SSH 장치 연결 정보

목차
cminder12902kr
목차
SSH 장치 유형을 사용하면 권한 있는 UNIX 계정을 관리할 수 있습니다.
중요!
SAM SSH 끝점을 구성할 때는 끝점 설정을 구성하기 전에 끝점에서 터널링된 일반 텍스트 암호를 비활성화하십시오.
이 유형의 장치를 만들 때는
Privileged Identity Manager
엔터프라이즈 콘솔이 장치에 연결할 수 있도록 다음 정보를 제공하십시오.
  • 사용자 로그인
    끝점의 관리 사용자 이름을 정의합니다. SAM은 이 계정을 사용하여 끝점에서 관리 작업(예: 끝점에 연결하고, 계정을 검색하고, 암호를 변경하는 등의 작업)을 수행합니다. "고급" 옵션을 지정하는 경우 SAM은 관리 작업을 수행하기 위해 사용자 로그인 계정을 사용하지 않는다는 것에 유의하십시오. 대신, SAM은 지정된 권한 있는 계정을 사용하여 끝점에서 관리 작업을 수행합니다. 작업 관리자 계정을 지정하는 경우 SAM은 이 계정을 사용하여 끝점에서 관리 작업을 수행합니다.
  • 암호
    끝점의 관리 사용자 암호를 정의합니다.
  • Host(호스트)
    끝점의 호스트 이름을 정의합니다.
  • 텔넷 사용
    SSH 장치에 연결하기 위해 SSH 대신 텔넷을 사용하도록 지정합니다.
  • 작업 관리자 사용자 로그인
    (선택 사항) 끝점의 작업 관리자 사용자의 이름을 정의합니다. SAM은 이 계정을 사용하여 끝점에서 관리 작업(예: 권한 있는 계정의 암호를 검색 및 변경하는 작업)을 수행합니다. 작업 관리자 사용자를 지정하지 않으면 SAM은 사용자 로그인 계정을 사용하여 끝점에서 관리 작업을 수행합니다.
    Check Point Firewall을 사용하는 SSH 끝점에 대해 작업 관리자 사용자를 지정하는 경우 전문가 사용자를 지정하십시오. 그러나 SAM을 사용하여 끝점에서 전문가 계정의 암호를 변경할 수 없습니다. 즉, 전문가 계정은 SAM에서 연결 해제된 계정이어야 합니다.
  • 작업 관리자 암호
    (선택 사항) 작업 관리자 사용자의 암호를 정의합니다.
  • 구성 파일
    SSH 장치 XML 구성 파일의 이름을 지정합니다. 필요에 따라 XML 파일을 사용자 지정할 수 있습니다.
    참고
    이 필드의 값을 지정하지 않으면
    Privileged Identity Manager
    엔터프라이즈 콘솔은 ssh_connector_conf.xml 파일을 사용합니다.
  • 고급
    권한 있는 관리 계정을 사용하여 끝점에서 관리 작업(끝점에 연결하고, 계정을 검색하고, 암호를 변경하는 등의 작업)을 수행할지 여부를 지정합니다. 예를 들어, 여러 끝점에서 관리 작업을 수행할 수 있는 권한 있는 도메인 계정을 지정할 수 있습니다.
    이 옵션을 지정하면 SAM은 관리 작업을 수행하기 위해 "사용자 로그인" 계정을 사용하지 않습니다.
  • 배타적 세션 비활성화
    이 끝점에서 배타적 세션 검사를 비활성화할지 여부를 지정합니다. 선택하면 SAM이 끝점에서 열린 세션을 검사하지 않습니다.
  • 배타적 Break-Glass 거부
    배타적 계정에 대해 Break-Glass 체크 아웃 작업을 차단하도록 지정합니다.
SAM이 UNIX 끝점에 연결하는 방법
끝점을 만들 때는 끝점에 연결하기 위해 SAM이 사용하는 관리자 계정을 지정하고, 권한 있는 계정의 암호를 검색 및 변경하는 것과 같은 관리 작업을 수행합니다. UNIX 계정의 경우 가장 적합한 관리자 계정은 일반적으로 root입니다. 그러나 SAM은 SSH를 사용하여 UNIX 끝점에 연결하고, 일부 조직은 사용자 및 응용 프로그램이 root 사용자로 SSH 연결을 설정하는 것을 허용하지 않습니다.
이 문제를 피하기 위해 SSH 장치 끝점을 만들 때 연결 계정과 작업 관리자 계정을 모두 지정할 수 있습니다. SAM은 SSH 장치를 UNIX 끝점에 대한 끝점 유형으로 사용합니다. 또한 두 계정을 사용하면 작업 관리자 계정보다 권한이 적은 연결 계정을 사용할 수 있습니다.
다음 프로세스에서는 SAM이 이러한 계정을 사용하여 SSH 장치 끝점에 연결하는 방법을 설명합니다.
  1. SAM이 연결 계정의 자격 증명을 사용하여 끝점에 연결합니다.
  2. SAM이 작업 관리자 계정의 자격 증명을 사용하여 해당 계정에 su로 로그인합니다.
    예를 들어 작업 관리자 계정이 root인 경우 SAM은 root 자격 증명을 사용하여 root에 su로 로그인합니다.
  3. SAM이 작업 관리자 계정으로 관리 작업을 수행합니다.
    예를 들어 작업 관리자 계정이 root인 경우 SAM은 root 계정으로 관리 작업을 수행합니다.
SSH 장치 끝점에서 권한 있는 계정을 보면 연결 및 작업 관리자 계정이 모두 끝점 관리자 계정으로 나열되어 있습니다.
사용자 지정된 SSH 장치 끝점을 만드는 방법
권한 있는 계정을 검색하기 위해 SAM이 사용하는 기본 설정이 SSH 장치 끝점에 적용되지 않는 경우 사용자 지정된 SSH 장치 끝점을 만들 수 있습니다.
사용자 지정된 SSH 장치 끝점을 만들려면 다음을 수행하십시오.
  1. SSH 장치 XML 파일을 사용자 지정합니다.
  2. Privileged Identity Manager
    엔터프라이즈 콘솔에서 SSH 장치 끝점을 만듭니다. 만든 XML 파일의 이름을 "구성 파일" 필드에 입력합니다.
    사용자 지정 설정을 사용하여 SSH 장치 끝점이 만들어집니다.
  3. 만든 끝점에서 권한 있는 계정 검색 마법사를 실행합니다.
    Privileged Identity Manager
    엔터프라이즈 콘솔이 XML 파일에 정의된 매개 변수를 사용하여 끝점에서 권한 있는 계정을 검색합니다.
  4. JCS 커넥터 로그 파일(jcs_stdout.log)과 JCS 커넥터 오류 파일(jcs_sterr.log)을 검토합니다. 이러한 파일은 다음 위치에 있습니다.
    ACServerInstallDir/Connector Server/logs
  5. 필요하면 로그 파일에 표시된 오류를 해결하기 위해 XML 파일을 수정합니다.
참고:
SSH 장치 XML 파일의 형식에 대한 자세한 내용은
참조 안내서
를 참조하십시오.
SSH 장치 XML 파일 사용자 지정
SSH 네트워크 및 장치 XML 파일은 SAM이 SSH 장치 또는 네트워크 장치 끝점에 연결하고, 사용자 계정을 검색하고, 끝점에서 권한 있는 계정 암호를 변경하는 방법을 정의합니다.
Privileged Identity Manager
는 SSH 장치 및 네트워크 장치 XML 파일을 여러 개 제공합니다. 이러한 파일은 SAM이 여러 유형의 SSH 장치 및 네트워크 장치 끝점에 연결하기 위해 사용하는 기본 설정을 포함합니다.
SSH 장치 또는 네트워크 장치 끝점이 다른 방법으로 권한 있는 계정 암호를 변경하는 경우, 장치 XML 파일을 사용자 지정하여 이 비기본 설정을 지정합니다. 예를 들어, 사용자 계정을 검색하고 권한 있는 계정 암호를 변경하기 위해 비기본 방법을 사용하는 라우터, 스위치, 방화벽에 대한 끝점을 만들려면 SSH 장치 XML 파일을 사용자 지정하십시오.
참고
: 엔터프라이즈 관리 서버와 배포 서버는 각각 로컬 장치 XML 파일을 사용하여 끝점에 연결합니다. 엔터프라이즈 관리 서버에서 장치 XML 파일을 사용자 지정하는 경우
Privileged Identity Manager
환경의 모든 배포 서버에 있는 장치 XML 파일도 업데이트되는지 확인하십시오.
다음 단계를 수행하십시오.
  1. Privileged Identity Manager
    엔터프라이즈 콘솔에서 사용자 지정할 XML 파일을 찾습니다. 이러한 파일은 다음 디렉터리에 있습니다.
    • SSH 장치
      :
      ACServerInstallDir/conf/override/sshdyn
    • 네트워크 장치:
      ACServerInstallDir/conf/override/netdevicedyn
  2. 사용자 지정할 파일을 복제한 후 편집을 위해 새 파일을 엽니다.
    참고:
    새 파일은 같은 디렉터리에 저장하십시오.
  3. 회사의 요구 사항에 맞게 이 파일에서 매개 변수를 수정합니다.
    이 파일의 각 <item>은 특정 명령에 대한 매개 변수를 정의합니다. SAM은 이러한 명령을 사용하여 끝점에서 암호를 변경하고 사용자를 가져옵니다. <item>요소를 수정하여 SAM이 끝점으로 보내는 명령을 정의하십시오. 또한 SAM이 끝점에 연결하기 위해 사용하는 설정을 수정할 수도 있습니다.
  4. 파일을 저장한 후 닫습니다.
    끝점에 대한 장치 XML 파일을 사용자 지정했습니다.
참고:
SSH 장치 XML 파일의 형식에 대한 자세한 내용은
참조 안내서
를 참조하십시오.
참고:
중국어, 일본어, 한국어를 사용하여 파일을 사용자 지정하는 경우 UTF-8 인코딩으로 파일을 저장하십시오.
예: SSH 장치 XML 파일이 SAM 명령을 정의하는 방법
이 예에서는 SSH 장치 XML 파일의 섹션에 SAM이 SSH 장치 끝점에서 실행하는 명령을 정의하는 방법을 설명합니다. 이 섹션의 각 <item>은 특정 작업에 대한 매개 변수를 정의합니다. 모든 <item> 요소는 SAM이 끝점과 상호 작용하는 방식을 정의하는 스크립트를 만듭니다.
각 <item> 요소는 sCommand 매개 변수로 시작합니다. sCommand 매개 변수는 SAM이 끝점에서 실행하는 명령을 정의합니다. sCommand 매개 변수 뒤에 나오는 매개 변수는 해당 명령 후에 SAM이 수행하는 다른 작업을 정의합니다.
이 예에서는 Cisco 스위치에서 권한 있는 계정 암호를 변경하기 위해 SAM이 사용하는 명령을 Cisco-UCS_connector_conf.xml 파일의 섹션에 정의하는 방법을 보여 줍니다. Cisco-UCS_connector_conf.xml 파일은 다음 디렉터리에 있습니다.
ACServerInstallDir/Connector Server/conf/override/sshdyn
이 예는 Cisco-UCS_connector_conf.xml 파일의 한 섹션만 보여 줍니다. 파일의 다른 요소는 Cisco 스위치에 대한 연결을 구성하고 SAM이 사용자를 가져오기 위해 실행하는 명령을 지정합니다.
참고:
SSH 장치 XML 파일의 형식에 대한 자세한 내용은
참조 안내서
를 참조하십시오.
다음 프로세스에서는 Cisco 스위치에서 권한 있는 계정 암호를 변경하기 위해 SAM이 실행하는 명령을 보여 줍니다. <item> 요소가 SAM이 실행하는 명령을 어떻게 구성하는지 보여 주기 위해 각 단계의 끝에 해당하는 <item> 요소가 제공됩니다.
  1. SAM이 권한 있는 계정의 암호를 변경하도록 지정합니다. SAM은 이 단계를 완료하기 위해 다음 작업을 수행합니다.
    1. SAM이 다음 명령을 실행합니다.
      set password
    2. SAM이 500 밀리초 동안 대기합니다.
    3. SAM이
      word:
      텍스트 문자열을 받을 때까지 대기합니다. 이 문자열을 받으면 다음 단계로 진행합니다.
    다음 <item> 요소는 이 단계에서 SAM이 수행하는 작업을 지정합니다.
    <item> <param name="sCommand" value="set password" /> <param name="iWait" value="500" /> <param name="sWaitForText" value="word:" /> </item>
  2. SAM이 권한 있는 계정의 새 암호를 지정합니다. SAM은 이 단계를 완료하기 위해 다음 작업을 수행합니다.
    1. SAM이 새 암호를 끝점으로 보냅니다.
      SAM이 새 암호를 로그 파일에 기록하지 않습니다.
    2. SAM이 500 밀리초 동안 대기합니다.
    3. SAM이
      word:
      텍스트 문자열을 받을 때까지 대기합니다. 이 문자열을 받으면 다음 단계로 진행합니다.
    다음 <item> 요소는 이 명령에 대한 매개 변수를 지정합니다.
    <item> <param name="sCommand" value="[%%password%%]" /> <param name="bHideSentLog" value="true" /> <param name="iWait" value="500" /> <param name="sWaitForText" value="word:" /> </item>
  3. SAM이 권한 있는 계정의 새 암호를 확인합니다. SAM은 이 단계를 완료하기 위해 다음 작업을 수행합니다.
    1. SAM이 새 암호를 끝점으로 다시 보냅니다.
      SAM이 새 암호를 로그 파일에 기록하지 않습니다.
    2. SAM이 500 밀리초 동안 대기합니다.
    3. SAM이
      local-user* #
      텍스트 문자열을 받을 때까지 대기합니다. 이 문자열을 받으면 다음 단계로 진행합니다.
      SAM이
      failure
      ,
      invalid
      또는
      error
      텍스트 문자열을 받으면 암호 변경이 실패한 것입니다.
    다음 <item> 요소는 이 명령에 대한 매개 변수를 지정합니다.
    <item> <param name="sCommand" value="[%%password%%]" /> <param name="bHideSentLog" value="true" /> <param name="iWait" value="500" /> <param name="sWaitForText" value="local-user* #" /> <param name="sFailureResult" value="failure;invalid;error" /> </item>
  4. SAM이 권한 있는 계정의 새 암호를 커밋합니다. SAM은 이 단계를 완료하기 위해 다음 작업을 수행합니다.
    1. SAM이 다음 명령을 실행합니다.
      commit-buffer
      SAM이 이 명령을 로그 파일에 기록하지 않습니다.
    2. SAM이 500 밀리초 동안 대기합니다.
    3. SAM이
      local-user #
      텍스트 문자열을 받을 때까지 대기합니다. 이 문자열을 받으면 암호 변경이 완료됩니다.
      SAM이
      Error: Update failed:
      텍스트 문자열을 받으면 암호 변경이 실패한 것입니다.
    다음 <item> 요소는 이 명령에 대한 매개 변수를 지정합니다.
    <item> <param name="sCommand" value="commit-buffer" /> <param name="bHideSentLog" value="true" /> <param name="iWait" value="500" /> <param name="sWaitForText" value="local-user #" /> <param name="sFailureResult" value="Error: Update failed:" /> </item>
    암호 변경이 완료되었습니다.