ||||
print | 푸시 알림 큐와 대기 중인 배치를 보여 줍니다. | ||||
send ... | 명령줄에서 즉석(on-demand) 푸시 알림 메시지 를 보냅니다(아래 상세). | ||||
| `unsub {<Token> \ | -user <Username> \ | -uid <User-UID> \ | -all}` | 사용자를 푸시 알림에서 구독 해지합니다. <Token>은 그 토큰의 모든 사용자, -user/-uid는 그 사용자의 모든 토큰, -all은 모든 사용자의 모든 토큰을 해지합니다. |
send 구문은 다음과 같습니다.
fwpush send -token <Token> -os {iPhone | Android} -msg "<Notification Message>"
fwpush send {-user <Username> | -uid <User-UID>} -msg "<Notification Message>"fwpush 에 쓰는 값들은 접속 사용자 상세 에서 가져옵니다.
UserSettingsUtil show_exchange_registered_users출력 예시:
[Expert@MyGW:0]# UserSettingsUtil show_exchange_registered_users
User Name: CN=JohnD,OU=USERS,OU=RND,OU=PO,OU=USA,DC=AD,DC=CHECKPOINT,DC=COM
User Settings id: c4b6c6fbb0c4xxxxxxxx265e93e0e372
Push Token: xxxxxxxxxxxxx65b48e424023ebxxxxxxxxca22ea788cfb3cxxxxxxxxxx
Device id: 46c5XXXXcc1d10b4e18cf5a1xxxxxxxx
[Expert@MyGW:0]#전송 예시:
[Expert@MyGW:0]# fwpush send -uid JohnD -msg "Hello - push"ics_updates_script — ESOD 업데이트 수동 실행
ics_updates_script 는 게이트웨이에서 Endpoint Security on Demand(ESOD) 업데이트를 수동으로 시작합니다. 자세한 내용은 $CVPNDIR/bin/ics_updates_script 파일 안의 내용을 참고하세요.
$CVPNDIR/bin/ics_updates_script <Path to Local ICS Updates Package>| 파라미터 | 설명 |
|---|---|
<Path to Local ICS Updates Package> | 로컬 ICS Updates 패키지의 전체 경로를 지정합니다. 패키지 이름은 빼고 경로만 적습니다. |
listusers — 접속 사용자 목록
listusers 는 게이트웨이에 접속한 최종 사용자 목록을 출발 IP 주소와 함께 보여 줍니다.
listusers예시 출력:
[Expert@MyGW:0]# listusers
------------------------------
UserName | IP
------------------------------
Tom , 192.168.0.51
John , 192.168.0.130
Jane , 192.168.0.7
[Expert@MyGW:0]#rehash_ca_bundle — CA 번들 다시 해시
rehash_ca_bundle 은 $CVPNDIR/var/ssl/ca-bundle/ 디렉터리의 모든 인증 기관(CA) 파일을 Mobile Access의 신뢰 CA 번들로 가져옵니다. 이 신뢰 CA 번들은 게이트웨이가 OWA 같은 내부 서버에 HTTPS로 접근할 때 쓰입니다.
내부 서버의 SSL 서버 인증서를 게이트웨이가 신뢰하지 않으면, 게이트웨이는 Internal Web Server Verification 기능의 설정(기본 Monitor)에 따라 응답합니다. 특정 서버의 인증서를 받아들이려면 그 서버 인증서의 CA를 CA 번들에 추가합니다.
rehash_ca_bundle예시 출력:
[Expert@MyGW:0]# rehash_ca_bundle
Doing /opt/CPcvpn-R82/var/ssl/ca-bundle/
AC_Ra__z_Certic__mara_S.A..pem => 6f2c1157.0
AOL_Time_Warner_Root_Certification_Authority_1.pem => ed9bb25c.0
... ... ...
beTRUSTed_Root_CA_-_RSA_Implementation.pem => 16b3fe3c.0
thawte_Primary_Root_CA.pem => 2e4eed3c.0
[Expert@MyGW:0]#UserSettingsUtil — 접속 사용자 상세 보기
UserSettingsUtil 은 게이트웨이에 접속한 사용자의 상세 정보를 보여 줍니다. 앞서 fwpush에 쓸 Push Token·CN·User Settings id 값을 얻을 때도 이 명령을 씁니다.
UserSettingsUtil show_exchange_registered_users [<Username>]| 파라미터 | 설명 |
|---|---|
<Username> | 사용자 이름을 지정합니다. 내부 사용자는 username을, LDAP 사용자는 LDAP 설정에 맞는 전체 DN 을 씁니다. |
예시:
UserSettingsUtil show_exchange_registered_users # 모든 사용자
UserSettingsUtil show_exchange_registered_users user1 # 내부 사용자 user1
UserSettingsUtil show_exchange_registered_users CN=user1,OU=users,DC=example,DC=com # LDAP 사용자 user1이로써 Mobile Access의 소개부터 솔루션 선택, 포털·애플리케이션·인증·권한, 모바일 기기와 단말 검사, Reverse Proxy와 블레이드 연동, 그리고 운영 문제 해결·FAQ·CLI 도구까지 한 바퀴를 돌았습니다. 원격 접속 전반을 더 깊이 보려면 Remote Access VPN 가이드와 함께 읽기를 권합니다.