ASA 만들기
- 나머지는 '다음' 클릭
ISE 만들기
Asav와 동일하게 'OVF 템플릿 배포'로 만들기
복습
Active Directory Service를 이용해 Domain(우리조직)의 사용자 및 단말을 일괄적으로 관리한다
Active Directory Service를 위해 Domain Controller를 설치한다
- Active Directory Service를 위한 관리자/조정자가 DC이다.
Active Directory Service의 효율적인 서비스를 위해 조직을 세분화한다 (Tree, Domain)
- DC간에 정보를 교환 (GC를 교환함)
현재 구성상황
- Domain Name : this.com
- Sub Domain Name : second.this.com
- this.com의 DC : FIRST Server, this.com의 RODC : THIRD Server
- second.this.com의 DC : SECOND Server
- Win10 (1)은 this.com에 등록되어 있음
- Win10 (2)는 second.this.com에 등록되어 있음
- this.com / second.this.com에 각각의 OU와 사용자가 있다.
문제1. 글로벌 카탈로그(Global Catalog, 약자로 GC)는 무엇입니까?
>> DC간에, 사용자에 대한 정보 및 OU, 정책등을 교환하고, 교환된 정보가 저장되는 곳이 GC입니다.
- 트러스트 내의 도메인들에 포함된 개체에 대한 정보를 수집하여 저장되는 통합 저장소
- GC는 포레스트안에서 서로 공유됨
>> 서울지사 사용자, 부산지사 사용자 모두 각각의 DC에서 모두 보임
>> Domain Service를 활성화 합니다.
>> Domain Service를 관리할 Domain Controller를 설정 (승격)
>> 추가적인 Domain (Sub Domain) 생성하여, Tree를 생성함 >> Domain간 정보 공유
문제2. 읽기 전용 도메인 컨트롤러(Read Only Domain Controller, 약자로 RODC)란 무엇이며, 동작방식은 무엇입니까?
>> 일본지사, (this.com) | 일본지사 사용자의 경우, DNS Local DC로 사용해야 합니다.
- 주 DC로 부터 AD와 관련한 데이터를 전송 받아 사용되는 DC로 자체적으로 데이터를 추가하거나 변경할 수 없는 DC이다.
- 주 도메인 컨트롤러로부터 AD에 관련한 데이터를 전송 받아 저장 후 사용한다.
- 주로 본사와 멀리 떨어진 지사나 소규모 업체에서 별도의 수정 권한을 가진 메인 관리자를 두기 어려울 때
DC의 부하를 분담하기 위해 사용된다
- RODC는 특정 계정들에 대해, RODC에 암호를 저장하지 않고, 인증을 필요로 할 때 주 도메인 컨트롤러에 인증을 요청
문제3. OU란 무엇입니까?
- 조직 구성 단위(Organizational Unit, 약자로 OU)는 사용자, 그룹, 컴퓨터를 포함할 수 있는 Active Directory 컨테이너
(폴더와 약간 비슷한 개념).
- 쉽게 비교하자면 회사의 관리부, 회계부, 기술부 등의 부서 정도로 생각하면 됨
(OU는 도메인 내에서 여러 사용자, 여러 단말을 하나로 묶어주는 역할을 함)
- OU는 그룹 정책을 적용하기 위한 최소 단위로 사용된다. OU에는 권한을 줄 수 없다.
- 사용자 계정은 하나의 OU에만 가입할 수 있다.
OU - 폴더의 개념 (사용자들에게 정책 적용x)
Group - 정책을 줄 수 있는 단위
문제4. Active Directory의 Group은 무엇입니까?
>> Active Directory에서 그룹(Group)은 사용자 또는 컴퓨터의 집합
>> 그룹은 다른 그룹을 포함할 수도 있음
>> 그룹의 범위는 글러벌 그룹, 도메인 로컬 그룹, 유니버셜 그룹이 있다 >>> domain 별로 !!!
- 글러벌 그룹 : 글러벌 구룹을 생성한 domain에 존재하는 구성원만 포함
: 하지만 다른 domain에 존재하는 Resource도 가입이 가능하고, 접근 가능
- 도메인 로컬 그룹 : 다른 domain에 존재하는 구성원도 가입 가능
: 하지만 다른 domain에 존재하는 Resource에 가입도 안됨, 접근 안됨
- 유니버셜 그룹 : 모든것이 가능
1. GP는 무엇이고, 예시는?
- 관리자 특정 그룹에 정책을 구현하기 위해 사용하는 정책 (Group Policy)라고 한다.
AD내의 컴퓨터나 사용자에게 사용 가능한 프로그램을 지정하거나 제한할 수 있다.
시작 메뉴의 사용옵션, USB나 CD/DVD의 사용 제한등을 구성
2. GPO는 무엇인가?
- GPO (그룹 정책을 생성한 후 그 그룹 정책을 묶은 개체)
- GPO는 도메인 단위에 저장
- GC에 해당 정보가 저장됨
예제1. LAB Simple Password 정책적용
- Active Directory 사용자의 Password의 Default 정책은 > 대소문자, 숫자 7자 이상으로 설정
문제1. 아래 방법으로 Password 정책을 새로 생성
암호 복잡성 해제
이제 사용자를 만들 때 암호를 간단하게 해도 생성가능 (복잡함은 풀어줬지만 최소길이는 유지해야함)
GPO 실습
사전작업 : FIRST에 회계부 OU를 생성하고, 사용자로 김장훈(jhkim), 서태지(tjseo) 생성
예제1. "회계부" OU의 직원들은 AD에 Join시, "제어판"은 사용하지 못하도록 적용
1. 정책을 생성 후 제어판 접근권한 설정
2. 생성한 정책을 회계부 OU의 직원들에게 적용한다
확인1. WIN10(1)에 회계부 OU안에 있는 사용자, 김장훈으로 접속하여, 제어판이 사용되지 않는것을 확인합니다.
확인2. 생성한 그룹 정책은 FIRST의 아래의 폴더에 저장되는 것을 확인합니다.
C\Windows\SYSVOL\sysvol\this.com\Policies\
확인3. '작업관리자 제거' 정책도 사용하여 Ctrl + Alt + Del 의 작업관리자도 이용못하게 한다
그룹정책 상속
-복습-
FIRST의 DNS Server에서 www.this.com : 192.168.111.10으로 등록한다
사용자가 www.this.com으로 로 접속이 되도록 설정한다
----
** GPO 사용자 지정 ***
문제1. 기술부 OU 아래에 기술1팀 OU, 기술2팀 OU를 만들고, 안성기는 기술1팀 박중훈은 기술2팀으로 생성합니다.
문제2. 기술부 사용자가, AD Join하는 경우, internet Explorer를 실행하는 순간, www.this.com페이지가 열리도록 정책을 적용합니다.
확인1. 안성기로 접속 후 internet Explorer를 실행하시면, www.this.com이 열리지 않음 !!!
확인2. 박중훈로 접속 후, internet Explorer를 실행하시면, this.com이 열리는 것을 확인합니다/
** 사용자가 아닌 컴퓨터에 적용하는 그룹정책 >> 713 Page
문제1. 강의장 OU를 생성하고, 강의장의 모든 Computer를 생성한 OU에 포함 합니다.
서버관리자 > 도구 > Active Director 사용자 및 컴퓨터 >
Computers > 이동 > 강의장
>> WIN10(1)을 강의장 OU로 이동합니다.
문제2. 교육장과 관련된 그룹 정책을 만들고, 교육장 OU에 적용시키자.
서버관리자 > 도구 > 그룹정책 관리를 실행합니다.
그룹 정책 개체 > 새로 만들기 > 이름 (교육장 정책)
생성한 "교육장 정책" 마우스 오른쪽 클릭 > 편집
컴퓨터 구성 > 정책 < 관리 템플릿 < 시스템 < 로그온 < "사용자 로그온할 때 다음 프로그램 실행"을 더블클릭 < 사용
표시 클릭 > 내용표시 "C:\Program Files\Internet Explorer\iexplore.exe" www.this.com 입력후 확인
문제3. 위에 설정한 정책이 적용될 범위를 교육장 OU 지정합니다.
서버관리자 > 도구 > 그룹정책 관리를 실행합니다.
교육장 정책 > 마우스 오른쪽 클릭 > 기존 GPO 연결(L) > 위에서 생성한 "교육장 정책" 적용
확인1. 임의의 사용자가 WIN10(1)에 접속하면, explore가 자동으로 실행되고, www.this.com으로 접속이 됩니다.
(GPO를 생성한 서버에서는 새로고침, 사용자 PC gpupdate /force)
ISE 세팅
setup 입력 후 아래와 같이 입력
- IP - 192.168.18.193
*네트워크 계층 장비
L2 - IOS SWITCH, NEXUS SWITCH
L3 - IOS ROUTER, IOS-XE ROUTER, IOS-XR ROUTER
L4 - IOS SWITCH > SLB, FLB (LB LoadBalancing)
Firewall - ASA, FTP
IPS - FTP
VPN - ASA, FTP, IOS ROUTER
NMS - Network Management System (SNMP, SYSLOG, NetFlow)
NAC - Network Access Control
ISE (NMS, NAC ...) Identity Service Engine
> NMS (Network Management System) > 상태를 보고해주는 장비
> NAC (Network Access Control) > 인증, 권한, 기록... (AAA)
ISE의 역할
1. 모든 IT자원의 관리 및 제어 (무선 사용자, 유선 사용자, VPN사용자 .....)
2. NMS (가시성 확보)
------------------------------
3. 인증 (Authentication)
4. 권한 (Authorization)
5. 기록 (Accounting)
1. AAA (Authentication, Authorization, Accounting)
2. ISE와 인증대상 장비가에 사용하는 Protocol > TACACS+, RADIUS
( 라우터에 접속이 들어오면 라우터는 ISE에 물어본다. 사용자가 들어와도 되나?
그러면 ISE는 TACACS+ 또는 RADIUS를 이용해 응답한다)
TACACS+ -> CISCO가 만듦 (TCP, 49) - Autorization이 특징 (권한을 다양하게 줄 수 있음)
Radius -> 표준 (UDP 1918, 1919, ...) - Authentication이 특징 (인증을 다양하게 준다)
예제1. 우리 회사에 Router 200대가 있다. Telnet으로 접속해 작업이 가능하도록 Telnet을 설정한다.
Authentication > 사용자별 계정이 필요
Authorization > 사용자별 권한이 필요
Accouting > 사용자에 대한 기록
-> 이러한 충분조건을 적용하기 위해 Router에 일일이 구성하지 못함
1. Router에 Telnet 구성
2. 192.168.18.192 로 Telnet 접속
(** 잠시 g2의 pat 중지시킨다 no ip nat outside)
(** ip nat outside 적용해도 되려면 acl 목록을 any로 주면 안 됨)
그러나 위 방법도 확장성에는 문제가 있다
1. 사용자가 많거나, 적용해야 되는 장비가 많으면 매우 힘들다
2. 이 방법으로 인증은 가능하지만, Authorization은 한계가 있다
3. 이 방법으로 Accounting도 한계가 있다
> 이러한 문제때문에 ISE를 사용한다
TELNET 계정을 개인별로 적용하는 법
-> ISE에 계정을 만들고, Router들이 ISE에게 물어보면 된다.
1. Router에서 ISE와 연동하는 방법 - TACACS+
이제 Telnet접속하면 접속이 안 된다.
Router는 ISE에 요청을 하는데 아직 ISE에 세팅한 게 없기 때문
ISE 접속
192.168.18.193 접속
ISE에서 오늘 해야할 목록들
-> Tacacs Service활성화
-> 사용자 계정 및 암호설정
-> 인증 요청 장비 등록
STEP1. ISE에서 Tacacs로 R1과 연동합니다.
ISE로 접속합니다. (username : admin, password :Pa$$w0rd)
1. ISE에서 Tacacs Service를 활성화 합니다.
Administration > System > Deployment > Edit > Enable Deviced Admin Service (check) >>> Tacacs 활성화 !!!
2. ISE에서 R1을 등록합니다.
Administration > Network Resources > Network Devices > Add
Name : R1
IP : 192.168.111.1
Tacacs+ : cisco
STEP2. ISE에서 사용자를 생성합니다.
Administration > Identity Management > Identities > Add
username : user03, password : VMware1!
근데 reject 가 나올 시
STEP3. 장비로 들어오는 모든 사용자의 login, logout의 시간을 Accouting하세요.
R1
aaa accounting exec MYLOGIN start-stop group tacaca
line vty 0 4
accounting exec MYLOGIN
STEP4. 사용자가 설정한 Command에 대해서 모두 Accoungint 하세요.
aaa accounting command 0 MYLOGIN start-stop group tacacs
aaa accounting command 1 MYLOGIN start-stop group tacacs
aaa accounting command 15 MYLOGIN start-stop group tacacs
line vty 0 4
acccounting command 0 MYLOGIN
acccounting command 1 MYLOGIN
acccounting command 15 MYLOGIN
확인1. 아래의 경로에서, Accouting 정보를 확인합니다.
Operations > Report > Device Administration > Tacacs XXX
그룹 만들기 (OU 같은 개념) - 2개 만들어본다
그룹별로 권한 및 인증을 각각 해줄 수 있다
이제 그룹에 정책을 부여해본다 (마치 ACL 같은..)
도전과제
1. USER04 -> Admin Group으로 모든 설정이 가능하도록 설정
2. USER05 -> HELPDESK Group으로 show command만 가능하도록 설정한다
1. USER04 -> Admin Group으로 모든 설정이 가능하도록 설정
2. USER05 -> HELPDESK Group으로 show command만 가능하도록 설정한다
확인1. user04 의 모든 설정가능을 확인
- priv 15 로 설정했기 때문에 show run 및 conf t, show command까지 가능을 확인
확인2. user05 의 show command 만 가능을 확인
- priv 7 이기 때문에 show command이지만 show run은 안된다.
- show command만 가능한 것을 볼 수 있고 conf t 모드 또한 들어가지지 않는다.
도전과제2. AD와 연동하기
1. AD에는 사용자 및 OU가 구성되어 있기 때문에 ISE와 연동하면 AD에 사용자를 그대로 사용할 수 있다.
수정 1. 현재 구성도에서는 ISE는 공인, AD는 사설대역이 존재한다. ISE와 AD가 통신되도록 설정을 변경해야한다
수정 2. ISE가 this.com 에 대한 domain lookup이 되야한다. ISE의 DNS가 192.168.111.10으로 설정되어야 한다.
'VMware 실습 > ㄴ Window' 카테고리의 다른 글
| 5월 18일 (ISE 및 GRE) (0) | 2022.05.18 |
|---|---|
| 5월 13일 (Active Directory 실습 - 2) (0) | 2022.05.13 |
| 5월 12일 (Active Directory 실습) (0) | 2022.05.12 |
| 5월 11일 (DNS, Email 실습) (0) | 2022.05.11 |
| 5월 10일 (DHCP, DNS 실습) (0) | 2022.05.10 |