LDAP를 사용하여 인증

Tenable Identity Exposure에서는 LDAP(Lightweight Directory Access Protocol)를 사용한 인증을 허용합니다.

LDAP 인증을 사용하려면 다음과 같은 항목이 있어야 합니다.

  • Active Directory에 액세스하는 사용자 및 비밀번호가 있는 미리 구성한 서비스 계정.

  • 미리 구성한 Active Directory 그룹.

LDAP 인증을 설정하면 로그인 페이지에 LDAP 옵션이 탭으로 표시됩니다.

  1. Tenable Identity Exposure에서 시스템 > 구성을 클릭합니다.

    구성 창이 표시됩니다.

  2. 인증 섹션 아래에서 LDAP를 클릭합니다.

  3. LDAP 인증 사용 토글을 클릭하여 사용으로 설정합니다.

    LDAP 정보 양식이 표시됩니다.

  4. 다음과 같은 정보를 입력합니다.

  • LDAP 서버 주소 상자에 ldap://로 시작하고 도메인 이름 및 포트 번호로 끝나는 LDAP 서버 IP 주소를 입력합니다.

    참고: LDAPS 서버를 사용하는 경우, ldaps://로 시작하고 도메인 이름 및 포트 번호로 끝나는 그 서버의 주소를 입력합니다. 이 절차를 사용하여 LDAPS 구성을 완료합니다.

  • LDAP 서버에 쿼리하는 데 사용하는 서비스 계정 상자에 LDAP 서버에 액세스하는 데 사용하는 고유 이름(DN), SamAccountName 또는 UserPrincipalName을 입력합니다.

  • 서비스 계정 비밀번호 상자에 이 서비스 계정의 비밀번호를 입력합니다.

  • LDAP 검색 기준 상자에 Tenable Identity Exposure에서 연결을 시도하는 사용자를 검색하는 데 사용하는 LDAP 디렉터리를 입력합니다(DC= 또는 OU=으로 시작). 이것은 루트 디렉터리일 수도 있고, 특정 조직 단위일 수도 있습니다.

  • LDAP 검색 필터 상자에 Tenable Identity Exposure에서 사용자를 필터링하는 데 사용하는 특성을 입력합니다. Active Directory의 인증용 표준 특성은 sAMAccountname={{login}}입니다. 로그인의 값은 사용자가 인증하는 동안 제공하는 값입니다.

  1. SASL 바인딩 사용의 경우, 다음 중 한 가지 작업을 수행합니다.

    • 서비스 계정에 SamAccountName을 사용하는 경우, SASL 바인딩 사용 토글을 클릭하여 사용으로 설정합니다.

    • 서비스 계정에 고유 이름 또는 UserPrincipalName을 사용하는 경우, SASL 바인딩 사용을 사용 안 함 설정에 둡니다.

  1. 기본 프로필 및 역할 섹션 아래에서 LDAP 그룹 추가를 클릭하여 인증이 허용된 그룹을 지정합니다.

    LDAP 그룹 정보 양식이 표시됩니다.

    • LDAP 그룹 이름 상자에 해당 그룹의 고유 이름을 입력합니다(예: CN=TAD_User,OU=Groups,DC=Tenable,DC=ad).

    • 기본 프로필 드롭다운 상자에서 허용된 그룹의 프로필을 선택합니다.

    • 기본 역할 상자에서 허용된 그룹의 역할을 선택합니다.

  1. 필요한 경우, +를 클릭하여 새로 허용된 그룹을 추가할 수 있습니다.

  2. 저장을 클릭합니다.

  1. Tenable Identity Exposure에서 시스템을 클릭합니다.

  2. 구성 탭을 클릭하여 구성 창을 표시합니다.

  3. 애플리케이션 서비스 섹션에서 신뢰할 수 있는 인증 기관을 클릭합니다.

  4. 추가 CA 인증서 상자에 Tenable Identity Exposure에서 사용할 회사의 PEM 인코딩된 신뢰할 수 있는 CA 인증서를 붙여 넣습니다.

  5. 저장을 클릭합니다.

구성을 완료하고 저장한 후에 로그인 페이지에 LDAP 옵션이 표시됩니다. 구성이 유효한지 확인하려면 LDAP 계정을 사용해 로그인할 수 있어야 합니다.

오류 메시지

이 시점에 표시될 수 있는 오류 메시지는 다음 두 가지입니다.

  • 인증 프로세스 중에 오류가 발생했습니다. 다시 시도해 보십시오.

    • 이 경우, 구성에 문제가 있는 것입니다.

    • 전체 구성을 다시 한번 확인하십시오.

    • Tenable Identity Exposure를 호스팅하는 서버가 LDAP 서버에 연결할 수 있는지 확인합니다.

    • 검색에 사용된 계정이 LDAP 서버에 바인딩할 수 있는지 확인합니다.

    • 자세한 내용은 애플리케이션 로그를 참조하십시오.

  • ID 또는 비밀번호가 잘못되었습니다.

    • CAPS LOCK이 켜져 있지 않은지 확인하고 테스트한 ID와 비밀번호를 다시 입력하십시오.

    • 이 문제는 그룹 필터, 검색 필터나 검색 기반 필드에 문제가 있기 때문에 발생한 것일 수 있습니다.

    • 일시적으로 그룹 필터링을 제거해 보십시오. 자세한 내용은 애플리케이션 로그를 참조하십시오.

보안 프로필과 역할에 관한 자세한 정보는 다음을 참조하십시오.