포드 편집 워크플로를 사용하여 포드 게이트웨이의 2단계 인증 설정을 변경하거나 2단계 인증을 완전히 비활성화할 수 있습니다. 설정을 변경하면 기본적으로 2단계 인증 설정 집합의 새 이름을 입력하고, 원하는 새 설정을 입력하고, 특정 게이트웨이에 대해 새 이름을 선택했는지 확인한 후 저장합니다. 포드 편집 워크플로를 사용하여 2단계 인증 설정을 변경합니다.

참고: 테넌트가 Universal Broker를 사용하도록 구성되고 브로커 설정에 2단계 인증이 사용되도록 설정된 경우 그룹에 있는 모든 포드의 외부 게이트웨이에 동일한 2단계 인증 유형을 설정해야 합니다. 이 시나리오에서 이러한 단계를 수행하여 외부 게이트웨이에 2단계 인증을 추가하면 사용자 인터페이스는 브로커 설정에 지정된 것과 일치하는 2단계 인증 유형을 강제로 선택합니다.

사전 요구 사항

게이트웨이 중 하나에 대해 2단계 인증을 사용하도록 설정한 후에 특정 설정을 변경하는 경우 다음 정보가 있는지 확인합니다.

  • 2단계 인증 서버가 온 프레미스에 있는 경우 해당 게이트웨이에 대한 Unified Access Gateway 인스턴스가 해당 서버로의 라우팅을 확인할 수 있도록 다음 필드의 정보도 제공합니다.
    옵션 설명
    DNS 주소 온 프레미스 인증 서버 이름을 확인할 수 있는 DNS 서버 주소를 하나 이상 지정합니다.
    경로 포드의 Unified Access Gateway 인스턴스가 온-프레미스 인증 서버에 대한 네트워크 라우팅을 확인할 수 있도록 하는 여러 사용자 지정 경로 중 하나를 지정합니다.

    예를 들어, 10.10.60.20을 IP 주소로 사용하는 온 프레미스 RADIUS 서버가 있는 경우 10.10.60.0/24 및 기본 경로 게이트웨이 주소를 사용자 지정 경로로 사용합니다. 이 환경에 사용하려는 Express Route 또는 VPN 구성에서 기본 경로 게이트웨이 주소를 가져옵니다.

    ipv4-network-address/bits ipv4-gateway-address 형태의 사용자 지정 경로를 쉼표로 구분된 목록(예: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2)으로 지정합니다.

  • 포드 배포 마법사에서 해당 필드에 제공할 수 있도록 인증 서버 구성에서 사용되는 다음과 같은 정보가 있는지 확인합니다. RADIUS 인증 서버를 사용하고 있으며 기본 및 보조 서버가 둘 다 있으면 각각에 대한 정보를 가져옵니다.

    RADIUS

    기본 및 보조 RADIUS 서버 둘 다에 대한 설정을 구성하는 경우 각각에 대한 정보를 가져옵니다.

    • 인증 서버의 IP 주소 또는 DNS 이름
    • 인증 서버의 프로토콜 메시지에서 암호화 및 암호 해독에 사용되는 공유 암호
    • 인증 포트 번호(일반적으로 RADIUS의 경우 1812/UDP)
    • 인증 프로토콜 유형. 인증 유형에는 PAP(Password Authentication Protocol), CHAP(Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2(Microsoft Challenge Handshake Authentication Protocol, 버전 1 및 2)가 포함됩니다.
      참고: RADIUS 벤더에서 권장하는 인증 프로토콜을 RADIUS 벤더의 설명서에서 확인하고 지시된 프로토콜 유형을 따르십시오. RADIUS와 함께 2단계 인증을 지원하는 포드의 기능이 Unified Access Gateway 인스턴스에서 제공되며, Unified Access Gateway는 PAP, CHAP, MSCHAP1 및 MSCHAP2를 지원합니다. PAP는 일반적으로 MSCHAP2보다 덜 안전합니다. 또한 PAP는 MSCHAP2보다 더 간단한 프로토콜입니다. 결과적으로, 대부분의 RADIUS 벤더는 좀 더 간단한 PAP 프로토콜과 호환되지만, 일부 RADIUS 벤더의 경우 좀 더 안전한 MSCHAP2와 호환되지 않게 됩니다.
    RSA SecurID
    참고: RSA SecurID 유형은 매니페스트 3139.x 이상을 실행하는 Horizon Cloud on Microsoft Azure 배포에서 지원됩니다. [포드 추가] 및 [포드 편집] 마법사에서 RSA SecurID 유형을 지정하는 UI 옵션은 2022년 3월 중순부터 마법사에서 선택할 수 있도록 표시됩니다.
    • RSA SecurID Authentication Manager 서버의 액세스 키.
    • RSA SecurID 통신 포트 번호입니다. 일반적으로 RSA SecurID 인증 API에 대한 RSA Authentication Manager 시스템 설정에 설정된 5555입니다.
    • RSA SecurID 인증 관리자 서버의 호스트 이름입니다.
    • 해당 RSA SecurID Authentication Manager 서버의 IP 주소.
    • RSA SecurID Authentication Manager 서버 또는 해당 로드 밸런서 서버에 자체 서명된 인증서가 있는 경우 [포드 추가] 마법사에서 제공할 CA 인증서가 필요합니다. 인증서는 PEM 형식이어야 합니다(파일 유형 .cer 또는 .cert 또는 .pem).

프로시저

  1. 편집을 클릭하여 포드 세부 정보 페이지에서 [포드 편집] 창을 엽니다.
  2. [포드 편집] 창에서 다음을 클릭하여 게이트웨이 설정 단계로 이동합니다.
    이 단계에는 외부 게이트웨이 구성에 대한 섹션과 내부 게이트웨이 구성에 대한 섹션이 제공됩니다. 사용자 인터페이스에는 포드의 현재 구성과 기존의 게이트웨이 설정이 반영됩니다.
  3. 해당 창을 2단계 인증을 변경하려는 외부 또는 내부 게이트웨이 유형에 배치합니다.
  4. 게이트웨이에서 2단계 인증을 비활성화하려면 2단계 인증 사용 토글을 해제한 후 단계 8로 이동하여 변경 내용을 저장합니다.
    또한 다른 게이트웨이도 2단계 인증을 사용하도록 설정되어 있으며 비활성화하려면 다른 게이트웨이에 대한 섹션에서 해당 토글을 해제합니다.
  5. 게이트웨이에서 설정된 특정 2단계 인증 설정을 변경하려면 다음 단계를 계속합니다.
    새로운 2단계 인증 값 집합에 대해 새 이름을 생성하고 창에서 해당 게이트웨이 섹션에 대해 선택한 새 이름으로 구성을 저장합니다.
  6. 구성 이름 필드에 이 구성을 식별하는 이름을 입력합니다.
  7. [속성] 섹션에서 최종 사용자가 액세스를 위해 인증을 받는 데 사용할 로그인 화면에 대한 최종 사용자의 상호 작용과 관련된 세부 정보를 지정합니다.

    마법사는 Horizon Cloud on Microsoft Azure 배포가 해당 게이트웨이 구성과 함께 지원하는 구성에 따라 필드를 표시합니다. 필드는 선택한 2단계 인증 유형에 따라 달라집니다. 선택한 유형(RADIUS 또는 RSA SecurID)에 해당하는 아래 표를 참조하십시오.

    RADIUS

    필드를 완료할 때 기본 인증 서버에 대한 세부 정보를 지정해야 합니다. 보조 인증 서버가 있는 경우 보조 서버 토글을 사용하도록 설정하고 해당 서버에 대한 세부 정보도 지정합니다.

    옵션 설명
    표시 이름 이 필드는 비워둘 수 있습니다. 마법사에는 이 필드가 표시되더라도 Unified Access Gateway 구성에서는 내부 이름만 설정됩니다. 이 이름은 Horizon 클라이언트에서 사용되지 않습니다.
    힌트 표시 선택적으로 RADIUS 사용자 이름과 암호를 묻는 메시지가 표시될 때 최종 사용자 클라이언트 로그인 화면의 메시지에 표시되는 텍스트 문자열을 입력합니다. 지정된 힌트는 최종 사용자에게 Enter your DisplayHint user name and passcode로 표시됩니다. 여기서 DisplayHint는 사용자가 이 필드에 지정하는 텍스트입니다.

    이 힌트는 사용자가 올바른 RADIUS 암호를 입력하도록 안내합니다. 예를 들어, 예제 회사 사용자 이름 및 도메인 암호와 같은 구문을 지정하면 Enter your Example Company user name and domain password below for user name and passcode라는 프롬프트가 표시됩니다.

    이름 ID 접미사 이 설정은 포드가 Single Sign-On에 TrueSSO를 사용하도록 구성되는 SAML 시나리오에서 사용됩니다. 필요에 따라 포드 관리자에 대한 요청에 전송되는 SAML 어설션 사용자 이름에 추가되는 문자열을 제공합니다. 예를 들어, 로그인 화면에서 사용자 이름이 user1으로 입력되고 여기에 이름 ID 접미사 @example.com이 지정되면 요청에 [email protected]의 SAML 어설션 사용자 이름이 전송됩니다.
    반복 횟수 사용자가 이 RADIUS 시스템을 사용하여 로그인하려고 할 때 허용되는 실패한 인증 시도의 최대 횟수를 입력합니다.
    사용자 이름 유지 클라이언트, Unified Access Gateway 인스턴스 및 RADIUS 서비스 간에 발생하는 인증 흐름 중에 사용자의 Active Directory 사용자 이름을 유지하려면 이 토글을 사용하도록 설정합니다. 사용하도록 설정하는 경우:
    • 사용자는 RADIUS에 대해서도 Active Directory 인증의 경우와 동일한 사용자 이름 자격 증명이 있어야 합니다.
    • 사용자는 로그인 화면에서 사용자 이름을 변경할 수 없습니다.

    이 토글을 해제하는 경우 사용자는 로그인 화면에서 다른 사용자 이름을 입력할 수 있습니다.

    참고: Horizon Cloud에서 사용자 이름 유지를 설정하는 경우와 도메인 보안 설정을 지정하는 경우 간 관계에 대해서는 [일반 설정] 페이지의 도메인 보안 설정 항목을 참조하십시오.
    호스트 이름/IP 주소 인증 서버의 DNS 이름 또는 IP 주소를 입력합니다.
    공유 암호 인증 서버와 통신하기 위한 암호를 입력합니다. 값은 서버에 구성된 값과 동일해야 합니다.
    인증 포트 인증 트래픽을 송수신하기 위해 인증 서버에 구성된 UDP 포트를 지정합니다. 기본값은 1812입니다.
    계정 포트 필요에 따라 계정 트래픽을 송수신하기 위해 인증 서버에 구성된 UDP 포트를 지정합니다. 기본값은 1813입니다.
    메커니즘 지정된 인증 서버에서 지원되고 배포된 포드에서 사용하게 하려는 인증 프로토콜을 선택합니다.
    서버 시간 초과 포드가 인증 서버의 응답을 대기해야 하는 시간(초)을 지정합니다. 이 시간(초)이 지난 후에 서버가 응답하지 않을 경우 재시도가 전송됩니다.
    최대 재시도 횟수 포드가 인증 서버에 대해 실패한 요청을 다시 시도하는 최대 횟수를 지정합니다.
    영역 접두사 필요에 따라 사용자 이름이 인증 서버에 전송될 때 시스템이 이름 맨 앞에 추가하는 문자열을 제공합니다. 사용자 계정 위치를 영역이라고 합니다.

    예를 들어, 로그인 화면에서 사용자 이름이 user1로 입력되고 여기에 영역 접두사 DOMAIN-A\가 지정되면 시스템은 인증 서버에 DOMAIN-A\user1을 전송합니다. 영역 접두사를 지정하지 않으면 입력한 사용자 이름만 전송됩니다.

    영역 접미사 필요에 따라 사용자 이름이 인증 서버에 전송될 때 시스템이 이름에 추가하는 문자열을 제공합니다. 예를 들어, 로그인 화면에서 사용자 이름이 user1로 입력되고 여기에 영역 접미사 @example.com이 지정되면 시스템은 인증 서버에 [email protected]을 전송합니다.
    RSA SecurID
    옵션 설명
    액세스 키 시스템의 RSA SecurID 인증 API 설정에서 가져온 RSA SecurID 시스템의 액세스 키를 입력합니다.
    서버 포트 통신 포트에 대해 시스템의 RSA SecurID 인증 API 설정에 구성된 값(일반적으로 5555)을 지정합니다.
    서버 호스트 이름 인증 서버의 DNS 이름을 입력하십시오.
    서버 IP 주소 인증 서버의 IP 주소를 입력합니다.
    반복 횟수 사용자가 1시간 동안 잠길 때까지 허용되는 최대 인증 시도 실패 횟수를 입력합니다. 기본값은 5회입니다.
    CA 인증서 이 항목은 RSA SecurID Authentication Manager 서버 또는 해당 로드 밸런서가 자체 서명된 인증서를 사용하는 경우에 필요합니다. 이 경우 CA 인증서를 복사하여 이 필드에 붙여넣습니다. 이 페이지의 위 설명대로 인증서 정보는 PEM 형식으로 제공해야 합니다.

    서버에 공용 CA(인증 기관)에서 서명한 인증서가 있는 경우 이 필드는 선택 사항입니다.

    인증 시간 초과 시간이 초과되기 전에 Unified Access Gateway 인스턴스와 RSA SecurID 인증 서버 간에 인증 시도를 사용할 수 있는 시간(초)을 지정합니다. 기본값은 180초입니다.
  8. 원하는 설정을 모두 지정했으면 저장 후 종료를 클릭합니다.
    워크플로 시작을 확인하도록 요청하는 확인 메시지가 표시됩니다.
  9. 를 클릭하여 워크플로를 시작합니다.

결과

시스템에서 새 구성을 포드에 배포할 때까지, 2단계 인증을 추가한 게이트웨이에 대한 포드 요약 페이지의 섹션에는 보류 중 상태가 표시됩니다.

워크플로가 완료되면 상태가 준비로 표시되고 게이트웨이의 2단계 인증 설정이 페이지에 표시됩니다.

참고: Microsoft Azure China에서 포드에 대해 이 워크플로를 실행할 때 프로세스를 완료하는 데 1시간 넘게 소요될 수 있습니다. 프로세스는 지리적 네트워크 문제로 인해 클라우드 제어부에서 바이너리를 다운로드할 때 다운로드 속도가 느려질 수 있습니다.

다음에 수행할 작업

중요: 게이트웨이의 2단계 인증 설정 값을 새 값으로 변경하는 경우 최종 사용자가 새로운 2단계 인증 값의 게이트웨이 사용을 다시 시작하기 전에 다음 작업을 완료해야 합니다.
  • 포드의 외부 게이트웨이에 2단계 인증이 구성되어 있고 게이트웨이의 Unified Access Gateway 인스턴스가 배포된 동일한 VNet 토폴로지 내에서 2단계 인증 서버에 연결할 수 없는 경우, 게이트웨이 구성에 지정한 2단계 인증 서버가 외부 게이트웨이 로드 밸런서의 IP 주소에서의 통신을 허용하는지 확인합니다.

    게이트웨이 배포와 동일한 VNet 토폴로지 내에서 2단계 인증 서버에 연결할 수 없는 이 시나리오에서는 Unified Access Gateway 인스턴스가 해당 로드 밸런서 주소를 사용하여 해당 서버와 연결하려고 시도합니다. 이러한 통신 트래픽을 허용하려면 해당 외부 게이트웨이의 리소스 그룹에 있는 로드 밸런서 리소스의 IP 주소가 2단계 인증 서버의 구성에 허용된 클라이언트 또는 등록된 에이전트로 지정되어 있는지 확인합니다. 해당 통신을 허용하는 방법에 대한 자세한 내용은 2단계 인증 서버에 대한 설명서를 참조하십시오.

  • 동일한 VNet 토폴로지 내에서 2단계 인증 서버에 연결할 수 있는 경우 Microsoft Azure에서 배포의 Unified Access Gateway 인스턴스에 대해 생성된 적절한 NIC의 통신을 허용하도록 2단계 인증 서버가 구성되어 있는지 확인합니다.

    네트워크 관리자는 배포에 사용되는 Azure VNet 토폴로지 및 해당 서브넷에 대한 2단계 인증 서버의 네트워크 가시성을 결정합니다. 2단계 인증 서버는 네트워크 관리자가 2단계 인증 서버에 대한 네트워크 가시성을 부여한 서브넷에 해당하는 Unified Access Gateway 인스턴스 NIC의 IP 주소를 통한 통신을 허용해야 합니다.

    Microsoft Azure에 있는 게이트웨이의 리소스 그룹에는 해당 서브넷에 해당하는 4개의 NIC가 있습니다. 이 중 2개의 두 Unified Access Gateway 인스턴스에 대해 현재 활성 상태이고, 나머지 2개는 유휴 상태였다가 포드 및 해당 게이트웨이가 업데이트를 거친 후에 활성화됩니다.

    포드 작업이 진행 중인 동안과 각 포드를 업데이트한 후에 게이트웨이와 2단계 인증 서버 간 통신 트래픽을 지원하려면 해당 NIC 4개의 IP 주소가 해당 서버 구성에서 허용된 클라이언트 또는 등록된 에이전트로 지정되어 있는지 확인합니다. 해당 통신을 허용하는 방법에 대한 자세한 내용은 2단계 인증 서버에 대한 설명서를 참조하십시오.

이러한 IP 주소를 가져오는 방법에 대한 내용은 필요한 Horizon Cloud 포드 게이트웨이 정보로 2단계 인증 시스템 업데이트를 참조하십시오.