형식 상자에는 제한적인 scanf 스타일 문자열을 입력합니다.

구성 요소 상자에서는 다음 항목 중 하나를 선택합니다.

• 사용되지 않음

• 사용자 이름

• 도메인

• DN

형식 상자에 제한적인 scanf 스타일 문자열로 입력하는 구성 요소는 다음 항목 중 하나 이상으로 구성됩니다.

• 사용자 이름

• 도메인

• 정규화된 DN(고유 이름)

비표준 형식을 지정하려면 각 구성 요소에 대해 "%s" 또는 "%[...]" 지시문을 포함하여 형식 상자에 scanf 스타일로 형식을 입력합니다.

상자 서식을 통해 NAS(네트워크 액세스 장치)가 사용자 이름 특성에서 보내는 내용을 어플라이언스에 알려 주어야 합니다. 이 서식은 RADIUS 계정 RFC에 따라 지정되지 않습니다. 장치가 이 특성에서 보낼 수 있는 내용에는 제한이 없습니다. 따라서 특성의 내용은 달라질 수 있습니다. 여기서 설정하는 내용에 따라 어플라이언스가 사용자 이름, 도메인 및/또는 DN을 추출하기 위해 사용자 이름 특성의 암호를 해독하는 방법이 지정됩니다. 일반적인 경우에 사용되는 미리 정의된 형식도 몇 가지 있지만 이 형식이 네트워크 액세스 서버에서 보내는 내용과 일치하지 않으면 사용자 이름 특성 형식으로 기타를 선택하고 사용자 지정된 형식을 입력해야 합니다.

기타를 선택하면 이러한 필드가 이전에 선택한 형식의 형식 문자열 및 구성 요소로 설정됩니다. 그러므로 네트워크 액세스 서버에서 보내는 내용과 가장 근접하게 일치하는 미리 정의된 형식을 먼저 선택할 수 있습니다. 그런 다음 기타로 변경하면 사용자 지정된 형식을 보다 쉽게 입력할 수 있습니다.

Note 구성 요소 상자를 두 번 클릭하면 scanf 스타일의 형식 입력 방법에 대한 지침이 포함된 도구 설명 상자를 표시할 수 있습니다.

전달 탭에서는 RADIUS 계정 서버를 네 개까지 입력할 수 있습니다

13. 전달 탭에서 클라이언트가 메시지를 전달하도록 할 RADIUS 계정 서버의 IP 주소, 포트 및 공유 비밀키를 입력합니다.

14. 시간 초과 상자와 재시도 횟수 상자에 초 단위 시간 초과 기간과 재시도 횟수를 입력합니다.

로그아웃한 사용자를 확인하기 위해 Dell SonicWALL 네트워크 보안 어플라이언스는 SSO 에이전트에게 보내는 단일 요청 메시지에 로그인한 여러 사용자의 요청을 보내 SSO 에이전트를 폴링합니다. SSO 에이전트에게 보내는 단일 요청 메시지에서 방화벽이 보낼 수 있는 사용자 요청 수를 구성하려면 다음을 수행합니다.

15. SSO 에이전트 탭을 클릭합니다.

16. 추가 단추를 클릭합니다.
SSO 인증 구성 대화 상자가 나타납니다.

17. 고급 탭을 클릭합니다.

18. 단일 요청 메시지에서 방화벽이 SSO 에이전트에 보낼 수 있는 최대 사용자 요청 수를 한 번에 전송하는 최대 요청 수 상자에 입력합니다.

19. 확인을 클릭합니다.

고급 LDAP 구성

Dell SonicWALL SSO 에이전트용 Dell SonicWALL 네트워크 보안 어플라이언스 구성의 에서 사용자 탭의 LDAP를 사용하여 사용자 그룹 정보 검색을 선택한 경우 LDAP 설정을 구성해야 합니다.

LDAP 설정을 구성하려면 다음 단계를 수행합니다.

1. SSO 구성 창의 사용자 탭에서 LDAP를 사용하여 사용자 그룹 정보 검색 옆의 구성 단추를 클릭합니다.

2. 설정 탭이 표시됩니다. 이름 또는 IP 주소 필드에 LDAP 서버의 이름 또는 IP 주소를 입력합니다.

포트 번호 필드에 LDAP 서버의 포트 번호를 입력합니다. 기본 LDAP 포트는 다음과 같습니다.

• 기본 LDAP 포트 - 389

• 기본 LDAP over TLS 포트 - 636

4. 서버 타임 아웃(초) 필드에 시도 시간이 초과될 때까지 Dell SonicWALL 보안 어플라이언스가 LDAP 서버의 응답을 기다리는 시간을 초 단위로 입력합니다. 1에서 99999 사이의 값을 입력할 수 있습니다. 기본값은 10초입니다.

5. 전체 작업 타임 아웃(분) 필드에 시간이 초과될 때까지 Dell SonicWALL 보안 어플라이언스가 자동 작업을 수행하는 시간을 분 단위로 입력합니다. 1에서 99999 사이의 값을 입력할 수 있습니다. 기본값은 5분입니다.

6. 익명으로 로그인하려면 익명 로그인 라디오 단추를 선택합니다. 일부 LDAP 서버에서는 익명 트리 액세스를 허용합니다. 서버에서 이러한 액세스를 지원하는 경우(MS AD에서는 대개 지원되지 않음) 이 옵션을 선택할 수 있습니다.

로그인 이름을 사용하여 트리에 액세스하려면 로그인 이름/트리의 위치 제공을 선택합니다.

고유 이름을 사용하여 트리에 액세스하려면 바인딩 고유 이름 제공을 선택합니다.

7. 사용자의 이름과 암호를 사용하여 로그인하려면 로그인 사용자 이름 필드에 사용자 이름을 입력하고 로그인 암호 필드에 암호를 입력합니다. 로그인 이름은 전체 'dn' 표기법으로 LDAP 서버에 자동 표시됩니다.

Note 로그인 사용자 이름 필드에는 사용자 이름이나 로그인 ID가 아닌 사용자의 이름을 입력하십시오. 예를 들어 John Doe는 jdoe가 아닌 John Doe로 로그인합니다.

8. 프로토콜 버전 드롭다운 메뉴에서 LDAP 버전을 LDAP 버전 2 또는 LDAP 버전 3 중에서 선택합니다. AD를 비롯한 대부분의 LDAP 구현에서는 LDAP 버전 3이 사용됩니다.

9. Transport Layer Security(SSL)를 사용하여 LDAP 서버에 로그인하려면 TLS(SSL) 사용 확인란을 선택합니다. 네트워크에서 전송되는 사용자 이름과 암호를 보호하려면 TLS를 사용하는 것이 좋습니다. AD를 비롯한 대부분의 LDAP 서버 구현에서는 TLS가 지원됩니다.

10. LDAP 서버가 같은 TCP 포트에서 TLS 및 비 TLS 모드로 작동할 수 있도록 하려면 LDAP '시작 TLS' 요청 보내기 확인란을 선택합니다. 일부 LDAP 서버 구현에서는 기본 LDAP over TLS를 사용하는 대신 시작 TLS 지시문을 지원합니다. 따라서 LDAP 서버가 특정 포트(보통 389)에서 LDAP 연결을 수신하고 클라이언트의 지시에 따라 TLS로 전환할 수 있습니다. AD에서는 이 옵션을 사용하지 않으며, LDAP 서버에서 요구하는 경우에만 이 옵션을 선택해야 합니다.

Note LDAP 서버가 TLS/비TLS에 동일한 포트 번호를 사용하는 경우에만 LDAP '시작 TLS' 요청 보내기 확인란을 선택합니다.

11. 서버에서 유효한 인증서를 요청하려면 서버에 유효한 인증서 요청 확인란을 선택합니다. 그러면 TLS 교환 시 서버에서 제공하는 인증서의 유효성을 검사하여 위에서 지정한 이름이 인증서의 이름과 일치하는지 확인합니다. 이 기본 옵션을 선택 취소하면 경고가 표시되지만 Dell SonicWALL 보안 어플라이언스와 LDAP 서버 사이의 교환에서는 TLS가 계속 사용되고 발급 유효성 검사만 수행되지 않습니다.

12. TLS 로컬 인증서 드롭다운 메뉴에서 로컬 인증서를 선택합니다. 이 항목은 LDAP 서버에서 연결용 클라이언트 인증서를 요구하는 경우에만 사용되는 옵션 설정입니다. LDAP 클라이언트의 ID를 확인하기 위해 암호를 반환하는 LDAP 서버 구현에서는 이 기능이 유용합니다. AD에서는 암호를 반환하지 않습니다. 또한 AD에는 이 설정이 필요하지 않습니다.

13. 적용을 클릭합니다.

14. 스키마 탭을 클릭합니다.

LDAP 스키마 드롭다운 메뉴에서 다음 LDAP 스키마 중 하나를 선택합니다. 미리 정의된 스키마 중 하나를 선택하면 해당 스키마에서 사용되는 필드에 올바른 값이 자동으로 채워집니다. '사용자 정의'를 선택하면 고유한 값을 지정할 수 있습니다. 특정/전용 LDAP 스키마 구성이 있는 경우에만 이 옵션을 사용하십시오.

– Microsoft Active Directory

– RFC2798 InetOrgPerson

– RFC2307 NIS(네트워크 정보 서비스)

– 삼바 SMB

– Novell eDirectory

– 사용자 정의

16. 개체 클래스 필드에서는 다음의 두 필드가 적용되는 개별 사용자 계정을 나타내는 특성을 정의합니다. 사용자 정의를 선택하는 경우가 아니면 이 필드를 수정할 수 없습니다.

17. 로그인 이름 특성 필드에서는 로그인 인증에 사용되는 특성을 정의합니다. 사용자 정의를 선택하는 경우가 아니면 이 필드를 수정할 수 없습니다.

18. 정규화된 로그인 이름 특성 필드는 비어 있지 않은 경우 사용자의 대체 로그인 이름을 name@domain 형식으로 설정하는 사용자 개체의 특성을 지정합니다. 특히 도메인에서 간단한 로그인 이름이 고유하지 않을 수 있는 여러 도메인을 사용할 경우 이 특성을 선택해야 할 수도 있습니다. Microsoft Active Directory의 경우 일반적으로 name@domain을 사용한 로그인에는 userPrincipalName으로 설정됩니다. Active Directory 및 RFC2798 inetOrgPerson의 경우 mail로 설정될 수도 있습니다.

19. 사용자 그룹 멤버 자격 특성 필드에는 사용자 오브젝트가 속하는 그룹의 정보가 포함되어 있습니다. Microsoft Active Directory에서는 memberOf입니다. 그 외 미리 정의된 스키마에서는 사용자 개체가 아닌 그룹 개체에 그룹 구성원 자격 정보를 저장하므로 이 필드가 사용되지 않습니다.

20. 추가 사용자 그룹 ID 특성 필드에 사용자의 기본 그룹 ID를 포함하는 특성을 입력합니다. 이 필드는 사용자 계정을 위한 기본 사용자 그룹 정보를 얻는 데 사용되며 추가 사용자 그룹 일치 특성 옵션과 함께 사용됩니다. 사용자 그룹 정보에 대한 데이터베이스 검색을 사용하려면 사용 확인란을 선택합니다.

Windows에는 각 사용자가 기본 사용자 그룹을 갖는 개념이 있으며, 일반적으로 도메인 사용자의 경우 도메인 사용자이고 관리자의 경우 관리자 사용자입니다. 그러나 사용자 그룹 멤버 자격에 대한 LDAP 검색은 Active Directory에서 반환되는 목록에 기본 그룹을 포함하지 않습니다. 따라서 도메인 사용자 또는 관리자 사용자 그룹에 대한 설정 규칙과 정책을 허용하려면 어플라이언스는 별도의 LDAP 검색을 사용하여 사용자의 기본 사용자 그룹을 검색해야 합니다.

Active Directory에서는 사용자의 기본 그룹이 다른 사용자 그룹 멤버 자격처럼 이름으로 설정되지 않으므로 검색을 위한 특성을 사용해야 합니다. 대신 ID 번호를 지정하는 primaryGroupID 특성으로 사용자 오브젝트에 설정됩니다. 이 ID 번호는 primaryGroupToken 특성에 의해 사용자 그룹 오브젝트에 지정됩니다.

LDAP에서 사용자 그룹 멤버 자격을 사용하여 사용자 오브젝트를 읽은 후에 그룹 정책을 적용하기 위해 이러한 사용자 그룹을 어플라이언스에서 사용하려면 어플라이언스는 사용자의 primaryGroupID 특성과 일치하는 primaryGroupToken 특성을 사용하여 사용자 그룹의 추가 검색을 수행해야 합니다.

사용자 그룹 검색에 추가 시간 오버헤드가 발생하므로 이러한 특성의 사용은 기본적으로 꺼져 있습니다. 사용자의 기본 사용자 그룹을 검색하려면 사용 확인란을 사용하도록 설정해야 합니다.

이 기능은 Active Directory의 특성에 주로 사용되기는 하지만 추가 사용자 그룹 ID 특성 및 추가 사용자 그룹 일치 특성 필드에 적절한 특성 값을 설정하여 한 명의 추가 사용자 그룹을 검색할 수 있도록 모든 스키마에서 작동할 수 있습니다. 이러한 필드는 Active Directory가 선택되었을 때 기본적으로 primaryGroupID 및 primaryGroupToken입니다.

21. 프레임 IP 주소 특성 필드는 디렉터리에서 사용자에게 할당되는 고정 IP 주소를 검색하는 데 사용할 수 있습니다. 현재는 L2TP를 사용하여 Dell SonicWALL 보안 어플라이언스의 L2TP 서버에 연결하는 사용자에 한해서만 사용됩니다. 향후 릴리스에는 Dell SonicWALL GVC(글로벌 VPN 클라이언트)에도 지원될 수 있습니다. Active Directory에서는 사용자 속성의 전화 접속 탭에서 고정 IP 주소를 구성합니다.

22. 개체 클래스 필드에서는 LDAP 디렉터리가 포함할 수 있는 항목 유형을 정의합니다. AD에서 사용되는 샘플 개체 클래스로는 'user' 또는 'group' 등이 있습니다.

23. 구성원 특성 필드에서는 로그인 인증에 사용되는 특성을 정의합니다.

24. 추가 사용자 그룹 일치 특성 필드는 사용자를 위한 사용자 그룹 ID를 포함하는 특성을 정의합니다. 추가 사용자 그룹 일치 특성 필드는 추가 사용자 그룹 ID 특성 필드와 함께 사용됩니다.

25. 디렉터리 탭을 선택합니다.

기본 도메인 필드에서 LDAP 구현에 사용되는 사용자 도메인을 지정합니다. AD의 경우 이 도메인이 yourADdomain.com과 같은 Active Directory 도메인 이름이 됩니다. 필요에 따라서는 이 필드의 내용을 변경할 수 있는데, 그러면 페이지의 나머지 부분에서 트리 정보가 자동으로 업데이트됩니다. 모든 스키마에 대해 mydomain.com으로 기본 설정되며, Novell eDirectory의 경우 o=mydomain으로 설정됩니다.

27. 서버에 로그인하기 위한 사용자 트리 필드에서 '설정' 탭에 지정된 사용자가 상주하는 트리를 지정합니다. 예를 들어 AD에서는 'administrator' 계정의 기본 트리가 사용자 트리와 같습니다.

28. 사용자를 포함하고 있는 트리 필드에서 사용자가 LDAP 디렉터리에서 일반적으로 상주하는 트리를 지정합니다. 편집 가능한 기본값 하나가 제공되며, DN 값은 64개까지 입력할 수 있습니다. Dell SonicWALL 보안 어플라이언스는 일치하는 항목을 찾거나 목록의 끝에 도달할 때까지 디렉터리를 검색합니다. LDAP 또는 AD 디렉터리 내에서 다른 사용자 컨테이너를 만든 경우 여기서 해당 컨테이너를 지정해야 합니다.

29. 사용자 그룹을 포함하고 있는 트리에서 사용자 그룹이 LDAP 디렉터리에서 일반적으로 상주하는 트리를 지정합니다. DN 값은 32개까지 입력할 수 있습니다. 이러한 트리는 스키마의 사용자 개체에 사용자 그룹 구성원 자격 특성이 없을 때만 적용되고 AD에서는 사용되지 않습니다.

위에서 설명한 트리에는 보통 URL 형식이 지정되지만 고유 이름을 지정할 수도 있습니다. 예를 들면 "myDom.com/Sales/Users"에 DN "ou=Users,ou=Sales,dc=myDom,dc=com"을 지정할 수도 있습니다. DN이 예제에 나와 있는 것과 같은 일반 형식 규칙을 준수하지 않는 경우 후자의 형식이 필요합니다. Active Directory에서는 트리의 고유 이름에 해당하는 URL이 개체 탭의 컨테이너 속성에서 트리 맨 위에 표시됩니다.

Note AD의 일부 기본 제공 컨테이너는 이 규칙을 준수하지 않습니다. 즉 최상위 수준 사용자 컨테이너의 DN이 'ou' 대신 'cn'을 사용하여 "cn=Users,dc=…" 형식으로 지정되어 있을 수 있습니다. 그러나 Dell SonicWALL은 이러한 DN도 인식 및 처리하기 때문에 보다 간단한 URL 형식으로 DN을 입력할 수 있습니다.

순서는 중요하지 않지만 지정된 순서대로 DN을 검색하기 때문에 각 목록에서 가장 일반적으로 사용되는 트리를 먼저 배치하는 것이 가장 효율적입니다. 여러 LDAP 서버 간의 참조를 사용하는 경우 기본 서버의 트리를 먼저 배치하고 나머지 트리는 참조되는 순서와 똑같이 배치하는 것이 가장 좋습니다.

Note AD로 작업할 때 '서버에 로그인하기 위한 사용자 트리' 필드에 사용할 디렉터리의 사용자 위치를 찾으려면 서버의 Active Directory 사용자 및 설정 제어판 애플릿에서 디렉터리를 수동으로 검색하거나, Windows NT/2000/XP 리소스 키트의 queryad.vbs와 같은 디렉터리 검색 유틸리티를 도메인의 PC에서 실행할 수 있습니다.

30. 자동 구성 단추를 클릭하면 Dell SonicWALL 보안 어플라이언스가 디렉터리를 하나 이상 스캔하여 사용자 오브젝트가 포함된 트리를 모두 찾는 방법으로 '사용자를 포함하고 있는 트리' 및 '사용자 그룹을 포함하고 있는 트리' 필드를 자동 구성합니다. 이 경우 '서버에 로그인하기 위한 사용자 트리'를 먼저 설정해야 합니다.

새로 찾은 트리를 현재 구성에 추가할지 아니면, 현재 구성되어 있는 모든 트리를 먼저 제거하고 처음부터 트리를 다시 구성할지를 선택한 다음 확인을 클릭합니다. 사용자 로그인에 필요하지 않은 트리도 찾을 가능성이 높으므로, 그러한 항목은 수동으로 제거하는 것이 좋습니다.

추천을 사용하는 여러 LDAP/AD 서버를 사용하는 경우 각 서버에 대해 이 프로세스를 반복할 수 있습니다. 이때 '검색할 도메인'을 적절하게 바꾸고 개별 후속 실행에서 '기존 트리에 추가'를 선택하면 됩니다.

31. 추천 탭을 선택합니다.

32. 네트워크에서 여러 LDAP 서버를 사용하는 경우 LDAP 추천을 사용해야 할 수 있습니다. 다음 확인란을 하나 이상 선택합니다.

• 추천 허용 – 기본 서버가 아닌 LDAP 서버에서 사용자 정보를 찾는 경우 선택합니다.

• 사용자 인증 중 연속 참조 허용 – 개별 디렉터리 트리에 여러 LDAP 서버가 포함되는 경우 선택합니다.

• 디렉터리 자동 구성 중 연속 참조 허용 – 한 번 작업해서 여러 LDAP 서버의 트리를 읽으려면 선택합니다.

• 도메인 검색에서 연속 참조 허용 – 여러 LDAP 서버의 하위 도메인을 검색하려면 선택합니다.

33. LDAP 사용자 탭을 선택합니다.

LDAP 사용자도 Dell SonicWALL 보안 어플라이언스 로컬 사용자 데이터베이스에 있어야 로그인이 허용되도록 하려면 로컬 목록의 사용자만 허용 확인란을 선택합니다.

35. 로컬 사용자 및 LDAP 사용자 구성을 교차하는 방법으로 그룹 멤버 자격과 권한을 결정하도록 허용하려면 사용자 그룹 멤버 자격은 로컬에서 LDAP 사용자 이름을 복제하여 설정할 수 있음 확인란을 선택합니다.

36. 기본 LDAP 사용자 그룹 드롭다운 메뉴에서 LDAP 서버에 구성된 그룹 멤버 자격과 함께 LDAP 사용자가 속할 Dell SonicWALL 보안 어플라이언스의 기본 그룹을 선택합니다.

Tip 그룹 멤버 자격 및 권한도 LDAP를 사용하여 간단하게 할당할 수 있습니다. 게스트 서비스, 콘텐츠 필터링 바이패스, 제한된 관리자 등의 Dell SonicWALL 보안 어플라이언스 기본 제공 그룹과 같은 이름으로 LDAP/AP 서버에 사용자 그룹을 만들고 디렉터리에서 이러한 그룹에 사용자를 할당하거나, 기존 LDAP/AD 사용자 그룹과 같은 이름으로 Dell SonicWALL 보안 어플라이언스에 사용자 그룹을 만들면 LDAP 인증 성공 시 Dell SonicWALL 그룹 멤버 자격이 사용자에게 자동으로 부여됩니다.

Dell SonicWALL 보안 어플라이언스는 사용자에 대해 'memberOf' 특성을 반환하는 고유한 기능을 활용하여 Active Directory 사용 시 그룹 멤버 자격을 보다 효율적으로 검색할 수 있습니다.

37. LDAP 서버에서 사용자 그룹을 가져오려면 사용자 그룹 가져오기 단추를 클릭합니다. LDAP 서버의 사용자 그룹 이름을 정책 규칙, CFS 정책 등에서 사용하려면 Dell SonicWALL에서 복제해야 합니다.

38. LDAP 릴레이 탭을 선택합니다.

RADIUS에서 LDAP로 릴레이 기능을 사용하도록 설정하려면 RADIUS에서 LDAP로 릴레이 사용 확인란을 선택합니다. RADIUS에서 LDAP로 릴레이 기능은 LDAP/AD 서버가 포함된 중앙 사이트가 있고, 원격 위성 사이트가 포함된 중앙 Dell SonicWALL 보안 어플라이언스가 LDAP를 지원하지 않을 수도 있는 Dell SonicWALL 보안 어플라이언스를 사용하여 연결되는 토폴로지에서 사용됩니다. 이 경우 중앙 Dell SonicWALL 보안 어플라이언스가 원격 Dell SonicWALL에 대한 RADIUS 서버로 작동할 수 있으며, RADIUS와 LDAP 사이의 게이트웨이 역할을 하고 원격 Dell SonicWALL의 인증 요청을 LDAP 서버로 릴레이합니다.

또한 향상되지 않은 펌웨어를 실행하는 원격 Dell SonicWALL 보안 어플라이언스의 경우 이 기능을 사용하면 중앙의 Dell SonicWALL 보안 어플라이언스는 LDAP를 사용하여 학습한 사용자 그룹 멤버 자격을 기반으로 레거시 사용자 권한 정보를 반환할 수 있습니다. 이렇게 하면 이러한 Dell SonicWALL 보안 어플라이언스용 IAS 같은 외부 RADIUS 서버의 구성이 매우 복잡해지는 것이 방지됩니다.

40. 다음을 통한 RADIUS 클라이언트 연결 허용에서 관련 확인란을 선택하면 그에 따라 수신 RADIUS 요청을 허용하는 정책 규칙이 추가됩니다. 사용 가능한 옵션은 다음과 같습니다.

– 신뢰할 수 있는 영역

– WAN 영역

– 공용 영역

– 무선 영역

– VPN 영역

41. RADIUS 공유 비밀키 필드에는 모든 원격 Dell SonicWALL 보안 어플라이언스에 공통적으로 적용되는 공유 비밀키를 입력합니다.

42. 레거시 사용자에 대한 사용자 그룹 필드에서 레거시 'VPN 사용자', 'VPN 클라이언트 사용자', 'L2TP 사용자' 및 '인터넷 액세스 권한이 있는 사용자'에 해당하는 사용자 그룹을 정의합니다. 지정된 사용자 그룹 중 한 그룹의 사용자가 인증되면 해당 사용자에게 관련 권한을 제공하라는 알림이 원격 Dell SonicWALL 보안 어플라이언스에 전송됩니다.

Note '바이패스 필터' 및 '제한된 관리 기능' 권한은 '콘텐츠 필터링 바이패스' 및 '제한된 관리자' 사용자 그룹의 구성원 자격에 따라 반환되며 구성할 수 없습니다.

43. 테스트 탭을 선택합니다.

'테스트' 페이지에서는 지정된 사용자 및 암호 자격 증명을 사용하여 인증을 시도하는 방법으로 구성된 LDAP 설정을 테스트할 수 있습니다. 사용자의 LDAP/AD 서버에서 구성된 모든 사용자 그룹 구성원 자격 및/또는 프레임 IP 주소가 표시됩니다.

44. 사용자 이름 및 암호 필드에는 구성한 LDAP 서버에 유효한 LDAP 로그인 이름을 입력합니다.

45. 암호 인증 또는 CHAP(Challenge Handshake 인증 프로토콜)를 선택합니다.

Note CHAP는 LDAP를 통한 사용자 암호 검색을 지원하는 서버에서만 작동하며, 일부 경우 암호를 역으로 저장하도록 LDAP 서버를 구성해야 할 수 있습니다. Active Directory에서는 CHAP를 사용할 수 없습니다.

46. 테스트를 클릭합니다. LDAP 서버에서 반환되는 상태 및 정보는 테스트 상태, LDAP의 메시지 및 반환된 사용자 특성 필드에 표시됩니다.

Single Sign On 고급 설정 조정

이 섹션에는 Dell SonicWALL 어플라이언스의 고급 SSO 설정을 조정하는 데 도움이 되는 자세한 정보가 나와 있습니다. 다음 섹션을 참조하십시오.

• 개요

• 고급 설정 정보

• 마우스를 놓으면 표시되는 SSO 통계 및 도구 설명 보기

• TSR에서 Single SignOn 통계 사용

• 에이전트 검사

• 해결 방법

개요

사용자가 SSO를 사용하는 Dell SonicWALL을 통해 트래픽을 처음 보내려고 하면 어플라이언스는 Dell SonicWALL SSO 에이전트에 "사용자 확인" 요청을 보냅니다. 그러면 에이전트가 Windows 네트워킹을 통해 사용자 PC를 쿼리한 다음 사용자 이름을 Dell SonicWALL 어플라이언스에 반환합니다. 사용자 이름이 정책에 설정된 조건과 일치하면 Dell SonicWALL에서 해당 사용자를 "로그온" 상태로 간주합니다. 사용자가 SSO를 사용하여 Dell SonicWALL에 로그인할 때 SSO 기능은 로그아웃도 감지합니다. 어플라이언스는 로그아웃을 감지하기 위해 에이전트를 반복적으로 폴링하여 각 사용자가 계속 로그인된 상태인지 확인합니다. 이 폴링과 초기 식별 요청 때문에 Dell SonicWALL SSO 에이전트 응용 프로그램 및 해당 응용 프로그램을 실행 중인 PC에서 큰 로드가 발생할 수 있습니다(특히 많은 사용자가 연결 중인 경우).

Dell SonicWALL SSO 기능은 속도 제한 메커니즘을 사용하여 어플라이언스가 이러한 사용자 요청을 에이전트에 너무 많이 보내지 않도록 합니다. 이 속도 제한의 작동 방식은 구성 가능한 어플라이언스 설정과 자동 계산을 통해 관리됩니다. Dell SonicWALL SSO 기능은 최근 폴링 응답 시간을 기준으로 폴링 기간에 처리할 수 있는 최대 사용자 요청 수(에이전트로 보내는 각 메시지에 포함됨)를 자동으로 계산합니다. 또한 다중 사용자 요청의 타임 아웃는 폴링 시 간헐적으로 발생할 수 있는 장기적인 타임 아웃 문제를 줄일 수 있을 만큼 길게 자동 설정됩니다. 구성 가능한 설정은 에이전트로 한 번에 보낼 요청 수를 제어합니다. 이러한 설정을 조정하여 SSO 성능을 최적화하고 잠재적인 문제를 방지할 수 있습니다. 이 섹션에서는 적절한 설정을 선택하는 방법을 안내합니다.

전용 고성능 PC에서 에이전트를 실행하고 각각 별도의 PC에서 여러 에이전트를 사용하면 에이전트 오버로드로 인한 문제의 발생 가능성을 줄일 수 있습니다. PC를 여러 대 사용하는 경우 각 PC 간에 로드가 공유됩니다. 두 번째 옵션을 사용할 때 에이전트 PC 중 한 대에 오류가 발생하면 중복성도 제공됩니다. 에이전트는 Windows Server PC에서 실행해야 합니다. 일부 이전 워크스테이션도 사용할 수는 있지만, 최신 Windows 2000/XP/Vista 워크스테이션 릴리스 및 이전 버전용 서비스 팩이 변경되어 SSO 에이전트의 작업을 간섭하는 TCP 연결 속도 제한 기능이 추가되었습니다.

고급 설정 정보

SSO 에이전트 구성의 고급 탭에서 한 번에 전송하는 최대 요청 수 설정을 사용할 수 있습니다.

이 설정은 어플라이언스에서 에이전트로 동시에 보낼 수 있는 최대 요청 수를 제어합니다. 에이전트는 여러 요청을 동시에 처리하는데, 각 요청을 처리하기 위해 PC에서 개별 스레드를 생성합니다. 따라서 한 번에 요청을 너무 많이 보내면 에이전트를 실행 중인 PC가 오버로드될 수 있습니다. 보내려는 요청의 수가 최대값을 초과하면 일부 요청이 내부 "링 버퍼" 큐에 배치됩니다(TSR에서 Single SignOn 통계 사용 및 마우스를 놓으면 표시되는 SSO 통계 및 도구 설명 보기 참조). 요청이 링 버퍼에서 너무 오랫동안 대기되면 SSO 인증의 응답 시간이 길어질 수 있습니다.

이 설정은 로그인한 사용자의 상태를 확인하기 위한 폴링 시 에이전트로 보내는 메시지마다 자동 계산된 사용자 요청 수와 함께 작동합니다. 메시지당 사용자 요청 수는 최근 폴링 응답 시간을 기준으로 계산됩니다. SonicOS에서는 전송해야 하는 메시지 수를 최소화하기 위해 이 값을 최대한 크게 조정합니다. 그러면 에이전트의 로드를 낮추고 어플라이언스와 에이전트 간의 네트워크 트래픽을 줄일 수 있습니다. 그러나 이 값은 에이전트가 폴링 기간 내에 메시지에 대한 사용자 요청을 모두 처리할 수 있을 정도로 작게 유지됩니다. 이에 따라 시간 초과, 오류 등의 잠재적 문제가 방지되므로 로그아웃한 사용자를 빠르게 감지할 수 있습니다.

마우스를 놓으면 표시되는 SSO 통계 및 도구 설명 보기

SSO 구성 페이지에는 마우스를 놓으면 표시되는 각 에이전트에 대한 통계와 다양한 필드에 대한 도구 설명이 나와 있습니다. 설정 탭에서 에이전트 옆의 LED 스타일 아이콘이 녹색이면 해당 에이전트가 작동 및 실행 중인 것입니다. LED 아이콘이 빨간색이면 에이전트가 중단된 것입니다.

특정 에이전트의 통계를 보려면 SSO 에이전트 오른쪽의 통계 아이콘을 마우스 포인터로 가리킵니다. 터미널 서비스 탭의 개별 TSA에도 이 방법을 사용할 수 있습니다.

어플라이언스의 모든 SSO 활동에 대한 통계를 보려면 테이블 아래쪽의 추가 단추가 있는 행에서 통계 아이콘을 마우스 포인터로 가리킵니다.

통계 표시를 닫으려면 닫기를 클릭합니다.

표시된 모든 값을 지우려면 재설정하려면 클릭을 클릭합니다.

SSO 구성 화면의 여러 필드에 사용할 수 있는 도구 설명을 보려면 필드 오른쪽의 삼각형 아이콘을 마우스 포인터로 가리킵니다. 그러면 마우스 포인터를 이동할 때까지 도구 설명이 표시됩니다.

TSR에서 Single SignOn 통계 사용

TSR(문제 해결 보고서)에는 다양한 SSO 성능 및 오류 통계 집합이 포함됩니다. 이러한 통계를 사용하여 설치에서 SSO의 성능 수준을 측정할 수 있습니다. 시스템 > 진단 페이지에서 TSR을 다운로드한 다음 "SSO 작업 통계"라는 제목을 검색합니다. 특히 다음과 같은 카운터를 확인할 수 있습니다.

1. 사용자가 현재 연결됨에서 TSR은 인증 방법에 관계 없이 모든 현재 로그인한 로컬 및 원격 사용자 목록을 포함할 수 있습니다. TSR을 생성하기 전에 시스템 > 진단 페이지에서 현재 사용자 및 사용자 세부 정보 옵션을 선택하여 TSR에서 세부 정보의 9줄 중 8줄이 각 사용자에 대해 제공됩니다. 또는 현재 사용자를 선택하고 사용자 세부 정보의 선택을 취소하여 사용자당 한 줄 요약만 선택할 수 있습니다. 현재 사용자 확인란을 선택한 경우 사용자 목록이 TSR에서 생략됩니다.

사용자 세부 정보가 선택되면 사용자 유형에 따라 다른 많은 세부 정보가 제공됩니다. 여기에는 타이머, 권한, 관리하는 경우 관리 모드, 그룹 멤버 자격, CFS 정책, VPN 클라이언트 네트워크 및 기타 정보가 포함됩니다. 수천 명의 사용자가 로그인했을 때 이 옵션을 사용하지 않도록 설정하면 만들어지는 TSR 파일의 크기가 세부적인 사용자 목록을 포함하는 크기에 비해 크게 줄어들 수 있습니다.

사용자 세부 정보가 선택되지 않으면 사용자 요약은 IP 주소, 사용자 이름, 사용자 유형 및 현재 관리하고 있는 관리 사용자의 경우 관리 모드를 포함합니다. 예를 들어 다음과 같습니다.

현재 연결된 사용자:

192.168.168.1: 로그인한 웹 사용자 관리자(구성 모드에서 관리)

192.168.168.9: 자동 로그인한 자동 사용자 관리자(SD80\Administrator)

2. SSO 링 버퍼 통계에서 링 버퍼 오버플로 및 링에 사용된 최대 시간을 확인합니다. 링에 사용된 최대 시간이 폴링 속도에 도달하거나 해당 속도를 초과하는 경우 또는 링 버퍼 오버플로가 나타나는 경우에는 요청이 에이전트로 전송되는 속도가 느린 것입니다. 이 경우 링에서 대기 중인 현재 요청도 계속 증가할 수 있습니다. 즉 요청을 더 빠르게 보내려면 한 번에 전송하는 최대 요청 수 값을 높여야 합니다. 그러나 이 값을 높일 경우 에이전트에 대한 로드가 증가하며 에이전트가 추가 로드를 처리할 수 없으면 문제가 발생합니다. 이 경우 에이전트를 더 성능이 뛰어난 PC로 이동하거나 에이전트를 더 추가해야 할 수 있습니다.

3. SSO 작업 통계에서 실패한 사용자 ID 시도(시간 초과) 및 실패한 사용자 ID 시도(기타 오류)를 확인합니다. 이 두 값은 0이거나 0에 가까워야 합니다. 여기에 중요한 오류가 표시되면 에이전트에 문제가 있는 것이며, 에이전트가 사용자 인증 시도 수를 모두 처리하지 못하기 때문일 수 있습니다.

4. 역시 SSO 작업 통계에서 정기 폴링에서 폴링된 총 사용자, 사용자 폴링 실패(시간 초과)및 사용자 폴링 실패(기타 오류)를 확인합니다. 여기서 시간 초과 및 오류가 어느 정도 표시되는 것은 허용되며 정상적인 현상입니다. 간헐적인 폴링 오류는 문제가 되지 않습니다. 그러나 오류 비율은 낮아야 합니다. 허용되는 오류 비율은 0.1% 이하입니다. 여기에 높은 오류 비율이 표시되면 위 항목과 마찬가지로 에이전트에 문제가 있는 것입니다.

5. SSO 에이전트 통계에서 평균 사용자 ID 요청 시간 및 사용자당 평균 폴링 응답 시간을 확인합니다. 이 두 값은 몇 초 이내여야 하며, 각 시간이 그보다 길면 네트워크에 문제가 있는 것일 수 있습니다. 그러나 SSO를 통해 Windows 이외 PC에서 트래픽을 인증하려는 시도(시간이 매우 오래 걸릴 수 있음)로 인해 오류가 발생하는 경우에는 평균 사용자 ID 요청 시간 값이 정확하지 않을 수 있습니다. 이에 따라 이 값은 높은데 사용자당 평균 폴링 응답 시간이 정확하게 표시될 경우 Windows 이외 장치에서 인증하려고 시도하여 에이전트에 오류가 많이 발생하는 것일 수 있습니다.

6. 여러 에이전트를 사용하는 경우 역시 SSO 에이전트 통계에서 각 에이전트에 보고된 오류 및 타임 아웃 비율과 해당 응답 시간을 확인합니다. 에이전트 간에 해당 시간이 크게 다르면 특정 에이전트에 문제가 있을 수 있으며, 해당 에이전트의 설정만 업그레이드하거나 변경하면 문제가 해결될 수 있습니다.

7. PC 이외의 장치에서 생성된 트래픽은 SSO 식별 시도를 트리거할 수 있으며, 이 때문에 해당 통계에서 오류 및/또는 타임 아웃가 보고될 수 있습니다. 이러한 장치의 IP 주소가 포함된 주소 개체 그룹을 구성하고 다음 중 한 가지 또는 두 가지를 모두 수행하면 이와 같은 현상을 방지할 수 있습니다.

– 콘텐츠 필터링을 사용하는 경우 SSO 구성의 규약 탭에서 다음에 나오는 트래픽에 대해 Single Sign On 프로세스를 바이패스하십시오. 설정을 사용하여 해당 주소 오브젝트를 선택합니다.

– 인증된 사용자만 허용하도록 액세스 규칙이 설정되어 있으면 허용된 사용자를 모두로 설정하여 해당 주소 개체에 대해 별도의 규칙을 설정합니다.

관련 정보는 SSO 및 인증을 바이패스할 화이트 리스트 IP 주소을 참조하십시오.

해당되는 IP 주소를 식별하려면 TSR을 확인하여 "SSO 시도에서 유지된 IP 주소"를 검색합니다. 그러면 오류 발생 후 유지 시간 설정을 통해 지정한 이전 기간의 SSO 오류가 나열됩니다.

Note 나열된 IP 주소 중 Mac/Linux PC용 주소가 있는 경우에는 Mac 및 Linux 사용자 지원을 참조하십시오.

이러한 현상 때문에 발생하는 오류의 비율을 제한하려면 사용자 탭에서 오류 발생 후 유지 시간 설정을 확장해도 됩니다.

SSO 구성 페이지에서 SSO 통계를 확인하는 방법에 대한 자세한 내용은 마우스를 놓으면 표시되는 SSO 통계 및 도구 설명 보기를 참조하십시오.

에이전트 검사

앞에서 설명한 통계가 에이전트에 문제가 있을 수 있음을 나타내는 경우 수행할 수 있는 다음 단계는, 에이전트가 실행 중인 PC에서 Windows 작업 관리자를 실행한 후 성능 탭의 CPU 사용량을 확인하고 프로세스 탭에서 "CIAService.exe" 프로세스의 CPU 사용량을 확인하는 것입니다. CIAService.exe 프로세스가 대부분의 CPU 시간을 사용하며 CPU 사용량이 100%에 가까우면 에이전트가 오버로드된 것입니다. 로드를 줄이려면 한 번에 전송하는 최대 요청 수 설정을 낮출 수 있습니다(TSR에서 Single SignOn 통계 사용 참조).

해결 방법

에이전트 PC 오버로드를 방지하는 동시에 충분히 빠른 속도로 에이전트에 요청을 보내도록 설정을 균형 있게 조정할 수 없는 경우 다음 작업 중 하나를 수행해야 합니다.

• 폴링 시간을 늘려 사용자 탭에 구성된 폴링 속도를 낮춰 봅니다. 그러면 에이전트에 대한 로드는 감소하지만 로그아웃 감지 속도는 느려집니다. 공유 PC가 포함된 환경에서는 여러 사용자가 같은 PC를 사용할 때 로그아웃을 감지하지 못해서 발생할 수 있는 문제(예: PC의 두 번째 사용자가 생성한 초기 트래픽이 이전 사용자가 보낸 것으로 기록되는 현상)를 방지하려면 폴링 간격을 최대한 짧게 유지하는 것이 가장 좋을 수 있습니다.

• 에이전트를 고성능 전용 PC로 이동합니다.

• 추가 에이전트를 하나 이상 구성합니다.

방화벽 액세스 규칙 구성

Dell SonicWALL SSO를 사용하도록 설정하면 SonicOS Enhanced 관리 인터페이스의 방화벽 > 액세스 규칙 페이지에 표시되는 정책에 영향을 줍니다. 방화벽 > 액세스 규칙에 설정된 규칙은 SSO LDAP 쿼리에서 반환되는 사용자 그룹 멤버 자격과 비교 확인된 다음 자동으로 적용됩니다.

자세한 내용은 다음 섹션을 참조하십시오.

• 자동 생성된 Dell SonicWALL SSO 규칙

• Mac 및 Linux 사용자 지원

• SSO 및 인증을 바이패스할 화이트 리스트 IP 주소

• CFS, IPS, 앱 컨트롤에서 SSO가 실패할 때 사용자를 강제 로그인

• 터미널 서버의 ICMP 및 DNS ping 허용

• 방화벽 액세스 규칙 정보

자동 생성된 Dell SonicWALL SSO 규칙

Dell SonicWALL SSO 에이전트 또는 TSA가 SonicOS Enhanced 관리 인터페이스에 구성되어 있으면 에이전트의 회신을 LAN으로 보낼 수 있도록 방화벽 액세스 규칙 및 해당 NAT 정책이 만들어집니다. 이러한 규칙은 Dell SonicWALL SSO 에이전트 또는 Dell SonicWALL 터미널 서비스 에이전트 주소 그룹 오브젝트를 사용합니다. 이 오브젝트는 구성된 각 에이전트에 대한 구성원 주소 오브젝트를 포함합니다. 구성원 주소 오브젝트는 에이전트를 추가하면 그룹 오브젝트에 자동으로 추가되고, 에이전트를 삭제하면 그룹 오브젝트에서 자동으로 삭제됩니다. 또한 에이전트가 DNS 이름으로 지정되어 DNS를 통해 IP 주소를 확인하는 경우를 비롯해 에이전트 IP 주소가 변경될 경우에도 구성원 주소 개체가 자동으로 업데이트됩니다.

Dell SonicWALL SSO 에이전트 또는 TSA가 서로 다른 영역에 구성되어 있으면 방화벽 액세스 규칙과 NAT 정책이 해당하는 각 영역에 추가됩니다. 각 영역에서는 동일한 Dell SonicWALL SSO 에이전트 또는 Dell SonicWALL 터미널 서비스 에이전트 주소 그룹이 사용됩니다.

Note Dell SonicWALL SSO를 사용하는 영역에서는 게스트 서비스를 사용하도록 설정하지 마십시오. 게스트 서비스를 사용하도록 설정하면 해당 영역에서 SSO가 사용하지 않도록 설정되어 SSO를 통해 인증된 사용자가 액세스 권한을 잃게 됩니다. 게스트 액세스용으로 별도의 영역을 만듭니다.

Mac 및 Linux 사용자 지원

Mac 및 Linux 시스템은 Dell SonicWALL SSO에서 사용하는 Windows 네트워크 요청을 지원하지 않으므로 Dell SonicWALL SSO를 사용하려면 삼바 3.5 이상이 필요합니다.

Mac 및 Linux에서 삼바와 함께 SSO 사용

Windows 사용자의 경우 Dell SonicWALL 어플라이언스에서 Dell SonicWALL SSO를 사용하여 Windows 도메인의 사용자를 자동으로 인증합니다. 따라서 사용자가 Windows 도메인 로그인 이후 추가 로그인 프로세스를 통해 신원을 증명하지 않고도 올바른 필터링 및 정책 준수를 사용하여 어플라이언스에서 액세스 권한을 얻을 수 있습니다.

삼바는 Linux/Unix 또는 Mac 시스템에서 삼바의 smbclient 유틸리티를 통해 사용자에게 Windows 도메인 리소스에 대한 액세스 권한을 제공하거나, 삼바 서버를 통해 Linux 또는 Mac 시스템 리소스에 대한 액세스 권한을 Windows 도메인 사용자에게 제공하는 데 사용되는 소프트웨어 패키지입니다.

Windows 도메인에서 Linux PC 또는 Mac과 삼바를 함께 이용 중인 사용자를 Dell SonicWALL SSO로 식별할 수는 있지만, 이렇게 하려면 Linux/Mac 시스템과 SSO 에이전트를 적절하게 구성해야 하며 어플라이언스 중 일부를 재구성해야 할 수 있습니다. 예를 들면 다음 구성을 수행해야 합니다.

• Linux/Mac 사용자에 대해 Dell SonicWALL SSO를 사용하려면 WMI가 아닌 NetAPI를 이용하여 사용자 시스템에서 사용자 로그인 정보를 가져오도록 Dell SonicWALL SSO 에이전트를 구성해야 합니다.

• 삼바가 Dell SonicWALL SSO 에이전트에서 요청을 받아 해당 요청에 응답하도록 하려면 삼바를 도메인 구성원으로 설정해야 합니다. 또한 삼바 서버가 실행 중이어야 하고 도메인 인증을 사용하도록 적절하게 구성되어 있어야 합니다.

이와 같은 사항 및 기타 구성 세부 정보는 다음 기술 참고 사항에 설명되어 있습니다.
http://www.SonicWALL.com/downloads/Using_SSO_with_Samba_TechNote.pdf

Dell SonicWALL SSO는 삼바 3.5 이상에서 지원됩니다.

Note 여러 사용자가 Linux PC에 로그인하는 경우 해당 PC에서 생성된 트래픽에 대한 액세스 권한은 최신 로그인을 기준으로 부여됩니다.

Mac/Linux에서 삼바 없이 SSO 사용

삼바 없이도 Mac/Linux 사용자가 액세스 권한을 얻을 수는 있지만, 그러려면 먼저 Dell SonicWALL 어플라이언스에 로그인해야 합니다. 이 경우 다음과 같은 문제가 발생할 수 있습니다.

• 사용자가 로그인하지 않으면 Mac 또는 Linux 시스템의 트래픽이 SSO 식별 시도를 계속 트리거할 수 있습니다. 그렇기 때문에 이 같은 시스템이 많은 경우 SSO 시스템에 성능 오버헤드가 발생할 수 있습니다. 단 "오류 발생 후 유지" 시간 초과를 통해 이러한 문제의 영향을 어느 정도 완화할 수는 있습니다.

• 사용자 수준 인증이 포함된 정책 규칙 없이 사용자별 콘텐츠 필터링(CFS) 정책을 사용하는 경우, Mac/Linux 시스템 사용자가 수동으로 먼저 로그인하지 않으면 기본 CFS 정책이 해당 사용자에게 적용됩니다.

• 사용자 수준 인증을 요구하는 정책 규칙을 설정하면 SSO 실패 후 Mac/Linux 시스템 사용자의 웹 브라우저 연결이 로그인 페이지로 리디렉션됩니다. 그러나 SSO가 실패하면 시간 초과가 시작되어 사용자 인증이 지연될 수 있습니다.

이러한 문제를 방지하기 위해 방화벽 액세스 규칙을 구성할 때 방화벽 > 액세스 규칙 페이지에서 보기 스타일을 모든 규칙으로 설정한 상태로 추가를 클릭하면 사용자 인증을 위한 Single Sign On 호출 안 함 확인란을 사용할 수 있습니다. 이 확인란은 Dell SonicWALL SSO가 사용하도록 설정되어 있고 규칙 추가 페이지의 허용된 사용자 필드가 모두로 설정되어 있지 않은 경우에만 표시됩니다. 이 확인란을 선택하면 규칙과 일치하는 트래픽에서는 SSO를 시도하지 않고, 규칙과 일치하는 인증되지 않은 HTTP 연결이 로그인 페이지로 직접 이동됩니다. 일반적으로 원본 필드는 Mac 및 Linux 시스템의 IP 주소가 포함된 주소 개체로 설정됩니다.

 

CFS의 경우 이 확인란을 사용하도록 설정한 규칙을 CFS "앞"에 추가하여 Mac/Linux 시스템의 HTTP 세션이 로그인 페이지로 자동 리디렉션되도록 지정할 수 있습니다. 그러면 이 같은 사용자가 수동으로 로그인하지 않아도 됩니다.

Note 사용자 인증 프로세스를 완전히 바이패스하도록 허용되는 장치에 사용하려면 사용자 인증을 위한 Single Sign On 호출 안 함 옵션을 선택하지 마십시오. 이 옵션을 사용하도록 설정하는 경우 액세스 규칙이 적용될 수 있는 모든 장치에서 수동으로 로그인할 수 있어야 합니다. 이러한 장치에서는 허용된 사용자를 모두로 설정하여 별도의 액세스 규칙을 추가해야 합니다.

SSO 및 인증을 바이패스할 화이트 리스트 IP 주소

사용자 인증을 요구하지 않고 항상 액세스를 허용해야 하는 IP 주소가 있는 경우 화이트 리스트가 될 수 있습니다.

인증을 요구하지 않고 SSO를 바이패스할 수 있도록 IP 주소를 화이트 리스트하려면:

1. 네트워크 > 주소 오브젝트 페이지에서 화이트 리스트할 IP 주소가 포함된 주소 그룹을 만듭니다.

2. 특정 서비스에 대해 사용자 인증을 요구하는 액세스 규칙이 있는 경우 방화벽 > 액세스 규칙 페이지에서 같은 서비스에 대해 추가 규칙을 추가합니다. 방금 만든 주소 그룹에 출발지를 설정하고 허용된 사용자를 모두로 설정합니다.

3. 이러한 IP 주소에서 CFS, IPS, 앱 정책, DPI-SSL 또는 안티스파이웨어 같은 서비스용 SSO를 바이패스하도록 하려는 경우 사용자 > 설정으로 이동하고 SSO(Single-sign-on) 방법으로 SSO 에이전트를 선택하고 구성을 클릭합니다. 규약 탭에서 다음에 나오는 트래픽에 대해 Single Sign On 프로세스를 바이패스하십시오. 필드에서 만든 주소 그룹을 선택합니다.

기본 CFS 정책은 이러한 IP 주소에 있는 사용자에게 적용되며 특정 사용자를 포함하는 IPS 정책 또는 앱 컨트롤 정책은 적용되지 않습니다.

이 방법은 적은 수의 IP 주소 또는 서브넷이나 IP 주소 범위를 화이트 리스트로 등록하는 데 적합합니다. 많은 수의 개별 IP 주소에 작동하지만 오히려 비효율적일 수 있습니다.

CFS, IPS, 앱 컨트롤에서 SSO가 실패할 때 사용자를 강제 로그인

SSO(Single Sign-On)를 통해 식별할 수 없을 때 웹 UI를 통해 사용자를 강제 로그인하는 액세스 규칙을 사용할 수 있습니다. CFS, IPS, 앱 정책 또는 기타 정책을 올바르게 적용하려면 사용자가 식별되어야 합니다. 액세스 규칙은 Dell SonicWALL에서 사용자에게 사용자 이름과 암호를 묻도록 할 수 있습니다.

여러 CFS 정책이 있거나 IPS, 앱 정책, 앱 컨트롤, 안티스파이웨어 또는 DPI-SSL에 특정 사용자/사용자 그룹을 포함/제외하도록 설정된 정책이 있는 경우 사용자 식별을 위해 SSO가 시작됩니다. 기본적으로 SSO가 사용자를 식별하지 못하는 경우 사용자에게 방화벽을 통해 액세스 권한이 제공되지만 기본적으로 CFS 정책에 의해 제한되거나 IPS 정책, 앱 정책 또는 기타 정책이 적용되지 않습니다.

액세스 규칙을 위의 서비스와 함께 사용하여 SSO가 실패할 때 방화벽을 통해 액세스를 허용하기 전에 사용자 이름/암호를 사용하여 웹 UI를 통해 모든 사용자를 강제 로그인할 수 있습니다. 사용자에게 인증을 요구하고 규칙이 SSO를 시작하는 액세스 규칙을 설정합니다. 이 경우 SSO가 차단된 사용자를 식별하지 못하면 HTTP의 경우 로그인 페이지로 리디렉션됩니다.

이 절차는 두 가지 방법 중 하나로 수행할 수 있습니다. 출발지 영역은 여기에 LAN으로 표시되지만 모든 적용 가능한 영역이 될 수 있습니다.

1. 기본 LAN -> WAN 규칙의 허용된 사용자를 Everyone 또는 Trusted Users로 변경합니다. 이러한 사용자는 인증된 사용자입니다. 그런 다음 허용된 사용자를 모두로 설정하여 식별되지 않은 사용자에 대해 차단하지 않으려는 트래픽을 허용하는 규칙을 추가합니다(예: DNS, 전자 메일, ...).

 

2. 기본 LAN -> WAN 규칙을 모든 사용자를 허용하도록 두고 허용된 사용자를 Everyone 또는 Trusted Users로 설정하여 주소 모두에서 모두로 HTTP와 HTTPS를 허용하는 규칙을 추가합니다. 또한 인증되지 않은 사용자가 사용하는 것을 원하지 않을 경우 HTTP/HTTPS와 함께 다른 서비스를 포함할 수 있습니다.

 

이 가운데 옵션 1은 더 안전한 옵션이지만 인증 없이 액세스를 허용해야 하는 예상하지 못한 상황을 차단하여 문제를 일으킬 가능성이 더 많습니다.

터미널 서버의 ICMP 및 DNS ping 허용

Windows에서는 터미널 서버의 사용자가 보내는 ICMP ping이 소켓을 통해 전송되지 않으므로 TSA에 표시되지 않습니다. 따라서 어플라이언스에는 해당 ping에 대한 알림이 수신되지 않습니다. 그러므로 방화벽 규칙이 사용자 수준 인증을 사용하는 경우 ping 통과를 허용하려면 "모두"에서 ping을 허용하는 별도의 액세스 규칙을 만들어야 합니다.

마찬가지로 IP 주소 대신 FQDN(정규화된 도메인 이름)을 사용한 보내는 사용자 요청은 DNS 트래픽 통과를 허용해야 합니다. 터미널 서버 사용자가 FQDN을 사용하도록 허용하려면 “모두”의 DNS 트래픽을 허용하는 방화벽 액세스 규칙을 만들어야 합니다.

방화벽 액세스 규칙 정보

관리자는 방화벽 액세스 규칙을 통해 사용자 액세스를 제어할 수 있습니다. 방화벽 > 액세스 규칙에 설정된 규칙은 SSO LDAP 쿼리에서 반환되는 사용자 그룹 구성원 자격과 비교 확인된 다음 자동으로 적용됩니다. 액세스 규칙은 인바운드 및 아웃바운드 액세스 정책을 정의하고, 사용자 인증을 구성하며, Dell SonicWALL 보안 어플라이언스를 원격 관리하는 데 사용할 수 있는 네트워크 관리 도구입니다. SonicOS 방화벽 > 액세스 규칙 페이지에서는 정렬 가능한 액세스 규칙 관리 인터페이스가 제공됩니다.

Note 일반적인 정책 규칙보다 구체적인 정책 규칙에 더 높은 우선 순위를 지정해야 합니다. 일반적인 특정성 계층 구조는 원본, 대상, 서비스입니다. 예를 들어 사용자 식별 요소인 사용자 이름과 해당하는 그룹 권한은 정책 규칙의 특정성을 정의할 때 포함되지 않습니다.

기본적으로 Dell SonicWALL 보안 어플라이언스의 상태 저장 패킷 검사 시 LAN에서 인터넷으로 전달되는 통신은 모두 허용하지만 인터넷에서 LAN으로 전달되는 트래픽은 모두 차단합니다.

추가 네트워크 액세스 규칙을 정의하여 기본 액세스 규칙을 확장하거나 재정의할 수 있습니다. 예를 들어 특정 유형의 트래픽(예: LAN에서 WAN으로 전달되는 IRC)을 차단하거나, 특정 유형의 트래픽(예: 인터넷에 있는 특정 호스트에서 LAN에 있는 특정 호스트로 전달되는 Lotus Notes 데이터베이스 동기화)을 허용하거나, LAN의 인증된 사용자에게 텔넷 등의 특정 프로토콜 사용을 제한하는 액세스 규칙을 만들 수 있습니다.

Note 네트워크 액세스 규칙을 정의하는 기능은 유용한 도구로 활용할 수 있습니다. 사용자 지정 액세스 규칙을 사용하면 방화벽 보호 기능을 사용하지 않도록 설정하거나 모든 인터넷 액세스를 차단할 수 있습니다. 따라서 네트워크 액세스 규칙을 만들거나 삭제할 때는 주의해야 합니다.

터미널 서버에서 HTTP 로그인을 통해 SonicOS 관리

일반적으로 Dell SonicWALL 네트워크 보안 어플라이언스는 특정 IP 주소에서 단일 사용자에 대한 HTTP 로그인을 통해 제공되는 인증 자격 증명에 기반을 둔 정책을 사용하여 액세스 권한을 부여합니다. 터미널 서버에 있는 사용자는 IP 주소당 한 명의 사용자를 인증하는 이 방법을 사용할 수 없습니다. 그러나 어플라이언스를 관리하기 위한 경우에 한해 터미널 서버에서도 HTTP 로그인이 허용됩니다. 이 경우에는 다음과 같은 제한 및 요구 사항이 적용됩니다.

• 터미널 서버로부터의 인터넷 액세스는 TSA에서 제어되며, HTTP 로그인에서는 이를 재정의할 수 없습니다. 즉 터미널 서버의 사용자에게는 HTTP 로그인을 통해 제공되는 자격 증명에 기반을 둔 어플라이언스를 사용한 액세스 권한이 부여되지 않습니다.

• 터미널 서버로부터의 HTTP 로그인은 기본 제공 admin 계정 및 관리자 권한이 있는 기타 사용자 계정에 한해서만 허용됩니다. 관리자가 아닌 계정을 사용한 로그인 시도는 실패하고 "이 위치에서는 허용되지 않음" 오류가 표시됩니다.

• HTTP 로그인에 성공하면 관리 사용자는 관리 인터페이스로 직접 이동됩니다. 소규모 "사용자 로그인 상태" 페이지는 표시되지 않습니다.

• 터미널 서버로부터의 HTTP 로그인에 사용되는 관리 사용자 계정은 터미널 서버에 로그인하는 데 사용된 사용자 계정과 같지 않아도 됩니다. 이 로그인은 어플라이언스와 완전히 별개의 로그인 세션으로 표시됩니다.

• 한 번에 한 명의 사용자만 지정된 터미널 서버에서 어플라이언스를 관리할 수 있습니다. 두 사용자가 동시에 어플라이언스를 관리하려고 하면 가장 최근에 로그인한 사용자에게 관리 권한이 우선 제공되고, 다른 사용자에게는 "이 브라우저는 최근에 로그인하는 데 사용된 브라우저가 아닙니다."라는 오류가 표시됩니다.

• TSA와의 통신 문제 때문에 사용자 식별에 실패하면 SSO 오류 발생 시와 마찬가지로 HTTP 브라우저 세션이 웹 로그인 페이지로 리디렉션되지 않습니다. 대신 세션이 새 페이지로 이동되며 "도달하려고 시도 중이었던 대상이 네트워크 문제로 인해 일시적으로 사용할 수 없습니다."라는 메시지가 표시됩니다.

SSO 사용자 세션 보기 및 관리

이 섹션에는 Dell SonicWALL 어플라이언스에서 SSO를 관리하는 데 도움이 되는 정보가 나와 있습니다. 다음 섹션을 참조하십시오.

• SSO 사용자 로그아웃

• 추가 SSO 사용자 설정 구성

• 패킷 모니터를 사용하여 SSO 및 LDAP 메시지 보기

• SSO 메시지 캡처

• LDAP over TLS 메시지 캡처

SSO 사용자 로그아웃

사용자 > 상태 페이지에는 Dell SonicWALL 보안 어플라이언스의 활성 사용자 세션이 표시됩니다. 테이블에는 사용자 이름, IP 주소, 세션 시간, 남은 시간, 남은 비활성, 설정 및 로그아웃이 표시됩니다. Dell SonicWALL SSO 에이전트를 사용하여 인증한 사용자의 경우 인증자: SSO 에이전트 메시지가 표시됩니다. 사용자를 로그아웃시키려면 사용자 엔트리 옆의 삭제 아이콘을 클릭합니다.

Note 사용자 > 설정에 구성된 사용자 설정의 변경 내용은 해당 사용자의 현재 세션 중에는 반영되지 않습니다. 변경 내용을 적용하려면 사용자를 수동으로 로그아웃시켜야 합니다. 변경 내용이 반영되면 사용자는 투명하게 다시 로그인됩니다.

추가 SSO 사용자 설정 구성

사용자 > 설정 페이지에서는 관리자를 위해 SSO 및 기타 사용자 로그인 설정을 비롯하여 사용자 세션 설정, 글로벌 사용자 설정 및 사용 제한 정책 설정에 대한 구성 옵션이 제공됩니다.

사용자 세션 설정의 로그인 세션 제한 사용과 해당하는 로그인 세션 제한(분) 설정은 SSO를 사용하여 로그인하는 사용자에게 적용됩니다. SSO 사용자는 세션 제한 설정에 따라 로그아웃되지만 트래픽을 추가로 전송할 때 자동으로 투명하게 다시 로그인됩니다.

Note 로그인 세션 제한 간격을 너무 낮게 설정하지 마십시오. 이렇게 설정하면 특히 사용자가 많은 배포의 경우 성능 문제가 발생할 수 있습니다.

활성 SSO 세션 중에 사용자 > 설정 페이지에서 적용한 변경 내용은 해당 세션 동안에는 반영되지 않습니다.

Tip 변경 내용을 적용하려면 사용자를 로그아웃시켜야 합니다. 변경 내용이 적용되면 사용자는 즉시 자동으로 다시 로그인됩니다.

패킷 모니터를 사용하여 SSO 및 LDAP 메시지 보기

SonicOS Enhanced 5.6 이상의 시스템 > 패킷 모니터에서 제공되는 패킷 모니터 기능에는 확인란이 두 개 있어 SSO 에이전트에서 주고받는 암호 해독된 메시지와 암호 해독된 LDAPS(LDAP over TLS) 메시지를 캡처할 수 있습니다.

SonicOS Enhanced 5.5에서 이 기능은 시스템 > 패킷 캡처에서 사용할 수 있는 패킷 캡처 기능에 도입되었습니다.

SSO 메시지 캡처

SSO 인증 에이전트에서 주고받는 암호 해독된 메시지를 캡처하려면 다음 단계를 수행합니다.

1. 시스템 > 패킷 모니터 페이지에서 구성 단추를 클릭합니다.

2. 고급 모니터 필터 탭을 클릭합니다.

3. 중간 패킷 모니터링 확인란을 선택합니다.

4. 중간 암호 해독 Single Sign On 에이전트 메시지를 모니터링합니다. 확인란을 선택합니다.

 

5. 확인을 클릭합니다.

수신/발신 인터페이스 필드에서 패킷이 (sso)로 표시됩니다. 패킷에는 더미 이더넷, TCP 및 IP 헤더가 포함되기 때문에 이러한 필드 중 일부 값은 정확하지 않을 수도 있습니다.

따라서 암호 해독된 SSO 패킷을 패킷 모니터에 제공할 수 있을 뿐 아니라 다른 모니터 필터도 계속 적용할 수 있습니다.

캡처된 SSO 메시지는 시스템 > 패킷 모니터 화면에서 완전히 암호가 해독되어 표시됩니다.

 

LDAP over TLS 메시지 캡처

암호 해독된 LDAPS(LDAP over TLS) 패킷을 캡처하려면 다음 단계를 수행합니다.

1. 시스템 > 패킷 모니터 페이지에서 구성 단추를 클릭합니다.

2. 고급 모니터 필터 탭을 클릭합니다.

3. 중간 패킷 모니터링 확인란을 선택합니다.

4. 중간 암호 해독 LDAP over TLS 패킷을 모니터링합니다. 확인란을 선택합니다.

 

5. 확인을 클릭합니다.

수신/발신 인터페이스 필드에서 패킷이 (ldp)로 표시됩니다. 패킷에는 더미 이더넷, TCP 및 IP 헤더가 포함되기 때문에 이러한 필드 중 일부 값은 정확하지 않을 수도 있습니다. Wireshark 등의 외부 캡처 분석 프로그램에서 이러한 패킷을 LDAP로 암호 해독해야 함을 알 수 있도록 LDAP 서버 포트가 389로 설정됩니다. 캡처된 LDAP 바인딩 요청의 암호는 파악하기 어려울 수 있습니다. LDAP 메시지는 패킷 모니터 디스플레이에서는 암호 해독되지 않지만 캡처를 내보낸 다음 Wireshark에서 표시하면 암호 해독된 상태로 볼 수 있습니다.

따라서 암호 해독된 LDAPS 패킷을 패킷 모니터에 제공할 수 있을 뿐 아니라 다른 모니터 필터도 계속 적용할 수 있습니다.

Note LDAPS 캡처는 Dell SonicWALL 어플라이언스 LDAP 클라이언트에서의 연결에 한해 작동하며, 어플라이언스를 통과하는 외부 LDAP 클라이언트에서의 LDAP over TLS 연결은 표시하지 않습니다.

 

여러 관리자 지원 구성

이 섹션에 포함된 하위 섹션은 다음과 같습니다.

• 추가 관리자 사용자 프로필 구성

• LDAP 또는 RADIUS 사용 시 로컬로 관리자 구성

• 관리자 선점

• 구성 모드 활성화

• 여러 관리자 지원 구성 확인

• 여러 관리자 관련 로그 메시지 보기

추가 관리자 사용자 프로필 구성

추가 관리자 사용자 프로필을 구성하려면 다음 단계를 수행합니다.

1. admin으로 로그인한 상태로 사용자 > 로컬 사용자 페이지로 이동합니다.

2. 사용자 추가 단추를 클릭합니다.

3. 사용자의 이름 및 암호를 입력합니다.

4. 그룹 구성원 자격 탭을 클릭합니다.

사용자에게 관리자 권한을 부여할 해당하는 그룹을 선택합니다.

• 제한된 관리자 - 사용자가 제한된 관리자 구성 권한을 지닙니다.

• Dell SonicWALL 관리자 - 사용자가 모든 관리자 구성 권한을 지닙니다.

• Dell SonicWALL 읽기 전용 관리자 - 사용자가 전체 관리 인터페이스를 볼 수는 있지만 구성을 변경할 수는 없습니다.

6. 오른쪽 화살표 단추를 클릭하고 확인을 클릭합니다.

7. 다른 관리자의 선점 시 관리자가 로그아웃되도록 여러 관리자 기능을 구성하려면 시스템 > 관리 페이지로 이동합니다.

8. 다른 관리자가 선점 시 옵션의 로그아웃 라디오 단추를 선택하고 수락을 클릭합니다.

LDAP 또는 RADIUS 사용 시 로컬로 관리자 구성

RADIUS 또는 LDAP 인증을 사용할 때 RADIUS 또는 LDAP 서버에 연결할 수 없더라도 일부 또는 모든 관리자가 어플라이언스를 항상 관리할 수 있도록 하려면 RADIUS + 로컬 사용자 또는 LDAP + 로컬 사용자 옵션을 사용하고 해당 특정 사용자에 대한 계정을 로컬로 구성하면 됩니다.

RADIUS 또는 LDAP에서 인증된 사용자에 대해 RADIUS 또는 LDAP 서버나 해당 백엔드 서버에 Dell SonicWALL 관리자 및/또는 Dell SonicWALL 읽기 전용 관리자라는 사용자 그룹을 만들고 관련 사용자를 해당 그룹에 할당합니다. RADIUS의 경우 사용자 그룹 정보를 반환하도록 RADIUS 서버를 특수하게 구성해야 할 수 있습니다. 자세한 내용은 Dell SonicWALL RADIUS 설명서를 참조하십시오.

RADIUS 또는 LDAP 인증 사용 시 관리 사용자의 구성을 어플라이언스에서 로컬로 유지하면서 RADIUS/LDAP로 해당 사용자를 인증하려면 다음 단계를 수행합니다.

1. 사용자 > 설정 페이지로 이동합니다.

2. RADIUS + 로컬 사용자 또는 LDAP + 로컬 사용자 인증 방법을 선택합니다.

3. 구성 단추를 클릭합니다.

4. RADIUS의 경우 RADIUS 사용자 탭을 클릭하고 로컬 구성만 라디오 단추를 선택한 다음, 사용자 그룹 구성원 자격은 로컬에서 RADIUS 사용자 이름을 복제하여 설정할 수 있음 확인란이 선택되어 있는지 확인합니다.

5. LDAP의 경우 LDAP 사용자 탭을 클릭하고 사용자 그룹 멤버 자격은 로컬에서 LDAP 사용자 이름을 복제하여 설정할 수 있음 확인란을 선택합니다.

6. 그런 다음 관리자의 사용자 이름으로 로컬 사용자 계정을 만들고 관련 관리자 사용자 그룹에 해당 계정을 추가합니다. 여기서 암호는 설정하지 않아도 됩니다.

관리자 선점

다른 관리자가 로그인되어 있는 상태에서 관리자가 로그인을 시도하면 다음 메시지가 표시됩니다. 메시지에는 현재 관리자의 사용자 이름, IP 주소, 전화 번호(LDAP에서 검색할 수 있는 경우) 및 관리자가 로그인 시 사용한 방법(GUI 또는 CLI)이 표시됩니다.

이 창에는 세 가지 옵션이 제공됩니다.

• 계속 - 현재 관리자를 선점합니다. 그러면 현재 관리자의 연결이 끊겨 비구성 모드로 전환되며 두 번째 관리자가 모든 관리자 권한을 얻게 됩니다.

• 비구성 - 두 번째 관리자가 비구성 모드로 어플라이언스에 로그인됩니다. 현재 관리자의 세션은 중단되지 않습니다.

• 취소 - 인증 화면으로 돌아갑니다.

구성 모드 활성화

admin 사용자가 아닌 관리자 권한이 있는 사용자로 로그인하면 사용자 로그인 상태 팝업 창이 표시됩니다.

Dell SonicWALL 사용자 인터페이스로 이동하려면 관리 단추를 클릭합니다. 그러면 암호를 다시 입력하라는 메시지가 표시됩니다. 이 메시지는 관리자가 세션에서 로그아웃하지 않은 상태로 컴퓨터가 있는 자리를 떠날 때 무단 액세스를 차단하기 위한 보안 기능입니다.

사용자 로그인 상태 팝업 비활성화

특정 사용자가 권한이 필요한 방식으로 어플라이언스에 액세스하는 것이 아니라 관리 목적으로만 로그인하도록 허용하려면 사용자 로그인 상태 팝업 창을 사용하지 않도록 설정할 수 있습니다. 팝업 창을 사용하지 않도록 설정하려면 로컬 그룹을 추가하거나 편집할 때 구성원은 웹 로그인에서 관리 UI로 바로 이동합니다. 확인란을 선택합니다.

일부 사용자 계정은 관리 전용으로 사용(로그인 시 관리 인터페이스로 직접 이동)하고, 나머지 사용자는 권한이 필요한 방식으로 어플라이언스에 로그인하도록 하는 동시에 어플라이언스 관리 기능도 제공(관리 단추가 있는 사용자 로그인 상태 팝업 창 표시)하려면 다음 작업을 수행하면 됩니다.

1. 구성원은 웹 로그인에서 관리 UI로 바로 이동합니다. 확인란을 선택하여 로컬 그룹을 만듭니다.

2. 해당 그룹을 관련 관리 그룹에 추가합니다. 단 관리 그룹에서는 이 확인란을 선택하지 않습니다.

3. 관리 전용으로 사용할 사용자 계정을 새 사용자 그룹에 추가합니다. 이러한 사용자에 대해서는 사용자 로그인 상태 팝업 창이 사용하지 않도록 설정됩니다.

4. 액세스 권한 및 관리 권한을 제공할 사용자 계정을 최상위 관리 그룹에 추가합니다.

비구성 모드에서 전체 구성 모드로 전환하려면 다음 단계를 수행합니다.

1. 시스템 > 관리 페이지로 이동합니다.

웹 관리 설정 섹션에서 구성 모드 단추를 클릭합니다. 현재 구성 모드 상태인 관리자가 없으면 구성 모드로 자동 전환됩니다.

3. 다른 관리자가 현재 구성 모드를 사용하고 있으면 다음 메시지가 표시됩니다.

계속 단추를 클릭하여 구성 모드를 적용합니다. 그러면 현재 관리자의 모드가 읽기 전용 모드로 변환되며 두 번째 관리자가 모든 관리자 권한을 얻게 됩니다.

여러 관리자 지원 구성 확인

사용자 > 로컬 그룹 페이지에서 관리자 및 읽기 전용 관리자 권한이 있는 사용자 계정을 확인할 수 있습니다.

관리자는 관리 인터페이스 오른쪽 위 또는 브라우저의 상태 표시줄을 통해 현재 구성 모드를 확인할 수 있습니다.

Firefox 및 Internet Explorer에서 상태 표시줄을 표시하려면 보기 메뉴를 클릭하고 상태 표시줄을 사용하도록 설정합니다. Internet Explorer 7.0 및 Firefox 2.0에서는 기본적으로 웹 페이지의 상태 표시줄에 텍스트를 표시할 수 없습니다. Internet Explorer에서 상태 표시줄 메시지를 표시하려면 도구 > 인터넷 옵션으로 이동하여 보안 탭을 선택하고 사용자 지정 수준 단추를 클릭한 다음, 목록 아래쪽으로 스크롤하여 스크립트를 통해 상태 표시줄 업데이트 허용 옵션에서 사용을 선택합니다.

Firefox에서 상태 표시줄 메시지를 표시하려면 도구 > 옵션으로 이동하여 내용 탭을 선택하고 고급 단추를 클릭한 후에 팝업 창이 표시되면 상태 표시줄 텍스트 변경의 확인란을 선택합니다.

관리자가 전체 구성 모드이면 오른쪽 위에 아무런 메시지도 표시되지 않고 상태 표시줄에 완료가 표시됩니다.

관리자가 읽기 전용 모드이면 인터페이스의 오른쪽 위에 읽기 전용 모드가 표시됩니다.

상태 표시줄에는 읽기 전용 모드 - 변경을 수행할 수 없음이 표시됩니다.

관리자가 비구성 모드이면 인터페이스의 오른쪽 위에 비구성 모드가 표시됩니다. 이 텍스트를 클릭하면 전체 구성 모드로 전환할 수 있는 시스템 > 관리 페이지로 연결됩니다.

상태 표시줄에는 읽기 전용 모드 - 구성 변경이 허용되지 않음이 표시됩니다.

여러 관리자 관련 로그 메시지 보기

로그 메시지는 다음 이벤트에 대해 생성됩니다.

• GUI 또는 CLI 사용자가 구성 모드를 시작합니다(관리자 로그인 포함).

• GUI 또는 CLI 사용자가 구성 모드를 종료합니다(관리자 로그아웃 포함).

• GUI 사용자가 비구성 모드에서 관리를 시작합니다(관리자 로그인 및 구성 모드의 사용자가 선점하지 못해 읽기 전용 모드로 돌아가는 경우 포함).

• GUI 사용자가 읽기 전용 모드에서 관리를 시작합니다.

GUI 사용자가 위의 관리 세션 중 하나를 종료합니다(관리자 로그아웃 포함).