LDAP 사용자 프로비저닝 구현

디렉토리 서비스 설정 섹션을 통해 계정과 Active Directory(AD)와 같은 LDAP 도메인 간 사용자 동기화 설정을 구성할 수 있습니다.

참고

참고: Cato LDAP 서비스의 소스 IP인 Cato 관리 애플리케이션의 IP 주소를 허용 목록에 추가해야 합니다. 자세한 내용은 Cato IP 주소 사용(이 문서를 보려면 로그인해야 합니다).

도메인 구성의 높은 수준의 워크플로우

디렉토리 서비스를 사용하여 LDAP 도메인을 Cato 계정과 통합하는 워크플로는 다음과 같습니다:

  1. CMA에 도메인 추가

  2. 도메인 컨트롤러 추가

  3. 도메인을 Cato 계정과 동기화

도메인을 CMA에 추가하기

계정에 LDAP 도메인을 추가하면 CMA에 디렉토리 서비스 연결을 추가해야 합니다. 디렉토리 서비스 설정 창에서는 조직의 각 도메인과 하위 도메인에 별도의 연결이 필요합니다. 예를 들어, 계정에 sample.com, alpha.sample.com, example.com 도메인이 있는 경우, 디렉토리 서비스 설정에서 세 개의 연결을 생성해야 합니다.

도메인 비밀번호의 경우, 비밀번호의 최대 길이는 48자입니다.

도메인의 DN(고유 이름)을 입력할 때:

  • 로그인 DN은 LDAP 디렉토리 계층 구조 내의 관리자 객체를 참조합니다

  • 기본 DN은 관리자가 Cato와 동기화하는 사용자 및 그룹에 대한 LDAP 디렉토리 계층 구조 내의 객체를 참조합니다

사용자 동기화 설정 이해하기

도메인 컨트롤러의 LDAP 사용자 변경은 CMA에서 많은 수의 사용자 수정 작업을 트리거할 수 있습니다. 오류의 위험을 줄이기 위해, 각 동기화에서 수행되는 변경 횟수를 다음과 같은 방법으로 제한할 수 있습니다:

  • 사용자 제거 또는 비활성화 방지: 제거되거나 비활성화되는 사용자의 수를 제한할 수 있습니다.

  • 그룹 멤버십 업데이트 방지: LDAP 동기화가 1500명 이상의 사용자 그룹 멤버십을 변경하면, Microsoft 온프레미스 Active Directory에서 사용자를 그룹에서 제거할 수 있습니다. 이를 방지하기 위해, 단일 동기화 내에서 사용자 그룹 멤버십을 변경할 수 있는 최대 사용자 수를 맞춤화할 수 있습니다. 자세한 정보는 디렉토리 서비스 및 사용자 인식 오류 문제 해결을 참조하세요

  • 사용자 이메일 업데이트: 업데이트되는 사용자 이메일 주소의 수를 제한할 수 있습니다.

제한을 초과하면, 다음 LDAP 동기화가 실패하며 디렉토리 서비스 하위 유형 이벤트가 생성됩니다.

참고

참고: 사용자가 AD에서 비활성화되었다가 다시 활성화되면, 네트워크에 연결하기 위해 Cato 클라이언트를 제거하고 다시 설치해야 할 수도 있습니다.

도메인 컨트롤러에서 그룹의 경로 변경

도메인 컨트롤러에서 그룹으로의 경로를 변경한 경우, CMA에서 기본 DN도 업데이트해야 합니다.

CMA를 새 경로로 업데이트하지 않으면, 이동된 사용자 그룹이 더 이상 동기화에 포함되지 않으며 삭제됩니다. 이 사용자 그룹은 사용자 그룹 페이지에서 더 이상 보이지 않습니다. 삭제된 사용자 그룹은 여전히 정책에 표시되며 삭제된 것으로 표시되고 정책은 사용자 그룹에 적용되지 않습니다. 삭제된 LDAP 프로비저닝된 사용자 그룹 내 사용자로부터 SDP 라이선스가 제거되며 더 이상 네트워크에 연결할 수 없습니다. 사용자가 네트워크에 연결하려면 SDP 라이선스를 재할당해야 합니다.

도메인을 CMA에 추가하기

New_DirectorySevice.png

CMA에 도메인을 추가하려면:

  1. 네비게이션 메뉴에서 액세스 > 디렉토리 서비스를 클릭합니다.

  2. LDAP 섹션 또는 탭에서 새로 만들기를 클릭합니다.

    새 디렉토리 서비스 패널이 열립니다.

  3. LDAP 제공자를 선택합니다.

    하나의 LDAP 제공자만 선택할 수 있습니다.

  4. LDAP 인증 설명 섹션에서 로그인 DN을 구성합니다:

    • 온프레미스 AD의 경우 AD 계정의 명확한 이름(DN)을 사용합니다

    • Azure AD의 경우 사용자 계정 이름(UPN)을 사용합니다

  5. 로그인 DN기본 DN을 입력합니다.

  6. 디렉토리 서비스 연결을 위해 생성한 CN 사용자의 비밀번호를 입력합니다.

  7. SSL 연결을 사용하는 LDAP 도메인에 대해서는 암호화를 선택합니다.

    도메인이 CMA에 추가되었습니다. 도메인에 대한 도메인 컨트롤러를 구성합니다.

  8. SDP 사용자 동기화 설정을 선택합니다.

도메인 컨트롤러 추가하기

LDAP 서버와 연결된 도메인 컨트롤러(DC)를 디렉토리 서비스 도메인에 추가합니다.

사이트 뒤에 있는 LDAP 서버의 경우, IP 주소 또는 사이트에 정의된 호스트로 DC를 추가할 수 있습니다 (네트워크 > 사이트 > {사이트 이름} > 사이트 구성 > 호스트).

외부에 있고 공용 IP 주소를 사용하는 서버의 경우, IP 주소 또는 도메인으로 DC를 정의할 수 있습니다.

Cato IP 허용 목록 추가

트래픽이 AD 서비스에 도달할 수 있도록 하려면 Cato IP 주소 사용에 나열된 IP 주소를 허용 목록에 추가하십시오 (이 문서를 보려면 로그인해야 합니다). 이 IP 주소와의 트래픽은 Cato 터널 내부에서 라우팅됩니다.

다음 배포에 대해 방화벽 또는 라우팅 장치가 올바르게 구성되어 있는지 확인하십시오:

  • DC가 IPsec 사이트(대신 소켓 사용) 뒤에 위치합니다

  • 모든 트래픽이 소켓으로 라우팅되지 않습니다.

Edit_DC.png

도메인 컨트롤러를 추가하려면:

  1. 새 디렉토리 서비스 패널의 네비게이션 메뉴에서 도메인 컨트롤러를 클릭합니다.

  2. DC의 위치에 따라 연결 설정을 정의합니다:

    • 호스트 뒤에 정의된 DC의 경우 내부 호스트를 선택한 다음 LDAP 서버의 정적 호스트를 선택합니다

    • 내부 IP 주소를 사용하는 DC의 경우 내부 IP를 선택하고 DC의 IP 주소를 입력합니다

    • 사이트 뒤에 있지 않은 DC의 경우 외부 IP 또는 도메인을 선택하고 DC의 IP 주소 또는 도메인을 입력합니다

  3. 추가를 클릭합니다.

  4. 여러 DC를 포함한 배포의 경우 각 DC를 추가하기 위해 이전 단계를 반복합니다.

  5. 저장 및 닫기를 클릭합니다.

도메인 연결성 테스트

도메인을 정의하고 DC를 추가한 후, 도메인과 CMA 간의 연결성을 테스트하는 것을 권장합니다.

CMA는 도메인의 모든 도메인 컨트롤러와의 연결성을 자동으로 테스트하고 각 도메인 컨트롤러의 결과를 표시합니다.

연결성 테스트가 실패하면 문제 해결 권장 사항은 디렉토리 서비스 및 사용자 인식 오류 및 문제 해결을 참조하세요.

도메인에 대한 연결성을 테스트하려면:

  • 도메인의 연결 열에서 연결 테스트를 클릭합니다. CMA는 연결성 테스트 결과를 보여줍니다.

도메인을 Cato 계정과 동기화하기

DC를 추가한 후 LDAP 그룹의 사용자 동기화 방법을 정의하는 설정을 구성합니다.

  • 디렉토리 서비스를 사용하고 사용자 MFA를 위한 모바일 번호를 수정해야 하는 경우 LDAP 디렉토리에서만 전화번호를 수정하세요

도메인을 위한 디렉토리 서비스 설정 구성의 높은 수준의 개요

  1. 계정과 동기화할 LDAP 그룹을 선택하십시오.

  2. 매일 사용자를 자동으로 동기화하는 기능을 활성화하거나 비활성화합니다.

  3. LDAP 그룹에서 제거된 사용자의 동작을 비활성화하거나 CMA에서 제거하는 것으로 정의하십시오.

Active Directory 그룹 가져오기

계정에 동기화할 LDAP 그룹을 선택합니다.

계정으로 가져온 AD 그룹을 선택하려면:

  1. 새 디렉토리 서비스 패널에서 사용자 그룹을 클릭합니다.

  2. 사용자 그룹 선택 드롭다운에서 계정과 동기화 중인 그룹을 선택합니다.

    참고: 그룹이 선택되지 않으면 전체 Active Directory가 가져옵니다.

    이 도메인의 동기화 설정을 구성합니다(아래 참조).

라이선스 할당 및 정책 적용

사용자가 계정에 동기화되면 SDP 라이선스를 할당하고 사용자가 어디에 연결되든 강제되는 정책을 적용할 수 있습니다. SDP 라이센스 할당에 대한 자세한 내용은 Assigning ZTNA Licenses to Users를 참조하세요.

동기화 설정 개요

계정이 LDAP 디렉토리와 매일 자동으로 동기화되고, 도메인과 일치하도록 CMA에서 그룹 및 사용자를 업데이트할 수 있습니다.

디렉터리 이름 열에서 어떤 사용자가 가져왔고 어떤 사용자가 수동으로 생성되었는지 확인할 수 있습니다. 가져온 사용자는 LDAP 디렉토리 이름으로 나타나고, 수동으로 생성된 사용자는 수동으로 나타납니다. 또한 디렉터리 이름으로 필터링하거나 시스템에서 수동으로 추가된 모든 사용자를 볼 수 있습니다.

Cato는 모든 계정에 대해 매일 12:00 am UTC에 자동 LDAP 동기화를 시작합니다. Cato는 한 번에 하나의 계정씩 동기화를 수행하며, 모든 계정의 일일 동기화를 완료하는 데 몇 시간이 걸릴 수 있습니다. 일일 동기화 사용자 그룹 옵션이 12:00 am 이후, LDAP 동기화를 시작하기 전에 비활성화된 경우 자동 동기화가 해당 시간창 동안 건너뛰어지고 옵션이 활성화될 다음 시간창까지 실행되지 않습니다.

참고

참고: 여러 도메인이 있는 계정의 경우, 계정 내 모든 도메인에 동일한 동기화 설정을 적용해야 합니다. 그렇지 않으면 서로 다른 도메인 간의 신뢰 관계로 인해 문제가 발생할 수 있습니다.

디렉터리 서비스 그룹에 더 이상 존재하지 않는 사용자

가져온 디렉터리 서비스 그룹에 더 이상 사용자가 존재하지 않으면 설정을 통해 사용자가 그룹에서 삭제되거나 만료되거나 비활성화될 때의 동기화 동작을 정의할 수 있습니다. 다음 옵션 중에서 선택할 수 있습니다:

  • 비활성화 - 사용자가 비활성화되며 Cato 클라우드에 연결할 수 없습니다. 사용자는 그들이 회원이었던 사용자 그룹에 남아 있습니다

  • 제거 - 사용자 계정은 해당 사용자가 속했던 사용자 그룹을 포함하여 CMA에서 제거됩니다

    LDAP 서버에서 그룹 또는 사용자가 제거되었지만 CMA의 객체 또는 규칙에서 사용되고 있는 경우, 이는 동기화 동작입니다:

    • 사용자는 삭제되지 않고 비활성화됩니다

    • 그룹은 더 이상 동기화되지 않음으로 표시됩니다

    • 그룹 또는 사용자는 수동으로 라벨링되고 LDAP으로 설정되지 않습니다

기본적으로 계정은 LDAP 동기화 과정에서 100명 이상의 사용자를 삭제하거나 비활성화할 수 없도록 설정되어 있습니다. LDAP 동기화 시작 시, 동기화가 기본 설정에서 100명 이상의 사용자를 삭제하거나 비활성화하려고 하면 동기화는 취소되고 이메일 알림이 전송됩니다. 사용자 삭제나 비활성화를 방지하는 것을 비활성화하거나 LDAP 동기화당 삭제되는 최대 사용자 수를 변경할 수 있습니다.

디렉토리 서비스 동기화 설정 구성

도메인과 Cato 계정 간의 동기화 설정을 구성합니다. 디렉토리 서비스 그룹에서 사용자가 제거될 때의 동작과 일일 자동 동기화를 활성화할지 여부를 선택합니다.

도메인에 대한 동기화 설정을 구성하려면:

  1. 자동 동기화 설정을 관리하십시오:

    1. 새 디렉토리 서비스 패널에서 사용자 그룹을 선택하십시오.

    2. 사용자 그룹 섹션에서 매일 동기화 사용자 그룹을 활성화하거나 비활성화하도록 선택합니다.

      활성화되면 토글이 녹색으로 표시됩니다.

  2. 사용자가 가져온 디렉터리 서비스 그룹에 더 이상 존재하지 않는 경우 AD 도메인에서의 동작을 정의하십시오:

    • 사용자 비활성화 - 사용자를 CMA에서 비활성화하십시오

    • 제거 - 사용자를 CMA에서 제거하십시오

  3. (옵션) 삭제 방지를 사용자 수로 설정하는 것을 설정에서 사용자 동기화 중의 설정으로 사용자 수로 설정하십시오:

    • LDAP 동기화 중 삭제할 수 있는 사용자 수를 변경하려면 사용자에서 삭제할 최대 사용자 수를 입력합니다.

    • LDAP 동기화 동안 삭제할 수 있는 사용자 수 제한을 제거하려면 이 설정을 비활성화하세요: slider_disable.png.

  4. 적용을 클릭한 다음 저장을 클릭하십시오.

    도메인은 사용자 및 그룹을 계정과 동기화하도록 구성되었습니다.

디렉토리 서비스 수동 동기화

지금 동기화 기능을 사용하여 AD 서버와 CMA 간의 사용자 및 그룹을 수동으로 동기화하십시오. 다중 도메인을 가진 계정의 경우 CMA는 모든 도메인을 동시에 동기화합니다. 그 이유는 도메인 간에 신뢰 의존성이 있을 수 있기 때문입니다.

후보 변경사항을 검토하고 제출을 클릭한 후에도 모든 제출된 변경이 반드시 적용되는 것은 아닙니다. CMA는 사용자 및 그룹을 생성하거나 업데이트하기 전에 각 변경을 검증합니다. 예를 들어, 동일한 이름의 수동 그룹이 이미 존재하는 경우 변경에 실패할 수 있습니다. 처리된 각 변경에서 결과를 검토할 수 있는 이벤트 페이지.

참고

참고: 변경 사항이 있는 이벤트 페이지가 업데이트되는 데 몇 분이 걸릴 수 있습니다.

모든 도메인에 대한 디렉토리 서비스를 수동으로 동기화하려면:

  1. 네비게이션 메뉴에서 액세스 > 디렉토리 서비스를 클릭합니다.

  2. LDAP 섹션 또는 탭에서 지금 동기화를 클릭합니다.

  3. 수동 LDAP 동기화 창이 열리고 잠재적인 사용자 및 그룹 변경을 표시합니다. 변경 사항을 검토하고 제출을 클릭하세요.

  4. 확인 페이지는 요청이 제출되었음을 표시하고 적절한 시스템 이벤트 및 하위 타입에 대해 이미 필터링된 이벤트 페이지의 링크를 포함합니다.

    • 동기화가 성공하면, LDAP 프로비저닝 하위 타입의 시스템 이벤트가 생성되며, 다음과 같은 메시지가 나타납니다:

      사용자 'x' 생성됨

    • 동기화가 실패하면, 동일한 하위 타입의 시스템 이벤트가 생성되며 다음과 같은 메시지가 나타납니다:

      사용자 저장 실패

    • 제출된 잠재적 변경을 다시 검색하려면, 디렉토리 서비스 하위 타입의 시스템 이벤트를 찾아 다음과 같은 메시지를 확인하세요:

      'x' 잠재적 변경 사항(들) 제출됨

예시

다음 예시에서, 3개의 잠재적 변경 사항이 수동으로 제출된 것을 확인할 수 있습니다.

submit-ldap-sync.png

변경 사항이 성공적으로 제출되었으며, 이벤트 페이지를 확인해 보면 Jane Phillips가 성공적으로 생성되었음을 볼 수 있습니다:

ldap-sync-success.png

그러나 John Doe는 해당 이메일을 가진 수동 생성 사용자가 계정에 이미 존재하기 때문에 생성될 수 없습니다.

ldap-sync-failed.png

도메인 및 도메인 컨트롤러 삭제

도메인 및 도메인 컨트롤러가 더 이상 필요하지 않을 때 삭제할 수 있습니다.

참고

참고: 도메인이나 DC를 삭제하면, 해당 사용자는 더 이상 도메인과 연결되지 않으며 Cato 사용자로 표시됩니다. 동일하거나 다른 도메인에서 동일한 사용자를 추가하면 시스템 내에서 중복됩니다. 한 번은 Cato 사용자로, 한 번은 도메인 아래에.

도메인을 삭제하려면:

  1. 네비게이션 메뉴에서 액세스 > 디렉토리 서비스를 클릭합니다.

  2. LDAP 섹션 또는 탭에서 도메인 행에 있는 Delete.png을 클릭하세요.

  3. 저장을 클릭하십시오. 도메인이 계정에서 삭제됩니다.

도메인 컨트롤러를 삭제하려면:

  1. 네비게이션 메뉴에서 액세스 > 디렉토리 서비스를 클릭합니다.

  2. LDAP 섹션 또는 탭에서 도메인을 편집합니다.

    LDAP 디렉토리 서비스 수정 패널이 열립니다.

  3. 새 디렉토리 서비스 패널의 네비게이션 메뉴에서 도메인 컨트롤러를 클릭합니다.

  4. DC가 포함된 행에서 Delete.png을 클릭하세요.

  5. 적용을 클릭한 다음 저장을 클릭하십시오. 도메인 컨트롤러가 도메인에서 삭제됩니다.

여러 도메인 관리

조직에서 두 개 이상의 도메인을 사용하는 경우 각 도메인에 대한 디렉토리 서비스 연결을 정의할 수 있습니다. 새 도메인을 계정에 추가하고 구성하십시오.

계정에 추가하는 각 새 도메인에 대한 비밀번호를 입력해야 합니다.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개