Directory 인증이란 무엇입니까? - Security Center 5.11

Security Center 관리자 안내서 5.11

Applies to
Security Center 5.11
Last updated
2022-11-18
Content type
안내서 > 관리자 안내서
Language
한국어
Product
Security Center
Version
5.11

Directory 인증은 모든 클라이언트 및 서버 애플리케이션을 주어진 컴퓨터에 강제하여 Directory의 ID 인증서에 연결하기 전에 이를 검사하는 Security Center 옵션입니다. 이 인증은 메시지 가로채기(man-in-the-middle) 공격을 방지합니다.

언제 Directory 인증이 필요합니까?

Directory 인증의 목적은 중간자(MITM) 공격으로부터 보호하는 것입니다. 인터넷(또는 신뢰할 수 없는 네트워크)을 통해 시스템에 연결하는 애플리케이션이 없는 경우 이러한 종류의 공격 가능성은 매우 낮습니다. 이 경우 이 옵션을 활성화하지 않는 것이 안전할 수 있습니다.

ID 인증서란 무엇입니까?

ID 인증서는 공용 네트워크를 통한 보안 통신에서 한 당사자를 다른 당사자에게 인증하는 데 사용되는 디지털 인증서입니다. ID 인증서는 일반적으로 인증 기관(CA)이라고 하는 두 당사자가 모두 신뢰하는 기관에서 발행합니다.

참고: Security Center에서 사용되는 모든 ID 인증서는 서버 인증서입니다. 서버 인증서는 서버 ID를 클라이언트에 인증하는 데 사용하는 ID 인증서입니다. 서버 인증서는 전송 중 데이터를 암호화하여 데이터 기밀을 확보하는 데도 사용합니다. 통신 보안 맥락에서 연결을 시작하는 당사자는 클라이언트이며, 연결을 수락하는 당사자는 서버입니다.

작동 방식

Security Center의 서버 구성 요소를 설치할 때 GenetecServer-{MachineName}자체 서명 인증서가 자동으로 로컬 컴퓨터 인증서 저장소에 생성됩니다. 서버 페이지의 보안 통신 섹션 아래 Server Admin의 현재 인증서를 볼 수 있습니다.

자체 서명 인증서는 메인 서버에 대한 확장 서버를 식별하는 데 사용되므로 메인 서버에 연결하는 데 사용되는 암호를 확장 서버에 로컬로 저장할 필요가 없습니다.

Directory 인증은 사용자 지정 보안 설정을 선택할 때 권장 보안 설정을 선택하거나 항상 Directory 인증서 유효성 검사를 선택하여 Security Center 설치 시 활성화됩니다.

최상의 방법: Directory 인증을 활성화하도록 선택하는 경우 메인 서버에서 자체 서명 인증서를 신뢰할 수 있는 서버에서 발급한 인증서로 교체하는 것이 좋습니다 CA(인증 기관). CA는 내부 또는 제3자로 구성될 수 있습니다. 이를 통해 사용자가 기본 메커니즘을 인식하도록 하지 않고도 고도의 보안 시스템을 배포할 수 있습니다.

메인 서버에 자체 서명 인증서를 유지하도록 선택하는 경우 처음 워크스테이션을 사용하여 Directory에 연결하면 사용자에게 Directory 서버를 신뢰할 수 있는지 확인하라는 메시지가 표시됩니다.

사용자가 메인 서버를 신뢰할 수 있음을 확인하면 인증서가 화이트리스트에 포함되고 대화 상자가 다시 나타나지 않습니다.

확장 서버에서도 동일한 확인이 필요합니다. Server Admin으로 처음 확장 서버에 로그온하면 대시보드에 이 메시지가 표시됩니다.

메인 서버 연결을 클릭한 다음 나타나는 대화 상자에서 인증서 수락을 클릭해야 합니다.

메인 서버가 확인되면 메인 서버 또는 확장 서버에서 암호 또는 인증서를 변경할 수 있으며, 변경할 때 두 서버가 연결되어 있는 한 다시 신뢰 여부를 확인할 필요가 없습니다.

요구 사항

Directory 인증이 작동하려면 다음 조건을 충족해야 합니다.
  • 네트워크에서 DNS를 구성해야 합니다. 서버 및 클라이언트 워크스테이션은 메인 서버 이름을 해석할 수 있어야 합니다.
  • 메인 서버 이름은 DNS에 의해 Directory 인증서의 일반 이름으로 해석되어야 합니다.
  • 클라이언트 워크스테이션 및 확장 서버는 메인 서버에서 제공하는 인증서를 신뢰할 수 있어야 합니다. 그렇지 않으면 처음 컴퓨터가 메인 서버에 연결하는 데 사용될 때 사용자가 항상 인증서를 수락해야 합니다.

설치 후 이 설정을 어떻게 변경합니까?

소프트웨어 설치 후 Directory 인증 설정을 변경하려면 변경하려는 각 컴퓨터에서 GeneralSettings.gconfig 파일을 편집해야 합니다.