주식회사 누리아이티

지문인식카드 및 정보자산 2차 인증 보안SW 전문기업

정보자산의 보안강화를 위하여 접근제어 2차 인증(추가 인증)을 위한 BaroPAM 가이드(Windows)

댓글 0

▶ BaroSolution/BaroPAM

2018. 6. 8.

목차
 
1. Winlogon Credential Provider
1.1 Credential Provider 개요
1.2 Winlogon 동작 원리
1.3 Credential Provider 추가/삭제/비활성화
1.4 NTP(Network Time Protocol) 설정
 
2. BaroPAM 설치
2.1 BaroPAM 설치 전 준비사항
2.2 BaroPAM 설치
2.3 Windows Logon 방법
2.4 BaroPAM 환경 재설정

2.5 BaroPAM 제거 방법
2.6 BaroPAM 재사용 방법
 

3. About BaroPAM

 

 

 

 

1. Winlogon Credential Provider

 

1.1 Credential Provider 개요

 

Windows 로그인 화면을 커스터마이징 할 때, Windows XP까지는 GINA(Graphical Identification and Authentication) DLL이 사용되었는데, 인터페이스가 어렵고 복잡하며, 디버깅도 매우 어려워서 소수 일부 전문가들만 사용했다.

 

Windows 7(Vista 이상)부터는 CP(Credential Provider)라는 개념으로 비교적 쉽게 수정할 수 있는 API 인터페이스를 제공하고 있다.

 

Credential Provider Plugin처럼 여러 개 병렬로 등록 가능하며, 각각 한 가지 인증 처리를 할 수 있는데, 이와 같이 추가 Credential Provider를 만들어 할 수 있는 일은,

 

-로그인 화면에 TextBox ComboBox 등을 추가한 뒤 추가 입력값(OTP 인증 등)을 받아 검증

-기본 Password 로그인 이외에 다른 처리(패스워드 초기화 등)를 함

 

이상의 두 가지 정도가 대부분이라 할 수 있겠다.

 

패스워드 인증을 사용하지 않고 스마트카드 인증을 한다거나 지문 인식 인증을 한다거나 등은 OS 및 하드웨어 수준에서 지원이 될 때만 가능한 것이지, 무턱대고 Credential Provider를 만든다고 새로운 인증 방식이 적용되는 것은 아니다.

 

예를 들어, user/password라는 Windows 계정이 있는데, password 대신에 OTP 코드로 123456이라는 값을 입력 받아 인증되게 하려면, 별도 사용자 DB user:password:OTP와 같은 매핑 테이블이 있어서 OTP 코드로부터 사용자의 password를 조회할 수 있도록 만들어 놓은 경우라면 몰라도, password를 입력하지 않고 그냥 인증할 수 있는 방법은 없다.

 

, Credential Provider를 통해 인증을 성공하는 유일한 방법은 ID/Password를 제대로 입력했을 때 뿐이다.

 

1.2 Winlogon 동작 원리

 

 

Winlogon Windows의 로그 관리자로써 Windows Vista 이전에는 Winlogon.exe Lsass.exe Services.exe를 실행 시키는데, Windows 7(Vista 이후)에는 Winlogon.exe Wininit.exe가 함께 실행되고, Wininit.exe Lsass.exe Services.exe를 실핼 시킨다.

 

Lsass.exe(Local Security Authority Subsystem Service)는 부팅 시 보안 인증을 담당하고 LSA라고도 부른다.

 

Services.exe(Service Control Manager)는 서비스를 관리하고 SCM이라고도 부른다.

 

Winlogon은 또한 사용자 로그인 동작을 수행하는 Credential Provider를 호출하고 로그온, 로그오프 관련 작업에 관여한다.

 

대기할 때 항시 SAS(Secure Attention Sequence : Alt + Ctrl + Del) 키 입력을 감시 하다가 SAS 키 입력이 들어오면 Credential Provider를 불러와 사용자가 로그온 작업을 할 수 있도록 한다.

 

이와 관련된 DLL %SystemRoot%\System32\authui.dll(여길 수정하면 로그온 테마 변경 가능), %SystemRoot%\System32\SmartcardCredentialProvider.dll이다.

 

이를 Credential Provider와 연결하여 Winlogon.exe와 상호 작용하면서 로그인, 인증 UI를 관리한다. 그리고, Winlogon은 자격 증명 제공 오류로 부터 자신을 보호하기 위하여 Logonui.exe(자격 증명 제공자)를 이용한다. 이것은 네트워크 제공자 로드, 로그온 인터페이스 노출, Winlogon 종료 방지 등의 기능을 한다.

 

Vista 이전 까지는 Winlogon이 종료되면 시스템 크래쉬가 발생했지만, 이후로는 Wininit.exe가 지켜줘서 로그오프만 된다.

 

또한 Winlogon은 고유한 SID를 할당하여 Desktop 인스턴스(키보드, 화면, 마우스 등)에 배정하게 되고, 이를 로그온 프로세스 토큰에 포함하여 보안을 담당하는 Lsass에 전달한 후 인증을 통과하면 할당했던 SID를 로그온 프로세스 토큰에 포함해 로그인 인증용도로 사용한다. 쉽게 말해서 컴퓨터 잠금, 로그온, 로그오프에 관여 한다.

 

1.3 Credential Provider 추가/삭제/비활성화

앞에서도 잠깐 언급했지만, Credential Provider를 새로 추가한다는 것은 기본 ID/Password 인증을 사용하지 않고 새로운 형태의 인증 방식을 추가하는 것이다.

 

따라서 ID/Password 인증 기본 Credential Provider(PasswordProvider)수정해서 화면 상에 뭔가 텍스트나 그림 등을 추가할 수 없을까 고민한다면, 그건 잘못된 생각이다.

 

기본 제공되는 Built-In Credential Provider들은 수정이 불가능하다. (소스 코드를 제공하지 않으니까)

 

다만, OOP 개념에 따라 새로운 Credential Provider를 만들고 Wrapping하여 Override할 수 있을 뿐이다.

 

아무튼, Windows 로그인에서 사용되는 Credential Provider들은 모두 위 레지스트리에 등록되어 있다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers

 

여기서 테스트 목적 또는 필요 시 해당 레지스트리 키를 삭제하지 않고도 "비활성화"시키는 방법이 있는데,

 

-Group Policy로 비활성화 하는 방법: https://community.sophos.com/kb/en-us/114190

-레지스트리를 수정하여 개별 CLSID별로 Disabled 값을 추가하는 방법: https://social.technet.microsoft.com/Forums/windows/en-US/9c23976a-3e2b-4b71-9f19-83ee3df0848b/how-to-disable-additional-credential-providers?forum=w8itprosecurity

-Credential Provider Filter를 만들어 등록하는 방법: http://www.pagepinner.com/2013/12/how-to-hide-credential-providers-from.html

 

이상의 세 가지 방법이 있다.

 

1.4 NTP(Network Time Protocol) 설정

 

최근에는 서버/네트워크 장비에 대한 시간 동기화(타임서버 시간 동기화)하는 방법으로 NTP(Network Time Protocol)을 이용하여 관리자 계정에서 시스템의 시각을 현재 시각으로 설정할 수 있다.

 

1. NTP?

 

Network Time Protocol(네트워크 시간 프로토콜)의 약자로 네트워크 환경으로 구성된 장비(서버, PC, 통신장비, 방화벽 장비 등)의 시스템 시간을 동기화 하기 위한 규약이다.

 

윈도우에는

- 모든 윈도우서버는 NTP 서버가 될 수 있다.

- 모든 서버의 방화벽에서 UDP 123 번이 열려있어야 한다.

- NTP 서버와의 시간차이가 많이 날 경우(기본값: 15 시간) 동기화 되지 않는다.

  실제 시간과 근접한 시간으로 변경 후 동기화 할 수 있도록 한다.

- 데이터 일치를 위하여 동기화(Sync)요청을 하더라도 즉시 반영되는 것이 아니라, 조금씩 맞춰 간다.

 

  (예: Server#2 서버가 Server#1 서버 보다 시간이 빠를 경우, Server#1 번의 시간으로 Server#2 의 시스템시간을 동기화 할 경우, 동일한 시간대의 데이터가 생성되므로, 데이터 정합성에 오류가 발생한다. 이에 시간 동기화는 즉시 반영되는 것이 아니라, 조금씩 그 차이를 줄여나가는 방식이다. - 12 참조)

 

2. 시스템 환경

 

NTP 시간을 제공해주는 서버를 "NTP 서버", NTP 서버로 시간 동기화를 요청하는 서버를 "Slave 서버"로 명명한다.

 

서버명 및 IP 주소

 

3. 내부 NTP 서버

 

1) 외부 NTP 서버와 시간 동기화

 

내부 NTP 서버 시스템 시간을 인터넷 표준시(:time.windows.com)으로 설정한다.

 

① 실행서버

 

Server#1(IP:10.10.10.1)

 

② 시나리오

 

내부 NTP 서버 역할로 운용할 서버의 시간 동기화 대상을 외부 NTP(:time.bora.net, time.kornet.net)으로 설정하고, 설정(레지스트리)값을 확인 후 동기화 작업을 수행한다.

 

③ 작업

 

첫번째, 외부 NTP 서버를 기준으로 시간동기화 설정을 한다.

 

* 시작 -> cmd -> w32tm /config /syncfromflags:manual /manualpeerlist:time.microsoft.com /update

 

1: 예상결과

C:\>w32tm /config /syncfromflags:manual /manualpeerlist:time.microsoft.com /update

명령이 성공적으로 완료되었습니다

 

두번째, Windows Time 서비스의 설정값(레지스트리) 확인

 

* 시작 -> cmd -> w32tm /dumpreg /subkey:Parameters

 

2: 예상 결과

C:\>w32tm /dumpreg /subkey:Parameters

값 이름        값 종류           값 데이터

-----------------------------------------------------------------------------

ServiceMain    REG_SZ            SvchostEntry_W32Time

ServiceDll     REG_EXPAND_SZ    C:\WINDOWS\system32\w32time.dll

NtpServer      REG_SZ            time.windows.com,0x9 <- 외부 NTP 서버주소

Type            REG_SZ            NTP                   <- 외부 NTP 서버 사용

 

세번째, Windows Time 서비스 재시작

 

* 시작 -> cmd -> net stop w32time

               -> net start w32time

 

3: 예상결과

C:\>net stop w32time

Windows Time 서비스를 멈춥니다..

Windows Time 서비스를 잘 멈추었습니다.

 

C:\>net start w32time

Windows Time 서비스를 시작합니다..

Windows Time 서비스가 잘 시작되었습니다.

 

네번째, 시간 동기화

 

* 시작 -> cmd -> w32tm /resync

 

4: 예상결과

[정상]

C:\>w32tm /resync

로컬 컴퓨터에 다시 동기화 명령을 보내는 중

명령이 성공적으로 완료되었습니다.

 

[오류] : 방화벽에서 외부 UDP 123 포트가 막혀 있을 경우 발생할 수 있다.

C:\>w32tm /resync

동기화 명령 전송 - local computer...

사용 가능한 시간 데이터가 없어 컴퓨터가 동기화하지 못했습니다.

 

2) NTP 서비스 제공을 위한 구성 확인

 

내부 NTP 서버가 외부 NTP 서버를 참조하는지 확인한다.

 

① 실행서버

 

Server#1(IP:10.10.10.1)

 

시나리오

 

내부 NTP 서버 역할로 운용할 서버의 서비스를 확인하여 Slave 서버에서 연결 할 수 있도록 구성 값을 확인한다.

 

작업

 

첫번째, Windows Time 서비스 구동 확인

 

* 시작 -> cmd -> sc query w32time

 

5: 예상 결과

C:\>sc query w32time

       SERVICE_NAME      : w32time

       TYPE              : 20 WIN32_SHARE_PROCESS

       STATE             : 4 RUNNING

                             (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)

       WIN32_EXIT_CODE   : 0 (0x0)

       SERVICE_EXIT_CODE : 0 (0x0)

       CHECKPOINT        : 0x0

       WAIT_HINT         : 0x0

 

두번째, NTP 서비스 구동 확인

 

* 시작 -> cmd -> netstat -ano | findstr 123

 

6: 예상 결과

C:\>netstat -ano | findstr 123

 UDP    0.0.0.0:123      *:*    1128

 UDP    0.0.0.0:62123    *:*    1428

 UDP    [::]:123         *:*    1128

 

4. Slave 서버

 

1) Slave 서버 환경 구성

 

내부 NTP 서버(IP:10.10.10.1)를 기준으로 Slave 서버의 시스템 시간을 설정한다. 시간 차이가 너무 많을 경우 동기화가 되지 않으니, 수동으로 근접한 시간을 맞추고 동기화 할 수 있도록 한다.

 

① 실행서버

 

Server#2(IP:10.10.10.2)

Server#3(IP:10.10.10.3)

(각 서버별로 수행)

 

시나리오

 

시간 동기화 대상을 내부 NTP 서버(IP:10.10.10.1)로 설정하고, 동기화 작업을 수행한다.

 

작업

 

첫번째, 내부 NTP 서버(IP:10.10.10.1)를 기준으로 시간동기화 설정을 한다.

 

* 시작 -> cmd -> w32tm /config /syncfromflags:manual /manualpeerlist:10.10.10.1 /update

 

7: 예상결과

C:\>w32tm /config /syncfromflags:manual /manualpeerlist:10.10.10.1 /update

명령이 성공적으로 완료되었습니다.

 

두번째, Windows Time 서비스의 설정값(레지스트리) 확인

 

* 시작 -> cmd -> w32tm /dumpreg /subkey:Parameters

 

8: 예상 결과

C:\>w32tm /dumpreg /subkey:Parameters

값 이름        값 종류           값 데이터

-----------------------------------------------------------------------------

ServiceMain    REG_SZ           SvchostEntry_W32Time

ServiceDll     REG_EXPAND_SZ    C:\WINDOWS\system32\w32time.dll

NtpServer      REG_SZ           10.10.10.1 <- 외부 NTP 서버주소

Type            REG_SZ           NTP        <- 외부 NTP 서버 사용

 

세번째, Windows Time 서비스 재시작

 

* 시작 -> cmd -> net stop w32tm

               -> net start w32tm

 

9: 예상결과

C:\>net stop w32time

Windows Time 서비스를 멈춥니다..

Windows Time 서비스를 잘 멈추었습니다.

 

C:\>net start w32time

Windows Time 서비스를 시작합니다..

Windows Time 서비스가 잘 시작되었습니다.

 

세번째, 시간 동기화

 

* 시작 -> cmd -> w32tm /resync

 

10: 예상결과

C:\>w32tm /resync

로컬 컴퓨터에 다시 동기화 명령을 보내는 중

명령이 성공적으로 완료되었습니다.

 

2) NTP 서버와 시간차 확인 

 

특정 서버(ex.NTP 서버)와 실행한 서버와의 시간차이를 확인한다.

 

① 실행서버

 

Server#2(IP:10.10.10.2)

Server#3(IP:10.10.10.3)

(각 서버별로 수행하여 확인 할 수 있다.)

 

시나리오

 

특정서버(Master Server:10.10.10.1) Slave Server(10.10.10.2)시간 동기화 대상을 Master Server 설정하고, 동기화 작업을 수행한다.

 

작업

 

첫번째, Master Server 를 기준으로 시간동기화 설정을 한다.

 

* 시작 -> cmd -> w32tm /stripchart /dataonly /computer:10.10.10.1

 

  비교대상 서버와 시간이 일치한다면, 하기와 유사한 결과값을 볼 수 있다.

 

11: 예상결과

C:\> w32tm /stripchart /dataonly /computer:10.10.10.1

Tracking 10.10.10.1 [10.10.10.1].

The current time is 2012-04-18 오후 19:17:13 (local time).

19:17:13, +00.2676328s     -> 비교 대상 서버와 +00.2676328 초만큼 차이가 난다.

19:17:15, +00.2593851s

19:17:17, +00.2589499s

19:17:19, +00.2428931s

^C                         -> 중지하기 위해서는 “Ctrl + c”를 누르면 된다.

      +00.xxxxxxx(또는 -00.xxxxxxx)로 대상 NTP 서버와 차이나는 시간만큼 표기된다.

      ) +120.2428931s -> +120 초 차이가 남

 

5. NTP 설정 후 동기화 요청 및 동기화 확인

 

12: Slave 서버 동기화 설정

NTP 서버(IP:10.10.10.1) 서버를 시스템 시간으로 설정한다.

C:\>w32tm /config /syncfromflags:manual /manualpeerlist:10.10.10.1/update

명령이 성공적으로 완료되었습니다.

 

Windows Time 서비스를 재기동한다.

C:\>net stop w32time

Windows Time 서비스를 멈춥니다..

Windows Time 서비스를 잘 멈추었습니다.

 

C:\>net start w32time

Windows Time 서비스를 시작합니다..

Windows Time 서비스가 잘 시작되었습니다.

 

NTP 서버(IP:10.10.10.1)로 지정한 서버와 동기화를 요청한다.

C:\>w32tm /resync

로컬 컴퓨터에 다시 동기화 명령을 보내는 중

명령이 성공적으로 완료되었습니다.

 

NTP 서버(IP:10.10.10.1)와 실행 중인 서버와의 시간차이를 확인한다.

C:\>w32tm /stripchart /dataonly /computer:10.10.10.1

10.10.10.1[10.10.10.1:123] 추적 중

현재 시간은 2012-04-19 오후 22:47:25 입니다.

22:47:25, +23.2364090s

22:47:27, +22.7004942s    -> 조금씩이지만 차이가 줄어드는 것을 볼 수 있다.

22:47:30, +22.1639462s

22:47:32, +21.6430236s

^C                        -> 중지하기 위해서는 “Ctrl + c”를 누르면 된다.

 

6. 주기적인 시간 동기화

 

주기적으로 시간을 자동으로 동기화 하게 만드는데, 방법은 다음과 같다.

 

1) 시작 – 실행 – regedit (혹은 Winkey+R regedit)

 

2) HKEY_LOCAL_MACHINE\

   SYSTEM\

   CurrentControlSet\

   services\

   W32Time\

   TimeProviders\

   NtpClient

 

3) SpecialPollInterval 이름을 더블 클릭

 

4) 10진수로 바꿔서 본인이 원하는 숫자를 입력.

    60 = 60, 600 = 10, 3600 = 1시간, 86400 = 1

    초로 계산한다.

 

5) 시작 – 실행 – cmd (혹은 Winkey+R cmd)

 

6) Windows Time 서비스 재기동

 net stop w32time 엔터

   net start w32time 엔터

 

7) Windows Time 서비스 재부팅 시 자동 실행 
   sc config w32time start= auto
   sc triggerinfo w32time start/networkon stop/networkoff

 

7. 참고 사항

 

1) NTP Client 활성화 

reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient" /v Enabled /t REG_DWORD /d 1 /f

 

2) 동기화 요청주기 설정(60) 

reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient" /v SpecialPollInterval /t REG_DWORD /d 60 /f

 

3) 동기화 조건 설정 

reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config" /v MaxPosPhaseCorrection /t REG_DWORD /d 0xFFFFFFFF /f

reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config" /v MaxNegPhaseCorrection /t REG_DWORD /d 0xFFFFFFFF /f

 

기본 값은 54000(15시간)인데, 현재 시간과 NTP 서버의 시간이 15시간 이상 차이가 나면 동기화 하지 않는다. 이 값을 0xFFFFFFFF로 변경하면 시간 차이에 상관없이 무조건 동기화 하겠다는 뜻이다.

 

4) NTP 서버 설정 

w32tm /config /syncfromflags:manual /manualpeerlist:"kr.pool.ntp.org"

 

NTP 서버는 기본적으로 "time.windows.com"을 우리나라 pool time server "kr.pool.ntp.org"로 지정함.

 

5) Windows Time 서비스가 자동으로 시작되도록 설정 

sc config w32time start=auto

sc triggerinfo w32time start/networkon stop/networkoff

 

Windows Time 서비스는 기본적으로 Domain에 가입된 상태에서만 자동으로 시작되게 트리거 설정되어 있다. 따라서 이 트리거를 네트워크 시작/중지로 변경해 주는 것이다. 이렇게 하지 않으면 Workgroup 환경에서는 "sc config w32time start=auto" 해두어도 실제로는 리부팅 후 자동으로 서비스가 올라오지 않는다. 따라서 반드시 필요한 설정이라 할 수 있다.

 

6) Windows Time 서비스 재시작 

net stop w32time

net start w32time

 

7) NTP 동기화 즉시 실행 

w32tm /resync /nowait

 

8) 현재 NTP 동기화 상태를 확인 

w32tm /query /status

 

reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient" /v Enabled /t REG_DWORD /d 1 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient" /v SpecialPollInterval /t REG_DWORD /d 60 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config" /v MaxPosPhaseCorrection /t REG_DWORD /d 0xFFFFFFFF /f

reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config" /v MaxNegPhaseCorrection /t REG_DWORD /d 0xFFFFFFFF /f

w32tm /config /syncfromflags:manual /manualpeerlist:"kr.pool.ntp.org"

sc config w32time start=auto

sc triggerinfo w32time start/networkon stop/networkoff

net stop w32time

net start w32time

w32tm /resync /nowait

w32tm /query /status

  

9) Windows 현재 날짜 및 시간 확인 및 자동 설정

 

 

Windows 우측 하단의 날짜와 시간에 커서를 대고 "마우스 오른쪽 버튼"을 클릭하면 다음과 같은 팝업 화면이 나타난다.

 

 

위의 팝업 화면의 메뉴에서 "날짜/시간 조정(A)"을 클릭하면 다음과 같은 "날짜 및 시간"을 설정하는 화면이 나타난다.

 

 

위 화면의 항목 중 "자동으로 시간 설정" "자동으로 표준 시간대 설정" 항목을 "On"해야 한다.

 

 

2. BaroPAM 설치

2.1 BaroPAM 설치 전 준비사항

BaroPAM을 사용할려고 하면 사용하는 Windows 사용자 계정에 대한 암호를 반드시 설정 또는 잠시 암호를 해지(BaroPAM을 설치한 후 암호 재설정) 해야 한다.

 

Windows 사용자 계정과 암호가 맞는지 반드시 확인하고, Windows에 대한 최신 Update가 되어 있는지 확인 해야 한다.

 

BaroPAM을 설치하기 위해서는 WindowsVersion과 시스템 종류를 알아야 한다. 그러기 위해서 "탐색기 -> PC -> 마우스 오른쪽 버튼 클릭"하면 다음과 같은 화면이 나타난다.

 

 

위 화면에서 "속성(R)"을 클릭하면 Windows Version과 시스템 종류 등의 시스템 정보를 제공하는 화면이 나타난다.

 

 

 

위 화면에서 Windows Version과 시스템 종류를 확인하고, 그에 맞는 BaroPAM 설치 모듈을 다운로드 한다.

 

BaroPAM 설치 모듈의 다운로드할 URL은 다음과 같다. 

http://nuriapp.com/download/baropam_setup_x32.zip ==> Windows 7, 8, 10, 32bit

http://nuriapp.com/download/baropam_setup_x64.zip ==> Windows 7, 8, 10, 64bit

 

 

2.2 BaroPAM 설치

BaroPAM 설치 모듈를 다운로드 받은 디렉토리로 이동하여 다음과 같은 순서로 BaroPAM의 설치 작업을 진행한다.

 

첫번째, 압축된 BaroPAM 설치 파일(baropam_setup_x64.zip)의 압축을 풀면 다음과 같은 "baropam_setup_x64" 디렉토리가 생성된다.

 

 

 

(관리자 계정에서 "탐색기 -> 보기 -> 숨김항목"을 선택하면 숨김 파일이 보임.) 

- 설치 프로그램: pam_baro_setup_x64.exe

- 환경설정 파일: pam_baro_acl.ini, pam_baro_db.ini

- BaroPAM 모듈: baropam_x64.dll

- 로고 파일: BaroPAM.bmp

- ntp client 설정: ntpclient_setup.bat

- OpenSSL 모듈: libssl-1_1-x64.dll, libcrypto-1_1-x64.dll

- 레지스트리 파일: register.reg, Unregister.reg

- VC Runtime 모듈: vcruntime140.dll

 

두번째, BaroPAM 설치 파일을 실행하기 위하여 "baropam_setup_x64.exe" 파일을 선택한 다음 오른쪽 마우스 버튼을 클릭하면 다음과 같은 화면이 나타난다..

 

세번째, BaroPAM은 설치 시 관리자 권한으로 실행해야 하므로 위 화면에서 "관리자 권한으로 실행(A)"을 클릭하면 다음과 같은 "사용자 계정 컨트롤" 화면이 나타난다.

 

 

네번째, BaroPAM 설치는 반드시 관리자 계정으로 해야 되기 때문에 "사용자 계정 컨트롤" 화면의 내용을 확인한 후 "" 버튼을 클릭해야 한다. 그러면 다음 같이 "BaroPAM 인트로" 화면이 나타난다.

 

 

만약, "BaroPAM 인트로" 화면이 나타나지 않고 "Windows PC 보호" 화면이 다음과 같이 나타날 수 있다.

 

 

"실행 안 함" 버튼을 클릭하면 BaroPAM 설치 작업이 취소된다.

 

위 화면의 내용을 확인한 후 "추가 정보"를 클릭하면 다음과 같은 화면이 나타난다.

 

 

"실행" 버튼을 클릭하면 위의 "BaroPAM 인트로" 화면이 나타나며, "실행 안 함" 버튼을 클릭하면 BaroPAM 설치 작업이 취소된다.

 

다섯번째, "BaroPAM 인트로" 화면이 3초간 지속된 후 다음과 같이 WindowsBaroPAM의 환경을 설정할 수 있는 "BaroPAM Setup" 화면이 나타난다. 

 

 

▣제한 횟수(rate limit, 1~10 times)

 

일회용 인증키의 제한횟수(1~10)를 설정한다. 제한 횟수를 입력하지 않거나 범위를 벗어나는 경우 다음과 같은 메시지가 화면에 나타난다.

 

 

▣제한 시간(rate limit, 15~600 sec)

 

일회용 인증키의 제한시간(15~600)을 설정한다. 제한 시간을 입력하지 않거나 범위를 벗어나는 경우 다음과 같은 메시지가 화면에 나타난다.

 

 

제한시간은 원격으로 접속하여 Windows의 로그온을 시도 했을 때, 제한시간 동안 제한회수 만큼 로그온을 실패하는 경우 로그온을 시도한 원격 접속자의 로그온 화면을 강제적으로 종료한다.

 

▣인증 방식(Key method)

 

일회용 인증키의 인증 방식은 일회용 생성기BaroPAM 앱을 사용하는 경우는 app1, app256, app384, app512, 인증카드인 BaroCARD를 사용하는 경우는 card1, card256, card384, card512 중에서 선택한다.

 

▣보정시간(Correction time)

 

인증방식이 BaroPAM 앱을 사용하는 경우 "0"을 지정하고, 인증카드인 BaroCARD를 사용하는 경우 인증카드의 보정오차시간(기본값: 900)을 지정한다.

 

Secure key

 

정보자산별로 부여 되는 Secure key는 필수 입력 항목으로 벤더에 요청하여 부여 받은 Secure key를 입력해야 한다.

 

벤더에서 부여 받지 않은 임의의 "Secure key"를 입력하는 경우 잘못된 일회용 인증키가 부여되어 정보자산에 로그온 할 수 없는 경우가 발생할 수 있다.

 

만약, 정보자산에 설정한 Secure key일회용 인증키 생성기의 Secure key가 서로 다른 경우 일회용 인증키가 서로 달라서 Windows에 로그온 할 수 없는 경우가 발생할 수 있다.

 

Secure key를 입력하지 않거나 범위를 벗어나는 경우 다음과 같은 메시지가 화면에 나타난다.

 

 

ACL 구분(Access control list)

 

Windows의 로그온 시 2차 인증(추가 인증)을 허용(Allow) 또는 제외(Deny)할지를 선택한다.

 

"Deny"을 선택한 경우 ACL(pam_baro_acl.ini)에 설정한 사용자 계정만 2차 인증(추가 인증)을 제외하고, 설정되어 있지 않는 사용자 계정은 허용한다.

 

"Allow"을 선택한 경우 ACL(pam_baro_acl.ini)에 설정되어 있는 사용자 계정만 2차 인증(추가 인증)을 허용하고 설정되어 있지 않는 사용자 계정은 제외한다.

 

▣중간자(main-in-the-middle) 공격을 예방할 것인가?

 

중간자(man-in-the-middle) 공격을 예방하지 위하여 "Yes"을 선택한 경우 일회용 인증키의 인증주기 동안은 다른 사용자가 Windows에 로그온 할 수 없으며, 만약 "No"을 선택한 경우 일회용 인증키의 인증주기와 상관없이 모든 사용자가 Windows에 로그온하는 것을 허용한다.

 

▣응급 스크래칭 코드(Emergency scratch code)

 

응급 스크래치 코드는 일회용 인증키 생성기를 사용할 수 없을 때 또는 분실한 경우를 대비하여 8자리 숫자를 5개 까지 설정할 수 있으며, 응급 스크래칭 코드를 Windows 로그온 시 사용하면 사용한 응급 스크래칭 코드는 자동으로 삭제된다.

 

① 추가할 응급 스크래칭 코드를 8자리 숫자로 입력한다.

"추가(Add)" 버튼을 클릭하면 ①에 입력한 응급 스크래칭 코드를 ③에 추가한다. 추가한 응급 스크래칭 코드를 삭제하고 싶은 경우는 ③의 응급 스크래칭 코드를 더블 클릭(Double click)하면 ③에서 삭제된다.

 

응급 스크래칭 코드를 5개 이상 추가할 경우 다음과 같은 메시지가 화면에 나타난다.

 

 

ACL Username

 

Windows의 로그온 시 2차 인증(추가 인증)을 허용(Allow) 또는 제외(Deny) 해야 하는 사용자 계정을 등록한다.

 

④ 추가할 사용자 계정을 입력한다.

"추가(Add)" 버튼을 클릭하면 ④에 입력한 사용자 계정을 ⑥에 추가한다. 추가한 사용자 계정을 삭제하고 싶은 경우는 ⑥의 사용자 계정을 더블 클릭(Double click)하면 ⑥에서 삭제된다.

  

▣데이터베이스 연동

 

Windows의 로그온 시 데이터베이스를 연동하여 사용자 인증을 사용할 경우, 하단의 "데이터베이스 연동"을 클릭하면 다음과 같은 데이터베이스 연동 정보를 설정하는 화면이 나타난다.

 

 

위 화면에서 데이터베이스 연동할 정보인 데이터베이스명(연동할 데이터베이스명), 사용자 ID(데이터베이스에 접근할 수 있는 계정), 비밀번호(계정에 대한 비밀번호), 사용자 정보 SQL문을 입력한다.

 

SELECT <PHONE_NO> AS PHONE_NO, <CYCLE_TIME> AS CYCLE_TIME FROM <TB_USER_INFO> WHERE <USER_ID> = :USER_ID

 

<PHONE_NO> : 폰번호가 있는 컬럼명

<CYCLE_TIME> : 일회용 인증키 생성주기가 있는 컬럼명

<TB_USER_INFO> : 로그인-ID가 있는 테이블명

<USER_ID> : 사용자 정보를 조회할 사용자-ID Windows Logon-ID와 동일해야 함.

 

이외의 다른 부분은 수정하면 안됨.

 

데이터베이스 연동할 정보를 입력한 후 반드시 "접속테스트" 버튼을 클릭하여 데이터베이스 연동 및 사용자 정보를 조회하는지 여부를 테스트 해야 한다.

 

만약, 데이터베이스 연동에 성공하면 다음과 사용자 정보(사용자-ID, 폰번호, 생성주기)가 포함된 메시지가 나타난다.

 

 

데이터베이스 연동에 실패하면 다음과 메시지가 나타나면 데이터베이스 연동정보를 확인한 후 연동정보를 변경해야 한다.

 

 

여섯번째, BaroPAM 환경 설정 정보를 저장하기 위하여 "저장(Save)" 버튼을 클릭하면 다음과 같은 메시지가 나타난다.

 

 

"(Y)" 버튼을 선택하면 "BaroPAM Setup" 화면에서 설정한 내용을 저장한 후 "BaroPAM Setup" 화면을 종료하고, BaroPAM 설치 작업이 진행된다.

 

"아니오(N)" 버튼을 선택하면 "BaroPAM Setup" 화면에서 설정한 내용을 저장하지 않으며, "BaroPAM Setup" 화면을 종료하고, BaroPAM 설치 작업이 종료된다.

 

일곱번째, 위 화면에서 "(Y)"를 선택하면 Windows 32bit Windows 64bit 환경 등에서 Microsoft Visual C++ 다운 구성되어 있는 프로그램들을 실행시키고자 할 때에 꼭 필요한 vcredist 프로그램들이 다음과 같이 "Microsoft Visual C++ 2015-2019 Redistributable (x64) - …" 설치 화면이 나타난다.

 

 

만약, 이미 설치 되어 있는 경우에는 다음과 같은 "Microsoft Visual C++ 2015-2019 Redistributable (x64) - …" 설치 수정 화면이 나타난다.

 

 

이런 경우 이미 설치되어 있기 때문에 "복구(R) 또는 제거(U)" 버튼을 클릭하지 말고 "닫기(C)" 버튼을 클릭한다.

 

Visual Studio 2005 이후 Version으로 개발된 C++ 프로그램들은 Redistributable가 설치 되어야 하는데,설치되어 있지 않은 경우, Windows 로그온 시 다음과 같은 오류 메시지가 발생하며 BaroPAM이 적용되지 않는다.

 

 

여덟번째, "Microsoft Visual C++ 2015-2019 Redistributable (x64) - …" 설치 화면에서 "MICROSOFT 소프트웨어 사용 조건"을 확인한 후 "동의함(A)"을 선택하고 "설치(I)" 버튼을 클릭하면 다음과 같이 "설치 진행률" 화면이 나타난다.

 

 

아홉번째, 정상적으로 "Microsoft Visual C++ 2015-2019 Redistributable (x64) - …" 설치가 완료되면 다음과 같은 "설치 완료" 화면이 나타난다.

 

 

열번째. 위 화면에서 "닫기(C)" 버튼을 클릭하면 Windows의 레지스트리에 BaroPAM을 등록하기 위하여 다음과 같은 "레지스트리 편집기" 화면이 나타난다.

 

 

열한번째, "레지스트리 편집기" 화면의 내용을 확인한 후 BaroPAM 레지스트리를 등록하기 위하여 "(Y)" 버튼을 클릭하면 다음과 같은 "레지스트리 편집기" 화면이 나타난다.

 

 

위 화면에서 "확인" 버튼을 클릭하면 BaroPAM 레지스트리 등록 작업이 완료된다.

 

열두번째, BaroPAM 설치 디렉토리에 모듈을 복사하는 작업을 진행한 후 다음과 같은 메시지가 나타난다.

 

 

위 화면에서 "확인" 버튼을 클릭하면 BaroPAM 설치 작업이 완료 된다.

 

 

참고) BaroPAM을 설치한 후 반드시 Windows를 재부팅 하지 말고, "윈도우 키+L(Winkey+L)"를 사용하여 테스트를 진행해야 한다.

 

Windows의 로그온 시 로깅(pam_baro_auth.log)되는 인증로그의 사항과 형식은 다음과 같다. 

1) 로그온 성공

 

① 응급 스크래치 코드 사용

2018.10.14 11:46:02-0537 : BAROPAM-PC : emergency scratch code : User baropam authentication success (local ip=1.234.83.169,remote ip=0.0.0.0)

 

② 일회용 인증키 사용

2018.10.14 11:46:02-0537 : BAROPAM-PC : authentication key : User baropam authentication success (local ip=1.234.83.169,remote ip=0.0.0.0)

 

 

2) 로그온 실패

 

① 검증 실패

2018.10.14 11:46:02-0537 : BAROPAM-PC : emergency scratch code : User baropam authentication failed (local ip = 1.234.83.169,remote ip=0.0.0.0)

2018.10.14 11:46:02-0537 : BAROPAM-PC : authentication key : User baropam authentication failed (local ip = 1.234.83.169,remote ip=0.0.0.0)

 

② 인증키 인증주기가 없음

2018.10.14 11:46:02-0537 : BAROPAM-PC : authentication key : There is no cycle time for user baropam (local ip = 1.234.83.169,remote ip=0.0.0.0)

 

③ 인증키를 입력하지 않음

2018.10.14 11:46:02-0537 : BAROPAM-PC : authentication key : There is no verification code for user baropam (local ip = 1.234.83.169,remote ip=0.0.0.0)

 

④ 인증키가 없음

2018.10.14 11:46:02-0537 : BAROPAM-PC : authentication key : There is no secure key for user baropam (local ip = 1.234.83.169,remote ip=0.0.0.0)

 

Windows 시간이 현재 시간과 다를 경우 일회용 인증키와 매칭이 되지 않아 일회용 인증키가 맞질 않으므로 시간을 같게 시간 동기화 해야 한다.

 

최근에는 서버/네트워크 장비에 대한 시간 동기화(타임서버 시간 동기화)하는 방법으로 NTP(Network Time Protocol)을 이용하여 관리자 계정에서 시스템의 시각을 현재 시각으로 설정할 수 있다. ("1.4 NTP(Network Time Protocol) 설정" 참조)

 

만약 Windows 로그온이 안되는 경우에는 다음과 같이 안전모드로 부팅한 후 설치 모듈 디렉토리로 이동한 후 "Unregister.reg" 파일을 클릭하면 Windows registry에 추가된 BaroPAM 정보를 해제할 수 있다.

 

1. Windows 7인 경우

 

안전 모드는 운영 체제 진단을 위한 모드로 시스템을 최소한의 파일과 드라이버만 사용하는 등 기능적인 제약이 많다. 하지만 이 덕에 오히려 문제 해결에 도움을 줄 수 있다.

 

첫번째, 시작-실행을 누르든가 아니면 "윈도우 키+R(Winkey+R)"를 눌러 실행 창을 실행한다.

 

두번째, 열기 항목에 다음과 같이 "msconfig" 입력한 뒤 "확인" 버튼을 클릭한다.

 

세번째, "부팅" 탭을 선택한 후 "부팅 옵션"에서 "안정 부팅(R)"을 다음과 같이 선택한다.

 

기타 옵션은 바꿀 필요가 없다. 이제 재시작을 하면 안전 모드로 부팅된다. 하지만 안전 모드에서 사용이 끝난 후 다시 이 옵션을 선택 해제해야 한다.

 

2. Windows 10인 경우

 

Windows 10에서는 "기능 키(F8)"를 이용한 안전모드 부팅 방법이 원칙적으로 불가능 하게 되어서 다른 방법을 이용해야 한다.

 

첫번째, "시작" 메뉴에서 전원을 클릭한 후 "Shift+다시시작" 메뉴를 다음과 같이 선택한다.

 

두번째, "옵션 선택" 화면에서 PC 초기화 또는 고급 옵션을 표시하기 위해서 "문제 해결" 메뉴를 다음과 같이 클릭 한다.

 

세번째, "문제 해결" 화면에서 "고급 옵션" 메뉴를 다음과 같이 클릭한다.

 

네번째, "고급 옵션" 화면에서 Windows 시작 동작을 변경하기 위해서 "시작 설정" 메뉴를 다음과 같이 클릭한다.

 

다섯번째, "시작 설정" 화면에서 안전 모드로 부팅하기 위해서 "다시 시작" 버튼을 다음과 같이 클릭하여 Windows를 재부팅 한다.

 

여섯번째, "시작 설정" 화면에서 안전 모드로 부팅하기 위해서 "숫자 키(4)" 또는 "기능 키(F4)"를 누른다.

 

일곱번째, 로그인온 화면에서 로그온하게 되면 안전 모드로 전환 된다.

 

2.3 Windows Logon 방법

 

현재 Windows가 로그온 상태면 "윈도우 키+L(Winkey+L)" 또는 Windows를 전원을 켜면 다음과 같은 BaroPAM일회용 인증키와 Windows의 Username/Password를 입력하는 BaroPAM의 로그인 화면이 나타난다.

 

1. Windows 7

 

 

2. Windows 10(Windows 7 이상)

 

 

Windows의 사용자 계정(Username)을 입력하고, 스마트 폰에서 일회용 인증키를 생성한 후 "Verification code"에 생성한 일회용 인증키 Windows "Password"를 입력한 후 "->" 또는 "Enter" 버튼을 클릭하면 BaroPAM 모듈에 인증을 요청하여 검증이 성공하면 Windows OS의 로그인 인증 정책이 작동된다

 

Windows에서는 입력한 일회용 인증키 BaroPAM 검증모듈에서 인증에 실패하면 다음과 같은 "Error" 메시지 박스가 나타나며 BaroPAM의 로그인 화면에 머무른다.

 

 

2.4 BaroPAM 환경 재설정

BaroPAM 설치 후 환경을 재설정 해야 하는 경우는 다음과 같은 순서로 BaroPAM 환경의 재설정 작업을 진행한다.

 

첫번째, BaroPAM 설치 모듈 디렉토리에서 다음과 같은 BaroPAM 설치 프로그램인"baropam_setup_x64.exe" 파일을 실행한다.

 

 

두번째, BaroPAM 설치 프로그램인"baropam_setup_x64.exe" 파일을 실행면 다음과 같이 "BaroPAM 인트로" 화면이 나타난다.

 

 

세번째, "BaroPAM 인트로" 화면이 3초간 지속된 후 다음과 같이 WindowsBaroPAM의 환경 설정을 변경하기 위해 인증하는 "BaroPAM Certification" 화면이 나타난다.

 

 

BaroPAM 앱에서 생성한 일회용 인증키 "Verification code:"에 입력한다. 만약, 입력한 일회용 인증키가 틀린 경우 다음과 같이 하단의 메시지란에 "Certification failed. Please re-enter your verification code." 표시되며, BaroPAM 앱에서 일회용 인증키를 재생성하여 입력해야 한다.

 

 

네번째, "BaroPAM Certification"화면에서 일회용 인증키의 인증이 완료되면 다음과 같이 WindowsBaroPAM의 환경 설정을 변경할 수 있는 "BaroPAM Setup" 화면이 나타난다.

 

▣제한 횟수(rate limit, 1~10 times)

 

일회용 인증키의 제한횟수(1~10)를 설정한다. 제한 횟수를 입력하지 않거나 범위를 벗어나는 경우 다음과 같은 메시지가 화면에 나타난다.

 

 

▣제한 시간(rate limit, 15~600 sec)

 

일회용 인증키의 제한시간(15~600)을 설정한다. 제한 시간을 입력하지 않거나 범위를 벗어나는 경우 다음과 같은 메시지가 화면에 나타난다.

 

 

제한시간은 원격으로 접속하여 Windows의 로그온을 시도 했을 때, 제한시간 동안 제한회수 만큼 로그온을 실패하는 경우 로그온을 시도한 원격 접속자의 로그온 화면을 강제적으로 종료한다.

 

▣인증 방식(Key method)

 

일회용 인증키의 인증 방식은 일회용 생성기 BaroPAM 앱을 사용하는 경우는 app1, app256, app384, app512, 인증카드인 BaroCARD를 사용하는 경우는 card1, card256, card384, card512 중에서 선택한다.

 

▣보정시간(Correction time)

 

인증방식이 BaroPAM 앱을 사용하는 경우 "0"을 지정하고, 인증카드인 BaroCARD를 사용하는 경우 인증카드의 보정오차시간(기본값: 900)을 지정한다.

 

Secure key

 

정보자산별로 부여 되는 Secure key는 필수 입력 항목으로 벤더에 요청하여 부여 받은 Secure key를 입력해야 한다.

 

벤더에서 부여 받지 않은 임의의 "Secure key"를 입력하는 경우 잘못된 일회용 인증키가 부여되어 정보자산에 로그온 할 수 없는 경우가 발생할 수 있다.

 

만약, 정보자산에 설정한 Secure key 일회용 인증키 생성기의 Secure key가 서로 다른 경우 일회용 인증키가 서로 달라서 Windows에 로그온 할 수 없는 경우가 발생할 수 있다.

 

Secure key를 입력하지 않거나 범위를 벗어나는 경우 다음과 같은 메시지가 화면에 나타난다.

 

 

ACL 구분(Access control list)

 

Windows의 로그온 시 2차 인증(추가 인증)을 허용(Allow) 또는 제외(Deny)할지를 선택한다.

 

"Deny"을 선택한 경우 ACL(pam_baro_acl.ini)에 설정한 사용자 계정만 2차 인증(추가 인증)을 제외하고, 설정되어 있지 않는 사용자 계정은 허용한다.

 

"Allow"을 선택한 경우 ACL(pam_baro_acl.ini)에 설정되어 있는 사용자 계정만 2차 인증(추가 인증)을 허용하고 설정되어 있지 않는 사용자 계정은 제외한다.

 

▣중간자(main-in-the-middle) 공격을 예방할 것인가?

 

중간자(man-in-the-middle) 공격을 예방하지 위하여 "Yes"을 선택한 경우 일회용 인증키의 인증주기 동안은 다른 사용자가 Windows에 로그온 할 수 없으며, 만약 "No"을 선택한 경우 일회용 인증키의 인증주기와 상관없이 모든 사용자가 Windows에 로그온하는 것을 허용한다.

 

▣응급 스크래칭 코드(Emergency scratch code)

 

응급 스크래치 코드는 일회용 인증키 생성기를 사용할 수 없을 때 또는 분실한 경우를 대비하여 8자리 숫자를 5개 까지 설정할 수 있으며, 응급 스크래칭 코드를 Windows 로그온 시 사용하면 사용한 응급 스크래칭 코드는 자동으로 삭제된다.

 

① 추가할 응급 스크래칭 코드를 8자리 숫자로 입력한다.

 "추가(Add)" 버튼을 클릭하면 ①에 입력한 응급 스크래칭 코드를 ③에 추가한다. 추가한 응급 스크래칭 코드를 삭제하고 싶은 경우는 ③의 응급 스크래칭 코드를 더블 클릭(Double click)하면 ③에서 삭제된다.

 

응급 스크래칭 코드를 5개 이상 추가할 경우 다음과 같은 메시지가 화면에 나타난다.

 

 

ACL Username

 

Windows의 로그온 시 2차 인증(추가 인증)을 허용(Allow) 또는 제외(Deny) 해야 하는 사용자 계정을 등록한다.

 

④ 추가할 사용자 계정을 입력한다.

 "추가(Add)" 버튼을 클릭하면 ④에 입력한 사용자 계정을 ⑥에 추가한다. 추가한 사용자 계정을 삭제하고 싶은 경우는 ⑥의 사용자 계정을 더블 클릭(Double click)하면 ⑥에서 삭제된다.

 

▣데이터베이스 연동

 

Windows의 로그온 시 데이터베이스를 연동하여 사용자 인증을 사용할 경우, 하단의 "데이터베이스 연동"을 클릭하면 다음과 같은 데이터베이스 연동 정보를 설정하는 화면이 나타난다.

 

 

위 화면에서 데이터베이스 연동할 정보인 데이터베이스명(연동할 데이터베이스명), 사용자 ID(데이터베이스에 접근할 수 있는 계정), 비밀번호(계정에 대한 비밀번호), 사용자 정보 SQL문을 입력한다.

 

SELECT <PHONE_NO> AS PHONE_NO, <CYCLE_TIME> AS CYCLE_TIME FROM <TB_USER_INFO> WHERE <USER_ID> = :USER_ID

 

<PHONE_NO> : 폰번호가 있는 컬럼명

<CYCLE_TIME> : 일회용 인증키 생성주기가 있는 컬럼명

<TB_USER_INFO> : 로그인-ID가 있는 테이블명

<USER_ID> : 사용자 정보를 조회할 사용자-ID Windows Logon-ID와 동일해야 함.

 

이외의 다른 부분은 수정하면 안됨.

 

데이터베이스 연동할 정보를 입력한 후 반드시 "접속테스트" 버튼을 클릭하여 데이터베이스 연동 및 사용자 정보를 조회하는지 여부를 테스트 해야 한다.

 

만약, 데이터베이스 연동에 성공하면 다음과 사용자 정보(사용자-ID, 폰번호, 생성주기)가 포함된 메시지가 나타난다.

 

 

데이터베이스 연동에 실패하면 다음과 메시지가 나타나면 데이터베이스 연동정보를 확인한 후 연동정보를 변경해야 한다.

 

 

"BaroPAM Setup" 화면의 하단에 있는 버튼의 기능은 다음과 같다.

 

1. "저장(Save)" 버튼

 

"저장(Save)" 버튼을 클릭하면 제일 먼저 입력 항목들의 유효성을 확인한 후 BaroPAM  환경설정 파일(pam_baro_auth.ini, pam_baro_acl.ini, pam_baro_db.ini)  저장하는 작업을 진행한다.

 

 

"확인" 버튼을 클릭하면 "BaroPAM Setup" 화면을 종료한다.

 

참고) BaroPAM의 환경을 재설정한 후 반드시 Windows를 재부팅 하지 말고, "윈도우+L"를 사용하여 테스트를 진행해야 한다.

  

2. "Log View" 버튼

 

"Log View" 버튼을 클릭하면 Windows의 로그온 시 로깅되는 인증로그의 복사본을 "Windows 메모장" 화면에 다음과 같이 표시한다.

 

 

3. "제거(Remove)" 버튼

 

"제거(Remove)" 버튼을 클릭하면 제일 먼저 BaroPAM의 레지스트리에 등록된 정보를 제거한 후 BaroPAM 설치 모듈을 삭제하는 작업을 다음과 같이 진행한다.

 

첫번째, 레지스트리 편집기에서 디바이스를 변경할 수 있도록 허용해야 하기 때문에 "" 버튼을 클릭하면 다음과 같은 "레지스트리 편집기" 화면이 나타난다.

 

 

두번째, "레지스트리 편집기" 화면의 내용을 확인한 후 BaroPAM 레지스트리를 제거하기 위하여 "(Y)" 버튼을 클릭하면 다음과 같은 "레지스트리 편집기" 화면이 나타난다.

 

 

위 화면에서 "확인" 버튼을 클릭하면 BaroPAM 레지스트리 제거 작업이 완료 된다.

 

세번째, BaroPAM 설치 디렉토리에 존재하는 모듈을 삭제하는 작업을 진행한 후 다음과 같은 메시지가 나타난다.

 

 

위 화면에서 "확인" 버튼을 클릭하면 BaroPAM 제거 작업이 완료 된다.

 

4. "취소(Cancel)" 버튼

 

"취소(Cancel)" 버튼을 클릭하면 "BaroPAM  Setup" 화면을 종료한다.

 

 

2.5 BaroPAM 제거 방법

 

BaroPAM이 설치된 상태에서 BaroPAM 모듈을 사용하지 않을 경우 다음과 같은 순서로 BaroPAM의 제거 작업을 진행한다.

 

1. BaroPAM 설치 모듈을 삭제하는 방법

 

 

"BaroPAM Setup" 화면의 하단에 있는 "제거(Remove)" 버튼을 클릭하면 제일 먼저 BaroPAM의 레지스트리에 등록된 정보를 제거한 후 BaroPAM 설치 모듈을 삭제하는 작업을 다음과 같이 진행한다.

 

첫번째, 레지스트리 편집기에서 디바이스를 변경할 수 있도록 허용해야 하기 때문에 "" 버튼을 클릭하면 다음과 같은 "레지스트리 편집기" 화면이 나타난다.

 

 

두번째, "레지스트리 편집기" 화면의 내용을 확인한 후 BaroPAM 레지스트리를 제거하기 위하여 "(Y)" 버튼을 클릭하면 다음과 같은 "레지스트리 편집기" 화면이 나타난다.

 

 

위 화면에서 "확인" 버튼을 클릭하면 BaroPAM 레지스트리 제거 작업이 완료 된다.

 

세번째, BaroPAM 설치 디렉토리에 존재하는 모듈을 삭제하는 작업을 진행한 후 다음과 같은 메시지가 나타난다.

 

 

위 화면에서 "확인" 버튼을 클릭하면 BaroPAM 제거 작업이 완료 된다.

 

2. BaroPAM의 레지스트리 파일만 제거하는 방법

 

첫번째, BaroPAM 설치 모듈 디렉토리에서 다음과 같은 BaroPAM 제거 레지스트리 파일인 "Unregister.reg" 파일을 실행한다.

 

  

Unregister.reg 파일)

Windows 레지스트리 Editor Version 5.00

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{325D6690-E5AC-4570-B15A-19A622571036}]

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{325D6690-E5AC-4570-B15A-19A622571036}]

 

[-HKEY_CLASSES_ROOT\CLSID\{325D6690-E5AC-4570-B15A-19A622571036}\InprocServer32]

 

[-HKEY_CLASSES_ROOT\CLSID\{325D6690-E5AC-4570-B15A-19A622571036}]

 

두번째, BaroPAM 제거 레지스트리 파일인 "Unregister.reg" 파일을 실행하면 다음과 같은 "사용자 계정 컨트롤" 화면이 나타난다.

 

 

세번째, 레지스트리 편집기에서 디바이스를 변경할 수 있도록 허용해야 하기 때문에 "" 버튼을 클릭하면 다음과 같은 "레지스트리 편집기" 화면이 나타난다.

 

 

네번째, "레지스트리 편집기" 화면의 내용을 확인한 후 BaroPAM 레지스트리를 제거하기 위하여 "(Y)" 버튼을 클릭하면 다음과 같은 "레지스트리 편집기" 화면이 나타난다.

 

 

위 화면에서 "확인" 버튼을 클릭하면 BaroPAM 레지스트리 제거 작업이 완료 된다.

 

참고) BaroPAM의 제거한 후 반드시 Windows를 재부팅 하지 말고, "윈도우 키+L(Winkey+L)"를 사용하여 테스트를 진행해야 한다.

 

 

2.6 BaroPAM 재사용 방법

BaroPAM이 설치된 상태에서 BaroPAM 모듈을 재사용할 경우 다음과 같은 순서로 BaroPAM의 재사용 작업을 진행한다.

 

첫번째, BaroPAM 설치 모듈 디렉토리에서 다음과 같은 BaroPAM의 레지스트리 등록 파일인 "register.reg" 파일을 실행한다.

 

 

register.reg 파일)

 

Windows 레지스트리 Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{325D6690-E5AC-4570-B15A-19A622571036}]

@="BaroPAMLogon"

 

[HKEY_CLASSES_ROOT\CLSID\{325D6690-E5AC-4570-B15A-19A622571036}]

@="BaroPAMLogon"

 

[HKEY_CLASSES_ROOT\CLSID\{325D6690-E5AC-4570-B15A-19A622571036}\InprocServer32]

@="C:\\baropam\\baropam_x64.dll"

"ThreadingModel"="Apartment"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{325D6690-E5AC-4570-B15A-19A622571036}]

@="BaroPAMLogon"

 

두번째, BaroPAM 레지스트리 등록 파일인 "register.reg" 파일을 실행하면 다음과 같은 "사용자 계정 컨트롤" 화면이 나타난다.

 

 

세번째, 레지스트리 편집기에서 디바이스를 변경할 수 있도록 허용해야 하기 때문에 "" 버튼을 클릭하면 다음과 같은 "레지스트리 편집기" 화면이 나타난다.

 

 

네번째, "레지스트리 편집기" 화면의 내용을 확인한 후 BaroPAM 레지스트리를 등록하기 위하여 "(Y)" 버튼을 클릭하면 다음과 같은 "레지스트리 편집기" 화면이 나타난다.

 

 

위 화면에서 "확인" 버튼을 클릭하면 BaroPAM 레지스트리 등록 작업이 완료 된다.

 

참고) BaroPAM의 재사용 작업한 후 반드시 Windows를 재부팅 하지 말고, "윈도우 키+L(Winkey+L)"를 사용하여 테스트를 진행해야 한다.

 

 

 

 

 

3. About BaroPAM

 

 

Version 1.0 - Official Release - 2016.12.1

Copyright ⓒ Nurit corp. All rights reserved.

http://www.nurit.co.kr

 

상호 : 주식회사 누리아이티

등록번호 : 258-87-00901

대표이사 : 이종일

대표전화 : 010-2771-4076(기술지원, 영업문의)

이메일 : mc529@nurit.co.kr

주소 : 서울시 강서구 마곡중앙2로 15, 913호(마곡동, 마곡테크노타워2)

사업자 정보 표시
주식회사 누리아이티 | 이종일 | 서울시 강서구 마곡중앙2로 15, 913호(마곡동, 마곡테크노타워2) | 사업자 등록번호 : 258-87-00901 | TEL : 010-2771-4076 | Mail : mc529@nurit.co.kr | 사이버몰의 이용약관 바로가기