공유 계정 설정 방법
목차
cminder12902kr
목차
공유 계정 관리(SAM)는 회사에서 가장 강력한 계정과 관련된 모든 활동을 추적하고, 관리하고, 보안을 유지하기 위한 프로세스입니다. 공유 계정 암호를 사용하려면 먼저 SAM에 대해
Privileged Identity Manager
엔터프라이즈 콘솔을 설정하는 일부 단계를 완료해야 합니다. 그런 다음 사용자들이 정의된 공유 계정을 사용하여 작업을 시작할 수 있게 됩니다.다음 프로세스는 공유 계정을 설정하기 위해 회사의 사용자들이 반드시 완료해야 하는 작업에 대해 설명합니다. 사용자에게는 각 프로세스 단계를 완료하기 위한 지정된 역할이 있어야 합니다. 시스템 관리자 관리 역할이 있는 사용자는 이 프로세스에서 모든 작업을 수행할 수 있습니다.
참고:
이 프로세스를 시작하기 전에 전자 메일 알림을 활성화하십시오. 이렇게 하면 Privileged Identity Manager
엔터프라이즈 콘솔이 사용자에게 암호를 표시할 수 없는 경우 전자 메일로 암호를 보낼 수 있습니다.공유 계정을 설정하려면 사용자가 다음을 수행해야 합니다.
- SAM 대상 시스템 관리자는 암호 정책을 만듭니다. 암호 정책은 공유 계정에 대한 암호 규칙 및 제한을 설정합니다.
- SAM 대상 시스템 관리자는Privileged Identity Manager엔터프라이즈 콘솔에서 끝점을 만듭니다. 끝점은 공유 계정이 관리하는 장치입니다.Privileged Identity Manager엔터프라이즈 콘솔에서 끝점을 만들거나 SAM 피더를 사용하여 끝점을 가져올 수 있습니다.
- SAM 대상 시스템 관리자는 각 끝점에 대한 공유 계정을 만듭니다. 공유 계정을 만들면 SAM이 계정을 관리할 수 있습니다.Privileged Identity Manager엔터프라이즈 콘솔에서 공유 계정을 만들거나 SAM 피더를 사용하여 공유 계정을 가져올 수 있습니다.
- (선택 사항) 시스템 관리자가 로그인 응용 프로그램을 만들고 SAM 대상 시스템 관리자가 로그인 응용 프로그램을 사용하기 위해 SAM 끝점을 수정합니다. 로그인 응용 프로그램은 사용자가Privileged Identity Manager엔터프라이즈 콘솔을 사용하여 공유 계정에 로그인할 수 있게 합니다.
- SAM 정책 관리자가 권한 있는 액세스 역할의 구성원 정책을 수정합니다. 구성원 정책은 역할에서 작업을 수행할 수 있는 사용자를 정의합니다.참고:사용자 저장소로 Active Directory를 사용하는 경우 해당 Active Directory 그룹을 가리키도록 각 구성원 정책을 수정하는 것이 좋습니다. 그런 다음 해당 Active Directory 그룹에서 추가 또는 제거하는 방법으로 역할에서 사용자를 추가 또는 제거할 수 있습니다. 이렇게 하면 관리 오버헤드를 크게 줄일 수 있습니다.
- (포함된 사용자 저장소) SAM 사용자 관리자는 각 사용자의 관리자를 지정합니다.참고:관리자만 사용자의 공유 계정 요청을 승인할 수 있습니다. 사용자 저장소로 Active Directory를 사용하는 경우 각 사용자의 관리자가 Active Directory에 지정되어 있는지 확인하십시오.
- (선택 사항) 시스템 관리자는 CA Service Desk Manager에 대한 연결을 구성합니다.CA Service Desk Manager와 통합하면 권한 있는 계정 요청에 대한 여러 승인 프로세스를 만들 수 있습니다.
다음 다이어그램은 각 프로세스 단계를 수행하는 권한 있는 액세스 역할을 설명합니다.

권한 있는 계정 검색
끝점에서 권한 있는 계정을 검색할 때는 권한 있는 계정 검색 프로세스를 지정된 간격으로 실행하는 것이 좋습니다. 권한 있는 계정을 검색하면 동시에 여러 권한 있는 계정을 만들 수 있습니다.
Privileged Identity Manager
엔터프라이즈 콘솔은 검색하는 계정을 표에 나타내므로 SAM을 사용하면 이미 관리하는 계정을 쉽게 파악할 수 있습니다.끝점 유형에서 권한 있는 계정을 처음 발견했을 때 CA Privileged Identity Manager 엔터프라이즈 콘솔은 권한 있는 액세스 역할을 자동으로 만듭니다. 예를 들어 Windows Agentless 끝점에서 권한 있는 계정을 처음 발견했을 때
Privileged Identity Manager
엔터프라이즈 콘솔은 자동으로 Windows Agentless Connection 끝점 권한 있는 액세스 역할을 만듭니다.다음 단계를 수행하십시오.
- Privileged Identity Manager엔터프라이즈 콘솔에서 "권한 있는 계정", "계정", "권한 있는 계정 검색 마법사"를 클릭합니다."권한 있는 계정 검색 마법사: 권한 있는 계정 선택" 페이지가 나타납니다.
- 목록에서 "끝점 유형"을 선택합니다.
- 검색 특성을 선택하고 필터 값을 입력한 다음 검색을 클릭합니다.필터 조건에 일치하는 끝점의 목록이 표시됩니다.
- 관리할 권한 있는 계정을 선택합니다.다음 표의 열 제목은 직관적으로 이해되지 않습니다.
- 검색된 계정계정이 이미Privileged Identity Manager엔터프라이즈 콘솔에 알려져 있는지 여부를 지정합니다. 알려진 계정에는Privileged Identity Manager엔터프라이즈 콘솔이 이미 관리하는 계정과 끝점을 관리하기 위해 사용되는 관리자 계정이 포함됩니다.
- 끝점 관리자Privileged Identity Manager엔터프라이즈 콘솔이 끝점을 관리하기 위해 계정을 사용하는지 여부를 지정합니다.중요!끝점 관리자 계정을 선택할 때는 주의하십시오.Privileged Identity Manager엔터프라이즈 콘솔은 관리하는 권한 있는 계정의 암호를 자동으로 변경할 수 있습니다. 끝점 관리자 계정을 선택하면 끝점에 있는 권한 있는 계정에 로그인하여 관리할 수 없게 됩니다.
"권한 있는 계정 검색 마법사: 일반 계정 세부 정보" 페이지가 나타납니다. - 대화 상자의 필드를 입력합니다. 다음 필드는 자동으로 채워지지 않습니다.
- 연결 해제된 시스템계정이 연결 해제된 시스템에 있는지 여부를 지정합니다.이 옵션을 선택하면 SAM이 해당 계정을 관리하지 않습니다. 대신, 연결 해제된 시스템의 권한 있는 계정을 위한 암호 저장소의 역할만 수행합니다. 암호를 변경할 때마다 관리되는 끝점에서도 계정 암호를 직접 변경해야 합니다.
- 암호 정책권한 있는 계정 또는 서비스 계정에 적용할 암호 정책을 지정합니다.
- 체크 아웃 만료체크 아웃 계정이 만료되는 기간(분)을 정의합니다.
- 배타적 계정한 번에 하나의 사용자만 계정에 액세스할 수 있는지 여부를 지정합니다.배타적 계정은 한 번에 하나의 사용자만 권한 있는 계정을 사용하도록 제한합니다.배타적 세션은 끝점에서 현재 실행 중인 열린 세션이 없는 경우 단 하나의 사용자만 계정을 사용할 수 있도록 지정합니다.
- 체크 아웃 시 암호 변경권한 있는 계정이 체크 아웃될 때마다 이 권한 있는 계정의 암호를 변경할지 여부를 지정합니다.참고이 옵션은 서비스 계정에 적용되지 않습니다.
- 체크 인 시 암호 변경사용자 또는 프로그램이 권한 있는 계정을 체크 인할 때마다 또는 체크 아웃 기간이 만료될 때 권한 있는 계정의 암호를 변경할지 여부를 지정합니다.참고:배타적 계정이 아닌 경우모든사용자가 이 계정을 체크 인한 경우에만 새 권한 있는 계정 암호가 생성됩니다.
- 서비스 계정검색한 계정이 서비스 계정인지 여부를 지정합니다.참고:서비스 계정 검색 마법사를 사용하여 서비스 계정을 검색할 수도 있습니다.
권한 있는 계정을 만듭니다.
권한 있는 계정 또는 서비스 계정 만들기
관리되는 시스템 및 연결 해제된 시스템에서 계정 암호를 관리하기 위해 권한 있는 계정 및 서비스 계정을 만듭니다. 권한 있는 계정 및 서비스 계정은 다른 용도로 사용합니다.
- 사용자가 권한 있는 계정 암호를 체크 아웃 및 체크 인하도록 하려면 권한 있는 계정을 만듭니다.
- CLI, 데이터베이스 또는 Windows RunAs 암호 소비자를 설정하려면 권한 있는 계정을 만듭니다.
- Windows 서비스 및 Windows 예약된 작업 암호 소비자를 설정하려면 서비스 계정을 만듭니다.참고:서비스 계정 암호는 체크 아웃 및 체크 인할 수 없습니다.
여러 계정을 만들려면 권한 있는 계정 검색 마법사와 서비스 계정 검색 마법사를 사용하여 끝점에서 권한 있는 계정 및 서비스 계정을 검색하십시오. 하나의 계정을 만들려면 이 창에서 권한 있는 계정 또는 서비스 계정의 상세 정보를 제공하십시오.
다음 단계를 수행하십시오.
- Privileged Identity Manager엔터프라이즈 콘솔에서 "권한 있는 계정", "계정", "권한 있는 계정 만들기"를 클릭합니다."권한 있는 계정 만들기: 권한 있는 계정 선택" 페이지가 나타납니다.
- (선택 사항) 다음과 같이 권한 있는 계정을 만들 때 복사하여 사용할 기존 권한 있는 계정을 선택합니다.
- "권한 있는 계정" 유형의 개체에 대한 복사본을 만들도록 선택합니다.
- 검색 특성을 선택하고 필터 값을 입력한 다음 검색을 클릭합니다.필터 조건에 일치하는 권한 있는 계정의 목록이 표시됩니다.
- 새로운 권한 있는 계정을 만들 때 기초로 사용할 개체를 선택합니다.
- 확인을 클릭합니다."권한 있는 계정 만들기" 작업 페이지의 "일반" 탭이 나타납니다. 기존 개체에서 권한 있는 계정을 만든 경우 대화 상자 필드에는 기존 개체에서 가져온 값이 자동으로 입력됩니다.
- 일반 탭에서 다음 필드를 완성합니다.
- 계정 이름이 권한 있는 계정에 대한 이름을 정의합니다.참고:RACF, ACF, Top Secret과 같은 메인프레임 시스템은 사용자 이름에 대/소문자를 구분합니다. 계정 이름을 대문자로 입력하십시오.
- 설명권한 있는 계정에 대한 설명, 텍스트 또는 임의의 정보를 자유롭게 추가할 수 있는 텍스트 영역입니다.참고:설명필드는Privileged Identity Manager12.9.02 서비스 팩에 테스트 픽스(RO92692)를 적용한 경우에만 사용할 수 있습니다. 테스트 픽스는 http://support.ca.com에서 다운로드할 수 있습니다.
- 연결 해제된 계정계정이 연결 해제된 시스템에 있는지 여부를 지정합니다.이 옵션을 선택하면 SAM이 해당 계정을 관리하지 않습니다. 대신, 연결 해제된 시스템의 권한 있는 계정을 위한 암호 저장소의 역할만 수행합니다. 암호를 변경할 때마다 관리되는 끝점에서도 계정 암호를 직접 변경해야 합니다.
- 계정 유형계정이 공유 (권한 있는) 계정인지 또는 서비스 계정인지 여부를 지정합니다.참고서비스 계정을 만들 때 SAM은 계정 암호를 변경하려고 시도하지 않습니다.
- 끝점 이름권한 있는 계정 또는 서비스 계정이 있는 정의된 끝점의 이름을 지정합니다. 지정한 유형의 끝점 목록을 볼 수 있습니다.
- 끝점 유형권한 있는 계정 또는 서비스 계정이 있는 끝점의 유형을 지정합니다.
- Container권한 있는 계정 또는 서비스 계정에 대한 컨테이너의 이름을 지정합니다.컨테이너는 인스턴스가 다른 개체의 컬렉션인 클래스입니다. 컨테이너는 특정 액세스 규칙에 따라 개체를 체계적인 방식으로 저장하기 위해 사용됩니다.
- 암호 정책권한 있는 계정 또는 서비스 계정에 적용할 암호 정책을 지정합니다.
- 암호새 권한 있는 계정에 사용할 암호를 정의합니다.참고:새 암호는 지정하는 암호 정책을 준수해야 합니다.
- 체크 아웃 만료체크 아웃 계정이 만료되는 기간(분)을 정의합니다.
- 배타적 계정한 번에 하나의 사용자만 계정에 액세스할 수 있는지 여부를 지정합니다.배타적 계정은 한 번에 하나의 사용자만 권한 있는 계정을 사용하도록 제한합니다.배타적 세션은 끝점에서 현재 실행 중인 열린 세션이 없는 경우 단 하나의 사용자만 계정을 사용할 수 있도록 지정합니다.
- 체크 아웃 시 암호 변경권한 있는 계정을 체크 아웃할 때마다 이 계정의 암호를 변경할지 여부를 지정합니다.참고이 옵션은 서비스 계정에 적용되지 않습니다.
- 체크 인 시 암호 변경사용자 또는 프로그램이 권한 있는 계정을 체크 인할 때마다 또는 체크 아웃 기간이 만료될 때 이 계정의 암호를 변경할지 여부를 지정합니다.참고:배타적 계정이 아닌 경우모든사용자가 이 계정을 체크 인한 경우에만 새 권한 있는 계정 암호가 생성됩니다.
- 로그인 응용 프로그램 체크 아웃만로그인 응용 프로그램이 끝점에 대해 정의된 경우에만 암호 체크 아웃을 허용할지 여부를 지정합니다.참고이 옵션이 사용된 경우 사용자는 암호를 클립보드에 복사하거나 표시할 수 없습니다.
- (선택 사항) "암호 소비자" 탭으로 이동합니다.구성된 경우, 권한 있는 계정을 사용하는 암호 소비자를 볼 수 있습니다.
- (선택 사항) "정보" 탭을 클릭하고 탭에 있는 필드를 완성합니다.이 탭에서는 끝점 관련 특성을 지정하여 권한 있는 액세스 역할을 정의 또는 수정할 때 이 특성을 사용할 수 있습니다.액세스 권한 있는 역할의 구성원이Privileged Identity Manager엔터프라이즈 콘솔에 로그인할 때 사용자는 권한 있는 액세스 역할에 정의된 특성에 따라 권한 있는 액세스 계정에 액세스할 수 있습니다.
- Owner끝점 소유자의 이름을 지정합니다.
- 부서부서의 이름을 지정합니다.예: 개발부
- 사용자 지정 1...5최대 5개까지 사용자 지정 끝점 관련 특성을 지정합니다.
참고권한 있는 계정 "구성원" 탭, "구성원 정책" 섹션, "구성원 역할" 창에서 사용자 지정 특성을 정의하십시오. - 제출을 클릭합니다.새 권한 있는 계정 또는 서비스 계정을 만듭니다.