고급 정책 기반 관리 작동 방법

목차
cminder140kr
목차
고급 정책 기반 관리를 통해 정책 버전을 저장, 배포 및 배포 취소하고 나중에 배포 상태, 배포 위반 및 배포 분산을 확인할 수 있습니다.
고급 정책 기반 관리는 다음 방식으로 작동합니다.
  1. 정책을 만듭니다.
    각 정책은 selang 명령 스크립트 쌍으로 포함합니다. 첫 번째 스크립트는
    배포 스크립트
    라고 하며 정책을 구성하는 selang 명령 집합을 포함하고 있습니다. 두 번째 스크립트는
    배포 취소 스크립트
    라고 하며 끝점 데이터베이스에서 정책의 배포를 취소(제거)하는 데 필요한 명령을 포함하고 있습니다.
  2. Privileged Access Manager Server Control
    엔터프라이즈 관리 또는 policydeploy 유틸리티를 사용하여 정책 세부 정보를 DMS에 저장합니다. 그러면 제품은 자동 버전 제어 기능을 사용하여 정책을 저장합니다.
    정책 세부 정보에는 정책 설명, 배포 및 배포 취소 스크립트, 정책 종속성 등이 포함됩니다.
    DMS에 정책이 이미 있는지 여부에 따라
    Privileged Access Manager Server Control
    은 다음 절차 중 하나를 수행합니다.
    • DMS에 정책 이름이 없으면
      Privileged Access Manager Server Control
      은 정책의 첫 번째 버전(
      policy_name
      #01)과 논리적 정책 개체(GPOLICY 클래스)를 생성합니다. 그런 다음 해당 정책 버전을 논리적 정책의 구성원으로 추가합니다.
    • DMS에 정책 이름이 이미 있으면
      Privileged Access Manager Server Control
      은 검색된 가장 높은 정책 버전에서 1만큼 증가시켜 정책 버전을 생성하고 이 정책 버전을 논리적 정책(GPOLICY 개체)의 구성원으로 추가합니다.
  3. 적절할 때
    Privileged Access Manager Server Control
    엔터프라이즈 관리 또는 policydeploy 유틸리티를 사용하여 저장된 정책을 대상 데이터베이스에 배포합니다. 
    Privileged Access Manager Server Control
    은 DMS에서 자동으로 배포 작업(DEPLOYMENT 개체)를 만듭니다.
    참고:
    Privileged Access Manager Server Control
    은 저장된 정책의 최종 완료된 정책 버전을 배포합니다. 만드는 새 정책 버전은 자동으로 할당된 호스트에 전달되지 않습니다. 할당된 호스트를 수동으로 최신 정책 버전으로 업그레이드하십시오.
    참고:
    UNIX 인증 브로커 로그인 및 절차 정책을 만들면
    Privileged Access Manager Server Control
    엔터프라이즈 관리가 이를 자동으로 배포합니다.  UNIX 인증 브로커 로그인 및 구성 정책은 UNIX 인증 브로커 호스트에만 할당할 수 있습니다.
  4. Privileged Access Manager Server Control
    은 DMS에서 배포 패키지(GDEPLOYMENT 개체)를 자동으로 만듭니다.
    배포 패키지는 이전 단계에서 작성된 모든 배포 작업을 그룹화합니다.
  5. DMS가 배포 작업을 DH(배포 호스트)로 보냅니다.
  6. 끝점은 policyfetcher를 통해 새 정책 배포 작업이 있는지 정기적으로 확인하고, 보류 중인 배포 작업을 DH에서 가져오고, 각 규칙(배포 스크립트에 지정된 selang 명령)을 대상 데이터베이스에서 실행합니다.
  7. 끝점은 DH의 배포 작업 상태(실패, 성공), 실패한 명령에 대해 생성되는 selang 결과 메시지 및 HNODE의 정책 상태를 업데이트합니다.
    참고:
    배포된 정책에 오류가 있는 경우
    Privileged Access Manager Server Control
    엔터프라이즈 관리의 배포 감사를 사용하여 실패한 명령에 대한 자세한 selang 출력을 볼 수 있습니다. 그렇지 않으면 정책 배포 시 오류가 발생한 컴퓨터에서 로그 파일을 확인하십시오.
  8. DH가 이 정보가 저장된 DMS에서 배포 작업 상태와 정책 상태를 업데이트합니다.
참고:
UNIX 인증 브로커 로그인 정책 및 UNIX 인증 브로커 구성 정책은 고급 정책 기반 관리와 같은 방식으로 작동하지 않습니다.
배포 방법이 배포 작업에 주는 영향
저장된 정책을 대상 데이터베이스로 배포할 때
Privileged Access Manager Server Control
은 DMS에 배포 작업을 자동으로 만듭니다. 배포 작업(DEPLOYMENT 개체)은 끝점에서 실행할 작업 지시로서 DMS에서 생성됩니다. 각 배포 작업은 한 끝점에만 사용되며 끝점에 배포하는 데 필요한 정책 버전 정보를 포함하고 있습니다.
참고:
Privileged Access Manager Server Control
은 다른 배포 방법을 사용하여 UNIX 인증 브로커 로그인 및 구성 정책을 배포합니다.
저장된 정책을 배포하는 데 사용하는 방법은
Privileged Access Manager Server Control
이 만드는 배포 작업에 영향을 줍니다. 다음 목록에서는 다른 방법을 선택할 때의 결과를 보여 줍니다.
  • 정책(GPOLICY 개체)을 하나 이상의 호스트에 할당
    Privileged Access Manager Server Control
    이 각 호스트에 대해 정책의 최종 완료된 버전에 대한 배포 작업을 생성합니다.
  • 정책(GPOLICY 개체)을 하나 이상의 호스트 그룹에 할당
    Privileged Access Manager Server Control
    이 호스트 그룹 중 하나의 구성원인 각 호스트에 대해 정책의 최종 완료된 버전에 대한 배포 작업을 생성합니다.
  • 저장된 정책(GPOLICY 개체)이 할당된 호스트 그룹에 호스트 추가
    Privileged Access Manager Server Control
    이 새 호스트에 대해 정책의 최종 완료된 버전에 대한 배포 작업을 생성합니다.
  • 호스트에 정책 다시 배포
    Privileged Access Manager Server Control
    이 호스트에 대해 정책의 최종 완료된 버전에 대한 배포 작업을 생성합니다.
  • HNODE에서 정책 복원(호스트에 배포해야 하는 정책 재배포)
    Privileged Access Manager Server Control
    이 호스트에 배포해야 하는 각 정책에 대해 해당 호스트에서 유효한 정책 버전에 대한 배포 작업을 생성합니다.
  • 하나 이상의 호스트에서 배포된 정책 업그레이드
    Privileged Access Manager Server Control
    이 호스트에 저장된 버전이 호스트에 배포된 것보다 최신 버전인 경우 호스트별로 최종 완료된 정책 버전에 대한 배포 작업을 생성합니다.
예: 호스트에 정책 할당
정책 IIS를 호스트 host1.comp.com 및 host2.comp.com에 할당하는 경우
Privileged Access Manager Server Control
은 최신 IIS 정책 버전을 host1.comp.com에 배포하기 위한 작업과 최신 IIS 정책 버전을 host2.comp.com에 배포하기 위한 작업의 두 가지 배포 작업을 만듭니다.
예: 호스트 그룹에 정책 할당
호스트 그룹 서버에 hostA.comp.com과 hostB.comp.com이라는 두 개의 구성원이 있습니다. 정책 IIS를 호스트 그룹 서버에 할당하는 경우
Privileged Access Manager Server Control
은 최신 IIS 정책 버전을 hostA.comp.com에 배포하는 작업과 최신 IIS 정책 버전을 hostB.comp.com에 배포하는 두 개의 배포 작업을 만듭니다.
예: 할당된 정책이 있는 호스트 그룹에 호스트 추가
호스트 그룹 서버에는 두 개의 할당된 정책(IIS 및 ORACLE)이 있습니다. 호스트 test.comp.com을 호스트 그룹에 추가하는 경우
Privileged Access Manager Server Control
은 최신 IIS 정책 버전을 test.comp.com에 배포하는 작업과 최신 ORACLE 정책 버전을 test.comp.com에 배포하는 두 가지 배포 작업을 만듭니다.
예: 호스트 복원
호스트에 policy1과 policy2의 두 개의 할당된 정책이 있습니다. 호스트를 복원하는 경우
Privileged Access Manager Server Control
은 호스트에서 최종 완료된 policy1 버전을 배포하는 작업과 최종 완료된 policy2 버전을 배포하는 두 가지 배포 작업을 만듭니다.
예: 배포된 정책 업그레이드
정책 IIS가 host1.comp.com 및 host2.comp.com의 두 개 호스트에 배포되었지만 정책 IIS의 최종 버전은 host1.comp.com에 배포되지 않았습니다. 두 호스트 모두에서 정책 IIS를 업그레이드하는 경우
Privileged Access Manager Server Control
은 최신 IIS 정책 버전을 host1.comp.com에 배포하는 하나의 배포 작업만 만듭니다.
DMS가 수록한 끝점 데이터
회사 환경에 고급 정책 관리를 구성할 때 회사의 끝점은 구성된 DH를 통해 다음 세 가지 영역의 상태 변경 사항을 DMS에 통보합니다.
  • 정책 배포 및 배포 취소
    정책이 배포 또는 배포 취소될 때 끝점은 알림을 보냅니다. 그러면 작업 결과에 따라 다음 세부 정보가 업데이트됩니다.
    • 정책 세부 정보
    • 배포 상태(성공, 실패 등)
    • 실행하지 못한 정책 명령의 selang 명령 출력
    • HNODE 정책 상태(배포됨, 배포 실패 등)
  • 호스트 하트비트
    일반 구성 가능한 간격으로 각 끝점은 온라인 상태의 호스트에 대한 계정으로 하트비트를 전달합니다.
  • 위반 상태
    각 하트비트 이후에 끝점은 정책 위반을 계산하여 그 결과(위반 발견 여부)를 보냅니다.
    참고
    policyfetcher가 끝점과 DH 사이에서 배포 및 위반 상태 충돌을 발견하면 끝점에서 받은 정보에 따라 충돌을 해결하십시오.
끝점이 DMS를 업데이트하는 방법
각 끝점은 사용자가 구성한 DH를 통해 하트비트(호스트 상태), 정책 상태 및 위반 상태 알림을 DMS에 보냅니다. 해당 DMA 알림은 다음과 같은 방법으로 처리됩니다.
  1. DH가 업데이트 파일에 알림 메시지를 저장합니다.
    이러한 알림은 끝점에서 보내는 하트비트 및 정책 배포/배포 취소 알림입니다.
  2. DH에서 구독자인 DMS에 연결합니다.
    • DMS를 사용할 수 없는 경우 DH는 모든 메시지를 성공적으로 보낼 때까지 정기적으로 DMS와 통신하려고 시도합니다.
    • DMS를 사용할 수 있는 경우 DH는 저장된 알림을 보냅니다.
  3. DMS가 나중에 사용할 수 있도록 각 DH에서 받은 정보를 저장합니다.
    보고서를 작성할 때마다
    Privileged Access Manager Server Control
    은 DMS에서 정보를 검색합니다.
참고:
UNIX 인증 브로커 끝점은 다른 프로세스를 사용하여 DMS를 업데이트합니다.