스마트 카드로 로그온하는 관리자를 인증하도록
Symantec Endpoint Protection Manager
구성

14.2 이상에서는 미 연방 기관에서 일하는 관리자가 스마트 카드를 사용하여
Symantec Endpoint Protection Manager
에 로그온할 수 있습니다.
스마트 카드 인증을 설정하려면 관리자가 다음 단계를 수행해야 합니다.
스마트 카드
미 연방 기관에서는 HSPD-12 요구 사항을 준수하기 위해 스마트 카드 인증을 허용하는 소프트웨어 시스템을 사용합니다. 미 연방 기관의 스마트 카드에는 연방 시설 및 정보 시스템에 대한 액세스 권한을 부여받을 카드 소유자의 필수 데이터가 포함됩니다. 이 액세스 권한은 해당하는 모든 연방 응용 프로그램에 적절한 수준의 보안이 적용될 수 있도록 합니다.
일부 Windows 클라이언트 시스템 또는 워크스테이션에는 이미 PIV 또는 CAC 판독기가 키보드에 내장되어 있습니다.
Symantec Endpoint Protection Manager
은(는) 다음 유형의 스마트 카드를 사용하는 관리자를 인증합니다.
  • PIV(Personal Identity Verification) 카드(민간인용)
  • CAC(Common Access Card)(군인용)
  • FIPS 모드:
    Symantec Endpoint Protection Manager
    은(는) ECDSA 및 RSASSA-PSS를 사용하여 서명된 스마트 카드를 지원하지 않습니다.
  • 비 FIPS 모드:
    Symantec Endpoint Protection Manager
    은(는) RSASSA-PSS를 사용하여 서명된 스마트 카드를 지원하지 않습니다.
1단계: 스마트 카드 인증을 사용하도록
Symantec Endpoint Protection Manager
구성
이 단계에서는 카드 인증서가 올바른 기관에 의해 발급되었는지 확인합니다. 그런 다음 관리자가 로그온하면 관리 서버가 스마트 카드의 인증서를 읽고 이러한 CA 인증서를 기준으로 인증서를 확인합니다.
관리 서버는 인증서 파일이 인터넷의 CRL(인증서 해지 목록)에 없는지 확인하는 방법으로 인증서 파일을 확인합니다.
관리자의 시스템에 모든 루트 파일 및 중간 파일이 있어야 하며 그렇지 않은 경우 관리자가 로그온할 수 없습니다.
스마트 카드 인증을 사용하도록
Symantec Endpoint Protection Manager
을(를) 구성하려면 다음과 같이 하십시오.
  1. 콘솔에서
    관리 > 서버
    를 누르고 로컬 관리 서버 이름을 선택하십시오.
  2. 태스크
    에서
    스마트 카드 인증 구
    성을 누르십시오.
  3. 루트 및/또는 중간 인증서 파일에 대한 경로 지정
    텍스트 상자에서 하나 이상의 인증서 파일을 찾아보고
    확인
    을 누르십시오.
    해지 여부를 확인해야 하는 모든 인증서 파일을 선택하십시오. 여러 파일을 선택하려면
    Ctrl
    키를 누르십시오.
    선택 사항:
    관리자가 로그온하는 관리 서버에서 인터넷에 액세스할 수 없는 경우
    인증서 해지 목록에 대한 경로 지정
    텍스트 상자에 .crl 또는 .pem 파일을 추가하십시오. 또한 이러한 관리 서버에 다음 태스크를 수행해야 합니다. 2단계: 해지 확인을 수행하도록 관리 서버 구성(다크 네트워크만 해당)
  4. 확인
    을 누르십시오.
  5. 관리자가 웹 콘솔에서 원격으로
    Symantec Endpoint Protection Manager
    에 로그온하는 경우
    Symantec Endpoint Protection Manager
    서비스와
    Symantec Endpoint Protection Manager
    웹 서비스를 재시작해야 합니다.
2단계(선택 사항): 해지 확인을 수행하도록 관리 서버 구성(다크 네트워크의 경우 필수)
관리 서버가 인터넷에 액세스할 수 없는 경우 대신 관리 서버 시스템의 CRL 파일을 확인하도록 관리 서버를 구성해야 합니다. 이 확인을 구성하지 않으면 관리자가 로그온할 수 있지만 관리 서버가 CRL 파일을 확인할 수 없으므로 보안 문제가 발생할 수 있습니다.
해지 확인을 수행하도록 관리 서버를 구성하려면 다음과 같이 하십시오(다크 네트워크만 해당).
  1. 이 관리 서버에서 다음 파일을 여십시오.
    Symantec Endpoint Protection Manager 설치 경로
    \tomcat\etc\conf.properties
  2. conf.properties
    파일에
    smartcard.cert.revocation.ocsp.crldp.enabled=false
    를 추가하고 파일을 저장하십시오.
  3. 관리 서버 서비스를 재시작하십시오.
3단계(선택 사항): 해지 확인을 수행하도록 관리 서버 구성(다크 네트워크의 경우 필수)
이 단계에서는 PIV 인증을 설정하여 관리자를 스마트 카드 사용자로 인증합니다. PIV 인증에는 PIV 인증 정보가 인증 기관에 의해 발급되었고 만료되지 않았으며 해지되지 않았는지 확인하는 데 사용되는 인증서와 키 조합이 필요합니다. 또한 PIV 인증 정보는 관리자가 인증서 발급을 받은 동일인인지 확인합니다.
이 단계에서는 사용자가 사용자 이름을 입력하고 카드를 삽입하고 스마트 카드 PIN을 입력하기만 하면 Symantec Endpoint Protection Manager에 로그온할 수 있도록 합니다. Symantec Endpoint Protection Manager 암호는 입력하지 않아도 됩니다.
스마트 카드 인증은 IPv6를 통해 지원되지 않습니다.
  1. 콘솔에서
    관리 > 서버 > 관리자
    를 누르십시오.
  2. 새 관리자를 추가하거나 기존 관리자를 편집하십시오.
  3. 인증
    탭에서
    스마트 카드 인증 실행
    을 누르십시오.
  4. 관리자의 PIV 카드 또는 CAC에 대한 인증용 인증서 파일을 찾아본 다음
    확인
    을 누르십시오.
  5. 변경 확인
    대화 상자에서 관리자의 암호를 입력하고
    확인
    을 누르십시오.
    스마트 카드를 사용하여
    Symantec Endpoint Protection Manager
    에 로그온하는 각 관리자에 대해 이 단계를 수행하십시오.
4단계: 스마트 카드를 사용하여
Symantec Endpoint Protection Manager
에 로그온
Symantec Endpoint Protection Manager
에 로그온하려면 관리자가 스마트 카드 판독기에 카드를 삽입하고 PIN 번호를 입력해야 합니다. 스마트 카드 관리자가 로그온하고 관리 서버를 사용하는 동안 스마트 카드는 항상 판독기에 삽입되어 있어야 합니다. 관리자가 스마트 카드를 제거하면
Symantec Endpoint Protection Manager
이(가) 30초 내에 관리자를 로그오프합니다.
Java 콘솔 및 웹 콘솔은 스마트 카드 인증을 지원합니다. RMM 콘솔 및 REST API는 스마트 카드 인증을 지원하지 않습니다.
문제 해결 및 복제
두 사이트가 서로를 복제하는 경우 가장 최근에 구성된 CA 파일이 있는 사이트가 다른 모든 사이트의 CA 파일을 덮어씁니다.