Product Documentation

NetScaler MAS에서 인증 구성

Nov 14, 2017

사용자를 NetScaler MAS에서 내부적으로 인증하거나, 인증 서버를 통해 외부적으로 인증하거나, 두 가지 방법을 모두 사용하여 인증할 수 있습니다. 로컬 인증을 사용하는 경우 사용자가 NetScaler MAS 보안 데이터베이스에 있어야 합니다. 사용자가 외부적으로 인증되는 경우 선택한 인증 프로토콜에 따라 사용자의 "외부 이름"이 인증 서버에 등록된 외부 사용자 ID와 일치해야 합니다.

NetScaler MAS는 RADIUS, LDAP 및 TACACS 프로토콜을 통한 외부 인증을 지원합니다. 이 통합 지원에서는 시스템에 액세스하는 모든 로컬 및 외부 AAA(인증, 권한 부여 및 계정) 서버 사용자를 인증하고 권한을 부여하는 공통 인터페이스를 제공합니다. NetScaler MAS는 시스템 통신에 사용하는 실제 프로토콜과 관계없이 사용자를 인증할 수 있습니다. 사용자가 외부 인증을 위해 구성된 NetScaler MAS 구현에 액세스하려고 하면 요청된 응용 프로그램 서버가 인증을 위해 사용자 이름과 암호를 RADIUS, LDAP 또는 TACACS 서버로 전송합니다. 인증에 성공하면 사용자가 해당 프로토콜을 사용하여 NetScaler MAS에서 식별됩니다.

NetScaler MAS에서 사용자를 인증하는 방법에는 두 가지가 있습니다.

  • NetScaler MAS 로컬 서버 사용
  • 외부 인증 서버 사용

다음 순서도에는 로컬 또는 외부 사용자를 인증할 때 따를 워크플로가 나와 있습니다. 

localized image

외부 인증 서버 구성

NetScaler MAS는 외부 AAA(인증, 권한 부여 및 계정) 서비스를 제공하는 다양한 프로토콜을 지원합니다.

NetScaler MAS는 모든 AAA(인증, 권한 부여 및 계정) 서비스 요청을 원격 RADIUS, LDAP 또는 TACACS+ 서버로 전송합니다. 원격 AAA 서버는 요청을 받고 요청의 유효성을 검사한 후 NetScaler MAS에 응답을 보냅니다. 원격 RADIUS, TACACS+ 또는 LDAP 서버를 인증에 사용하도록 구성되는 경우 NetScaler MAS가 RADIUS, TACACS+ 또는 LDAP 클라이언트가 됩니다. 이러한 모든 구성에서 인증 레코드가 원격 호스트 서버 데이터베이스에 저장됩니다. 또한 로그인 및 로그아웃 계정 이름, 할당된 권한, 시간 계산 레코드도 각 사용자의 AAA 서버에 저장됩니다.

NetScaler MAS의 내부 데이터베이스를 사용하여 로컬로 사용자를 인증할 수도 있습니다. 데이터베이스에 사용자와 암호 및 기본 역할에 대한 항목을 만듭니다. 또한 특정 인증 유형의 경우 서버 그룹을 만들 수 있습니다. 서버 그룹의 서버 목록은 순서가 지정된 목록입니다. 항상 목록의 첫 번째 서버가 사용되며, 첫 번째 서버를 사용할 수 없는 경우 목록의 다음 서버가 사용됩니다. 한 그룹에 다양한 유형의 서버를 구성할 수 있고, 구성된 AAA 서버 목록에 폴백 인증 백업으로 내부 데이터베이스를 포함할 수도 있습니다.

RADIUS 인증 서버 구성

하나 이상의 RADIUS 서버를 사용하여 사용자 액세스를 인증하도록 NetScaler MAS를 구성할 수 있습니다. 구성 과정에서 NAS IP(네트워크 액세스 서버 IP) 주소 또는 NAS ID(네트워크 액세스 서버 식별자)를 사용해야 할 수 있습니다. NetScaler MAS가 RADIUS 인증 서버를 사용하도록 구성하는 경우 다음 지침에 유의하십시오. NAS IP 주소를 사용하도록 설정하면 장비가 RADIUS 연결을 설정하는 데 사용되는 원본 IP 주소를 보내지 않고 구성된 IP 주소를 RADIUS 서버로 보냅니다.

  • NAS ID를 구성하면 장비가 식별자를 RADIUS 서버로 보냅니다. NAS ID를 구성하지 않으면 장비가 호스트 이름을 RADIUS 서버로 보냅니다.
  • NAS IP 주소를 사용하도록 설정하면 장비가 구성된 모든 NAS ID를 무시하고 NAS IP를 사용하여 RADIUS 서버와 통신합니다.

RADIUS 인증 서버를 구성하려면

  1.  NetScaler MAS에서 System(시스템) > Authentication(인증) > RADIUS로 이동합니다.
  2. RADIUS 페이지에서 Add(추가)를 클릭합니다.
  3. Create RADIUS Server(RADIUS 서버 만들기) 페이지에서 매개 변수를 설정하고 Create(만들기)를 클릭하여 RADIUS 인증 서버 목록에 서버를 추가합니다. 다음과 같은 매개 변수가 필요합니다.
    1. Name(이름). RADIUS 서버의 이름입니다.
    2. IP Address(IP 주소). RADIUS 서버의 IP 주소입니다.
    3. Port(포트). 기본적으로 RADIUS 인증에는 포트 1812가 사용됩니다. 필요에 따라 다른 포트 번호를 지정할 수 있습니다.
    4. Time-out (seconds)(시간 초과(초)). NetScaler MAS 시스템이 RADIUS 서버의 응답을 대기하는 기간(초)입니다.
    5. Secret Key(비밀 키). 영숫자 표현입니다. NetScaler MAS와 RADIUS 서버가 통신을 위해 공유하는 키입니다.
  4.  Details(세부 정보)를 클릭하여 섹션을 확장하고 추가적인 매개 변수를 설정한 후 Create(만들기)를 클릭합니다.

LDAP 인증 서버 구성

하나 이상의 LDAP 서버를 사용하여 사용자 액세스를 인증하도록 NetScaler MAS를 구성할 수 있습니다. LDAP 인증을 수행하려면 Active Directory, LDAP 서버 및 NetScaler MAS에 동일한 그룹 이름을 사용해야 합니다. 문자와 대/소문자가 모두 일치해야 합니다.

LDAP 인증 서버를 구성하려면

  1. NetScaler MAS에서 System(시스템) > Authentication(인증) > LDAP로 이동합니다.
  2. LDAP 페이지에서 Add(추가)를 클릭합니다.
  3. Create LDAP Server(LDAP 서버 만들기) 페이지에서 매개 변수를 설정하고 Create(만들기)를 클릭하여 LDAP 인증 서버 목록에 서버를 추가합니다. 다음과 같은 매개 변수가 필요합니다.
    1. Name(이름). LDAP 서버의 이름입니다.
    2. IP Address(IP 주소). LDAP 서버의 IP 주소입니다.
    3. Security Type(보안 유형). 시스템과 LDAP 서버 간에 필요한 통신 유형입니다. 드롭다운 목록에서 선택합니다. 일반 텍스트 통신이 부적절할 경우 TLS(전송 계층 보안) 또는 SSL을 선택하여 암호화된 통신을 선택할 수 있습니다.
    4. Port(포트). 기본적으로 LDAP 인증에는 포트 389가 사용됩니다. 필요에 따라 다른 포트 번호를 지정할 수 있습니다.
    5. Server Type(서버 유형). LDAP 서버 유형으로 Active Directory (AD) 또는 Novell Directory Service (NDS)를 선택합니다.
    6. Time-out (seconds)(시간 초과(초)). NetScaler MAS 시스템이 LDAP 서버의 응답을 대기하는 기간(초)입니다.

추가 세부 정보를 제공할 수 있습니다. Validate LDAP Certificate(LDAP 인증서 유효성 검사) 확인란을 선택하고 인증서에 입력한 호스트 이름을 지정하여 LDAP 인증서의 유효성을 검사할 수도 있습니다. 추가할 수 있는 몇 가지 다른 매개 변수에는 디렉터리 서비스에 대한 쿼리를 위한 DN(도메인 네임서버) 세부 정보, 기본 인증 그룹, 그룹 특성 및 기타 특성이 포함됩니다.

기본 DN은 일반적으로 바인드 DN에서 사용자 이름을 제거하고 사용자가 속한 그룹을 지정하여 파생됩니다.  Administrator Bind DN(관리자 바인드 DN) 텍스트 상자에 LDAP 디렉터리에 대한 쿼리에 사용할 관리자 바인드 DN을 입력합니다.

예를 들어 기본 DN의 구문은 다음과 같습니다.

ou=users,dc=ace,dc=com

cn=Users,dc=ace,dc=com

예를 들어 바인드 DN의 구문은 다음과 같습니다.

domain/user name

ou=administrator,dc=ace,dc=com

user@domain.name(Active Directory의 경우)

cn=Administrator,cn=Users,dc=ace,dc=com

NetScaler MAS에서 정의하는 그룹 이름과 사용자 이름은 LDAP 서버에 구성된 이름과 유사해야 합니다.

참고: RADIUS 또는 LDAP 서버를 구성하는 동안 Details(세부 정보) 섹션에 default authentication group(기본 인증 그룹)의 이름을 입력할 수 있습니다. 사용자가 그룹에 연결되어 있는지 여부와 관계없이 인증이 성공하는 경우 이 기본 그룹을 선택하여 사용자가 인증됩니다. 그런 다음 사용자는 이 기본 그룹과 다른 그룹(사용자가 해당 그룹에 할당되어 있는지 여부에 관계없음)에 구성된 권한 조합을 받습니다. 

TACACS 인증 서버 구성

TACACS는 RADIUS 및 LDAP처럼 네트워크 액세스에 대한 원격 인증 서비스를 처리합니다.

TACACS 인증 서버 구성

  1. NetScaler MAS에서 System(시스템) > Authentication(인증) > TACACS로 이동합니다.
  2. TACACS 페이지에서 Add(추가)를 클릭합니다.
  3. Create TACACS Server(TACACS 서버 만들기) 페이지에서 다음 세부 정보를 입력합니다.
    1. TACACS 서버의 이름
    2. TACACS 서버의 IP 주소
    3. 포트 및 시간 초과(초)
    4. 시스템과 TACACS 서버가 통신 시 공유할 키입니다.
    5. Create(만들기)를 클릭합니다.

NetScaler MAS에서 로컬 사용자 인증 구성

로컬 인증을 사용하는 경우 사용자를 만든 후 NetScaler MAS에서 만든 그룹에 추가합니다. 사용자와 그룹을 구성한 후에는 권한 부여 및 세션 정책을 적용하고, 북마크를 생성하고, 응용 프로그램을 지정하고, 사용자가 액세스하는 파일 공유 및 서버의 IP 주소를 지정할 수 있습니다.

NetScaler MAS에서 로컬 사용자 인증을 구성하려면

  1. NetScaler MAS에서 System(시스템) > Authentication(인증)으로 이동하고 Authentication Configuration(인증 구성)을 클릭합니다.
  2. Authentication Configuration(인증 구성) 페이지의 Server Type(서버 유형) 드롭다운 상자에서 LOCAL(로컬)을 선택하고 OK(확인)를 클릭합니다.

NetScaler MAS에서 외부 인증 구성

NetScaler MAS에서 외부 인증 서버를 구성하는 경우 해당 외부 서버에서 인증된 사용자 그룹을 NetScaler MAS로 가져오게 됩니다. NetScaler MAS에서 사용자를 만들지 않아도 됩니다. NetScaler MAS의 외부 서버에서 사용자가 관리됩니다. 하지만 외부 인증 서버에서 사용자 그룹이 갖는 권한 수준이 NetScaler MAS에서 유지되도록 해야 합니다. NetScaler MAS가 시스템의 특정 부하 분산 장치 가상 서버와 특정 응용 프로그램에 액세스하는 그룹 권한을 할당하여 사용자 권한 부여를 수행합니다. 이후에 특정 인증 서버가 시스템에서 제거되면 그룹 및 사용자가 시스템에서 자동으로 제거됩니다.

NetScaler MAS에서 외부 인증을 구성하려면

  1. NetScaler MAS에서 System(시스템) > Authentication(인증) > Authentication Configuration(인증 구성)으로 이동합니다.
  2. Authentication Configuration(인증 구성) 페이지의 Server Type(서버 유형) 드롭다운 목록에서 EXTERNAL(외부)을 선택합니다.
  3. Insert(삽입)를 클릭합니다.
  4. External Servers(외부 서버) 페이지에서 인증 서버를 선택합니다. 필요한 경우 여러 인증 서버를 선택하여 연속적으로 구성할 수 있습니다.
    참고: 외부 인증 서버만 연속적으로 구성할 수 있습니다.
  5. OK(확인)를 클릭하여 페이지를 닫습니다.

선택한 서버가 Authentication Servers(인증 서버) 페이지에 표시됩니다.

목록에서 서버 이름 옆에 있는 아이콘을 사용하여 서버를 위나 아래로 이동하여 인증 순서를 지정할 수도 있습니다.

NetScaler MAS에서 그룹 구성

NetScaler MAS에서는 그룹을 만들고 해당 그룹에 사용자를 추가하여 사용자를 인증하고 권한을 부여할 수 있습니다. 그룹은 "관리자" 또는 "읽기 전용" 권한을 가질 수 있으며 해당 그룹의 모든 사용자가 동일한 권한을 받습니다.

NetScaler MAS에서는 그룹이 유사한 권한을 갖는 사용자 집합으로 정의됩니다. 한 그룹이 하나 또는 여러 역할을 가질 수 있습니다. 사용자는 할당된 권한에 따라 액세스 권한을 갖는 엔터티로 정의됩니다. 사용자는 하나 이상의 그룹에 속할 수 있습니다.

NetScaler MAS에 로컬 그룹을 만들고 해당 그룹의 사용자에 대해 로컬 인증을 사용할 수 있습니다. 외부 서버를 인증에 사용하는 경우 내부 네트워크의 인증 서버에 구성된 그룹과 일치하는 그룹을 NetScaler MAS에서 구성합니다. 사용자가 로그온하고 인증될 때 그룹 이름이 인증 서버의 그룹과 일치하면 사용자가 NetScaler MAS의 해당 그룹에 대한 설정을 상속합니다.

그룹을 구성한 후에는 권한 부여 및 세션 정책을 적용하고, 북마크를 생성하고, 응용 프로그램을 지정하고, 사용자가 액세스하는 파일 공유 및 서버의 IP 주소를 지정할 수 있습니다.

로컬 인증을 사용하는 경우 사용자를 만든 후 NetScaler MAS에서 구성된 그룹에 추가합니다. 그러면 사용자가 해당 그룹에 대한 설정을 상속합니다.

참고: 사용자가 Active Directory 그룹의 구성원인 경우 NetScaler MAS의 그룹 이름과 사용자 이름이 Active Directory 그룹에 있는 것과 동일해야 합니다.

NetScaler MAS에서 사용자 그룹을 구성하려면

  1. NetScaler MAS에서 System(시스템) > User Administration(사용자 관리) > Groups(그룹)로 이동합니다.
  2. Groups(그룹) 페이지에서 Add(추가)를 클릭하여 그룹을 만듭니다. 기본적으로 NetScaler MAS에는 관리자 권한과 읽기 전용 권한을 갖는 두 그룹이 생성됩니다. 이러한 그룹에 사용자를 추가하거나 해당 사용자를 위해 다른 그룹을 만들 수 있습니다.
  3. Create System Group(시스템 그룹 만들기) 페이지에서 그룹 이름을 입력하고 관리자 또는 읽기 전용으로 권한을 설정합니다. 

참고: NetScaler MAS에서 만든 사용자 그룹 이름이 외부 인증 서버에서 만든 이름과 동일한지 확인하십시오. 그렇지 않을 경우 시스템이 그룹을 인식하지 않아 그룹 구성원이 시스템으로 추출되지 않습니다.

4.  Users(사용자) 테이블에서 그룹에 추가할 사용자를 선택합니다. NetScaler MAS에서 사용자 구성 단계에서 사용자를 구성할 때 이 테이블에 사용자가 추가됩니다. 또한 Session Timeout(세션 시간 초과) 옵션을 구성하여 해당 그룹의 사용자로 로그인한 세션에 대한 시간 초과 제한을 설정할 수 있습니다. 그룹 구성원이 액세스할 수 있는 VM 인스턴스도 설정할 수 있습니다.

5.  다음 화면에서 특정 NetScaler 인스턴스에 권한을 제공할 수 있습니다. 이렇게 하면 사용자가 해당 인스턴스에만 액세스할 수 있습니다. 그러나 사용자는 여전히 새 인스턴스를 시스템에 만들고 해당 인스턴스를 관리할 수 있습니다.

시스템에 그룹을 만드는 작업을 완료하면 외부 인증 서버의 모든 사용자가 시스템으로 추출됩니다. 그룹 이름이 외부 인증 서버의 그룹 이름과 일치하는 경우 사용자가 시스템에 로그온하면 모든 권한 부여 정의를 상속합니다.

NetScaler MAS에서 사용자 구성

NetScaler MAS에서 로컬로 사용자 계정을 만들어 인증 서버에 사용자를 제공할 수 있습니다. 예를 들어 인증 서버에 사용자 항목을 만들지 않고 컨설턴트 또는 방문자와 같은 임시 사용자의 로컬 사용자 계정을 만들 수 있습니다. 외부 인증 서버에 있는 사용자를 로컬로 인증하는 경우 동일한 사용자가 인증 서버와 NetScaler MAS에 모두 있어야 합니다.

NetScaler MAS에서 사용자를 구성하려면

  1. NetScaler MAS에서 System(시스템) > User Administration(사용자 관리) > Users(사용자)로 이동합니다.
  2. Users(사용자) 페이지에서 Add(추가)를 클릭하여 NetScaler MAS에 사용자를 추가합니다.
  3. Create System User(시스템 사용자 만들기) 페이지에서 다음과 같은 매개 변수를 설정합니다.
    1. User Name(사용자 이름): 사용자 이름
    2. Password(암호): 사용자가 NetScaler MAS에 로그온하는 데 사용할 암호
    3. Enable External Authentication(외부 인증 사용). 외부 인증을 사용하도록 설정합니다. 이 옵션을 선택하지 않으면 사용자가 로컬 사용자로 인증됩니다.
    4. Configure Session Timeout(세션 시간 초과 구성). 사용자가 활성 상태로 유지되는 시간입니다. 이 시간은 분 또는 시간 단위로 설정할 수 있습니다.
  4. Groups(그룹) 테이블에서 사용자를 추가할 그룹을 선택합니다. NetScaler MAS에서 사용자 그룹 구성 단계에서 사용자를 구성할 때 이 테이블에 그룹 구성원이 추가됩니다.

참고: 사용자가 Active Directory에 있는 경우 NetScaler MAS의 그룹 이름이 외부 서버의 Active Directory 그룹에 있는 이름과 동일해야 합니다.