고급 정책 기반 관리 작동 방법
목차
cminder140kr
목차
고급 정책 기반 관리를 통해 정책 버전을 저장, 배포 및 배포 취소하고 나중에 배포 상태, 배포 위반 및 배포 분산을 확인할 수 있습니다.
고급 정책 기반 관리는 다음 방식으로 작동합니다.
- 정책을 만듭니다.각 정책은 selang 명령 스크립트 쌍으로 포함합니다. 첫 번째 스크립트는배포 스크립트라고 하며 정책을 구성하는 selang 명령 집합을 포함하고 있습니다. 두 번째 스크립트는배포 취소 스크립트라고 하며 끝점 데이터베이스에서 정책의 배포를 취소(제거)하는 데 필요한 명령을 포함하고 있습니다.
- Privileged Access Manager Server Control엔터프라이즈 관리 또는 policydeploy 유틸리티를 사용하여 정책 세부 정보를 DMS에 저장합니다. 그러면 제품은 자동 버전 제어 기능을 사용하여 정책을 저장합니다.정책 세부 정보에는 정책 설명, 배포 및 배포 취소 스크립트, 정책 종속성 등이 포함됩니다.DMS에 정책이 이미 있는지 여부에 따라Privileged Access Manager Server Control은 다음 절차 중 하나를 수행합니다.
- DMS에 정책 이름이 없으면Privileged Access Manager Server Control은 정책의 첫 번째 버전(policy_name#01)과 논리적 정책 개체(GPOLICY 클래스)를 생성합니다. 그런 다음 해당 정책 버전을 논리적 정책의 구성원으로 추가합니다.
- DMS에 정책 이름이 이미 있으면Privileged Access Manager Server Control은 검색된 가장 높은 정책 버전에서 1만큼 증가시켜 정책 버전을 생성하고 이 정책 버전을 논리적 정책(GPOLICY 개체)의 구성원으로 추가합니다.
- 적절할 때Privileged Access Manager Server Control엔터프라이즈 관리 또는 policydeploy 유틸리티를 사용하여 저장된 정책을 대상 데이터베이스에 배포합니다.Privileged Access Manager Server Control은 DMS에서 자동으로 배포 작업(DEPLOYMENT 개체)를 만듭니다.참고:Privileged Access Manager Server Control은 저장된 정책의 최종 완료된 정책 버전을 배포합니다. 만드는 새 정책 버전은 자동으로 할당된 호스트에 전달되지 않습니다. 할당된 호스트를 수동으로 최신 정책 버전으로 업그레이드하십시오.참고:UNIX 인증 브로커 로그인 및 절차 정책을 만들면Privileged Access Manager Server Control엔터프라이즈 관리가 이를 자동으로 배포합니다. UNIX 인증 브로커 로그인 및 구성 정책은 UNIX 인증 브로커 호스트에만 할당할 수 있습니다.
- Privileged Access Manager Server Control은 DMS에서 배포 패키지(GDEPLOYMENT 개체)를 자동으로 만듭니다.배포 패키지는 이전 단계에서 작성된 모든 배포 작업을 그룹화합니다.
- DMS가 배포 작업을 DH(배포 호스트)로 보냅니다.
- 끝점은 policyfetcher를 통해 새 정책 배포 작업이 있는지 정기적으로 확인하고, 보류 중인 배포 작업을 DH에서 가져오고, 각 규칙(배포 스크립트에 지정된 selang 명령)을 대상 데이터베이스에서 실행합니다.
- 끝점은 DH의 배포 작업 상태(실패, 성공), 실패한 명령에 대해 생성되는 selang 결과 메시지 및 HNODE의 정책 상태를 업데이트합니다.참고:배포된 정책에 오류가 있는 경우Privileged Access Manager Server Control엔터프라이즈 관리의 배포 감사를 사용하여 실패한 명령에 대한 자세한 selang 출력을 볼 수 있습니다. 그렇지 않으면 정책 배포 시 오류가 발생한 컴퓨터에서 로그 파일을 확인하십시오.
- DH가 이 정보가 저장된 DMS에서 배포 작업 상태와 정책 상태를 업데이트합니다.
참고:
UNIX 인증 브로커 로그인 정책 및 UNIX 인증 브로커 구성 정책은 고급 정책 기반 관리와 같은 방식으로 작동하지 않습니다.배포 방법이 배포 작업에 주는 영향
저장된 정책을 대상 데이터베이스로 배포할 때
Privileged Access Manager Server Control
은 DMS에 배포 작업을 자동으로 만듭니다. 배포 작업(DEPLOYMENT 개체)은 끝점에서 실행할 작업 지시로서 DMS에서 생성됩니다. 각 배포 작업은 한 끝점에만 사용되며 끝점에 배포하는 데 필요한 정책 버전 정보를 포함하고 있습니다.참고:
Privileged Access Manager Server Control
은 다른 배포 방법을 사용하여 UNIX 인증 브로커 로그인 및 구성 정책을 배포합니다.저장된 정책을 배포하는 데 사용하는 방법은
Privileged Access Manager Server Control
이 만드는 배포 작업에 영향을 줍니다. 다음 목록에서는 다른 방법을 선택할 때의 결과를 보여 줍니다.- 정책(GPOLICY 개체)을 하나 이상의 호스트에 할당Privileged Access Manager Server Control이 각 호스트에 대해 정책의 최종 완료된 버전에 대한 배포 작업을 생성합니다.
- 정책(GPOLICY 개체)을 하나 이상의 호스트 그룹에 할당Privileged Access Manager Server Control이 호스트 그룹 중 하나의 구성원인 각 호스트에 대해 정책의 최종 완료된 버전에 대한 배포 작업을 생성합니다.
- 저장된 정책(GPOLICY 개체)이 할당된 호스트 그룹에 호스트 추가Privileged Access Manager Server Control이 새 호스트에 대해 정책의 최종 완료된 버전에 대한 배포 작업을 생성합니다.
- 호스트에 정책 다시 배포Privileged Access Manager Server Control이 호스트에 대해 정책의 최종 완료된 버전에 대한 배포 작업을 생성합니다.
- HNODE에서 정책 복원(호스트에 배포해야 하는 정책 재배포)Privileged Access Manager Server Control이 호스트에 배포해야 하는 각 정책에 대해 해당 호스트에서 유효한 정책 버전에 대한 배포 작업을 생성합니다.
- 하나 이상의 호스트에서 배포된 정책 업그레이드Privileged Access Manager Server Control이 호스트에 저장된 버전이 호스트에 배포된 것보다 최신 버전인 경우 호스트별로 최종 완료된 정책 버전에 대한 배포 작업을 생성합니다.
예: 호스트에 정책 할당
정책 IIS를 호스트 host1.comp.com 및 host2.comp.com에 할당하는 경우
Privileged Access Manager Server Control
은 최신 IIS 정책 버전을 host1.comp.com에 배포하기 위한 작업과 최신 IIS 정책 버전을 host2.comp.com에 배포하기 위한 작업의 두 가지 배포 작업을 만듭니다.예: 호스트 그룹에 정책 할당
호스트 그룹 서버에 hostA.comp.com과 hostB.comp.com이라는 두 개의 구성원이 있습니다. 정책 IIS를 호스트 그룹 서버에 할당하는 경우
Privileged Access Manager Server Control
은 최신 IIS 정책 버전을 hostA.comp.com에 배포하는 작업과 최신 IIS 정책 버전을 hostB.comp.com에 배포하는 두 개의 배포 작업을 만듭니다.예: 할당된 정책이 있는 호스트 그룹에 호스트 추가
호스트 그룹 서버에는 두 개의 할당된 정책(IIS 및 ORACLE)이 있습니다. 호스트 test.comp.com을 호스트 그룹에 추가하는 경우
Privileged Access Manager Server Control
은 최신 IIS 정책 버전을 test.comp.com에 배포하는 작업과 최신 ORACLE 정책 버전을 test.comp.com에 배포하는 두 가지 배포 작업을 만듭니다.예: 호스트 복원
호스트에 policy1과 policy2의 두 개의 할당된 정책이 있습니다. 호스트를 복원하는 경우
Privileged Access Manager Server Control
은 호스트에서 최종 완료된 policy1 버전을 배포하는 작업과 최종 완료된 policy2 버전을 배포하는 두 가지 배포 작업을 만듭니다.예: 배포된 정책 업그레이드
정책 IIS가 host1.comp.com 및 host2.comp.com의 두 개 호스트에 배포되었지만 정책 IIS의 최종 버전은 host1.comp.com에 배포되지 않았습니다. 두 호스트 모두에서 정책 IIS를 업그레이드하는 경우
Privileged Access Manager Server Control
은 최신 IIS 정책 버전을 host1.comp.com에 배포하는 하나의 배포 작업만 만듭니다.DMS가 수록한 끝점 데이터
회사 환경에 고급 정책 관리를 구성할 때 회사의 끝점은 구성된 DH를 통해 다음 세 가지 영역의 상태 변경 사항을 DMS에 통보합니다.
- 정책 배포 및 배포 취소정책이 배포 또는 배포 취소될 때 끝점은 알림을 보냅니다. 그러면 작업 결과에 따라 다음 세부 정보가 업데이트됩니다.
- 정책 세부 정보
- 배포 상태(성공, 실패 등)
- 실행하지 못한 정책 명령의 selang 명령 출력
- HNODE 정책 상태(배포됨, 배포 실패 등)
- 호스트 하트비트일반 구성 가능한 간격으로 각 끝점은 온라인 상태의 호스트에 대한 계정으로 하트비트를 전달합니다.
- 위반 상태각 하트비트 이후에 끝점은 정책 위반을 계산하여 그 결과(위반 발견 여부)를 보냅니다.참고policyfetcher가 끝점과 DH 사이에서 배포 및 위반 상태 충돌을 발견하면 끝점에서 받은 정보에 따라 충돌을 해결하십시오.
끝점이 DMS를 업데이트하는 방법
각 끝점은 사용자가 구성한 DH를 통해 하트비트(호스트 상태), 정책 상태 및 위반 상태 알림을 DMS에 보냅니다. 해당 DMA 알림은 다음과 같은 방법으로 처리됩니다.
- DH가 업데이트 파일에 알림 메시지를 저장합니다.이러한 알림은 끝점에서 보내는 하트비트 및 정책 배포/배포 취소 알림입니다.
- DH에서 구독자인 DMS에 연결합니다.
- DMS를 사용할 수 없는 경우 DH는 모든 메시지를 성공적으로 보낼 때까지 정기적으로 DMS와 통신하려고 시도합니다.
- DMS를 사용할 수 있는 경우 DH는 저장된 알림을 보냅니다.
- DMS가 나중에 사용할 수 있도록 각 DH에서 받은 정보를 저장합니다.보고서를 작성할 때마다Privileged Access Manager Server Control은 DMS에서 정보를 검색합니다.
참고:
UNIX 인증 브로커 끝점은 다른 프로세스를 사용하여 DMS를 업데이트합니다.