디렉토리 서비스에 사용자 인식 추가하기

이 문서는 내부 네트워크의 AD 사용자를 더욱 잘 파악할 수 있도록 사용자 인식을 구성하는 방법을 설명합니다．

사용자 인식 개요

Cato 관리 애플리케이션은 Cato 클라이언트로 인증된 사용자가 연결된 원격 사용자를 쉽게 식별할 수 있게 합니다． 그러나 사이트 뒤에 있는 사용자는 클라이언트를 사용하여 연결하지 않으며， IP 주소나 컴퓨터 이름만 볼 수 있습니다． 개인 정보가 없는 경우 이러한 내부 사용자를 분석하기는 어렵습니다． 사용자 인식 기능은 Active Directory (AD)와 통합하여 IP 주소와 사용자 이름을 연관시킵니다． Pops는 DC 로그인 로그를 쿼리하고 사용자를 컴퓨터의 IP 주소에 매핑할 수 있습니다． 사용자 데이터는 거의 실시간으로 30초의 지연만 발생합니다． 사용자 인식은 계정 토폴로지와 분석에서 내부 사용자의 이름을 표시하고 IP 주소만 표시하지 않습니다．

사용자 인식 구성 준비

사용자 인식을 활성화하기 전에 도메인에 대한 디렉토리 서비스를 구성해야 합니다． 디렉터리 서비스 구성에 대한 자세한 내용은 LDAP를 통한 사용자 제공을 참조하세요.

사용자를 IP 주소에 매핑하기 위해 Windows 보안 로그에서 사용자 인식이 사용하는 이벤트 ID로 감사 정책을 구성하십시오． 자세한 내용은 디렉토리 서비스 및 사용자 인식 오류 및 문제 해결를 참조하십시오．

다음 섹션에서는 서드파티 방화벽 뒤에 있는 IPsec 사이트에 대한 사용자 인식을 구성하는 방법을 설명합니다． IPsec 사이트가 없는 경우 아래에서 실시간 도메인 컨트롤러 정의를 계속 진행하세요.

사용자 인식 동기화를 위한 타사 방화벽 구성

사용자 인식 동기화는 시스템 범위를 위한 고정 IP 주소를 사용합니다． 서드파티 방화벽을 사용하여 DC에 대한 액세스를 제어하는 고객은 모든 포트와 서비스에 대해 이 IP 주소를 허용하도록 방화벽 설정을 업데이트해야 합니다． 사용자 인식 동기화에 사용되는 IP 주소는 기본 시스템 범위 또는 사용자 정의 시스템 범위를 사용하는 계정에 따라 다릅니다．

Cato Cloud의 DNS 서버에 대한 기본 및 사용자 정의 범위에 대한 자세한 내용은 Cato Cloud에서 DNS 흐름 처리하기를 참조하십시오．

기본 시스템 범위를 사용하는 계정

Cato Networks에 예약된 기본 시스템 범위는 10．254．254．0／24입니다． 이 기본 범위를 사용하는 계정의 경우， 사용자 인식 동기화의 고정 IP 주소는 10．254．254．12입니다．

사용자 정의 시스템 범위를 사용하는 계정

기본 대신 사용자 정의 시스템 범위를 사용하는 계정의 경우， 사용자 인식 동기화를 기반으로 한 고정 IP 주소를 계산하기 위해 사용자 정의 범위를 사용합니다． 고정 IP 주소는 사용자 정의 범위에서 9번째에 위치합니다． 예를 들어， 사용자 정의 예약 범위가 10．10．10．0／16인 경우， 고정 IP 주소는 10．10．10．9입니다．

더 작은 IP 범위를 사용하는 계정은 여전히 사용자 정의 범위에서 9번째를 사용합니다. 예를 들어, 사용자 정의 예약 범위가 10.200.200.64/28인 경우, 고정 IP 주소는 10.200.200.73 (10.200.200.64 + x.x.x.9)입니다.

공유 호스트와의 사용자 인식

사용자 인식은 최소한 4명의 다른 사용자가 같은 장치에 2시간의 시간 범위 내에 로그인할 경우, 그 장치를 공유 호스트로 간주합니다． 방화벽 및 네트워크 규칙이 모든 공유 호스트 사용자 그룹이나 호스트 IP 주소에 적용될 경우, 이는 공유 호스트에 로그인한 SDP 사용자에게 적용되며 SDP 사용자에 대한 규칙이 아닙니다．

실시간 도메인 컨트롤러 정의

도메인 컨트롤러(DC)에서 실시간으로 WMI 쿼리를 모니터링하는 WMI 컨트롤러를 정의하십시오．

사이트 뒤에 있는 AD의 경우, 해당 사이트(네트워크 > 사이트 설정 > 호스트)의 호스트로 도메인 컨트롤러(DC)를 정의해야 합니다．

참고

참고: 다수의 DC가 있는 계정의 경우, 로그인 이벤트가 발생하는 모든 DC를 실시간 도메인 컨트롤러에 추가해야 합니다．

실시간 도메인 컨트롤러 정의하기：

네비게이션 메뉴에서 액세스 > 사용자 인식을 클릭합니다．
실시간 도메인 컨트롤러 섹션 또는 탭에서 신규를 클릭합니다．

실시간 도메인 컨트롤러 추가 패널이 열립니다．
도메인 컨트롤러 드롭다운 메뉴에서 AD 도메인을 선택합니다．
DC의 위치에 따라 DC 연결 설정을 정의합니다：
- 사이트 뒤에 정의된 호스트의 DC의 경우, 내부 호스트를 선택하고 LDAP 서버의 정적 호스트를 선택합니다
- 사이트 뒤에 있지 않은 DC의 경우, 외부 IP 또는 도메인을 선택하고 DC의 IP 주소 또는 도메인을 입력합니다
참고

참고: DC에는 공인 IP 주소를 사용해야 합니다．
AD 사용자의 사용자 이름과 비밀번호를 입력합니다．
확인을 클릭합니다． 실시간 도메인 컨트롤러가 사용자 인식 설정에 추가되고 Cato Cloud에 푸시됩니다．
각 도메인 컨트롤러에 대해 이전 단계들을 반복합니다．

도메인 컨트롤러 연결 상태 테스트

실시간 도메인 컨트롤러 정의 후, Cato 관리 애플리케이션과 Cato Cloud가 DC에 연결할 수 있는지 확인하기 위해 연결 상태를 테스트합니다．

팝업 창은 연결이 성공했는지, 아니면 Cato Cloud가 DC에 연결하지 못했는지를 보여줍니다．

참고

참고: 사전 정의된 호스트가 사이트 뒤에 있는 DC에 대해서만 DC 연결 상태를 테스트할 수 있습니다．

실시간 도메인 컨트롤러 연결 상태를 테스트하려면：

네비게이션 메뉴에서 액세스 > 사용자 인식을 클릭합니다．
실시간 도메인 컨트롤러 탭에서, 도메인의 연결 열에서 연결 테스트를 클릭합니다.

팝업 창에서 연결 테스트의 결과를 보여줍니다．

사용자 인식을 위한 도메인 동기화

도메인에서 사용자 인식을 위해 Cato 계정에 동기화된 AD 그룹을 정의합니다． 또한 AD를 매일 자동으로 동기화할지, 아니면 수동으로만 동기화할지 선택할 수 있습니다． 사용자 인식을 위한 동기화 설정은 계정 내 모든 도메인에서 동일해야 합니다．

AD 그룹 또는 사용자가 도메인에서 제거되면, 규칙이나 그룹에 사용되지 않는 한 계정에서 비활성화됩니다． For more about synchronization setting for Directory Services see Provisioning Users with SCIM and LDAP.

사용자 인식을 위한 Active Directory 그룹 정의

사용자 인식을 위해 동기화되는 사용자가 포함된 도메인의 AD 그룹을 선택하고, 그들에 대한 일일 동기화 설정을 정의합니다．

실시간 도메인 컨트롤러가 구성되거나 아이덴티티 에이전트가 활성화된 경우에만 사용자가 Cato 계정에 동기화됩니다 (액세스 > 사용자 인식 > 아이덴티티 에이전트).

sAMAaccountName 속성은 Cato 관리 애플리케이션의 사용자 그룹 이름에 사용됩니다．

사용자 인식과 동기화되는 AD 그룹을 정의하려면：

네비게이션 메뉴에서 액세스 > 디렉토리 서비스를 클릭합니다．
LDAP 탭 또는 섹션을 선택하고, 도메인을 클릭합니다．

패널이 열립니다．
패널 네비게이션 메뉴에서사용자 그룹을 선택합니다．

부모 그룹을 선택하면 중첩된 그룹이 동기화됩니다
사용자 인식을 위한 AD 그룹을 선택합니다．

참고: 그룹이 선택되지 않으면 모든 AD 그룹이 사용자 인식을 위해 가져옵니다．
사용자 인식 그룹의 자동 동기화를 위해, 일일 사용자 인식 그룹 동기화를 활성화합니다.
적용을 클릭합니다．

실시간 도메인 컨트롤러 삭제

실시간 도메인 컨트롤러를 삭제하려면：

네비게이션 메뉴에서 액세스 > 사용자 인식을 클릭합니다.
실시간 도메인 컨트롤러 섹션 또는 탭에서 도메인 행에서 를 클릭합니다.
저장을 클릭합니다． 실시간 도메인 컨트롤러가 삭제되었습니다．