주식회사 누리아이티

지문카드 및 정보자산 2차 인증 보안SW 전문기업(작지만 강한 회사, 기술력이 강한 회사, 소수 정예 회사)

VMWare Radius 환경에서 2차 인증 솔루션인 BaroPAM을 적용하는 방법

댓글 0

▶ BaroSolution/BaroPAM

2019. 8. 26.

 

FreeRADIUS를 통해 BaroPAM VMware Horizon을 통합하는데 필요한 단계에 대한 기본 내용과 자세한 절차는 다음과 같다.

 

1. Ubuntu 설정

-VM Ubuntu Desktop 설치

-Ubuntu 이미지 업데이트

-Domain Membership 준비

-Active Directory Ubuntu 가입

 

2. BaroPAM 설정

-BaroPAM 설치

-BaroPAMOpenSSH 통합

 

3. FreeRADIUS 설정

-FreeRADIUS 설치

-FreeRADIUS를 BaroPAM과 통합

 

4. UAG와 통합

 

 

 

1. Ubuntu 설정

 

Ubuntu는 공개 소스 RADIUS 솔루션인 FreeRADIUS를 실행하는데 사용된다. FreeRADIUS 인스턴스는 로컬 BaroPAM 설치와 통합된 다음 Horizon 연결 서버의 RADIUS 서버 역할을 하도록 구성된다. 그 결과 Horizon 환경에 대한 2 단계 인증(2-Factor Authentication)이 제공된다. 다음은 VMware Horizon UAG(Unified Access Gateway-회사 방화벽 외부에서 원격 데스크탑 및 어플리케이션에 액세스하려는 사용자에게 사용되는 보안 게이트웨이)와의 전체 통합 모습을 보여준다.

 

 

 

1.1 VM Ubuntu Desktop 설치

 

https://www.ubuntu.com/download/desktop에서 설치할 Ubuntu Desktop ISO 파일을 다운로드 한다.

 

작성 중인 VM에서 쉽게 액세스 할 수 있는 공유 스토리지 위치에 다운로드 받은 Ubuntu Desktop ISO 파일을 업로드 한다.

 

vSphere Web Client를 사용하여 적절한 위치에 새 VM을 생성한다. 게스트 OS 유형을 선택해야 할 때 Linux, Ubuntu Linux (64 비트)를 다음과 같이 선택한다.

  

 

VM의 기본 사양과 관련하여 2vCPU, 2 기가 RAM 16 기가 공간이 필요하다.

 

 

 

가장 중요한 점은 VM CD CD Ubuntu ISO를 가리 키도록 구성하고 "전원을 켤 때 연결"로 구성되어 있는지 확인한다. Ubuntu 업그레이드를 진행하기 위해 ISO에서 부팅 할 것이다. 모든 것이 올바르게 진행되면 전원을 켤 때 새로 생성된 VM 내에 Ubuntu 시작 메뉴가 표시된다.

 

 

"Install Ubuntu" 옵션으로 진행한다. 키보드 유형 및 시간대를 선택하여 마법사를 진행한다. 설치 유형으로 "Erase disk and install Ubuntu"를 선택한다.

 

 

마지막으로 컴퓨터 이름을 지정하고 관리자 계정을 설정한다. "Require my password to log in" 옵션을 선택한다. 

 

 

이 시점에서 마법사가 완료되고 Ubuntu OS가 설치되었다.

 

 

1.2 Ubuntu 이미지 업데이트

 

다음 명령어를 사용하여 Ubuntu OS를 업데이트 한다.

 

> sudo apt-get update       è 패키지 인덱스 정보를 업데이트

> sudo apt-get dist-upgrade è 의존성검사하며 설치하기

 

그런 다음 vmware 도구를 설치한다.

 

> sudo apt-get install open-vm-tools

 

 

다음으로 NTP(Network Time Protocol)를 설치한다.

 

> sudo apt-get install ntp

 

마지막으로 OpenSSH를 설치한다.

 

> sudo apt-get install openssh-server

 

 

1.3 Domain Membership 준비

 

Domain Membership을 사용하려면 네트워킹과 DNS가 모두 정렬되어 있는지 확인해야 한다. 이를 위해 새 시스템에 고정 IP 주소를 할당하고 수동으로 DNS 레코드를 생성하는 것이 좋다. 여기에서 ping nslookup을 사용하여 모든 것이 제대로 설정되었는지 확인 할 수 있다.

 

화면 오른쪽에 있는 Edit Connections 옵션을 사용하여 고정 IP 주소를 구성 할 수 있다.

 

 

여기에서 네트워크 연결의 세부 사항을 입력한다. lab 시스템은 다음과 같습니다.

 

 

새 설정을 적용하려면 nic 저장을 클릭하고 비활성화한다.

 

lab에서 처음 설정하면 이상한 DNS 문제가 발생한다. 짧은 이름으로 도메인 구성원을 ping 할 수 있었지만 어떤 이유로 FDQN DNS 확인이 실패한다. 다음은 예입니다.

 

 

/etc/nsswitch.conf를 편집하고 hosts : 행을 변경하여 파일과 DNS 만 포함하도록 하여 이 문제를 해결할 수 있다.

 

 

변경을 수행한 후 FQDN이 올바르게 해결되기 시작한다.

 

 

Ubuntu 시스템에서 도메인의 모든 관련 시스템으로의 네트워크 연결 및 DNS 확인 테스트와 함께 가입하려는 도메인 컨트롤러가 Ubuntu 시스템을 Ping하고 해결할 수 있음을 확인한다.

 

마지막으로 추가 크레딧을 위해 Ubuntu에서 nslookup을 사용하여 대상 도메인을 조회하면 도메인 컨트롤러의 주소가 생성되는지 확인한다.

 

> nslookup domain_name

 

 

1.4 Active DirectoryUbuntu 가입

 

네트워크 연결 및 DNS 확인을 모두 제곱하면 시스템을 도메인에 가입시킬 수 있다. https://www.beyondtrust.com/products/powerbroker-identity-services-open/에서 PBISO(PowerBroker Identity Services Open) 솔루션(오프라인 도메인 가입을 수행하기 위해 지원되는 솔루션)을 다운로드 한다. 파일을 추출하고 스크립트를 실행 가능하게 만든 다음 실행한다.

 

> chmod + x pbis-open-8.5.3.293.linux.x86_64.deb.sh

> sudo ./pbis-open-8.5.3.293.linux.x86_64.deb.sh

 

 

이 시점에서 Power Broker가 설치된 상태에서 domainjoin-cli를 사용하여 시스템을 도메인에 추가 할 수 있다. 구문은 다음과 같다.

 

> sudo domainjoin-cli join [DomainName [DomainAccount]

 

따라서 lab 도메인 lab.local에 가입하기 위해 다음을 실행한다.

 

> sudo domainjoin-cli join lab.local justin@lab.local

 

 

시스템을 도메인에 성공적으로 가입하면 AD(active Directory)에 해당 계정이 표시된다.

 

 

시스템을 재부팅 한 후 ssh를 통해 도메인 계정으로 로그인 할 수 있다.

 

 

일반적으로 PowerBroker에 대한 특수 명령을 실행하여 도메인 사용자에 대한 기본 구성을 설정하는 것이 좋다. 구문은 다음과 같다.

 

> sudo /opt/pbis/bin/config AssumeDefaultDomain true

> sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash

> sudo /opt/pbis/bin/config HomeDirTemplate %H/%U

> sudo /opt/pbis/bin/config UserDomainPrefix SHORT_DOMAIN_NAME

 

lab 도메인 lab.local에 적합하게 된 명령은 다음과 같다.

 

 

마지막으로 /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf에 다음 줄을 추가해야 한다.

 

allow-guest = false

greeter-show-manual-login = true

 

이 항목을 50-unity-greeter.conf에 추가하고 재부팅 한 후 Ubuntu 로그인 화면을 통해 직접 AD 자격 증명으로 로그인 할 수 있다.

 

 

 

2. BaroPAM 설정

 

BaroPAM 솔루션은 Windows/개방형OS(구름OS, 하모니카OS, TmaxOS)/MacOS/Linux/Unix의 운영체제에서 2차 인증으로 2세대 인증키(소프트 인증키)를 접목시켜 중앙 집중적 인증 메커니즘을 지원하는 단순하면서도 강력한 정보자산(Windows, 개방형OS, MacOS, 서버, 데이터베이스, 네트워크장비, 보안장비, 저장장치 등)의 접근제어 솔루션이다.

 

 

2.1 BaroPAM 설치

 

BaroPAM을 설치하기 위하여 Ubuntu 시스템에서 root 계정으로 로그인한다.

 

먼저, "Selinux" "Security Enhanced Linux" 의 약자로 기본의 리눅스보다 더욱 뛰어난 보안정책을 제공하는데, 너무 뛰어난 나머지 활성화 되어 있을 경우 보안문제로 막혀서 BaroPAM이 안되는 부분이 발생(Failed to open tmp secret file "/usr/baropam/.baro_auth~"[Permission denied])한다. 그래서 왠만하면 대부분이 비활성화(SELINUX=enforcing disabled)한다.

 

> vi /etc/sysconfig/selinux

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

#       enforcing - SELinux security policy is enforced.

#       permissive - SELinux prints warnings instead of enforcing.

#       disabled - SELinux is fully disabled.

SELINUX=disabled

# SELINUXTYPE= type of policy in use. Possible values are:

#       targeted - only targeted network daemons are protected.

#       strict - Full SELinux protection.

SELINUXTYPE=targeted

 

# SETLOCALDEFS= Check local definition changes

SETLOCALDEFS=0

 

바로 적용은 되지 않으며 재부팅을 해야 적용이 된다.

 

재부팅을 하지 않고 현재 접속된 터미널에 한해 변경된 내용을 적용하고 싶을 경우 다음의 명령어를 실행하면 된다.

 

> /usr/sbin/setenforce 0

 

BaroPAM 인증 모듈을 다운로드 및 설치하기 위해서 root 계정으로 접속한 후 모듈을 다운로드 및 설치하기 위한 디렉토리(/usr/baropam)를 다음과 같이 생성한다.

 

> mkdir /usr/baropam

 

BaroPAM 모듈을 다운로드 및 설치하기 위한 디렉토리의 권한(읽기, 쓰기, 실행)을 다음과 같이 부여한다.

 

> chmod -R 777 /usr/baropam

 

BaroPAM 환경 설정 파일은 baro_auth 프로그램을 실행하여 반드시 생성하는데BaroPAM 인증 모듈의 디렉토리인 /usr/baropam 밑에 위치 하도록 한다.

 

형식)

> baro_auth -r rate_limit -R rate_time -t cycle_time –c corr_time –k key_method –e encrypt_flag -H hostname -A acl_type -a acl_filename -S secure_key -s filename

 

BaroPAM 환경설정 파일의 설정 옵션에 대한 내용은 다음과 같다.

 

옵션

설명

설정값

비고

-r

인증키 제한 횟수(1~10) 설정

3

 

-R

인증키 제한시간(, 15~600) 설정.

30

 

-t

인증키 생성주기(, 3~60)

30

 

-c

인증키 보증오차시간()

0

 

-k

인증키 생성 방식(app1, app256, app384, app512: 어플, card1, card256, card384, card512: 인증카드)

app512

 

-e

환경설정 파일의 암호화 여부(yes or no)

no

 

-H

정보자산의 호스트명(uname –n)

nurit.co.kr

 

-A

2차 인증에서 허용(allow) 또는 제외(deny) 구분

deny

 

-a

2차 인증에서 허용(allow) 또는 제외(deny)할 계정에 대한 ACL 파일명(파일 접근권한은 444)

/usr/baropam/.baro_acl

 

-S

Secure key(라이선스 키)

Ri5+xgVdtEBJGlrSD2hvituZxAq0vttx

 

-s

BaroPAM 환경설정 파일을 생성할 디렉토리를 포함한 파일명

/usr/baropam/.baro_auth

 

 

주의) –s 옵션의 filename는 BaroPAM 환경설정 파일을 생성할 디렉토리를 포함한 파일명(파일 접근권한은 444)이며, 설정한 정보자산 호스트명(hostname)이 맞지 않는 경우 BaroPAM이 정상적으로 작동되지 않을 수 있으니, 호스트명(hostname)가 변경되는 경우 반드시 환경 설정의 해당 항목에 반영해야 한다.

 

사용 예)

> ./baro_auth -r 3 -R 30 -t 30 –c 0 –k app512 –e no -H nurit.co.kr -A deny -a /usr/baropam/.baro_acl -S Ri5+xgVdtEBJGlrSD2hvituZxAq0vttx -s /usr/baropam/.baro_auth

 

만약, 계정마다 BaroPAM 환경 설정파일을 각각 설정하는 경우 해당 계정으로 접속하여 작업을 진행한다.(Not root)

 

> ./baro_auth -r 3 -R 30 -t 30 –c 0 –k app512 –e no -H nurit.co.kr -A deny -a ~/.baro_acl -S Ri5+xgVdtEBJGlrSD2hvituZxAq0vttx -s ~/.baro_auth

 

1) Your emergency scratch codes are :

 긴급 스크래치 코드는 일회용 인증키 생성기인 BaroPAM 어플을 사용할 수 없을 때 분실한 경우를 대비하여 SSH 서버에 다시 액세스하는데 사용할 수 있는 접속이 가능한 Super 인증키 이므로 어딘가에 적어 두는 것이 좋다.

 

2) 다음에 나오는 물음에 대해서는 모두 "y"를 입력한다.

   중간자(man-in-the-middle) 공격을 예방할 것인가? y

   같은 일회용 인증키는 하나의 계정 외에 다른 계정에도 로그인이 가능하게 할 것인가? y

   일회용 인증키의 제한 시간을 30초로 지정할 것인가? y

 

BaroPAM 환경 설정 파일인 .baro_auth에 설정한 내용은 다음과 같다.

 

> cat .baro_auth

" AUTH_KEY

" RATE_LIMIT 3 30

" KEY_METHOD app512

" CORR_TIME 0

" CYCLE_TIME 30

" SECURE_KEY Ri5+xgVdtEBJGlrSD2hvituZxAq0vttx

" ACL_NAME /usr/baropam/.baro_acl

" ACL_TYPE deny

" HOSTNAME nurit.co.kr

" WINDOW_SIZE 17

" DISALLOW_REUSE

33458936

19035576

15364353

54649370

84342192

 

BaroPAM 환경설정 파일인 .baro_auth의 설정 항목에 대한 내용은 다음과 같다.

 

항목

설명

설정값

비고

AUTH_KEY

인증 구분자(고정)

 

 

RATE_LIMIT

제한 횟수(1~10), 제한시간(, 15~600) 설정.

3 30

 

KEY_METHOD

인증키 생성 방식(app1, app256, app384, app512: 어플, card1, card256, card384, card512: 인증카드)

app512

 

CORR_TIME

인증키 보증오차시간()

0

 

CYCLE_TIME

인증키 생성주기(, 3~60)

30

 

SECURE_KEY

Secure key(라이선스 키)

WSa1MUyG+aaiJ1JS/uqtXuBSoRBIIZOL

 

HOSTNAME

정보자산 호스트명(uname –n)

nurit.co.kr

 

ACL_TYPE

2차 인증에서 허용(allow) 또는 제외(deny) 구분

deny

 

ACL_NAME

2차 인증에서 허용 또는 제외할 계정에 대한 ACL Filename(파일 접근권한은 444)

/usr/baropam/.baro_acl

 

WINDOW_SIZE

현재 시간을 기준으로 일회용 인증키의 보정시간(-7~7)

17

 

DISALLOW_REUSE

or

ALLOW_REUSE

중간자(man-in-the-middle) 공격을 예방할 경우는 "DISALLOW_REUSE"을 설정한 경우 인증키 생성 주기 동안은 다른 사용자가 로그인 할 수 없으며, 만약 허용할 경우는 "ALLOW_REUSE"을 설정한다.

DISALLOW_REUSE

 

 

 

2.2 BaroPAMOpenSSH 통합

 

BaroPAM 모듈을 설정하기 위해서 sshd 파일에 설정하는 방법은 다음과 같이 최 상단에 입력해 준다.

 

> vi /etc/pam.d/sshd

#%PAM-1.0

auth       required     /usr/baropam/pam_baro_auth.so nullok secret=/usr/baropam/.baro_auth encrypt=no

 

참고로 secret 파라미터는 BaroPAM 환경설정 파일명이며, encrypt BaroPAM 환경설정 파일을 암복호 플래그(yes or no)이다.

 

만약, 계정마다 BaroPAM 환경 설정파일을 각각 설정하는 경우 BaroPAM 모듈을 설정하기 위해서 sshd 파일에 설정하는 방법은 다음과 같이 최 상단에 입력해 준다.

 

> vi /etc/pam.d/sshd

#%PAM-1.0

auth       required     /usr/baropam/pam_baro_auth.so nullok secret=${HOME}/.baro_auth encrypt=no

 

* "nullok"는 BaroPAM이 설정되어 있지 않은 계정의 경우에는 2차 인증(일회용 인증키)을 생략한다는 의미이다.

 

> vi /etc/pam.d/su

#%PAM-1.0

auth       required     /usr/baropam/pam_baro_auth.so nullok secret=/usr/baropam/.baro_auth encrypt=no

 

/etc/pam.d/su 파일에 BaroPAM 모듈을 최 상단에 추가하면 "su" 명령어로 일반계정이 "root"로 권한 상승을 시도하는 경우에도 2차 인증(일회용 인증키) 입력을 적용할 수 있어서 보안이 한층 더 향상된다.

 

$ su - root

Verification code:

 

Desktop Linux 인 경우 GUI 로그인 화면에서 BaroPAM을 사용하고자 하는 경우 설정하는 방법은 다음과 같이 최 상당에 입력해 준다.

 

) Debian, Ubuntu, SUSE Linux인 경우

 

> vi /etc/pam.d/gdm-password or /etc/pam.d/gdm-autologin

#%PAM-1.0

auth       required     /usr/baropam/pam_baro_auth.so nullok secret=/usr/baropam/.baro_auth encrypt=no

 

gdm-password, gdm-autologin 설정이 끝나면 반드시 PAM 모듈이 제대로 추가되었는지 확인한 후 gdm-password or gdm-autologin Restart 작업이 반드시 필요하다.

 

> systemctl restart /etc/pam.d/gdm-password or /etc/pam.d/gdm-autologin

 

 

그러면 다음과 같이 로그인 화면에 BaroPAM일회용 인증키"Verification code"를 입력하는 화면이 나타난다.

 

 

) 하모니카OS, 구름OS, Mint Linux인 경우

 

> vi /etc/pam.d/lightdm or /etc/pam.d/loghtdm-autologin

#%PAM-1.0

auth       required     /usr/baropam/pam_baro_auth.so nullok secret=/usr/baropam/.baro_auth encrypt=no

 

Lightdm, lightdm-autologin 설정이 끝나면 반드시 PAM 모듈이 제대로 추가되었는지 확인한 후 lightdm or loghtdm-autologin Restart 작업이 반드시 필요하다.

 

> systemctl restart /etc/pam.d/lightdm or /etc/pam.d/loghtdm-autologin

 

 

그러면 다음과 같이 로그인 화면에 BaroPAM일회용 인증키인 "Verification code"를 입력하는 화면이 나타난다.

 

 

sshd 데몬 설정을 위한 설정 파일인 /etc/ssh/sshd_config 파일의 내용 중 다음과 같은 인자는 변경이 필요하다.

 

인자

기존

변경

비고

PasswordAuthentication

yes

no

 

ChallengeResponseAuthentication

no

yes

 

UsePAM

no

yes

 

 

sshd 설정이 끝나면 반드시 PAM 모듈이 제대로 추가되었는지 확인한 후 SSH Server Restart 작업이 반드시 필요하다.

 

> service sshd restart

sshd 를 정지 중: [  OK  ]

sshd ()를 시작 중: [  OK  ]

 

Ubuntu, Debian or Linux Mint, Fedora:

$ systemctl restart ssh

 

CentOS or RHEL:

$ service sshd restart

 

BaroPAM 모듈 사용 시 2차 인증에서 제외할 계정에 대한 ACL에 제외 해야 하는 경우 BaroPAM 환경 설정 시 설정한 디렉토리에 ACL 파일을 생성한 후 제외할 계정을 다음과 같이 입력한다. (.baro_acl에 대한 파일 접근권한을 444로 설정해야 한다.)

 

> vi /usr/baropam/.baro_acl

barokey

baropam

 

일회용 인증키 발생기인 BaroPAM 어플의 안드로이드 폰용 다운로드(https://play.google.com/store/apps/details?id=com.baro.pam)구글의 "Play 스토어"에서 아이폰 용은 애플의 "App store"에서 가능하며, 설치는 일반 어플의 설치와 동일하다.

 

 

BaroPAM 어플(안드로이드 폰용과 아이폰 용)에 문제가 발생 시 서비스의 중단이 발생하지 않토록 BaroPAM 웹 사이트(www.baropam.com)를 통해서도 서비스를 제공한다.

 

 

 

 

3. FreeRADIUS 설정

 

3.1 FreeRADIUS 설치

 

FreeRadius를 설치하려면 다음 명령을 사용한다.

 

> sudo apt-get install freeradius

 

 

계속 프롬프트에 "yes" 라고 말하고 설치를 완료한다.

 

다음으로 /etc/freeradius/radiusd.conf를 편집(사용자와 그룹) 해야 한다.

 

user = freerad

group = freerad

 

다음과 같이 freeradroot로 바꾼다.

 

 

다음으로 /etc/freeradius/users를 편집 해야 한다. 다음 줄을 추가해야 한다.

 

DEFAULT Auth-Type := PAM

 

 

다음으로 PAM을 활성화 하려면 /etc/freeradius/sites-enabled/default를 편집 해야 한다. PAM이 활성화 되도록 #PAM 라인의 주석을 해제한다.

 

 

마지막으로 /etc/pam.d/radiusd를 편집 해야 한다. 모든 @include 행을 주석 처리 한 후 다음 두 행을 추가 해야 한다.

 

auth     requisite /usr/baropam/pam_baro_auth.so forward_pass secret=/usr/baropam/.baro_auth

account  requisite pam_unix.so use_first_pass

 

마지막으로,보다 쉬운 문제 해결을 위해 log 지시문에서 /etc/freeradius/radiusd.conf를 편집하여 추가 로깅을 활성화 한다

 

auth = yes

auth_badpass = yes

auth_goodpass = yes

 

 

이러한 변경 사항을 적용하려면 변경 서버를 다시 시작한다.

 

> systemctl restart freeradius

 

 

3.2 FreeRADIUS BaroPAM과 통합

 

Horizon과의 통합을 위해 두 단계가 있다. 먼저 RADIUS 서버의 Horizon 연결 서버에 대해 반경 클라이언트 항목을 구성 해야 한다. 내 환경에서는 연결 서버에 horizon.lab.local에서 액세스 할 수 있으므로 /etc/freeradius/clients.conf의 섹션을 적절하게 구성한다. 스크린 샷은 다음과 같다.

 

 

변경 후 FreeRADIUS를 다시 시작한다.

 

> systemctl restart freeradius

 

다음으로 클라이언트로 RADIUS 서버에 연결하도록 Horizon 연결 서버를 설정 해야 한다. "Configuration à Servers à Connection Servers à Select-Your-Connection-Server-And-Edit à Authentication" 탭으로 이동한다.

 

 

2 단계 인증에 RADIUS를 활성화하고 "Manage Authenticatiors.." 버튼을 클릭한다.

 

 

그런 다음 Authenticator 추가 옵션을 선택한다. 여기에서는 Horizon 연결 서버가 FreeRADIUS 서버에서 요청을 수행하는데 사용할 RADIUS 클라이언트 설정을 구성한다. 필요한 기본 설정은 레이블, 호스트 이름, 인증 포트, 계정 포트 및 인증 유형이다. 이 솔루션의 경우 인증 유형으로 PAP를 선택하고 인증 포트의 경우 1812와 계정 포트의 경우 1813을 사용 해야 한다. 공유 비밀은 FreeRADIUS clients.conf에 구성된 것이다.

 

 

"Next" 버튼을 클릭하고 확인을 클릭한다.

 

마법사가 완료되면 New Authenticator가 선택되었는지 확인하고 "Enforce 2-factor and Windows user name matching" 옵션을 확인한다.

 

 

확인 후 Horizon View 클라이언트를 시작한다. 비밀번호는 일반 AD 비밀번호를 입력 한 후 BaroPAM 어플에서 생성한 일회용 인증키 6자리를 다음과 같이 추가한다.

 

 

다음은 lab 환경에 처음 로그인하는 모습이다. 6 자리 일회용 인증키가 추가 된 비밀번호를 입력한다.

 

 

그런 다음 전통적인 Horizon 자격 증명 프롬프트가 표시된다. 이 두 번째 프롬프트에서 일반 AD 암호를 입력하기만 하면 된다.

 

 

 

4. UAG와 통합

 

UAG FreeRADIUS를 통합하는 것은 기존 Horizon Connection 서버를 통합하는 것과 크게 다르지 않다. 먼저, Horizon 연결 서버에서와 마찬가지로 FreeRADIUS clients.conf를 사용하여 적절한 RADIUS 클라이언트 항목을 만든다. 그런 다음 UAG admin gui에 로그인한다. 초기 로그인 후 수동 구성 옵션을 선택한다.

 

 

그런 다음 일반 설정에서 RADIUS의 기어 아이콘을 확장하고 선택한다.

 

 

이제 연결 서버, RADIUS 서버 이름, 공유 암호 등에서 수행 한 것과 동일한 기본 정보를 설정한다.

 

 

Horizon RADIUS 클라이언트로 RADIUS 서버에 요청을 발행하는데 필요한 모든 정보를 설정한 후 시작된다.

 

사업자 정보 표시
주식회사 누리아이티 | 이종일 | 서울시 강서구 공항대로 186 로뎀타워 617호 | 사업자 등록번호 : 258-87-00901 | TEL : 010-2771-4076 | Mail : mc529@nurit.co.kr | 사이버몰의 이용약관 바로가기