Skip to main content
SnapCenter software
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

다중 인증 요소(MFA) 관리

PDF

Active Directory Federation Service(AD FS) 서버와 SnapCenter 서버에서 다중 인증(MFA) 기능을 관리할 수 있습니다.

다중 요소 인증(MFA) 활성화

PowerShell 명령을 사용하여 SnapCenter Server에 대한 MFA 기능을 활성화할 수 있습니다.

이 작업에 관하여

  • 다른 애플리케이션이 동일한 AD FS에 구성된 경우 SnapCenter SSO 기반 로그인을 지원합니다. 특정 AD FS 구성에서 SnapCenter AD FS 세션 지속성에 따라 보안상의 이유로 사용자 인증을 요구할 수 있습니다.

  • cmdlet과 함께 사용할 수 있는 매개변수 및 해당 설명에 대한 정보는 다음을 실행하여 얻을 수 있습니다. Get-Help command_name . 또는 다음을 볼 수도 있습니다. "SnapCenter 소프트웨어 Cmdlet 참조 가이드" .

시작하기 전에

  • Windows Active Directory Federation Service(AD FS)가 해당 도메인에서 실행 중이어야 합니다.

  • Azure MFA, Cisco Duo 등과 같이 AD FS에서 지원하는 다중 인증 서비스가 있어야 합니다.

  • SnapCenter 와 AD FS 서버 타임스탬프는 시간대에 관계없이 동일해야 합니다.

  • SnapCenter Server에 대한 공인 CA 인증서를 조달하고 구성합니다.

    CA 인증서는 다음과 같은 이유로 필수입니다.

    • 자체 서명된 인증서가 노드 수준에서 고유하기 때문에 ADFS-F5 통신이 중단되지 않도록 보장합니다.

    • 독립 실행형 또는 고가용성 구성에서 업그레이드, 복구 또는 재해 복구(DR) 중에 자체 서명된 인증서가 다시 생성되지 않도록 하여 MFA 재구성을 방지합니다.

    • IP-FQDN 확인을 보장합니다.

      CA 인증서에 대한 정보는 다음을 참조하세요."CA 인증서 CSR 파일 생성" .

단계

  1. Active Directory Federation Services(AD FS) 호스트에 연결합니다.

  2. AD FS 페더레이션 메타데이터 파일을 다운로드합니다."https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml".

  3. 다운로드한 파일을 SnapCenter 서버에 복사하여 MFA 기능을 활성화합니다.

  4. PowerShell을 통해 SnapCenter 관리자 사용자로 SnapCenter 서버에 로그인합니다.

  5. PowerShell 세션을 사용하여 New-SmMultifactorAuthenticationMetadata -path cmdlet을 사용하여 SnapCenter MFA 메타데이터 파일을 생성합니다.

    경로 매개변수는 SnapCenter 서버 호스트에 MFA 메타데이터 파일을 저장할 경로를 지정합니다.

  6. 생성된 파일을 AD FS 호스트에 복사하여 SnapCenter 클라이언트 엔터티로 구성합니다.

  7. 다음을 사용하여 SnapCenter 서버에 대한 MFA를 활성화합니다. Set-SmMultiFactorAuthentication cmdlet.

  8. (선택 사항) 다음을 사용하여 MFA 구성 상태 및 설정을 확인하세요. Get-SmMultiFactorAuthentication cmdlet.

  9. Microsoft 관리 콘솔(MMC)로 이동하여 다음 단계를 수행합니다.

    1. 파일 > *스냅인 추가/제거*를 클릭합니다.

    2. 스냅인 추가/제거 창에서 *인증서*를 선택한 다음 *추가*를 클릭합니다.

    3. 인증서 스냅인 창에서 컴퓨터 계정 옵션을 선택한 다음 *마침*을 클릭합니다.

    4. 콘솔 루트 > 인증서 - 로컬 컴퓨터 > 개인 > *인증서*를 클릭합니다.

    5. SnapCenter 에 바인딩된 CA 인증서를 마우스 오른쪽 버튼으로 클릭한 다음 모든 작업 > *개인 키 관리*를 선택합니다.

    6. 권한 마법사에서 다음 단계를 수행하세요.

      1. *추가*를 클릭하세요.

      2. *위치*를 클릭하고 해당 호스트(계층 구조의 최상위)를 선택합니다.

      3. 위치 팝업 창에서 *확인*을 클릭합니다.

      4. 개체 이름 필드에 'IIS_IUSRS'를 입력하고 *이름 확인*을 클릭한 다음 *확인*을 클릭합니다.

        검사가 성공하면 *확인*을 클릭하세요.

  10. AD FS 호스트에서 AD FS 관리 마법사를 열고 다음 단계를 수행합니다.

    1. 신뢰 당사자 트러스트*를 마우스 오른쪽 버튼으로 클릭하고 *신뢰 당사자 트러스트 추가 > *시작*을 클릭합니다.

    2. 두 번째 옵션을 선택하고 SnapCenter MFA 메타데이터 파일을 찾은 후 *다음*을 클릭합니다.

    3. 표시 이름을 지정하고 *다음*을 클릭합니다.

    4. 필요에 따라 액세스 제어 정책을 선택하고 *다음*을 클릭합니다.

    5. 다음 탭에서 설정을 기본값으로 선택하세요.

    6. *마침*을 클릭하세요.

      SnapCenter 이제 제공된 표시 이름을 사용하는 신뢰 당사자로 반영됩니다.

  11. 이름을 선택하고 다음 단계를 수행하세요.

    1. *청구 발행 정책 편집*을 클릭하세요.

    2. *규칙 추가*를 클릭하고 *다음*을 클릭합니다.

    3. 클레임 규칙의 이름을 지정합니다.

    4. 속성 저장소로 *Active Directory*를 선택합니다.

    5. 속성을 *User-Principal-Name*으로 선택하고, 나가는 클레임 유형을 *Name-ID*로 선택합니다.

    6. *마침*을 클릭하세요.

  12. ADFS 서버에서 다음 PowerShell 명령을 실행합니다.

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None

  13. 메타데이터가 성공적으로 가져왔는지 확인하려면 다음 단계를 수행하세요.

    1. 신뢰 당사자 트러스트를 마우스 오른쪽 버튼으로 클릭하고 *속성*을 선택합니다.

    2. 엔드포인트, 식별자, 서명 필드가 채워져 있는지 확인하세요.

  14. 모든 브라우저 탭을 닫고 브라우저를 다시 열어 기존 또는 활성화된 세션 쿠키를 지우고 다시 로그인하세요.

SnapCenter MFA 기능은 REST API를 사용하여 활성화할 수도 있습니다.

문제 해결 정보는 다음을 참조하세요. "여러 탭에서 동시 로그인 시도 시 MFA 오류가 표시됩니다." .

AD FS MFA 메타데이터 업데이트

업그레이드, CA 인증서 갱신, DR 등 AD FS 서버에 수정 사항이 있을 때마다 SnapCenter 에서 AD FS MFA 메타데이터를 업데이트해야 합니다.

단계

  1. AD FS 페더레이션 메타데이터 파일을 다운로드합니다."https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. 다운로드한 파일을 SnapCenter 서버에 복사하여 MFA 구성을 업데이트합니다.

  3. 다음 cmdlet을 실행하여 SnapCenter 에서 AD FS 메타데이터를 업데이트합니다.

    Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>

  4. 모든 브라우저 탭을 닫고 브라우저를 다시 열어 기존 또는 활성화된 세션 쿠키를 지우고 다시 로그인하세요.

SnapCenter MFA 메타데이터 업데이트

ADFS 서버에 복구, CA 인증서 갱신, DR 등 수정 사항이 있을 때마다 AD FS에서 SnapCenter MFA 메타데이터를 업데이트해야 합니다.

단계

  1. AD FS 호스트에서 AD FS 관리 마법사를 열고 다음 단계를 수행합니다.

    1. *신뢰 당사자 트러스트*를 선택하세요.

    2. SnapCenter 에 대해 생성된 신뢰 당사자 트러스트를 마우스 오른쪽 버튼으로 클릭하고 *삭제*를 선택합니다.

      신뢰 당사자 신뢰의 사용자 정의 이름이 표시됩니다.

    3. 다중 요소 인증(MFA)을 활성화합니다.

      보다 "다중 요소 인증 활성화" .

  2. 모든 브라우저 탭을 닫고 브라우저를 다시 열어 기존 또는 활성화된 세션 쿠키를 지우고 다시 로그인하세요.

다중 요소 인증(MFA) 비활성화

단계

  1. MFA를 비활성화하고 MFA가 활성화되었을 때 생성된 구성 파일을 정리합니다. Set-SmMultiFactorAuthentication cmdlet.

  2. 모든 브라우저 탭을 닫고 브라우저를 다시 열어 기존 또는 활성화된 세션 쿠키를 지우고 다시 로그인하세요.