LDAP 동기화 및 프로비저닝 문제 해결

개요

LDAP(Lightweight Directory Access Protocol) 동기화 및 사용자 프로비저닝은 리소스에 안전하고 효율적인 액세스를 유지하는 데 중요한 구성 요소입니다． 그러나 이 과정이 중단되어 액세스 문제와 잠재적인 보안 취약점이 발생할 수 있습니다． 이 플레이북은 카토에서 발생하는 일반적인 LDAP 동기화 및 프로비저닝 문제를 해결하고 이를 효과적으로 해결하기 위한 솔루션을 제공합니다．

증상

LDAP 동기화 및 프로비저닝 실패는 여러 방식으로 나타날 수 있습니다． 관리자는 다음 증상을 주목할 수 있습니다：

• LDAP 동기화 실패
• 사용자가 Cato에 프로비저닝되지 않음
• 예상치 못한 사용자가 Cato에 프로비저닝됨

가능한 원인

• Cato로의 라우팅 문제
• 잘못되었거나 누락된 사용자 속성 
• LDAP 오류 또는 이용할 수 없는 LDAP 서버
• TLS 연결 오류
• LDAP 서버로의 비대칭 라우팅．
• 내부의 중첩된 그룹 및 사용자
• 사용 가능한 SDP 라이선스 부족

문제 해결

관리자가 겪을 수 있는 증상을 해결하기 위한 단계는 다음과 같습니다． 이 단계들은 문제가 발생한 원인을 식별하기 위한 것입니다． 해결 단계는 후속 플레이북에서 강조될 것입니다．

LDAP 동기화 실패 문제 해결

수동 LDAP 동기화는 접근 권한 > 디렉토리 서비스 > LDAP 아래의 지금 동기화를 클릭하여 트리거할 수 있습니다． 그렇지 않으면, 계정이 일일 동기화를 비활성화하지 않는 한, 매일 00:00 UTC에 계정 전체에 대해 자동 동기화를 시도하게 됩니다． 이 섹션은 LDAP 동기화가 완료되지 않는 시나리오를 다룹니다．

연결 테스트 실행

연결 테스트 결과를 관리 애플리케이션에서 직접 확인합니다． 이 테스트는 도메인 컨트롤러와의 TCP 연결 및 LDAP 바인딩을 검증합니다． 잘못된 자격 증명 및 서버 다운과 같은 일반적인 문제는 이 도구를 사용하여 진단할 수 있습니다． 

디렉토리 서비스 이벤트 분석

동기화 실패는 Cato에서 이벤트를 생성합니다． 아래 스크린샷에 표시된 것처럼 DC 연결 실패 및 디렉토리 서비스에서 하위 유형을 선택하여 이러한 이벤트를 필터링합니다． 이벤트 메시지 필드는 동기화 실패의 이유를 표시합니다．

LDAP 오류 분석

동기화를 시도할 때 DC 이벤트에 표시되는 LDAP 오류는 겪고 있는 문제의 유형을 나타낼 수 있습니다． DC에 연결할 수 없음(오류 코드 81, 서버 다운)을 보여주는 오류는 연결 오류를 나타냅니다． 연결 문제 해결을 참조하십시오．

특정 LDAP 오류를 반환하는 오류는 LDAP 서비스에 연결할 수 있지만, 동기화 프로세스가 LDAP 프로토콜 내에서 실패한다는 것을 시사합니다． 특정 LDAP 오류는 생성된 오류 코드를 기반으로 조사할 수 있습니다． 이 LDAP 오류 목록이 도움이 될 수 있습니다．

아래 예시는 잘못된 로그인 자격 증명으로 인해 동기화 시도가 실패한 경우를 보여줍니다． 이 문제를 해결하려면 LDAP 자격 증명 오류 해결을 계속하세요

연결 문제 해결

동기화가 성공적으로 완료되려면 Cato 관리 애플리케이션과 LDAP 서버 간의 양방향 연결이 필요합니다． 다음을 확인하십시오：

1. DC 서버는 Cato LDAP IP 주소로부터 트래픽을 수신할 수 있어야 하며, 해당 주소로 트래픽을 반환할 수 있는 경로를 Cato로 다시 설정할 수 있어야 합니다． Cato LDAP Cato 관리 애플리케이션의 소스 IP 주소를 식별하려면 참조하세요(이 문서를 보려면 로그인해야 합니다)．
2. 도메인 컨트롤러가 IPsec 연결 뒤에 있거나 일부 서브넷만 소켓으로 라우팅하는 경우, VPN 터널 라우팅 구성에 Cato LDAP IP 주소를 포함해야 합니다． Cato LDAP Cato 관리 애플리케이션의 소스 IP 주소를 식별하려면 참조하세요(이 문서를 보려면 로그인해야 합니다)．
3. DC 서버의 방화벽 또는 보안 정책은 이 트래픽의 양방향 흐름을 허용해야 합니다．

소켓 사이트 뒤의 로컬 LDAP 서버의 경우 트래픽은 양방향일 뿐만 아니라 대칭적이어야 합니다． Cato가 시작한 LDAP 쿼리는 소켓 터널을 통해 서버에 도달합니다． 반환 트래픽도 소켓 터널을 통해 다시 라우팅해야 합니다． 이를 수행하지 않으면 비대칭 연결이 발생하여 동기화가 실패합니다．  

사이트의 알려진 호스트 페이지에서 최근 호스트 활동 값을 확인하여 내부 도메인 컨트롤러의 생존 여부를 확인합니다． 사이트의 알려진 호스트 표시 참조

CMA에서 수동 동기화를 실행하는 동안 DC 서버에 연결된 소켓 LAN에서 PCAP 캡처를 실행하여 연결 문제를 추가로 해결할 수 있습니다． 필터 ip.addr==Cato LDAP IP 주소 설정． 암호화되지 않은 LDAP 트래픽은 포트 TCP/389를 사용하고, 암호화된 LDAP(LDAPS)는 포트 TCP/636을 사용합니다．

암호화되지 않은 LDAP 트래픽을 캡처하면 LDAP 응답을 일반 텍스트로 볼 수 있어 동기화 문제를 해결하는 데 도움이 될 수 있습니다．

암호화되지 않은 LDAP로 전환하려면 디렉토리 서비스 구성 아래의 SSL 암호화 옵션의 선택을 해제하세요.

LDAP 동기화가 SSL 암호화되어야 하는 경우 TLS 오류 문제 해결을 계속 진행하세요

TLS 오류 문제 해결

LDAPS를 수행할 때, TLS 대화는 Cato PoP 또는 LDAP 서버에 의해 실패할 수 있습니다． 패킷 캡처에서 오류를 식별할 수 있으며, 예를 들어 치명적인 알림입니다． 아래 예에서는 클라이언트 Hello ACK를 받은 후 PoP가 TCP 연결을 닫아 문제를 나타냅니다．

패킷 캡처에서 LDAPS를 수행할 때 TLS 오류를 식별합니다． 이를 해결하려면 LDAPS TLS 오류 해결을 계속 진행합니다

사용자 프로비저닝 실패 문제 해결

LDAP 사용자는 다양한 이유로 인해 Cato에 프로비저닝되지 않을 수 있습니다． 이 섹션에서는 이 동작을 설명할 수 있는 가장 일반적인 시나리오를 설명합니다．

사용자 디렉토리 페이지 확인

접근 권한 > 사용자 아래 사용자 디렉토리 페이지에서 영향을 받은 사용자를 식별하려고 시도합니다． 다음을 확인합니다：

• 사용자가 사용자 디렉토리에 없습니다． 그렇다면, 누락된 사용자 속성, 사용자 동기화 설정, 비활성화된 사용자, 사용자 쿼리 제한 및 중복 사용자를 확인하세요.
• 사용자가 SDP 라이선스 없이 프로비저닝되었습니다． 이는 사용자가 Cato SDP 클라이언트에서 Cato로 연결할 수 없게 만듭니다． 문제가 있다면 SDP 라이선스 누락, 사용자 속성 누락, 및 중복 사용자를 점검하세요．

사용자 속성 누락 점검

사용자 속성이 Cato에서 무효로 간주되거나 누락되어 사용자 프로비저닝이 건너뛰기될 수 있습니다． 아래 속성이 사용자에게 올바르게 구성되었는지 확인하세요：

• AD 사용자는 이름과 성이 구성되어야 합니다． 그렇지 않으면 이름 또는 성이 누락된 사용자는 Cato 계정에 동기화되지 않습니다．
• 이메일 및 UPN 속성은 다음 형식으로 정의되어야 합니다： user@domain． 그렇지 않으면 사용자는 프로비저닝되지만 SDP 라이선스 할당을 받지 못합니다．

사용자 동기화 설정 점검

도메인 컨트롤러에서 LDAP 사용자에 대한 변경은 LDAP 설정에서 제어되는 CMA에서 높은 수의 사용자 수정을 트리거할 수 있습니다． 기존 사용자 세부 정보 업데이트에 설명된 바와 같이， ...보다 많은 경우 사용자 제거 또는 비활성화 방지... 및 사용자 이메일 업데이트， 최대 옵션은 각 동기화에서 제거， 비활성화 또는 업데이트될 수 있는 사용자 수를 제한합니다．

제한을 초과하면 다음 LDAP 동기화가 실패하고 새로운 LDAP 사용자가 프로비저닝되지 못할 것입니다． 위의 문제가 발생하면 디렉토리 서비스 이벤트가 생성될 것입니다．

이 문제를 해결하려면， 사용자의 수가 많아 동기화 완료가 불가능한 경우 이 옵션을 선택 해제하세요．

비활성화된 LDAP 사용자 점검

동기화를 실행할 때， 프로비저닝될 사용자가 Active Directory에서 비활성화되거나 만료된 경우， 사용자는 CMA에 프로비저닝되지 않을 것입니다． CMA에서는 실패한 이벤트가 없습니다．

도메인 컨트롤러에서 사용자가 활성화되었는지 확인하세요．

사용자 쿼리 제한 점검

Microsoft Active Directory LDAP에는 1500개 속성 미만의 객체만 반환할 수 있는 제한이 내장되어 있습니다． 따라서 CMA가 LDAP 쿼리를 실행하면 1500명 이상의 멤버를 가진 그룹은 CMA에 빈 멤버 목록을 반환하여 CMA에서 비활성화되거나 삭제된 사용자가 발생합니다．

PCAP 캡처는 소켓 LAN에서 실행하여 이 제한이 발생하는지 확인할 수 있습니다． 멤버 속성은 비어 있고 range=0-X를 보여주는 추가 멤버 속성이 있을 것입니다． 이는 AD 서버가 페이지 강제를 시도하고 있음을 나타냅니다．

이 문제를 해결하려면 사용자 쿼리 제한 해결을 참조하세요

중복 사용자 점검

동기화를 실행할 때 프로비저닝될 사용자의 이메일 주소가 이미 CMA에 존재한다면, 중복 사용자가 CMA에 어떻게 가져왔는지에 따라 새 사용자 프로비저닝 행동이 결정됩니다：

• 중복 사용자가 LDAP인 경우, 새 LDAP 사용자는 성공적으로 프로비저닝되지만 사용자 디렉토리 페이지에 SDP 라이선스가 할당되지 않습니다.
  위에 설명된 조건에 따라 SDP 라이선스 이벤트가 생성됩니다.
  

  
  이 문제를 해결하려면 새로 프로비저닝된 사용자의 이메일 주소 또는 사용자 이름을 수정하거나 중복된 LDAP 사용자를 제거하세요. 이 필드는 디렉토리 서비스의 모든 사용자 간에 고유해야 합니다.

• 중복 사용자가 SCIM인 경우, 새로운 LDAP 사용자는 SCIM에서 LDAP 프로비저닝으로 변경에 설명된 대로 SCIM 프로비저닝된 사용자를 덮어쓰지 않으므로 프로비저닝되지 않습니다． 이 문제를 해결하려면 각 사용자의 이메일 주소가 고유하며, LDAP 및 SCIM으로 프로비저닝된 사용자 및 사용자 그룹이 서로 겹치지 않도록 하십시오．
• 중복 사용자가 수동인 경우, 새로운 LDAP 사용자가 수동 프로비저닝된 사용자를 덮어쓰지 않으므로 프로비저닝되지 않습니다． 이 문제를 해결하려면 각 사용자의 이메일 주소가 고유하거나 LDAP 동기화 전에 CMA에서 수동 프로비저닝된 사용자를 제거하십시오．

누락된 SDP 라이선스 확인

동기화를 실행할 때 계정이나 해당 사용자 및 사용자 그룹에 사용할 수 있는 SDP 라이선스가 없으면, 사용자는 성공적으로 프로비저닝되지만, 사용자 디렉토리 페이지에 SDP 라이선스가 할당되지 않습니다．

SDP 라이선스 할당에 설명된 대로 사용자 또는 그 사용자 그룹에 SDP 라이선스가 할당되었는지 확인하십시오． 계정의 SDP 라이선스와 관련된 문제이지만 아래와 같이 SDP 라이선스 이벤트가 생성됩니다．

이 문제를 해결하려면, SDP 라이선스 오류 해결을 참조하십시오

예상하지 못한 프로비저닝된 사용자 문제 해결

다양한 이유로 인해 임포트된 LDAP 사용자가 CMA에 설정된 것과 다를 수 있습니다． 이 섹션에서는 이 동작의 원인이 될 수 있는 가장 일반적인 시나리오를 설명합니다．

빈 사용자 그룹 필드

Active Directory 그룹 임포트에 설명된 대로, LDAP 설정에서 사용자 그룹이 선택되지 않은 경우 전체 Active Directory가 임포트됩니다． 이는 전체 사용자 기반을 CMA에 임포트하고 Cato 사용자 라이선스를 소진시킵니다．

이 문제를 해결하려면, Cato에 임포트하고자 하는 특정 LDAP 그룹만 정의하고 SDP 라이선스 오류 해결을 따르십시오

중첩된 그룹 확인

LDAP 동기화를 수행한 후 액세스 > 디렉토리 서비스 > LDAP > 사용자 그룹에서 임포트 정의되지 않은 프로비저닝된 사용자가 있는 것을 발견한 경우 다음을 확인하십시오：

• Cato LDAP 동기화는 각 정의된 사용자 그룹의 구성원을 검색합니다． 이 그룹에는 사용자뿐만 아니라 다른 중첩 그룹도 포함될 수 있습니다． 이 예에서는 VPN 그룹만 CMA에 정의되어 있습니다．
  
• 특정 사용자가 속한 모든 그룹은 CMA의 그룹 멤버 페이지에서 확인할 수 있습니다．
  
• 위의 예에서, 서브그룹은 VPN 그룹의 중첩 그룹이므로 서브그룹의 모든 구성원은 정의된 사용자 그룹 내에 있는 경우 CMA로 임포트됩니다． 이는 Cato가 중첩 그룹과 해당 사용자를 임포트하기 때문입니다． 

발견된 문제 해결

LDAP 자격 증명 오류 해결

LDAP 설정에서 로그인 DN 및 기본 DN 필드가 Active Directory에 구성된 관리자 사용자의 속성을 기준으로 올바른지 확인합니다． 

로그인 DN을 확인하려면 DC의 명령 프롬프트에서 다음 명령을 실행하십시오.

 dsquery user -name <username>

출력은 관리자 사용자에 대해 구성된 전체 distinguishedName을 표시하며 이는 CMA의 로그인 DN 필드와 일치해야 합니다.

필요한 경우, 도메인 컨트롤러에서 관리자 사용자의 비밀번호를 재설정하고 CMA에 입력된 비밀번호와 일치하도록 하십시오.

LDAPS TLS 오류 해결 중

TLS 오류가 LDAP 서버에서 보내진 경우, Windows 이벤트 뷰어에서 더 많은 정보를 확인할 수 있습니다． 만약 그것이 PoP에 의해 보내진 경우, 디렉토리 서비스 아래에서 관련 도메인 컨트롤러를 제거하고 다시 추가해 볼 수 있습니다． 이 작업은 LDAP 서버와의 TLS 연결을 다시 설정하도록 합니다． 

사용자 쿼리 제한 해결

LDAP로 사용자 동기화에서 언급한 것처럼, 이 제한으로 인한 원치 않는 사용자 비활성화/삭제를 방지하기 위해, CMA에서 "그룹 멤버십 업데이트 방지" 옵션을 구성하여 단일 동기화에서 사용자 그룹 멤버십을 변경할 수 있는 최대 사용자 수를 사용자 정의할 수 있습니다．

도메인 컨트롤러에서의 비어있는 쿼리 응답을 해결하기 위해, 다음 단계들을 따르세요：

• 반환될 값의 수를 제어하는 Microsoft LDAP 정책 속성 MaxValRange를 조정합니다． 절차는 이 MS 문서에서 설명되어 있습니다．
• 또한, 이 MS 문서에서 설명하는 것처럼 쿼리 제한을 완전히 제거할 수 있습니다．
• Active Directory에서 변경이 허용되지 않는 경우, 1500개 미만의 속성을 가진 LDAP 그룹을 사용하여 사용자들을 카토에 프로비저닝하는 것이 유일한 대안입니다．

SDP 라이선스 오류 해결 중

계정의 라이선스 상태는 관리 > 라이선스 > 사용자에서 확인할 수 있습니다． 

충분한 라이선스가 없는 경우, 접근 > 라이선스 할당에서 사용자 및 사용자 그룹의 범위를 줄이십시오． 그렇지 않으면, 추가 SDP 라이선스를 구매하기 위해 CSM 또는 계정 소유자와 확인하십시오．

Cato 지원에 케이스 제출

위의 문제 해결 단계 결과와 함께 지원 티켓를 제출하세요． 티켓에 다음 정보를 포함하십시오：

• 경험한 문제의 세부 정보와 사용자에 대한 전체적인 영향을 포함하십시오．
• 관련 디렉토리 서비스 이벤트 및 수동 LDAP 동기화의 결과．
• LDAP 서버와의 전체 대화를 보여주는 PCAP 캡처 파일．