Directory 인증은 모든 클라이언트 및 서버 애플리케이션을 주어진 컴퓨터에 강제하여 Directory의 ID 인증서에 연결하기 전에 이를 검사하는 Security Center 옵션입니다. 이 인증은 메시지 가로채기(man-in-the-middle) 공격을 방지합니다.
언제 Directory 인증이 필요합니까?
Directory 인증의 목적은 중간자(MITM) 공격으로부터 보호하는 것입니다. 인터넷(또는 신뢰할 수 없는 네트워크)을 통해 시스템에 연결하는 애플리케이션이 없는 경우 이러한 종류의 공격 가능성은 매우 낮습니다. 이 경우 이 옵션을 활성화하지 않는 것이 안전할 수 있습니다.
ID 인증서란 무엇입니까?
ID 인증서는 공용 네트워크를 통한 보안 통신에서 한 당사자를 다른 당사자에게 인증하는 데 사용되는 디지털 인증서입니다. ID 인증서는 일반적으로 인증 기관(CA)이라고 하는 두 당사자가 모두 신뢰하는 기관에서 발행합니다.
작동 방식
Security Center의 서버 구성 요소를 설치할 때 GenetecServer-{MachineName}의 자체 서명 인증서가 자동으로 로컬 컴퓨터 인증서 저장소에 생성됩니다. 서버 페이지의 보안 통신 섹션 아래 Server Admin의 현재 인증서를 볼 수 있습니다.
자체 서명 인증서는 메인 서버에 대한 확장 서버를 식별하는 데 사용되므로 메인 서버에 연결하는 데 사용되는 암호를 확장 서버에 로컬로 저장할 필요가 없습니다.
Directory 인증은 사용자 지정 보안 설정을 선택할 때 권장 보안 설정을 선택하거나 항상 Directory 인증서 유효성 검사를 선택하여 Security Center 설치 시 활성화됩니다.
메인 서버에 자체 서명 인증서를 유지하도록 선택하는 경우 처음 워크스테이션을 사용하여 Directory에 연결하면 사용자에게 Directory 서버를 신뢰할 수 있는지 확인하라는 메시지가 표시됩니다.
사용자가 메인 서버를 신뢰할 수 있음을 확인하면 인증서가 화이트리스트에 포함되고 대화 상자가 다시 나타나지 않습니다.
확장 서버에서도 동일한 확인이 필요합니다. Server Admin으로 처음 확장 서버에 로그온하면 대시보드에 이 메시지가 표시됩니다.
메인 서버 연결을 클릭한 다음 나타나는 대화 상자에서 인증서 수락을 클릭해야 합니다.
메인 서버가 확인되면 메인 서버 또는 확장 서버에서 암호 또는 인증서를 변경할 수 있으며, 변경할 때 두 서버가 연결되어 있는 한 다시 신뢰 여부를 확인할 필요가 없습니다.
요구 사항
- 네트워크에서 DNS를 구성해야 합니다. 서버 및 클라이언트 워크스테이션은 메인 서버 이름을 해석할 수 있어야 합니다.
- 메인 서버 이름은 DNS에 의해 Directory 인증서의 일반 이름으로 해석되어야 합니다.
- 클라이언트 워크스테이션 및 확장 서버는 메인 서버에서 제공하는 인증서를 신뢰할 수 있어야 합니다. 그렇지 않으면 처음 컴퓨터가 메인 서버에 연결하는 데 사용될 때 사용자가 항상 인증서를 수락해야 합니다.
설치 후 이 설정을 어떻게 변경합니까?
소프트웨어 설치 후 Directory 인증 설정을 변경하려면 변경하려는 각 컴퓨터에서 GeneralSettings.gconfig 파일을 편집해야 합니다.