목차

  1. 개요
  2. 설치
  3. LDAP 구성
  4. 그룹 정책 설정
  5. 웹 리스너 및 락아웃가드 구성


    그룹 정책 설정


    그룹 정책에서 계정 잠금 정책을 구성하지 않은 경우에는 이번 단원에서 그 정책을 반드시 지정해야 합니다. 도메인 컨트롤러의 그룹 정책 관리 콘솔에서 Default Domain Policy를 마우스 오른쪽 버튼으로 클릭하고 Edit를 클릭합니다.
  6.    

     

    그룹 정책 관리 편집기가 실행되면 Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy 노드로 이동합니다. 오른쪽 세부 창에서 Account lockout threshold 항목을 클릭하고 Define this policy setting 항목을 체크합니다. 여기 예에서는 임계값을 5로 지정하고 확인 버튼을 클릭합니다. Account lockout duration과 reset account lockout counter after 설정값은 변경하도록 자동으로 기본값으로 변경됩니다.

       

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    목차

    1. 개요
    2. 설치
    3. LDAP 구성
    4. 그룹 정책 설정
    5. 웹 리스너 및 락아웃가드 구성

         

      #3. LDAP 서버 구성 

      앞 강좌에서 락아웃가드를 설치하는 방법에 대해 설명했는데 보기보다 아주 쉽습니다. 하지만, 이 번에 소개하는 LDAP 구성 부분은 가장 핵심적이면서도 중요한 부분이라는 점을 먼저 밝혀 둡니다.

      ISA 방화벽에서 LDAP 서버 설정을 하는 가장 큰 이유는 바로 LDAP 인증을 이용하기 위해서입니다. ISA 서버 도메인 멤버 서버라 할지라도 LDAP 설정을 해야 합니다. 그 이유는 현재 인증을 시도하는 사용자가 비밀번호를 틀리게 입력하는 회수 등을 필터가 알아 채야 하기 때문으로 LDAP 조회(lookup)이 필요한 이유입니다.

      ISA 콘솔에서 Configuration - General 노드로 이동합니다. 아래 그림과 같이 Specify RADIUS and LDAP servers 링크를 클릭합니다.

       

      Authentication Servers 대화상자에서 LDAP Servers 탭을 클릭합니다. 아래 그림에서 하나 추가한 것을 볼 수 있으며, 새로운 LDAP 서버를 추가하려면 Add 버튼을 클릭합니다.

       

      가장 먼저 설정한 작업이 바로 LDAP 서버를 추가하는 것입니다. LDAP 서버는 보통 도메인 컨트롤러로 ISA 방화벽에 인증을 하는 도메인 사용자의 정보를 가지고 있습니다. Add 버튼을 눌러 LDAP 서버를 추가합니다. 위의 예에서는 win2008rc0-dc.msfirewall.org 서버를 추가하였습니다. LDAP 서버에서는 자체적으로 인증서를 가지고 있어야 하므로 이름을 지정할 때에 주의해야 합니다. 입력한 이름이 인증서의 이름/주체와 일치하지 않는 경우에는 LDAP 인증을 할 수 없습니다.

      게다가, ISA 방화벽은 도메인 컨트롤러에서 설치된 인증서를 발급하는 서버 인증서 발급의 CA 인증서를 가지고 있어야 합니다. CA 인증서는 ISA 방화벽의 Trusted Root Certification Authorities 인증서 저장소에 설치되어야 합니다. ISA 방화벽에 CA 인증서를 설치하지 않는 경우에는 DC가 제시하는 서버 인증서를 신뢰할 수 없기 때문에 LDAP 연결을 할 수 없습니다.

      또한 가능하다면 하나 이상의 도메인 컨트롤러를 추가하는 것이 좋습니다. 이는 결함허용을 위한 것으로 첫 번째 DC에 장애가 있더라도 두 번째 DC가 동작할 수 있는 여지를 줄 수 있기 때문입니다.

      Type the Active Directory domain name 입력 상자에서 도메인의 이름을 입력합니다. 입력할 때에는 FQDN을 입력하지 않고 도메인 이름만을 입력합니다. Connect LDAP servers over a secure connection에 체크합니다. 아주 중요한 부분으로 안전한 방식이 아닌 DC로의 연결을 하지 못하게 합니다.

      마지막으로 ISA 방화벽에서 LDAP 서버에 연결할 때 사용할 사용자 이름을 입력합니다. 사용자 이름은 도메인 관리자나 엔터프라이즈 관리자 권한을 가질 필요가 없으며 일반 사용자 계정이면 충분합니다. 하지만, 외부에서 액세스할 수 있는 계정인지 확인해야 하는데 ISA는 미리 입력한 사용자 이름/비밀번호 정보를 간직하기 때문입니다. LDAP 사용자는 여기서 입력한 값으로 절대 계정이 잠기지 않게 됩니다.(ISA가 LDAP에 연결할 때에 비밀번호를 틀리게 입력하는 회수를 모두 0으로 초기화함)

       

      마지막으로 수행할 작업은 로그인 방식(Login Expression)을 구성하는 것입니다. New 버튼을 클릭하고 *를 입력하고 앞서 생성했던 LDAP 서버를 선택합니다.

       

      지금까지 ISA 방화벽에서 LDAP 서버를 설정하는 방법에 대해 알아 봤습니다. 다음 강좌에서는 그룹 정책에 대해서 설명할 예정입니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      목차

      1. 개요
      2. 설치
      3. LDAP 구성
      4. 그룹 정책 설정
      5. 웹 리스너 및 락아웃가드 구성   

         

      1. 설치

        설치하기 전에 먼저 락아웃가드 프로그램을 다운로드합니다. 이 프로그램은 상용 제품으로 구매하기 전에 일정한 기간동안 데모로 사용할 수 있습니다. 프로그램은 ISA 컴퓨터에서 웹 브라우저를 열어 다운로드 받지 않도록 주의해야 합니다. 다른 클라이언트에서 다운로드받아 CD나 USB 등의 저장매체를 이용하여 ISA 서버에서 실행하는 것이 좋습니다.

        이제 설치를 진행합니다. LockoutGuard.msi 파일을 더블클릭하여 실행합니다. 실행하기 전에는 반드시 ISA 관리도구 화면을 닫아야 합니다.

        (1) LockoutGuard 설치 화면이 나타납니다. 락아웃가드를 설치하는 동안에는 방화벽 서비스가 일시적으로 중지됩니다. 따라서, 설치 전에 방화벽 서비스를 중지시키고 설치를 마친 후에 자동으로 방화벽 서비스가 시작되도록 Stop/start service automatically 항목을 체크합니다. Next를 클릭합니다.

         

        (2) End-User License Agreement 페이지가 나타납니다. I accept the terms in the License Agreement에 체크하고 Next 버튼을 클릭합니다.

         

        (3) Choose Setup Type 페이지에서는 설치 유형을 지정합니다. 제품의 모든 기능을 설치하기 위해 Complete 버튼을 클릭하고 Next 버튼을 클릭합니다.

           

        (4) Ready to Install 페이지가 나타납니다. Install 버튼을 클릭하면 실제 설치가 진행됩니다.

         

        (5) 모든 설치작업을 진행하기 위해서는 시스템 관리자(administrator) 권한이 필요합니다. 락아웃가드를 설치하는 동안에는 .NET 프레임워크 2.0이 설치되어 있는지 확인하는 과정을 거칩니다. 만약 설치되어 있지 않은 경우에는 아래와 같이 경고 창을 보여 줍니다. 락아웃가드의 설치를 중지하고 .NET 프레임워크를 설치합니다.

         

        OK 버튼을 클릭하면 아래 화면과 같이 설치를 중지하게 된 이유를 찾아 볼 수 있도록 빨간 색으로 강조한 설명을 볼 수 있습니다. Finish 버튼을 눌러 설치를 중지합니다.

         

        (6) .NET 프레임워크 2.0을 설치하고 나서 처음부터 설치 과정을 다시 진행합니다. 5단계에서 중지되었단 부분을 문제없이 넘어가게 되면 설치가 성공적으로 이루어지게 됩니다.

         

        (7) 설치가 완료되면 아래와 같은 화면이 나타납니다.

         

        다음 강좌에서는 3. LDAP 서버 구성에 대해 다룰 예정입니다.

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        목차

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus


          Web Analytics Blogs Directory