LDAP를 사용하여 인증

Tenable Identity Exposure에서는 LDAP(Lightweight Directory Access Protocol)를 사용한 인증을 허용합니다.

LDAP 인증을 사용하려면 다음과 같은 항목이 있어야 합니다.

  • Active Directory에 액세스하는 사용자 및 비밀번호가 있는 미리 구성한 서비스 계정.

  • 미리 구성한 Active Directory 그룹.

LDAP 인증을 설정하면 로그인 페이지에 LDAP 옵션이 탭으로 표시됩니다.

  1. Tenable Identity Exposure에서 시스템 > 구성을 클릭합니다.

    구성 창이 표시됩니다.

  2. 인증 섹션 아래에서 LDAP를 클릭합니다.

  3. LDAP 인증 사용 토글을 클릭하여 사용으로 설정합니다.

    LDAP 정보 양식이 표시됩니다.

  4. 다음과 같은 정보를 입력합니다.

  • LDAP 서버 주소 상자에 ldap://로 시작하고 도메인 이름 및 포트 번호로 끝나는 LDAP 서버 IP 주소를 입력합니다.

    참고: LDAPS 서버를 사용하는 경우, ldaps://로 시작하고 도메인 이름 및 포트 번호로 끝나는 그 서버의 주소를 입력합니다. 이 절차를 사용하여 LDAPS 구성을 완료합니다.

  • LDAP 서버에 쿼리하는 데 사용하는 서비스 계정 상자에 LDAP 서버에 액세스하는 데 사용하는 고유 이름(DN), SamAccountName 또는 UserPrincipalName을 입력합니다.

  • 서비스 계정 비밀번호 상자에 이 서비스 계정의 비밀번호를 입력합니다.

  • LDAP 검색 기준 상자에 Tenable Identity Exposure에서 연결을 시도하는 사용자를 검색하는 데 사용하는 LDAP 디렉터리를 입력합니다(DC= 또는 OU=으로 시작). 이것은 루트 디렉터리일 수도 있고, 특정 조직 단위일 수도 있습니다.

  • LDAP 검색 필터 상자에 Tenable Identity Exposure에서 사용자를 필터링하는 데 사용하는 특성을 입력합니다. Active Directory의 인증용 표준 특성은 sAMAccountname={{login}}입니다. 로그인의 값은 사용자가 인증하는 동안 제공하는 값입니다.

  1. SASL 바인딩 사용의 경우, 다음 중 한 가지 작업을 수행합니다.

    • 서비스 계정에 SamAccountName을 사용하는 경우, SASL 바인딩 사용 토글을 클릭하여 사용으로 설정합니다.

    • 서비스 계정에 고유 이름 또는 UserPrincipalName을 사용하는 경우, SASL 바인딩 사용을 사용 안 함 설정에 둡니다.

  1. 기본 프로필 및 역할 섹션 아래에서 LDAP 그룹 추가를 클릭하여 인증이 허용된 그룹을 지정합니다.

    LDAP 그룹 정보 양식이 표시됩니다.

    • LDAP 그룹 이름 상자에 해당 그룹의 고유 이름을 입력합니다(예: CN=TAD_User,OU=Groups,DC=Tenable,DC=ad).

    • 기본 프로필 드롭다운 상자에서 허용된 그룹의 프로필을 선택합니다.

    • 기본 역할 상자에서 허용된 그룹의 역할을 선택합니다.

  1. 필요한 경우, +를 클릭하여 새로 허용된 그룹을 추가할 수 있습니다.

  2. 저장을 클릭합니다.

보호된 사용자 그룹 구성원은 NTLM을 사용할 수 없으므로, 대신 Kerberos를 사용하도록 LDAP 인증을 정확하게 구성해야 합니다.

  1. 필수 조건: Microsoft Active Directory에 이미 사용자 주체 이름(UPN)을 구성했어야 합니다. UPN은 이메일 주소와 유사하게 사용되는 사용자 이름 형식입니다. 일반적으로 [email protected] 형식을 따르며, 여기서 "username"은 사용자의 계정 이름이고 "domain.com"은 해당 계정이 위치한 도메인입니다.

  1. 자격 증명을 사용하여 Tenable Identity Exposure에 로그인합니다.

  2. 다음 LDAP 옵션을 구성합니다.

    • LDAP 서버 주소로 FQDN을 사용합니다(Secure Relay가 확인할 수 있어야 함).

    • UPN 형식으로 서비스 계정을 사용합니다(예: [email protected]).

    • LDAP 검색 필터를 "(userprincipalname={{login}})"(으)로 설정합니다.

    • SASL 바인딩을 "on"으로 설정합니다.

  3. LDAP 자격 증명을 사용자 주체 이름 구문을 포함한 '보호된 사용자' 그룹 구성원 자격으로 사용하여 Tenable Identity Exposure에 로그인합니다.

  1. Tenable Identity Exposure에서 시스템을 클릭합니다.

  2. 구성 탭을 클릭하여 구성 창을 표시합니다.

  3. 애플리케이션 서비스 섹션에서 신뢰할 수 있는 인증 기관을 클릭합니다.

  4. 추가 CA 인증서 상자에 Tenable Identity Exposure에서 사용할 회사의 PEM 인코딩된 신뢰할 수 있는 CA 인증서를 붙여 넣습니다.

  5. 저장을 클릭합니다.

구성을 완료하고 저장한 후에 로그인 페이지에 LDAP 옵션이 표시됩니다. 구성이 유효한지 확인하려면 LDAP 계정을 사용해 로그인할 수 있어야 합니다.

오류 메시지

이 시점에 표시될 수 있는 오류 메시지는 다음 두 가지입니다.

  • 인증 프로세스 중에 오류가 발생했습니다. 다시 시도해 보십시오.

    • 이 경우, 구성에 문제가 있는 것입니다.

    • 전체 구성을 다시 한번 확인하십시오.

    • Tenable Identity Exposure를 호스팅하는 서버가 LDAP 서버에 연결할 수 있는지 확인합니다.

    • 검색에 사용된 계정이 LDAP 서버에 바인딩할 수 있는지 확인합니다.

    • 자세한 내용은 애플리케이션 로그를 참조하십시오.

  • ID 또는 비밀번호가 잘못되었습니다.

    • CAPS LOCK이 켜져 있지 않은지 확인하고 테스트한 ID와 비밀번호를 다시 입력하십시오.

    • 이 문제는 그룹 필터, 검색 필터나 검색 기반 필드에 문제가 있기 때문에 발생한 것일 수 있습니다.

    • 일시적으로 그룹 필터링을 제거해 보십시오. 자세한 내용은 애플리케이션 로그를 참조하십시오.

보안 프로필과 역할에 관한 자세한 정보는 다음을 참조하십시오.