로컬 사용자 인증 외에, SSL 게이트웨이에 바인딩되는 외부 인증 서버(AD, LDAP, Radius 또는 RSA)를 추가할 수 있습니다. 바인딩된 인증 서버에 계정이 있는 모든 사용자는 인증됩니다.

SSL VPN에서 인증할 수 있는 최대 시간은 3분입니다. 비인증 시간 초과는 3분이고 이는 구성할 수 있는 속성이 아니기 때문입니다. 따라서 AD 인증 시간 초과가 3분 넘게 설정되거나 체인 권한 부여에 여러 인증 서버가 있으며 사용자 인증에 걸리는 시간이 3분을 초과하는 시나리오에서는 사용자가 인증되지 않습니다.

프로시저

  1. SSL VPN-Plus 탭에서 왼쪽 패널에 있는 인증 (Authentication)을 선택합니다.
  2. 추가 (Add)(추가 아이콘) 아이콘을 클릭합니다.
  3. 인증 서버 유형을 선택합니다.
  4. 선택한 인증 서버 유형에 따라 다음 필드를 작성합니다.
    • AD 인증 서버
      표 1. AD 인증 서버 옵션
      옵션 설명
      SSL 사용 (Enable SSL) SSL을 사용하도록 설정하면 웹 서버와 브라우저 간에 암호화된 링크가 설정됩니다.
      참고: SSL을 사용하지 않도록 설정하고 나중에 SSL VPN-Plus 탭을 사용하여 또는 클라이언트 시스템에서 암호를 변경하려고 하면 문제가 발생할 수 있습니다.
      IP 주소 (IP Address) 인증 서버의 IP 주소입니다.
      포트 (Port) 기본 포트 이름을 표시합니다. 필요한 경우 편집할 수 있습니다.
      시간 초과 (Timeout) AD 서버가 응답해야 하는 제한 시간(초)입니다.
      상태 (Status) 사용 (Enabled) 또는 사용 안 함 (Disabled)을 선택하여 서버를 사용하도록 설정할지 여부를 지정합니다.
      검색 기준 (Search base) 검색할 외부 디렉토리 트리의 일부입니다. 검색 기준이 외부 디렉토리의 OU(조직 구성 단위), DC(도메인 컨트롤러) 또는 도메인 이름(AD)과 동일한 것일 수 있습니다.

      예:

      • OU=Users,DC=aslan,DC=local
      • OU=VPN,DC=aslan,DC=local
      Bind DN 정의된 검색 기준 내에서 AD 디렉토리를 검색하도록 허용된 외부 AD 서버의 사용자입니다. 대부분의 경우 Bind DN은 전체 디렉토리를 검색할 수 있습니다. Bind DN의 역할은 AD 사용자 인증을 위한 DN(고유 이름)에 대해 쿼리 필터 및 검색 기준을 사용하는 디렉토리를 쿼리하는 것입니다. DN이 반환되면 해당 DN과 암호를 사용하여 AD 사용자를 인증합니다.

      예: CN=ldap.edge,OU=users,OU=Datacenter Users,DC=aslan,DC=local

      바인딩 암호 (Bind Password) AD 사용자를 인증하기 위한 암호입니다.
      바인딩 암호 다시 입력 (Retype Bind Password) 암호를 다시 입력합니다.
      로그인 특성 이름 (Login Attribute Name) 원격 사용자가 입력한 사용자 ID와 일치하는 이름입니다. Active Directory의 경우 로그인 특성 이름은 sAMAccountName입니다.
      검색 필터 (Search Filter) 검색을 제한하는 필터 값입니다. 검색 필터는 특성 연산자 값 형식을 취합니다.

      검색 기준을 AD의 특정 그룹으로 제한해야 하며 전체 OU에서 검색을 허용하지 않으려면

      • 검색 기준에 그룹 이름을 포함하지 말고 OU 및 DC만 포함합니다.
      • 동일한 검색 필터 문자열 내에 objectClassmemberOf를 함께 포함하지 마십시오. 검색 필터의 올바른 형식 예: memberOf=CN=VPN_Users,OU=Users,DC=aslan,DC=local
      보조 인증에 이 서버 사용 (Use this server for secondary authentication) 선택할 경우 이 AD 서버가 보조 인증에 사용됩니다.
      인증 실패 시 세션 종료 (Terminate Session if authentication fails) 선택할 경우 인증에 실패하면 세션이 종료됩니다.
    • LDAP 인증 서버
      표 2. LDAP 인증 서버 옵션
      옵션 설명
      SSL 사용 (Enable SSL) SSL을 사용하도록 설정하면 웹 서버와 브라우저 간에 암호화된 링크가 설정됩니다.
      IP 주소 (IP Address) 외부 서버의 IP 주소입니다.
      포트 (Port) 기본 포트 이름을 표시합니다. 필요한 경우 편집할 수 있습니다.
      시간 초과 (Timeout) AD 서버가 응답해야 하는 제한 시간(초)입니다.
      상태 (Status) 사용 (Enabled) 또는 사용 안 함 (Disabled)을 선택하여 서버를 사용하도록 설정할지 여부를 지정합니다.
      검색 기준 (Search base) 검색할 외부 디렉토리 트리의 일부입니다. 검색 기준은 외부 디렉토리의 조직, 그룹 또는 도메인 이름(AD)과 동일하게 간주될 수 있습니다.
      Bind DN 정의된 검색 기준 내에서 AD 디렉토리를 검색하도록 허용된 외부 서버의 사용자입니다. 대부분의 경우 Bind DN은 전체 디렉토리를 검색할 수 있습니다. Bind DN의 역할은 AD 사용자 인증을 위한 DN(고유 이름)에 대해 쿼리 필터 및 검색 기준을 사용하는 디렉토리를 쿼리하는 것입니다. DN이 반환되면 해당 DN과 암호를 사용하여 AD 사용자를 인증합니다.
      바인딩 암호 (Bind Password) AD 사용자를 인증하기 위한 암호입니다.
      바인딩 암호 다시 입력 (Retype Bind Password) 암호를 다시 입력합니다.
      로그인 특성 이름 (Login Attribute Name) 원격 사용자가 입력한 사용자 ID와 일치하는 이름입니다. Active Directory의 경우 로그인 특성 이름은 sAMAccountName입니다.
      검색 필터 (Search Filter) 검색을 제한하는 필터 값입니다. 검색 필터는 특성 연산자 값 형식을 취합니다.
      보조 인증에 이 서버 사용 (Use this server for secondary authentication) 선택할 경우 이 서버가 보조 인증에 사용됩니다.
      인증 실패 시 세션 종료 (Terminate Session if authentication fails) 선택할 경우 인증에 실패하면 세션이 종료됩니다.
    • RADIUS 인증 서버

      RADIUS 인증은 FIPS 모드에서 사용되지 않도록 설정됩니다.

      표 3. RADIUS 인증 서버 옵션
      옵션 설명
      IP 주소 (IP Address) 외부 서버의 IP 주소입니다.
      포트 (Port) 기본 포트 이름을 표시합니다. 필요한 경우 편집할 수 있습니다.
      시간 초과 (Timeout) AD 서버가 응답해야 하는 제한 시간(초)입니다.
      상태 (Status) 사용 (Enabled) 또는 사용 안 함 (Disabled)을 선택하여 서버를 사용하도록 설정할지 여부를 지정합니다.
      암호 (Secret) RSA 보안 콘솔에서 인증 에이전트를 추가할 때 지정한 공유 암호입니다.
      암호 다시 입력 (Retype secret) 공유 암호를 다시 입력합니다.
      NAS IP 주소 (NAS IP Address) RADIUS 패킷의 IP 헤더에서 소스 IP 주소를 변경하지 않고 RADIUS 특성 4, NAS IP 주소로 구성하고 사용하는 IP 주소입니다.
      재시도 횟수 (Retry Count) 인증에 실패하기 전에 RADIUS 서버가 응답하지 않을 경우 RADIUS 서버에 연결하려고 시도하는 횟수입니다.
      보조 인증에 이 서버 사용 (Use this server for secondary authentication) 선택할 경우 이 서버가 보조 인증에 사용됩니다.
      인증 실패 시 세션 종료 (Terminate Session if authentication fails) 선택할 경우 인증에 실패하면 세션이 종료됩니다.
    • RSA-ACE 인증 서버

      RSA 인증은 FIPS 모드에서 사용되지 않도록 설정됩니다.

      표 4. RSA-ACE 인증 서버 옵션
      옵션 설명
      시간 초과 (Timeout) AD 서버가 응답해야 하는 제한 시간(초)입니다.
      구성 파일 (Configuration File) 찾아보기 (Browse)를 클릭하고 RSA Authentication Manager에서 다운로드한 sdconf.rec 파일을 선택합니다.
      상태 (Status) 사용 (Enabled) 또는 사용 안 함 (Disabled)을 선택하여 서버를 사용하도록 설정할지 여부를 지정합니다.
      소스 IP 주소 (Source IP Address) RSA 서버에 액세스할 때 사용되는 NSX Edge 인터페이스의 IP 주소입니다.
      보조 인증에 이 서버 사용 (Use this server for secondary authentication) 선택할 경우 이 서버가 보조 인증에 사용됩니다.
      인증 실패 시 세션 종료 (Terminate Session if authentication fails) 선택할 경우 인증에 실패하면 세션이 종료됩니다.
    • 로컬 인증 서버
      표 5. 로컬 인증 서버 옵션
      옵션 설명
      암호 정책 사용 (Enable password policy) 선택할 경우 암호 정책을 정의합니다. 필요한 값을 지정합니다.
      암호 정책 사용 (Enable password policy) 선택할 경우 계정 잠금 정책을 정의합니다. 필요한 값을 지정합니다.

      1. 원격 사용자가 잘못된 암호를 입력한 후 자신의 계정에 액세스하기 위해 시도할 수 있는 횟수를 재시도 횟수에 입력합니다.

      2. 특정 시간 내에 로그인 시도에 실패하는 경우 원격 사용자의 계정을 잠그도록 재시도 기간에 기간을 입력합니다.

        예를 들어 재시도 횟수를 5로 지정하고, 재시도 기간을 1분으로 지정하면 1분 내에 5회 시도하여 로그인하지 못하면 원격 사용자의 계정이 잠깁니다.

      3. 사용자 계정을 잠근 상태로 유지하는 기간을 잠금 기간에 입력합니다. 이 시간이 경과하면 계정이 자동으로 잠금 해제됩니다.

      상태 (Status) 사용 (Enabled) 또는 사용 안 함 (Disabled)을 선택하여 서버를 사용하도록 설정할지 여부를 지정합니다.
      보조 인증에 이 서버 사용 (Use this server for secondary authentication) 선택할 경우 이 서버가 보조 인증에 사용됩니다.
      인증 실패 시 세션 종료 (Terminate Session if authentication fails) 선택할 경우 인증에 실패하면 세션이 종료됩니다.
  5. (선택 사항) 클라이언트 인증서 인증을 추가합니다.
    1. 인증서 인증 (Certificate Authentication) 옆의 변경 (Change)을 클릭합니다.
    2. 클라이언트 인증서 인증 사용 (Enable client certificate authentication) 확인란을 선택합니다.
    3. 루트 CA에서 발급한 클라이언트 인증서를 선택하고 확인 (OK)을 클릭합니다.
      제한 사항:
      • SSL VPN-Plus 웹 포털 및 SSL VPN-Plus 전체 액세스 권한 클라이언트(PHAT 클라이언트)에서는 루트 CA에서 서명한 클라이언트 또는 사용자 인증서만 지원됩니다. 중간 CA가 서명한 클라이언트 인증서는 지원되지 않습니다.
      • 클라이언트 인증서 인증은 Windows 컴퓨터에 설치된 SSL VPN-Plus Client에서만 지원됩니다. 이 인증이 Linux 및 Mac 컴퓨터에 설치된 SSL VPN-Plus Client에서는 지원되지 않습니다.