IT보안 전문기업

개인적으로 SSLVPN은 인증이 핵심이라고 생각합니다. 

SSLVPN 업무가 한참 많았을 때

여러 인증서버 ( Active Directory, Radius, LDAP, CA)에 대한 

테스트를 진행했던 적이 있었는데 

구축 사이트 중 가장 마음에 드는 구성중의 하나입니다. 

(비용 때문에 CA서버 구축이 어려운 고객에 

Windows 2003 AD위에 CA올린 뒤

CA에 대한 계정 PW를 연동해준 사례입니다.)

이때 가장 중요한 건 A 사용자가 인증서 발급페이지에서 받은

인증서는 A 사용자의 계정만 사용할 수 있게 binding해주는 것 인데 

설정은 아래처럼 하면 됩니다.

(이것 때문에 테스트 할 때 고생했었는데 

Active Directory에서 사용하는 user Attribute를 일반적으로 사용하는
sAMAccountName이 아닌 display Name을 사용하면 해결 됩니다.)

Nortel뿐 아니라 Juniper나 다른 SSLVPN도

메뉴만 다를 뿐이지 같은 로직이라고 생각하시면 됩니다. 

SSL Settings:

  Server certificate = 3  -> Server인증서선택

  SSL cache size = 4000

  SSL cache timeout = 5m

  List of accepted signers of client certificates = 2 -> RootCA선택

  List of CA chain certificates = 

  Protocol version = ssl3

  Syslog detail for client certificate = none

  Cipher list = ALL@STRENGTH

  Certificate verification level = optional -> 중요

  Enable SSL = enabled

VPN Portal인증서 설정

/cfg/vpn 1/aaa/auth 1/cert

Authentication 1:

  Authentication mechanism = cert

  Auth name = cert

  Windows domain for backend single sign-on = 

  Enable Authentication = true

    Cert:

      User OID = commonName

        CACerts:

               1: 2 test_group -> RootCA

        GroupOIDs:

          No items configured

    Advanced:

      Authentication server list for group information = 

      Secondary authentication server = 2 -> Two factory인증설정

      Validate Cert-DN by Cleartrust server  = 

      Reverse Cert-DN before Cleartrust validation = false

/cfg/vpn 1/aaa/auth 1/cert

Cert:

  User OID = commonName

    CACerts:

           1: 2 test_group  -> RootCA와 Group설정

    GroupOIDs:

      No items configured

Active Directory Server설정

/cfg/vpn 1/aaa/auth 2

Authentication 2:

  Authentication mechanism = ldap

  Auth name = ldap

  Auth display name = 

  Windows domain for backend single sign-on = 

    LDAP:

      Search base entry = cn=Users,dc=ca,dc=quarry,dc=kr

      LDAP group attribute = company

      LDAP user attribute = displayName -> 중요 (ID가 아닌 name으로 연동)

      ISD bind DN = cn=yoon donghan,cn=Users,dc=ca,dc=quarry, dc=ke

      ISD bind password = (SECRET)

      Enable LDAPS = false

      Enable user preferences = false

      Enable cut domain from user name = false

      Enable short group format = false

      LDAP server timeout = 5s

        LDAP servers:

               1: 192.168.100.100 : 389

        LDAPMacro:

          No items configured

        LDAP Group Search:

          Group search base entry = 

          LDAP group member attribute = uniqueMember

          Enable Group Search = disabled

        Active Directory:

          Enable expired account/password check = false

          Expired account group = 

          Expired password group = 

          Enable password expiration pop-up warning = true

          Enable recursive group membership = false

        Advanced LDAP:

          Enable the extra search filter = false

          LDAP extra search filter attribute = objectclass

          LDAP extra search filter attribute value = person

    Advanced:

      Authentication server list for group information = 

Active Directory 계정 로그인 후 인증서 발급 (이 화면도 Customizing 가능) -> SSLVPN login시 인증서 선택

 -> 인증서에 해당하는 (AD계정)PW입력