vSphere 보안 - VMware

업데이트 2 VMware vsphere 6.0 VMware ESXi 6.0 vcenter Server 6.0 이문서는새버전으로교체되기전까지나열된각제품버전및모든이후버전을지원합니다. 이문서에대한최신버전을확인하려면 http://www.vmware.com/kr/support/pubs 를참조하십시오. KO-001949-07

VMware 웹사이트 (http://www.vmware.com/kr/support/) 에서최신기술문서를확인할수있습니다. 또한 VMware 웹사이트에서최신제품업데이트를제공합니다. 이문서에대한의견이있으면 docfeedback@vmware.com 으로사용자의견을보내주십시오. Copyright 2009 2017 VMware, Inc. 판권소유. 저작권및상표정보. VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com 2 VMware, Inc.

목차 vsphere 보안정보 7 업데이트된정보 9 1 vsphere 환경의보안 11 ESXi 하이퍼바이저보안 11 vcenter Server 시스템및관련서비스보안 13 가상시스템보안 14 가상네트워킹계층보호 15 vsphere 환경의암호 16 보안모범사례및리소스 17 2 vcenter Single Sign-On 으로 vsphere 인증 19 vcenter Single Sign-On 이해 20 vcenter Single Sign-On ID 소스구성 29 vcenter Server 이중인증 36 vcenter Single Sign-On 을다른서비스제공자의 ID 제공자로사용 45 STS(Security Token Service) 47 vcenter Single Sign-On 정책관리 51 vcenter Single Sign-On 사용자및그룹관리 54 vcenter Single Sign-On 보안모범사례 59 vcenter Single Sign-On 문제해결 60 3 vsphere 보안인증서 65 다양한솔루션경로에대한인증서요구사항 66 인증서관리개요 69 Platform Services Controller 웹인터페이스를사용하여인증서관리 80 vsphere Certificate Manager 유틸리티를사용하여인증서관리 87 수동인증서교체 96 CLI 명령으로인증서및서비스관리 123 vsphere Web Client 를사용하여 vcenter 인증서보기 138 vcenter 인증서만료경고의임계값설정 138 4 vsphere 사용권한및사용자관리작업 139 vsphere 의권한부여이해 140 vcenter Server 권한모델이해 140 사용권한의계층적상속 142 여러가지사용권한설정 143 vcenter 구성요소에대한사용권한관리 145 글로벌사용권한 148 역할을사용하여권한할당 150 VMware, Inc. 3

역할및권한에대한모범사례 153 일반작업에필요한권한 154 5 ESXi 호스트보안 157 스크립트를사용하여호스트구성설정관리 158 호스트프로파일을사용하여 ESXi 호스트구성 159 일반 ESXi 보안권장사항 159 ESXi 호스트에대한인증서관리 163 보안프로파일을사용하여호스트사용자지정 176 ESXi 에대한사용권한할당 190 Active Directory 를통해 ESXi 사용자관리 192 vsphere Authentication Proxy 사용 195 ESXi 보안모범사례 200 ESXi 에대한스마트카드인증구성 201 ESXi SSH 키 203 ESXi Shell 사용 205 ESXi 웹프록시설정수정 209 vsphere Auto Deploy 보안고려사항 210 ESXi 로그파일관리 210 6 vcenter Server 시스템보안 213 vcenter Server 보안모범사례 213 기존 ESXi 호스트지문확인 217 NFC(Network File Copy) 를통한 SSL 인증서유효성검사사용확인 218 vcenter Server TCP 및 UDP 포트 218 CIM 기반하드웨어모니터링도구액세스제어 220 7 가상시스템보안 221 가상시스템에서 VMX 파일로의정보메시지제한 221 가상디스크축소방지 222 가상시스템보안모범사례 222 8 vsphere 네트워킹보호 231 vsphere 네트워크보안소개 231 방화벽으로네트워크보호 232 물리적스위치보호 235 보안정책으로표준스위치포트보호 236 vsphere 표준스위치보안 236 vsphere Distributed Switch 및분산포트그룹보안 238 VLAN 으로가상시스템보호 239 단일 ESXi 호스트에네트워크 DMZ 생성 241 단일 ESXi 호스트내에여러네트워크생성 242 인터넷프로토콜보안 244 적절한 SNMP 구성확인 247 필요한경우에만 vsphere Network Appliance API 의가상스위치사용 247 vsphere 네트워킹보안모범사례 248 4 VMware, Inc.

목차 9 여러 vsphere 구성요소와관련된모범사례 251 vsphere 네트워크에서클럭동기화 251 스토리지보안모범사례 254 게스트로호스트성능데이터보내기가사용하지않도록설정되었는지확인 256 ESXi Shell 및 vsphere Web Client 에대한시간제한설정 257 10 TLS 재구성유틸리티를사용하여 TLS 프로토콜구성관리 259 TLS 버전을사용하지않도록설정가능한포트 259 vsphere 에서 TLS 버전을사용하지않도록설정 261 TLS 구성유틸리티설치 261 선택적수동백업수행 262 vcenter Server 시스템에서 TLS 버전을사용하지않도록설정 263 ESXi 호스트에서 TLS 버전을사용하지않도록설정 264 Platform Services Controller 시스템에서 TLS 버전을사용하지않도록설정 265 TLS 구성변경내용되돌리기 266 vsphere Update Manager 에서 TLS 버전을사용하지않도록설정 267 11 정의된권한 271 경보권한 272 Auto Deploy 및이미지프로파일권한 273 인증서권한 274 컨텐츠라이브러리권한 274 데이터센터권한 276 데이터스토어권한 276 데이터스토어클러스터권한 277 Distributed Switch 권한 277 ESX Agent Manager 권한 278 확장권한 278 폴더권한 278 글로벌권한 279 호스트 CIM 권한 280 호스트구성권한 280 호스트인벤토리 281 호스트로컬작업권한 282 호스트 vsphere 복제권한 282 호스트프로파일권한 282 Inventory Service 제공자권한 283 Inventory Service 태그지정권한 283 네트워크권한 284 성능권한 284 사용권한에대한권한 284 프로파일기반스토리지권한 285 리소스권한 285 스케줄링된작업권한 286 세션권한 286 스토리지보기권한 286 작업권한 287 전송서비스권한 287 VMware, Inc. 5

VRM 정책권한 287 가상시스템구성권한 287 가상시스템게스트작업권한 289 가상시스템상호작용권한 289 가상시스템인벤토리권한 296 가상시스템프로비저닝권한 297 가상시스템서비스구성권한 298 가상시스템스냅샷관리권한 298 가상시스템 vsphere 복제권한 299 dvport 그룹권한 299 vapp 권한 299 vservices 권한 300 색인 303 6 VMware, Inc.

정보 vsphere 보안에서는 VMware vcenter Server 및 VMware ESXi 에대한 vsphere 환경보호에대한정보를제공합니다. vsphere 환경을보호할수있도록이설명서에서는사용가능한보안기능과공격으로부터환경을보호하기위해취할수있는조치에대해설명합니다. VMware 는이문서외에도 http://www.vmware.com/security/hardening-guides.html 에서액세스할수있는각 vsphere 릴리스에대한강화가이드를게시합니다. 강화가이드는다양한잠재적보안문제에대한항목이포함된스프레드시트입니다. 여기에는 3 개의각기다른위험프로파일에대한항목이포함됩니다. 이 vsphere 보안문서에는위험프로파일 1( 극비정부기관과같은보안수준이가장높은환경 ) 에대한정보가포함되어있지않습니다. 대상사용자 이정보는가상시스템기술과데이터센터작업에익숙한숙련된 Windows 또는 Linux 시스템관리자를위해작성되었습니다. VMware, Inc. 7

8 VMware, Inc.

업데이트된정보 이 vsphere 보안설명서는제품의각릴리스에따라또는필요할때업데이트됩니다. 이표에는 vsphere 보안설명서의업데이트기록이나와있습니다. 개정 설명 EN-001949-07 인증서요구사항을자세히설명하는새항목 다양한솔루션경로에대한인증서요구사항, (66 페이지 ) 이추가되고, 관련설명이부족한이전항목이제거되었습니다. 새로운장인 10 장, TLS 재구성유틸리티를사용하여 TLS 프로토콜구성관리, (259 페이지 ) 가추가되었습니다. KO-001949-06 쉼표로구분된인증서목록에는공백이허용되지않음을명시하도록 명령줄을사용하여스마트카드인증구성, (37 페이지 ) 항목이업데이트되었습니다. 명령줄을사용하여스마트카드인증구성, (37 페이지 ) 에스크립트위치를포함시켰습니다. 솔루션사용자인증서를사용자지정인증서로교체, (95 페이지 ) 에서전체인증서체인이필요하다는것을명확히했습니다. 여러가지사용권한설정, (143 페이지 ) 소개에서문제하나를수정했습니다. KO-001949-05 검증및검증기간에대한정보가 사용권한유효성검사설정변경, (147 페이지 ) 항목에추가되었습니다. KO-001949-04 NFC(Network File Copy) 를통한 SSL 인증서유효성검사사용확인, (218 페이지 ) 항목에서매개변수이름오류가수정되었습니다. Windows 에서 service-control 명령의위치에대한정보가 CLI 명령으로인증서및서비스관리, (123 페이지 ) 항목에추가되었습니다. KO-001949-03 태그사용권한에대한정보가 태그개체에대한사용권한, (149 페이지 ) 항목에추가되었습니다. vsphere Certificate Manager 를사용하여 CSR 생성및루트인증서 ( 중간 CA) 준비, (89 페이지 ) 에서인증서순서가명확히설명되었습니다. KO-001949-02 vsphere Client 를사용한로그인에대한참고사항이 2 장, vcenter Single Sign-On 으로 vsphere 인증, (19 페이지 ) 항목에추가되었습니다. Active Directory ID 소스설정, (32 페이지 ) 항목에설명이추가되었습니다. 시스템을 Active Directory 이름에연결해야하고 DNS 를통해도메인이름을확인할수있어야합니다. VMware, Inc. 9

개정 설명 KO-001949-01 vsphere Certificate Manager 를사용하여 CSR 생성및루트인증서 ( 중간 CA) 준비, (89 페이지 ) 항목에서인증서순서가수정되었습니다. ESXi 암호및계정잠금, (160 페이지 ) 항목이업데이트되었습니다. 암호문구는기본적으로사용되지않도록설정됩니다. 명령줄을사용하여스마트카드인증구성, (37 페이지 ) 항목에서장치셸에액세스하기위한단계가수정되었습니다. vcenter Single Sign-On 암호변경, (59 페이지 ) 항목이수정되었습니다. 암호가만료되면관리자에게문의해야합니다. 스크립트를사용하여호스트구성설정관리, (158 페이지 ) 항목에서 PowerCLI 스크립트가업데이트되었습니다. vcenter Single Sign-On 이설치에미치는영향, (22 페이지 ) 에서 vcenter Server 인스턴스번호에대한정보를업데이트했습니다. 명령줄을사용하여스마트카드인증구성, (37 페이지 ), Platform Services Controller 웹인터페이스를사용하여스마트카드인증관리, (40 페이지 ) 및 RSA SecurID 인증설정, (43 페이지 ) 항목이일부업데이트되었습니다. vcenter Server TCP 및 UDP 포트, (218 페이지 ) 항목이수정되었습니다. 예를들어포트 903 및포트 5900-5964 는 vcenter Server 시스템이아니라호스트에서사용되며, 포트 9090 같은일부다른포트는내부용으로만사용됩니다. DSA 키에대한정보가 vifs 명령을사용하여 SSH Key 업로드, (203 페이지 ) 항목에서제거되었습니다. 새 STS 서명인증서를생성하는절차를포함하도록 STS(Security Token Service), (47 페이지 ) 항목이업데이트되었습니다. KO-001949-00 최초릴리스 10 VMware, Inc.

vsphere 환경의보안 1 vsphere 환경의구성요소는인증서, 권한부여, 각 ESXi 의방화벽, 제한된액세스등과같은다양한기능으로즉시보호됩니다. 여러가지방법으로기본설정을수정할수있습니다. 예를들어 vcenter 개체에대해사용권한을설정하거나, 방화벽포트를열거나, 기본인증서를변경할수있습니다. 그러면 vcenter Server 시스템, ESXi 호스트및가상시스템보안의유연성이최대화됩니다. 주의가필요한 vsphere 의여러영역을개괄적으로파악하면보안전략을계획하는데도움이됩니다. 또한 VMware 웹사이트에서추가적인 vsphere 보안리소스도활용할수있습니다. 이장에서는다음주제에대해설명합니다. ESXi 하이퍼바이저보안, (11 페이지 ) vcenter Server 시스템및관련서비스보안, (13 페이지 ) 가상시스템보안, (14 페이지 ) 가상네트워킹계층보호, (15 페이지 ) vsphere 환경의암호, (16 페이지 ) 보안모범사례및리소스, (17 페이지 ) ESXi 하이퍼바이저보안 ESXi 하이퍼바이저보안이기본적으로제공됩니다. 잠금모드및다른기본제공기능을사용하여추가로 ESXi 호스트를보호할수있습니다. 참조호스트를설정하고해당호스트의호스트프로파일에따라모든호스트를변경하는경우또는스크립트로작성된관리를수행하는경우변경내용이모든호스트에적용되도록하면환경이추가로보호됩니다. 이가이드에나와있는세부정보대로다음기능을사용하여 vcenter Server 에서관리되는 ESXi 호스트의보호를강화합니다. VMware vsphere Hypervisor 의보안백서도참조하십시오. ESXi 액세스제한 기본적으로 ESXi Shell 및 SSH 서비스는실행되지않고루트사용자만 DCUI(Direct Console User Interface) 에로그인할수있습니다. ESXi 또는 SSH 액세스를사용하도록설정하는경우시간제한을설정하여인증되지않은액세스에대한위험을제한할수있습니다. VMware, Inc. 11

ESXi 호스트에액세스할수있는사용자는호스트를관리하는사용권한이있어야합니다. 호스트를관리하는 vcenter Server 에서호스트개체에대한사용권한을설정합니다. 명명된사용자및최소권한사용 열린 ESXi 방화벽포트의수최소화 ESXi 호스트관리자동화 잠금모드이용 VIB 패키지무결성검사 ESXi 인증서관리 스마트카드인증 기본적으로루트사용자에의해여러작업이수행될수있습니다. 루트사용자계정을사용하여관리자가 ESXi 호스트에로그인하는것을허용하는대신, 다른호스트구성권한을 vcenter Server 사용권한관리인터페이스에서다른명명된사용자에게적용할수있습니다. vsphere Web Client 에서사용자지정역할을생성하고, 권한을역할에할당하고, 명명된사용자및 ESXi 호스트개체에역할을연결할수있습니다. 단일호스트시나리오에서는사용자를직접관리합니다. vsphere Client 를통한 vsphere 관리설명서를참조하십시오. 기본적으로 ESXi 호스트의방화벽포트는해당서비스를시작할때만열립니다. vsphere Web Client 나 ESXCLI 또는 PowerCLI 명령을사용하여방화벽포트상태를확인하고관리할수있습니다. ESXi 방화벽구성, (176 페이지 ) 를참조하십시오. 동일한데이터센터의다른호스트가동기화된상태에있는것이중요한경우가많기때문에스크립트로작성된설치또는 vsphere Auto Deploy 를사용하여호스트를프로비저닝합니다. 스크립트를사용하여호스트를관리할수있습니다. 스크립트로작성된관리대신호스트프로파일을사용할수도있습니다. 참조호스트를설정하고호스트프로파일을내보내고호스트프로파일을호스트에적용합니다. 호스트프로파일을직접또는 Auto Deploy 로프로비저닝작업의일부로적용할수있습니다. vsphere Auto Deploy 에대한자세한내용은 스크립트를사용하여호스트구성설정관리, (158 페이지 ) 및 vsphere 설치및설정항목을참조하십시오. 잠금모드에서 ESXi 호스트는기본적으로 vcenter Server 를통해서만액세스할수있습니다. vsphere 6.0 부터엄격잠금모드또는정상잠금모드를선택하고예외사용자를정의하여백업에이전트와같은서비스계정에직접액세스하도록할수있습니다. 잠금모드, (184 페이지 ) 를참조하십시오. 각 VIB 패키지에는관련된허용수준이있습니다. 허용수준이호스트의허용수준과동일하거나더나은경우에만 VIB 를 ESXi 호스트에추가할수있습니다. 명시적으로호스트의허용수준을변경하지않는한 CommunitySupported 또는 PartnerSupported VIB 를호스트에추가할수없습니다. 호스트및 VIB 의수락수준확인, (189 페이지 ) 를참조하십시오. vsphere 6.0 이상에서 VMCA(VMware 인증기관 ) 는기본적으로각 ESXi 호스트에루트인증기관이 VMCA 인서명된인증서를프로비저닝합니다. 회사정책에서요구하는경우기존인증서를타사 CA 에서서명된인증서로바꿀수있습니다. ESXi 호스트에대한인증서관리, (163 페이지 ) 항목을참조하십시오. vsphere 6.0 부터 ESXi 는사용자이름및암호인증대신옵션으로스마트카드인증을지원합니다. 12 VMware, Inc.

1 장 vsphere 환경의보안 ESXi 에대한스마트카드인증구성, (201 페이지 ) 를참조하십시오. ESXi 계정잠금 vsphere 6.0 부터 SSH 및 vsphere Web Services SDK 를통한액세스에대해계정잠금이지원됩니다. DCUI(Direct Console Interface) 및 ESXi Shell 은계정잠금을지원하지않습니다. 기본적으로, 계정이잠기기전에최대 10 번의시도실패가허용되고 2 분후에는계정에대한잠금이해제됩니다. ESXi 암호및계정잠금, (160 페이지 ) 를참조하십시오. 관리작업은다를수있지만독립형호스트에대한보안고려사항은유사합니다. vsphere Client 를통한 vsphere 관리설명서를참조하십시오. vcenter Server 시스템및관련서비스보안 vcenter Server 시스템및관련서비스는 vcenter Single Sign-On 을통한인증및 vcenter Server 사용권한모델을통한권한부여에의해보호됩니다. 기본동작을수정하거나추가단계를수행하여환경에대한액세스를보호할수있습니다. vsphere 환경을보호할때 vcenter Server 인스턴스와관련된모든서비스가보호되어야한다는것을고려하십시오. 일부환경에서는여러개의 vcenter Server 인스턴스와하나이상의 Platform Services Controller 인스턴스를보호해야할수있습니다. 모든 vcenter 호스트시스템강화 vcenter 인증서모델학습 vcenter Single Sign-On 구성 사용자또는그룹에역할할당 NTP 설정 vcenter 환경을보호하는첫번째단계는 vcenter Server 또는관련서비스가실행되는각시스템을강화하는것입니다. 물리적시스템또는가상시스템에적용되는고려사항은유사합니다. 운영체제에항상최신보안패치를설치하고업계표준모범사례를따라호스트시스템을보호합니다. 기본적으로 VMware Certificate Authority 는 VMCA 로서명된인증서를사용하여각 ESXi 호스트, 환경의각시스템및각솔루션사용자를프로비저닝합니다. 해당환경이바로작동하지만회사정책에서요구하는경우기본동작을변경할수있습니다. 3 장, vsphere 보안인증서, (65 페이지 ) 를참조하십시오. 추가로보호하려면만료되거나해지된인증서및실패한설치를명시적으로제거하십시오. vcenter Server 및관련서비스는 vcenter Single Sign-On 인증프레임워크에의해보호됩니다. 처음소프트웨어를설치할때 administrator@vsphere.local 사용자의암호를지정하고해당도메인만 ID 소스로사용할수있습니다. Active Directory 또는 LDAP 를사용하는다른 ID 소스를추가하고기본 ID 소스를설정할수있습니다. 그러면 ID 소스에인증할수있는사용자는권한이부여된경우개체를보고작업을수행할수있습니다. 2 장, vcenter Single Sign-On 으로 vsphere 인증, (19 페이지 ) 를참조하십시오. 로깅을향상시키기위해개체에제공하는각사용권한을명명된사용자또는그룹및사전정의된역할또는사용자지정역할과연결합니다. vsphere 6.0 사용권한모델은사용자또는그룹을인증하는다양한방법을통해뛰어난유연성을제공합니다. vsphere 의권한부여이해, (140 페이지 ) 및 일반작업에필요한권한, (154 페이지 ) 항목을참조하십시오. 관리자권한및관리자역할의사용을제한하십시오. 가능한경우익명의관리자사용자를사용하지마십시오. 환경의각노드에대해 NTP 를설정합니다. 인증서인프라는정확한타임스탬프가필요하며노드가동기화되지않은경우제대로작동하지않습니다. VMware, Inc. 13

vsphere 네트워크에서클럭동기화, (251 페이지 ) 를참조하십시오. 가상시스템보안 VM 을보호하려면게스트운영체제가패치되도록유지하고환경을물리적시스템을보호하는것처럼보호합니다. 불필요한기능을사용하지않도록설정하는것을고려하고 VM 콘솔사용을최소화하고기타모범사례를따릅니다. 게스트운영체제보호 불필요한기능사용안함 템플릿및스크립트로작성된관리기능사용 가상시스템콘솔사용최소화 게스트운영체제를보호하려면게스트운영체제에서최신패치를사용하고적합한경우스파이웨어방지및맬웨어방지애플리케이션을사용합니다. 게스트운영체제벤더의설명서그리고책이나인터넷에서제공되는해당운영체제관련기타정보를참조하십시오. 잠재적공격지점을최소화하기위해불필요한기능이사용하지않도록설정되었는지확인합니다. 드물게사용되는기능의대부분은기본적으로사용하지않도록설정되어있습니다. 불필요한하드웨어를제거하고 HGFS(Host-Guest Filesystem) 또는 VM 과원격콘솔간에복사하여붙여넣기와같은특정기능을사용하지않도록설정합니다. 가상시스템내의불필요한기능사용안함, (224 페이지 ) 의내용을참조하십시오. VM 템플릿을사용하면요구사항을충족하도록운영체제를설정하고동일한설정으로다른 VM 을생성할수있습니다. 초기배포후 VM 설정을변경하려면 PowerCLI 와같은스크립트사용을고려합니다. 이설명서에서는 GUI 를사용하여작업을수행하는방법을설명합니다. 환경의일관성을유지하기위해 GUI 대신스크립트를사용하는것이좋습니다. 대규모환경에서는스크립팅을최적화하기위해 VM 을폴더로그룹화할수있습니다. 템플릿에대한자세한내용은 템플릿을사용하여가상시스템배포, (223 페이지 ) 및 vsphere 가상시스템관리항목을참조하십시오. PowerCLI 에대한자세한내용은 VMware PowerCLI 설명서를참조하십시오. 가상시스템콘솔은물리적서버의모니터가제공하는 VM 에동일한기능을제공합니다. 가상시스템콘솔에대한액세스권한이있는사용자는 VM 전원관리및이동식디바이스연결제어에대한액세스권한이있습니다. 따라서가상시스템콘솔액세스로인해 VM 이악의적인공격을받을수있습니다. UEFI 보안부팅고려 vsphere 6.5 부터 UEFI 부팅을사용하도록 VM 을구성할수있습니다. 운영체제에서 UEFI 보안부팅을지원하는경우추가적인보안을위해 VM 에대해해당옵션을선택할수있습니다. GUID-898217D4-689D-4EB5-866C-888353FE241C#GUID-898 217D4-689D-4EB5-866C-888353FE241C 의내용을참조하십시오. 14 VMware, Inc.

1 장 vsphere 환경의보안 가상네트워킹계층보호 가상네트워킹계층에는가상네트워크어댑터, 가상스위치, 분산가상스위치, 포트및포트그룹이포함됩니다. ESXi 는가상시스템과가상시스템사용자간의통신을지원하기위해가상네트워킹계층에의존합니다. ESXi 역시 iscsi SAN, NAS 스토리지등과통신하기위해가상네트워킹계층을사용합니다. vsphere 에는보안네트워킹인프라에필요한전체기능어레이가포함됩니다. 가상스위치, 분산가상스위치, 가상네트워크어댑터등과같은각인프라요소를별도로보호할수있습니다. 또한 8 장, vsphere 네트워킹보호, (231 페이지 ) 에서보다자세하게논의된다음지침을고려하십시오. 네트워크트래픽분리 방화벽을사용하여가상네트워크요소보호 네트워크보안정책고려 가상시스템네트워킹보호 환경보호에 VLAN 고려 가상화된스토리지에대한연결보호 네트워크트래픽분리는 ESXi 환경보호에필수적입니다. 필요한액세스및분리수준은네트워크마다다릅니다. 관리네트워크에서는클라이언트트래픽, CLI( 명령줄인터페이스 ) 또는 API 트래픽, 타사소프트웨어트래픽을일반적인트래픽에서분리합니다. 이네트워크에는시스템관리자, 네트워크관리자및보안관리자만액세스할수있어야합니다. ESXi 네트워킹보안권장사항, (162 페이지 ) 를참조하십시오. 방화벽포트를열고닫는것은물론가상네트워크에서각요소를별도로보호할수있습니다. 방화벽규칙은서비스를해당방화벽과연결하며서비스의상태에따라 ESXi 방화벽을열고닫을수있습니다. ESXi 방화벽구성, (176 페이지 ) 를참조하십시오. 네트워킹보안정책은 MAC 주소가장행위및원치않는포트검색으로부터트래픽을보호합니다. 표준스위치또는 Distributed Switch 의보안정책은네트워크프로토콜스택의계층 2( 데이터링크계층 ) 에서구현됩니다. 보안정책의세가지요소는비규칙 (promiscuous) 모드, MAC 주소변경및위조전송입니다. 지침은 vsphere 네트워킹설명서를참조하십시오. 가상시스템네트워크를보호하기위해사용하는방법은설치되어있는게스트운영체제의종류, 가상시스템이신뢰할수있는환경에서작동하는지여부등을비롯한다양한요소에따라달라집니다. 가상스위치및분산가상스위치는방화벽설치와같은다른공통적인보안모범사례와함께사용할경우상당한수준의보호를제공합니다. 8 장, vsphere 네트워킹보호, (231 페이지 ) 를참조하십시오. ESXi 는 IEEE 802.1q VLAN 을지원하며이를통해가상시스템네트워크나스토리지구성을추가적으로보호할수있습니다. VLAN 을사용하면물리적네트워크를세그먼트로나눠동일한물리적네트워크에있는두시스템이동일한 VLAN 에속하지않는한서로패킷을주고받지못하게만들수있습니다. VLAN 으로가상시스템보호, (239 페이지 ) 를참조하십시오. 가상시스템은운영체제파일, 프로그램파일및기타데이터를가상디스크에저장합니다. 각가상디스크는가상시스템에 SCSI 컨트롤러에연결된 SCSI 드라이브로표시됩니다. 가상시스템은스토리지세부정보와분리되었으며가상디스크가상주하는 LUN 에대한정보에액세스할수없습니다. VMFS( 가상시스템파일시스템 ) 는가상볼륨을 ESXi 호스트에제공하는분산파일시스템및볼륨관리자입니다. 사용자는스토리지에대한연결을보호할책임이있습니다. 예를들어 iscsi 스토리지를사용중인경우 CHAP 를사용하도록환경을설정하고회사정책에따라필요한경우에는 vsphere Web Client 또는 CLI 를사용하여상호 CHAP 를사용하도록환경을설정할수있습니다. VMware, Inc. 15

스토리지보안모범사례, (254 페이지 ) 를참조하십시오. IPSec 의사용평가 ESXi 는 IPv6 을통한 IPSec 을지원합니다. IPv4 를통한 IPSec 은사용할수없습니다. 인터넷프로토콜보안, (244 페이지 ) 를참조하십시오. 또한 VMware NSX for vsphere 가환경의네트워킹계층보호에적합한솔루션인지평가합니다. vsphere 환경의암호 vsphere 환경의암호제한, 잠금및만료는사용자의대상시스템이무엇인지, 사용자가누구인지, 정책이어떻게설정되었는지에따라달라집니다. ESXi 암호 ESXi 암호제한은 Linux PAM 모듈 pam_passwdqc 에의해결정됩니다. ESXi 암호및계정잠금, (160 페이지 ) 를참조하십시오. vcenter Server 및기타 vcenter 서비스에대한암호 vcenter Single Sign-On 은 vcenter Server 및기타 vcenter 서비스에로그인하는모든사용자의인증을관리합니다. 암호제한, 잠금및만료는사용자의도메인과사용자가누구인지에따라달라집니다. administrator@vsph ere.local administrator@vsphere.local 사용자의암호또는설치중다른도메인을선택한경우 administrator@mydomain 사용자의암호는만료되지않으며잠금정책의적용을받지않습니다. 다른모든사용자의암호는 vcenter Single Sign-On 암호정책에설정된제한을따라야합니다. vcenter Single Sign-On 암호정책편집, (51 페이지 ) 를참조하십시오. 이사용자의암호를잊은경우 VMware 기술자료시스템에서암호재설정에대한정보를찾아보십시오. 다른 vsphere.local 사용자 기타사용자 다른 vsphere.local 사용자또는설치중지정한로컬도메인의사용자에대한암호는 vcenter Single Sign-On 암호정책및잠금정책에의해설정된제한을따라야합니다. vcenter Single Sign-On 암호정책편집, (51 페이지 ) 및 vcenter Single Sign-On 잠금정책편집, (52 페이지 ) 항목을참조하십시오. 이러한암호는기본적으로 90 일후에만료되지만관리자가암호정책의일부로만료날짜를변경할수있습니다. 사용자가자신의 vsphere.local 암호를잊은경우관리자가 dir-cli 명령을사용하여암호를재설정할수있습니다. 다른모든사용자의암호제한, 잠금및만료는사용자가인증할수있는도메인 (ID 소스 ) 에의해결정됩니다. vcenter Single Sign-On 은하나의기본 ID 소스를지원하며사용자는자신의사용자이름만으로 vsphere Client 에로그인할수있습니다. 암호매개변수는도메인에의해결정됩니다. 사용자가기본값이아닌도메인의사용자로로그인하려는경우에는도메인이름을포함할수있습니다. 즉, user@domain 또는 domain\user 를지정합니다. 도메인암호매개변수는이경우에도적용됩니다. vcenter Server Appliance Direct Console User Interface 사용자의암호 vcenter Server Appliance 는 Linux 에서 vcenter Server 및관련서비스를실행하도록최적화된사전구성 Linux 기반가상시스템입니다. 16 VMware, Inc.

1 장 vsphere 환경의보안 vcenter Server Appliance 를배포할때장치 Linux 운영체제의루트사용자에대한암호와 administrator@vsphere.local 사용자에대한암호를지정합니다. Direct Console User Interface 에서루트사용자암호를변경하고기타 vcenter Server Appliance 로컬사용자관리작업을수행할수있습니다. vcenter Server Appliance 구성를참조하십시오. 보안모범사례및리소스 모범사례를따르는경우 ESXi 및 vcenter Server 가가상화를포함하지않는환경과동일하게또는그이상으로안전할수있습니다. 이설명서에는 vsphere 인프라의다양한구성요소에대한모범사례가포함되어있습니다. 표 1 1. 보안모범사례 vsphere 구성요소 리소스 ESXi 호스트 ESXi 보안모범사례, (200 페이지 ) vcenter Server 시스템 vcenter Server 보안모범사례, (213 페이지 ) 가상시스템 가상시스템보안모범사례, (222 페이지 ) vsphere 네트워킹 vsphere 네트워킹보안모범사례, (248 페이지 ) 이설명서는보안환경을보장하는데필요한소스중하나일뿐입니다. 보안경고및다운로드를포함한 VMware 보안리소스를웹에서사용할수있습니다. 표 1 2. 웹의 VMware 보안리소스 주제 VMware 보안정책, 최신보안경고, 보안다운로드및보안관련집중토론 기업보안대응정책 타사소프트웨어지원정책 규정준수및보안표준, 파트너솔루션및가상화와규정준수에대한심층적인관련자료 다양한버전의 vsphere 구성요소에대한 CCEVS, FIPS 등의보안인증및검증관련정보 다양한버전의 vsphere 및기타 VMware 제품에대한강화가이드 VMware vsphere Hypervisor 의보안백서 리소스 http://www.vmware.com/go/security http://www.vmware.com/support/policies/security_resp onse.html VMware 는고객이안전한환경을유지할수있도록최선을다하고있습니다. 보안문제를적시에해결합니다. VMware 보안대응정책에는제품에서발생할수있는취약점을해결하기위해최선을다한다는약속이명시되어있습니다. http://www.vmware.com/support/policies/ VMware 는다양한스토리지시스템을지원하며백업에이전트와시스템관리에이전트같은소프트웨어에이전트를지원합니다. http://www.vmware.com/vmtn/resources/ 에서 ESXi 호환성가이드를검색하여 ESXi 를지원하는에이전트, 도구및기타소프트웨어목록을찾을수있습니다. 업계에서는 VMware 가테스트할수있는것보다훨씬많은제품과구성을제공합니다. VMware 의호환성가이드에없는제품이나구성인경우기술지원에서문제해결에도움을줄수있지만제품이나구성을사용할수있다는보장을할수는없습니다. 지원되지않는제품이나구성에대해서는항상보안위험을주의하여평가하십시오. http://www.vmware.com/go/compliance https://www.vmware.com/support/supportresources/certifications.html https://www.vmware.com/support/supportresources/hardening-guides.html http://www.vmware.com/files/pdf/techpaper/vmw-wpsecrty-vsphr-hyprvsr-uslet-101.pdf VMware, Inc. 17

18 VMware, Inc.

vcenter Single Sign-On 으로 2 vsphere 인증 vcenter Single Sign-On 은인증브로커이자보안토큰교환인프라입니다. 사용자또는솔루션사용자가 vcenter Single Sign-On 에인증할수있는경우해당사용자는 SAML 토큰을받습니다. 앞으로해당사용자는 SAML 토큰을사용하여 vcenter 서비스에인증할수있습니다. 그런다음사용자는사용자가권한을가진작업을수행할수있습니다. 트래픽이모든통신에대해암호화되고인증된사용자만권한을가진작업을수행할수있기때문에환경이보호됩니다. vsphere 6.0 부터 vcenter Single Sign-On 은 Platform Services Controller 의일부입니다. Platform Services Controller 에는 vcenter Server 및 vcenter Server 구성요소를지원하는공유서비스가포함되어있습니다. 이러한서비스에는 vcenter Single Sign-On, VMware Certificate Authority, 라이센스서비스및 Lookup Service 가포함됩니다. Platform Services Controller 에대한자세한내용은 vsphere 설치및설정항목을참조하십시오. 처음핸드셰이크의경우사용자는사용자이름및암호로인증하고솔루션사용자는인증서로인증합니다. 솔루션사용자인증서바꾸기에대한자세한내용은 3 장, vsphere 보안인증서, (65 페이지 ) 를참조하십시오. 사용자가 vcenter Single Sign-On 으로인증한후에는해당사용자에게특정작업을수행하도록권한을부여할수있습니다. 대부분의경우 vcenter Server 권한을할당하지만 vsphere 에는다른사용권한모델이들어있습니다. vsphere 의권한부여이해, (140 페이지 ) 의내용을참조하십시오. 참고 Active Directory 사용자가 SSPI와함께 vsphere Client를사용하여 vcenter Server 인스턴스에로그인할수있게하려면 vcenter Server 인스턴스를 Active Directory 도메인에가입시켜야합니다. 외부 Platform Services Controller가있는 vcenter Server Appliance를 Active Directory 도메인에가입시키는방법에대한자세한내용은 VMware 기술자료문서 (http://kb.vmware.com/kb/2118543) 를참조하십시오. 이장에서는다음주제에대해설명합니다. vcenter Single Sign-On 이해, (20 페이지 ) vcenter Single Sign-On ID 소스구성, (29 페이지 ) vcenter Server 이중인증, (36 페이지 ) vcenter Single Sign-On 을다른서비스제공자의 ID 제공자로사용, (45 페이지 ) STS(Security Token Service), (47 페이지 ) vcenter Single Sign-On 정책관리, (51 페이지 ) vcenter Single Sign-On 사용자및그룹관리, (54 페이지 ) vcenter Single Sign-On 보안모범사례, (59 페이지 ) vcenter Single Sign-On 문제해결, (60 페이지 ) VMware, Inc. 19

vcenter Single Sign-On 이해 vcenter Single Sign-On 을효율적으로관리하려면기본아키텍처와이아키텍처가설치및업그레이드에미치는영향을이해해야합니다. vcenter Single Sign-On 6.0 도메인및사이트 (http://link.brightcove.com/services/player/bcpid2296383276001? bctid=ref:video_sso_6_domains_sites) vcenter Single Sign-On 으로환경을보호하는방법 vcenter Single Sign-On 을사용하면사용자가각 vsphere 구성요소를별도로인증하는대신안전한토큰메커니즘을통해 vsphere 구성요소가서로통신할수있습니다. vcenter Single Sign-On 은 STS(Security Token Service), 보안트래픽용 SSL, Active Directory 또는 OpenLDAP 를통한인간사용자인증및인증서를통한솔루션사용자인증을조합하여사용합니다. 인간사용자를위한 vcenter Single Sign-On 핸드셰이크 다음그림에서는인간사용자를위한핸드셰이크를보여줍니다. 그림 2 1. 인간사용자를위한 vcenter Single Sign-On 핸드셰이크 vsphere Web Client 2 1 3 4 vcenter Single Sign-On Kerberos CA VMware 디렉토리서비스 5 6 vcenter Server 1 사용자가 vcenter Server 시스템이나다른 vcenter 서비스에액세스하기위해사용자이름과암호로 vsphere Web Client 에로그인합니다. 또한사용자는 Windows 세션인증사용확인란을선택하여암호없이로그인할수도있습니다. 2 vsphere Web Client 는로그인정보를 vcenter Single Sign-On 서비스로전달하며, 이서비스는 vsphere Web Client 의 SAML 토큰을확인합니다. vsphere Web Client 의토큰이유효한경우 vcenter Single Sign-On 은사용자가구성된 ID 소스 ( 예 : Active Directory) 에속해있는지확인합니다. 사용자이름만사용하는경우 vcenter Single Sign-On 은기본도메인에서확인합니다. 도메인이름이사용자이름과함께포함되어있는경우 (DOMAIN\user1 또는 user1@domain), vcenter Single Sign-On 은해당도메인을확인합니다. 3 사용자가 ID 소스에인증할수있는경우 vcenter Single Sign-On 은사용자를나타내는토큰을 vsphere Web Client 에반환합니다. 4 vsphere Web Client 는토큰을 vcenter Server 시스템으로전달합니다. 20 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 5 vcenter Server 는 vcenter Single Sign-On Server 에토큰이유효하며만료되지않았는지확인합니다. 6 vcenter Single Sign-On 서버는사용자액세스를허용하기위한 vcenter Server 인증프레임워크를활용하여토큰을 vcenter Server 시스템에반환합니다. 사용자는이제인증할수있으며해당사용자역할에권한이있는모든개체를보고수정할수있습니다. 참고처음에는각사용자에게권한없음역할이할당됩니다. 사용자가로그인하려면 vcenter Server 관리자가해당사용자에게최소한읽기전용역할을할당해야합니다. 인벤토리개체에사용권한추가, (146 페이지 ) 항목을참조하십시오. 솔루션사용자를위한 vcenter Single Sign-On 핸드셰이크 솔루션사용자는 vcenter Server 인프라에서사용되는서비스집합 ( 예 : vcenter Server 또는 vcenter Server 확장 ) 입니다. VMware 확장및잠재적타사확장도 vcenter Single Sign-On 에인증될수있습니다. 그림 2 2. 솔루션사용자를위한 vcenter Single Sign-On 핸드셰이크 솔루션사용자 3 1 vcenter Single Sign-On Kerberos 4 CA 2 vcenter Server VMware 디렉토리서비스 솔루션사용자의경우상호작용이다음과같이진행됩니다. 1 솔루션사용자가 vcenter 서비스에연결하려고합니다. 2 솔루션사용자가 vcenter Single Sign-On 으로리디렉션됩니다. 솔루션사용자가 vcenter Single Sign-On 을처음사용하는경우유효한인증서를제공해야합니다. 3 인증서가유효한경우 vcenter Single Sign-On 이 SAML 토큰 ( 보유자토큰 ) 을솔루션사용자에게할당합니다. 토큰은 vcenter Single Sign-On 에의해서명됩니다. 4 그런다음솔루션사용자가 vcenter Single Sign-On 으로리디렉션되고해당사용권한을기반으로작업을수행할수있습니다. 5 다음에솔루션사용자가인증해야할때 SAML 토큰을사용하여 vcenter Server 에로그인할수있습니다. 기본적으로이핸드셰이크는자동입니다. 왜냐하면 VMCA 가시작중인증서를사용하여솔루션사용자를프로비저닝하기때문입니다. 회사정책에따라타사 CA 서명된인증서가필요한경우솔루션사용자인증서를타사 CA 서명된인증서로교체할수있습니다. 이러한인증서가유효한경우 vcenter Single Sign-On 이 SAML 토큰을솔루션사용자에게할당합니다. vsphere 와함께타사인증서사용, (117 페이지 ) 를참조하십시오. VMware, Inc. 21

vcenter Single Sign-On 구성요소 vcenter Single Sign-On 에는 STS(Security Token Service), 관리서버및 vcenter Lookup Service 와 VMware 디렉토리서비스 (vmdir) 가포함되어있습니다. VMware 디렉토리서비스도인증서관리에사용됩니다. 설치중구성요소가내장된배포의일부로배포되거나 Platform Services Controller 의일부로배포됩니다. STS(Security Token Service) 관리서버 VMware Directory Service(vmdir) STS 서비스는 SAML(Security Assertion Markup Language) 토큰을발급합니다. 이러한보안토큰은 vcenter Single Sign-On 에서지원하는 ID 소스유형중하나로사용자의 ID 를나타냅니다. SAML 토큰을사용하면 vcenter Single Sign-On 에성공적으로인증하는인간사용자및솔루션사용자모두가각서비스에다시인증하지않고도 vcenter Single Sign-On 이지원하는모든 vcenter 서비스를사용할수있습니다. vcenter Single Sign-On 서비스는서명인증서를사용하여모든토큰을서명하고, 토큰서명인증서를디스크에저장합니다. 서비스자체의인증서도디스크에저장됩니다. 관리서버에서는 vcenter Single Sign-On 에대한관리자권한이있는사용자가 vcenter Single Sign-On 서버를구성하고 vsphere Web Client 에서사용자및그룹을관리할수있습니다. 처음에는 administrator@your_domain_name 사용자만이권한을가지고있습니다. vsphere 5.5 에서이사용자는 administrator@vsphere.local 이었습니다. vsphere 6.0 에서는새 Platform Services Controller 와함께 vcenter Server 를설치하거나 vcenter Server Appliance 를배포할때 vsphere 도메인을변경할수있습니다. 도메인이름을 Microsoft Active Directory 또는 OpenLDAP 도메인이름으로명명하지마십시오. VMware Directory Service(vmdir) 는설치중에지정하는도메인에연결되며각내장된배포와각 Platform Services Controller 에포함됩니다. 이서비스는포트 389 에서 LDAP 디렉토리를사용할수있도록하는다중테넌트, 다중마스터디렉토리서비스입니다. 이서비스는 vsphere 5.5 이하버전과의호환성을위해포트 11711 을계속사용합니다. 환경에여러개의 Platform Services Controller 인스턴스가포함되어있으면한 vmdir 인스턴스의 vmdir 컨텐츠업데이트가다른모든 vmdir 인스턴스에전파됩니다. vsphere 6.0 부터 VMware Directory Service 는 vcenter Single Sign-On 정보뿐만아니라인증서정보도저장합니다. ID 관리서비스 ID 소스및 STS 인증요청을처리합니다. vcenter Single Sign-On 이설치에미치는영향 vsphere 버전 5.1 부터는 vcenter Single Sign-On 서비스가 vcenter Server 관리인프라의일부로포함됩니다. 이러한변경은 vcenter Server 설치에영향을줍니다. vcenter Single Sign-On 을사용한인증은 vsphere 의보안을강화합니다. 왜냐하면 vsphere 소프트웨어구성요소가보안토큰교환메커니즘을사용하여서로간에통신하고다른모든사용자도 vcenter Single Sign-On 을사용하여인증하기때문입니다. 22 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 vsphere 6.0 부터는 vcenter Single Sign-On 이내장된배포에포함되거나 Platform Services Controller 의일부로포함됩니다. Platform Services Controller 에는 vcenter Single Sign-On, VMware Certificate Authority, VMware Lookup Service 및라이센싱서비스를포함한 vsphere 구성요소간의통신에필요한모든서비스가포함됩니다. 설치순서가중요합니다. 첫번째설치 이후설치 설치가분산된경우 Platform Services Controller 를설치한후 vcenter Server 를설치하거나 vcenter Server Appliance 를배포해야합니다. 내장된배포의경우자동으로올바른순서의설치가수행됩니다. 하나의 Platform Services Controller 가대략최대 4 개의 vcenter Server 인스턴스로구성된전체 vsphere 환경을지원할수있습니다. 새 vcenter Server 인스턴스를동일한 Platform Services Controller 에연결할수있습니다. vcenter Server 인스턴스가약 4 개를초과하는경우성능향상을위해추가 Platform Services Controller 를설치할수있습니다. 각 Platform Services Controller 의 vcenter Single Sign-On 서비스는인증데이터를다른모든인스턴스와동기화합니다. 정확한수는사용중인 vcenter Server 인스턴스의양과기타요소에따라다릅니다. vcenter Single Sign-On 이업그레이드에미치는영향 단순설치환경을 vcenter Server 6 내장된배포로업그레이드하는경우원활한업그레이드가진행됩니다. 사용자지정설치를업그레이드하는경우업그레이드후 vcenter Single Sign-On 서비스는 Platform Services Controller 의일부입니다. 업그레이드후 vcenter Server 에로그인할수있는사용자는업그레이드이전버전과배포구성에따라다릅니다. 업그레이드도중 vsphere.local 대신사용될다른 vcenter Single Sign-On 도메인이름을정의할수있습니다. 업그레이드경로 업그레이드의결과는선택한설치옵션및업그레이드할대상배포모델에따라달라집니다. 표 2 1. 업그레이드경로 소스 vsphere 5.5 이전단순설치 vsphere 5.5 이전사용자지정설치 결과 내장된 Platform Services Controller 가있는 vcenter Server vcenter Single Sign-On 이 vcenter Server 와다른노드에있는경우에는외부 Platform Services Controller 가있는환경이만들어집니다. vcenter Single Sign-On 이 vcenter Server 와같은노드에있지만기타서비스는다른노드에있는경우, 내장된 Platform Services Controller 가있는환경이만들어집니다. 사용자지정설치에여러개의복제 vcenter Single Sign-On 서버가포함된경우여러개의 Platform Services Controller 인스턴스가있는환경이만들어집니다. 단순설치업그레이드후로그인가능한사용자 단순설치옵션을사용하여프로비저닝한환경을업그레이드하는경우에는항상내장된 Platform Services Controller 가있는설치환경이만들어집니다. 로그인할수있도록인증되는사용자는소스환경에 vcenter Single Sign-On 이포함되는지에따라다릅니다. VMware, Inc. 23

표 2 2. 단순설치환경업그레이드후로그인권한 소스버전로그인액세스권한을부여할대상참고 vsphere 5.0 vsphere 5.1 vsphere 5.5 로컬운영체제사용자 administrator@vsphere.local 로컬운영체제사용자 administrator@vsphere.local Admin@SystemDomain administrator@vsphere.local 또는업그레이드도중지정한도메인의관리자 모든 ID 소스의모든사용자가이전처럼로그인할수있습니다. 사용자저장소가변경되므로설치도중 vsphere 인벤토리계층루트폴더의관리자를묻는메시지가나타날수있습니다. 이전설치환경에서 Active Directory 사용자를지원한경우 Active Directory 도메인을 ID 소스로추가할수있습니다. vsphere 5.5 부터는 vcenter Single Sign-On 이하나의기본 ID 소스만지원합니다. 기본 ID 소스를설정할수있습니다. 기본값이아닌도메인에있는사용자는로그인할때도메인을지정할수있습니다 (DOMAIN\user 또는 user@domain). vcenter Single Sign-On 이포함되지않은 vsphere 5.0 에서 vcenter Single Sign-On 이포함된버전으로업그레이드하는경우로컬운영체제사용자는 Active Directory 와같은디렉토리서비스의사용자보다중요성이훨씬낮아집니다. 따라서로컬운영체제사용자를인증된사용자로계속유지하는것이항상가능하지도않을뿐아니라경우에따라서는바람직하지도않습니다. 사용자지정설치업그레이드후로그인가능한사용자 사용자지정설치옵션을사용하여프로비저닝한환경을업그레이드하는경우의결과는초기선택에따라달라집니다. vcenter Single Sign-On 이 vcenter Server 시스템과같은노드에있는경우에는내장된 Platform Services Controller 가있는설치환경이만들어집니다. vcenter Single Sign-On 이 vcenter Server 시스템과다른노드에있는경우에는외부 Platform Services Controller 가있는설치환경이만들어집니다. vsphere 5.0 에서업그레이드하는경우업그레이드도중외부또는내장된 Platform Services Controller 를선택할수있습니다. 업그레이드후의로그인권한은몇가지요소에따라달라집니다. 24 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 표 2 3. 사용자지정설치환경업그레이드후로그인권한 소스버전로그인액세스권한을부여할대상참고 vsphere 5.0 vsphere 5.1 또는 vsphere 5.5 vcenter Single Sign-On 은 Platform Services Controller 가설치된시스템의로컬운영체제사용자를인식하지만 vcenter Server 가설치된시스템의경우는인식하지않습니다. 참고특히페더레이션된환경에서는로컬운영체제사용자를관리에사용하는것을권장하지않습니다. administrator@vsphere.local 은 vcenter Single Sign-On 및각 vcenter Server 인스턴스에관리자로로그인할수있습니다. vcenter Single Sign-On 은 Platform Services Controller 가설치된시스템의로컬운영체제사용자를인식하지만 vcenter Server 가설치된시스템의경우는인식하지않습니다. 참고특히페더레이션된환경에서는로컬운영체제사용자를관리에사용하는것을권장하지않습니다. administrator@vsphere.local 은 vcenter Single Sign-On 및각 vcenter Server 인스턴스에관리자로로그인할수있습니다. vsphere 5.1 에서업그레이드하는경우 Admin@SystemDomain 은 administrator@vsphere.local 과동일한권한을가집니다. 5.0 설치가 Active Directory 사용자를지원하는경우업그레이드후에는해당사용자가더이상액세스권한을갖지않습니다. Active Directory 도메인을 ID 소스로추가할수있습니다. vsphere 5.5 부터는 vcenter Single Sign-On 이하나의기본 ID 소스만지원합니다. 기본 ID 소스를설정할수있습니다. 기본값이아닌도메인에있는사용자는로그인할때도메인을지정할수있습니다 (DOMAIN\user 또는 user@domain). vsphere 와함께 vcenter Single Sign-On 사용 사용자가 vsphere 구성요소에로그인하거나 vcenter Server 솔루션사용자가다른 vcenter Server 서비스에액세스하면 vcenter Single Sign-On 이인증을수행합니다. 사용자는 vcenter Single Sign-On 에인증되어야하며 vsphere 개체와상호작용하는데필요한권한을갖고있어야합니다. vcenter Single Sign-On 은솔루션사용자와기타사용자를모두인증합니다. 솔루션사용자는 vsphere 환경에서서비스집합을나타냅니다. 설치할때 VMCA 는기본적으로각솔루션사용자에게인증서를할당합니다. 솔루션사용자는이인증서를사용하여 vcenter Single Sign-On 에인증합니다. vcenter Single Sign-On 은솔루션사용자에게 SAML 토큰을제공하며, 그러면솔루션사용자는환경의다른서비스와상호작용할수있습니다. 다른사용자가환경에로그인하면 ( 예를들어 vsphere Web Client 에서 ), vcenter Single Sign-On 에서사용자이름과암호를묻습니다. vcenter Single Sign-On 이해당 ID 소스에서해당자격증명을가진사용자를찾으면사용자에게 SAML 토큰을할당합니다. 이제사용자는다시인증과정을거치지않은채환경의다른서비스에액세스할수있습니다. 사용자가어떤개체를볼수있고어떤작업을수행할수있는지는일반적으로 vcenter Server 사용권한설정에따라결정됩니다. vcenter Server 관리자는 vcenter Single Sign-On 을통해서가아니라 vsphere Web Client 의관리 > 사용권한인터페이스에서이러한사용권한을할당합니다. 4 장, vsphere 사용권한및사용자관리작업, (139 페이지 ) 의내용을참조하십시오. VMware, Inc. 25

vcenter Single Sign-On 및 vcenter Server 사용자 vsphere Web Client 를사용하는경우사용자는 vsphere Web Client 로그인페이지에자격증명을입력하여 vcenter Single Sign-On 에대한인증을받습니다. vcenter Server 에연결한후, 인증된사용자는역할에따라권한이부여된모든 vcenter Server 인스턴스또는 vsphere 개체를볼수있습니다. 추가인증이필요하지않습니다. 4 장, vsphere 사용권한및사용자관리작업, (139 페이지 ) 의내용을참조하십시오. 설치가완료되면 administrator@vsphere.local 사용자는 vcenter Single Sign-On 과 vcenter Server 모두에관리자권한으로액세스할수있습니다. 그런다음 ID 소스를추가하고, 기본 ID 소스를설정하고, vcenter Single Sign-On 도메인 (vsphere.local) 의사용자및그룹을관리할수있습니다. vcenter Single Sign-On 에인증할수있는모든사용자는암호를알고있기만하면암호가만료되더라도자신의암호를재설정할수있습니다. vcenter Single Sign-On 암호변경, (59 페이지 ) 의내용을참조하십시오. 더이상암호가없는사용자의암호는 vcenter Single Sign-On 관리자만재설정할수있습니다. vcenter Single Sign-On 관리자 vcenter Single Sign-On 관리인터페이스는 vsphere Web Client 에서액세스할수있습니다. vcenter Single Sign-On 을구성하고 vcenter Single Sign-On 사용자및그룹을관리하려면 administrator@vsphere.local 사용자나 vcenter Single Sign-On 관리자그룹의사용자가 vsphere Web Client 에로그인해야합니다. 이러한사용자는인증후 vsphere Web Client 에서 vcenter Single Sign-On 관리인터페이스에액세스하여 ID 소스및기본도메인을관리하고, 암호정책을지정하고, 그밖의관리작업을수행할수있습니다. vcenter Single Sign-On ID 소스구성, (29 페이지 ) 의내용을참조하십시오. 참고 administrator@vsphere.local 사용자의이름을바꿀수는없습니다. 보안을강화하려면 vsphere.local 도메인에이름지정된사용자를추가로생성하고이러한사용자에게관리권한을할당하는것이좋습니다. 그러면 administrator@vsphere.local의사용을중지할수있습니다. 다양한 vsphere 버전에서의인증 사용자가 5.0.x 이전버전의 vcenter Server 시스템에연결하는경우 vcenter Server 는 Active Directory 도메인이나로컬운영체제사용자목록을기준으로사용자를검증하여인증합니다. vcenter Server 5.1 이상에서는 vcenter Single Sign-On 을통해사용자가인증됩니다. 참고 vsphere Web Client를사용하여 vcenter Server 5.0 이전버전을관리할수는없으므로 vcenter Server를버전 5.1 이상으로업그레이드하십시오. ESXi 사용자 ESXi 는 vcenter Single Sign-On 과통합되어있지않으므로 ESXi 호스트를 Active Directory 도메인에명시적으로추가해야합니다. Active Directory 를사용하도록호스트구성, (193 페이지 ) 의내용을참조하십시오. 여전히 vsphere Client, vcli 또는 PowerCLI 를사용하여로컬 ESXi 사용자를생성할수있습니다. vcenter Server 는 ESXi 의로컬사용자를인식하지못하고 ESXi 는 vcenter Server 사용자를인식하지못합니다. 참고가능하면 vcenter Server 를통해 ESXi 호스트에대한사용권한을관리하십시오. 26 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 vcenter Server 구성요소에로그인하는방법 사용자가 vsphere Web Client 에서 vcenter Server 시스템에로그인할때로그인동작은해당사용자가기본도메인 ( 기본 ID 소스로설정된도메인 ) 에있는지여부에따라달라집니다. 기본도메인에있는사용자는자신의사용자이름과암호로로그인할수있습니다. vcenter Single Sign-On 에 ID 소스로추가되었지만기본도메인은아닌도메인에있는사용자는 vcenter Server 에로그인할수는있지만다음방법중하나로도메인을지정해야합니다. 도메인이름접두사포함 ( 예 : MYDOMAIN\user1) 도메인포함 ( 예 : user1@mydomain.com) vcenter Single Sign-On ID 소스가아닌도메인에있는사용자는 vcenter Server 에로그인할수없습니다. vcenter Single Sign-On 에추가하는도메인이도메인계층의일부이면 Active Directory 에서는해당계층에있는다른도메인의사용자가인증되었는지여부를확인합니다. 참고환경에 Active Directory 계층이포함된경우 VMware 기술자료문서 2064250에서지원되는설정과지원되지않는설정에대한자세한내용을참조하십시오. vsphere.local 도메인의그룹 vsphere.local 도메인에는사전정의된여러그룹이포함되어있습니다. 해당작업을수행할수있는그룹중하나에사용자를할당합니다. vcenter Server 계층의모든개체의경우사용자및역할을개체와쌍으로연결함으로써사용권한을할당합니다. 예를들어리소스풀을선택하고사용자그룹에해당하는역할을제공하여리소스풀에대한읽기권한을제공할수있습니다. vcenter Server 에서직접관리되지않는일부서비스의경우 vcenter Single Sign-On 그룹중하나에대한멤버자격에의해권한이결정됩니다. 예를들어관리자그룹의멤버인사용자는 vcenter Single Sign-On 을관리할수있습니다. CAAdmins 그룹의멤버인사용자는 VMware Certificate Authority 를관리할수있으며 LicenseService.Administrators 그룹에있는사용자는라이센스를관리할수있습니다. 다음그룹은 vsphere.local 에서사전정의됩니다. 참고이들중많은그룹이 vsphere.local 내부에서사용되거나사용자에게상위수준의관리권한을제공합니다. 위험에대해신중하게고려한후에만이러한그룹에사용자를추가하십시오. 참고 vsphere.local 도메인에서미리정의된그룹중어느것도삭제하지마십시오. 그렇게할경우인증또는인증서프로비저닝관련오류가발생할수있습니다. 표 2 4. vsphere.local 도메인의그룹 권한 설명 사용자 vsphere.local 도메인의사용자입니다. SolutionUsers CAAdmins DCAdmins vcenter Services 를구성하는솔루션사용자입니다. 각솔루션사용자는인증서를사용하여개별적으로 vcenter Single Sign-On 에인증합니다. 기본적으로 VMCA 는인증서로솔루션사용자를프로비저닝합니다. 이그룹에멤버를명시적으로추가하지마십시오. CAAdmins 그룹의멤버는 VMCA 의관리자권한이있습니다. 이그룹에멤버를추가하는것은일반적으로권장되지않습니다. DCAdmins 그룹의멤버는 VMware 디렉토리서비스에서도메인컨트롤러관리자작업을수행할수있습니다. 참고도메인컨트롤러를직접관리하지마십시오. 대신 vmdir CLI 또는 vsphere Web Client를사용하여해당작업을수행합니다. VMware, Inc. 27

표 2 4. vsphere.local 도메인의그룹 ( 계속 ) 권한 SystemConfiguration.BashShe lladministrators ActAsUsers ExternalIPDUsers SystemConfiguration.Administ rators DCClients ComponentManager.Administ rators LicenseService.Administrators 관리자 설명 이그룹은 vcenter Server Appliance 배포에서만사용할수있습니다. 이그룹의사용자는 BASH 셸에대한액세스를사용하거나사용하지않도록설정할수있습니다. 기본적으로 SSH 를사용하여 vcenter Server Appliance 에연결하는사용자는제한된셸의명령에만액세스할수있습니다. 이그룹의사용자는 BASH 셸에액세스할수있습니다. Act-As 사용자멤버는 vcenter Single Sign-On 에서 actas 토큰을가져올수있습니다. 이그룹은 vsphere 에서사용되지않습니다. 이그룹은 VMware vcloud Air 와함께사용해야합니다. SystemConfiguration.Administrators 그룹의멤버는 vsphere Web Client 에서시스템구성을보고관리할수있습니다. 이사용자는서비스보기, 시작및다시시작, 서비스문제해결, 사용가능한노드보기및해당노드관리를수행할수있습니다. 이그룹은 VMware 디렉토리서비스에서데이터에대한관리노드액세스를허용하기위해내부적으로사용됩니다. 참고이그룹을수정하지마십시오. 변경하면인증서인프라가손상될수있습니다. ComponentManager.Administrators 그룹의멤버는서비스를등록하거나등록취소하는구성요소관리자 API 를호출할수있습니다. 즉서비스를수정할수있습니다. 서비스에대한읽기액세스권한에는이그룹의멤버자격이필요하지않습니다. LicenseService.Administrators 의멤버는모든라이센싱관련데이터에대한전체쓰기액세스권한이있으며라이센싱서비스에등록된모든제품자산의일련번호키를추가, 제거, 할당및할당취소할수있습니다. VMware 디렉토리서비스 (vmdir) 의관리자입니다. 이그룹의멤버는 vcenter Single Sign-On 관리작업을수행할수있습니다. 이그룹에멤버를추가하는것은일반적으로권장되지않습니다. vcenter Server 암호요구사항및잠금동작 환경을관리하려면 vcenter Single Sign-On 암호정책, vcenter Server 암호및잠금동작을알아야합니다. vcenter Single Sign-On 관리자암호 administrator@vsphere.local 의암호가다음과같은요구사항을충족해야합니다. 8 자이상 소문자 1 자이상 숫자 1 자이상 특수문자 1 자이상 administrator@vsphere.local 의암호의길이가 20 자를초과할수없습니다. 표시되는 ASCII 문자만허용됩니다. 즉, 예를들어공백문자를사용할수없습니다. vcenter Server 암호 vcenter Server 에서암호요구사항은 vcenter Single Sign-On 또는구성된 ID 소스 ( 예 : Active Directory, OpenLDAP 또는 vcenter Single Sign-On Server 의로컬운영체제 ) 에의해지정됩니다 ( 권장되지않음 ). 28 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 잠금동작 사용자는미리설정된수의연속시도실패후에잠깁니다. 기본적으로사용자는 3 분동안 5 번의연속시도실패후에잠기며 5 분후에자동으로잠금이해제됩니다. 잠금정책을사용하여이러한기본값을변경할수있습니다. vcenter Single Sign-On 잠금정책편집, (52 페이지 ) 를참조하십시오. vsphere 6.0 부터시스템도메인관리자 ( 기본적으로 administrator@vsphere.local) 는잠금정책의영향을받지않습니다. 사용자는 dir-cli password change 명령을사용하여자신의암호를변경할수있습니다. 사용자가암호를잊은경우관리자가 dir-cli password reset 명령을사용하여암호를재설정할수있습니다. ESXi 로컬사용자의암호에대한자세한내용은 ESXi 암호및계정잠금, (160 페이지 ) 항목을참조하십시오. vcenter Single Sign-On ID 소스구성 사용자가로그인하면 vcenter Single Sign-On 은사용자를인증할수있는지를기본 ID 소스에서확인합니다. ID 소스를추가하고, ID 소스를제거하고, 기본값을변경할수있습니다. vcenter Single Sign-On 은 vsphere Web Client 에서구성합니다. vcenter Single Sign-On 을구성하려면 vcenter Single Sign-On 관리자권한이있어야합니다. vcenter Single Sign-On 관리자권한은 vcenter Server 또는 ESXi 의관리자역할과다릅니다. 기본적으로새설치에서 administrator@vsphere.local 사용자에게만 vcenter Single Sign-On Server 에대한관리자권한이있습니다. vcenter Single Sign-On 을사용하는 vcenter Server 에대한 ID 소스 (30 페이지 ) ID 소스를사용하여하나이상의도메인을 vcenter Single Sign-On 에연결할수있습니다. 도메인은 vcenter Single Sign-On Server 가사용자인증에사용할수있는사용자및그룹의저장소입니다. vcenter Single Sign-On 의기본도메인설정 (31 페이지 ) 각 vcenter Single Sign-On ID 소스는도메인과연결되어있습니다. vcenter Single Sign- On 은도메인이름없이로그인하는사용자를인증하는데기본도메인을사용합니다. 기본도메인이아닌도메인에속한사용자는로그인할때도메인이름을포함해야합니다. vcenter Single Sign-On ID 소스추가 (31 페이지 ) 사용자는 vcenter Single Sign-On ID 소스로추가된도메인에속해있는경우에만 vcenter Server 에로그인할수있습니다. vcenter Single Sign-On 관리자는 vsphere Web Client 에서 ID 소스를추가할수있습니다. vcenter Single Sign-On ID 소스편집 (34 페이지 ) vsphere 사용자는 ID 소스에정의되어있습니다. vcenter Single Sign-On 과연결된 ID 소스의세부정보를편집할수있습니다. vcenter Single Sign-On ID 소스제거 (35 페이지 ) vsphere 사용자는 ID 소스에정의되어있습니다. 등록된 ID 소스목록에서 ID 소스를제거할수있습니다. Windows 세션인증을사용하는 vcenter Single Sign-On 사용 (35 페이지 ) vcenter Single Sign-On 을 Windows 세션인증 (SSPI) 과함께사용할수있습니다. 로그인페이지에확인란이표시되도록하려면클라이언트통합플러그인을설치해야합니다. VMware, Inc. 29

vcenter Single Sign-On 을사용하는 vcenter Server 에대한 ID 소스 ID 소스를사용하여하나이상의도메인을 vcenter Single Sign-On 에연결할수있습니다. 도메인은 vcenter Single Sign-On Server 가사용자인증에사용할수있는사용자및그룹의저장소입니다. ID 소스는사용자및그룹데이터의모음입니다. 사용자및그룹데이터는 Active Directory, OpenLDAP 또는 vcenter Single Sign-On 이설치된시스템의운영체제로컬위치에저장됩니다. 설치후에는모든 vcenter Single Sign-On 인스턴스에 ID 소스 your_domain_name( 예 : vsphere.local) 이있습니다. 이 ID 소스는 vcenter Single Sign-On 내부에서만사용됩니다. vcenter Single Sign-On 관리자는 ID 소스를추가하고, 기본 ID 소스를설정하고, vsphere.local ID 소스에서사용자및그룹을생성할수있습니다. ID 소스유형 버전 5.1 이전의 vcenter Server 에서는사용자저장소로 Active Directory 및로컬운영체제사용자가지원되었습니다. 따라서로컬운영체제사용자가항상 vcenter Server 시스템에인증할수있었습니다. vcenter Server 버전 5.1 및버전 5.5 에서는인증에 vcenter Single Sign-On 을사용합니다. vcenter Single Sign-On 5.1 에지원되는 ID 소스목록은 vsphere 5.1 설명서를참조하십시오. vcenter Single Sign-On 5.5 에서는다음과같은유형의사용자저장소를 ID 소스로지원하지만하나의기본 ID 소스만지원합니다. Active Directory 버전 2003 이상. vsphere Web Client 에서는 Active Directory( 통합 Windows 인증 ) 로표시됩니다. vcenter Single Sign-On 에서는단일 Active Directory 도메인을 ID 소스로지정할수있습니다. 도메인은하위도메인을포함할수도있고그자체가포리스트루트도메인일수도있습니다. VMware KB 문서 2064250 에서는 vcenter Single Sign-On 에서지원되는 Microsoft Active Directory 트러스트에대해설명합니다. LDAP 를통한 Active Directory. vcenter Single Sign-On 에서는 LDAP 를통한 Active Directory ID 소스가여러개지원됩니다. 이 ID 소스유형은 vsphere 5.1 에포함된 vcenter Single Sign-On 서비스와의호환성을위해포함되며 vsphere Web Client 에 Active Directory LDAP 서버로표시됩니다. OpenLDAP 버전 2.4 이상. vcenter Single Sign-On 에서는여러 OpenLDAP ID 소스가지원됩니다. vsphere Web Client 에서는 OpenLDAP 로표시됩니다. 로컬운영체제사용자. 로컬운영체제사용자는 vcenter Single Sign-On Server 가실행중인운영체제의로컬에위치합니다. 로컬운영체제 ID 소스는기본 vcenter Single Sign-On Server 배포에만존재하며 vcenter Single Sign-On 인스턴스가여러개인배포에서는사용할수없습니다. 로컬운영체제 ID 소스는하나만허용됩니다. vsphere Web Client 에서는 localos 로표시됩니다. 참고 Platform Services Controller가 vcenter Server 시스템과다른시스템에있는경우로컬운영체제사용자를사용하지마십시오. 로컬운영체제사용자사용이내장된배포환경에적합할수있지만권장되지는않습니다. vcenter Single Sign-On 시스템사용자. vcenter Single Sign-On 을설치할때 vsphere.local 이라는시스템 ID 소스가정확히한개생성됩니다. vsphere Web Client 에서는 vsphere.local 로표시됩니다. 참고기본도메인은항상하나만존재합니다. 기본도메인이아닌도메인의사용자는로그인할때도메인이름 (DOMAIN\user) 을추가해야성공적으로인증할수있습니다. vcenter Single Sign-On ID 소스는 vcenter Single Sign-On 관리자가관리합니다. ID 소스를 vcenter Single Sign-On Server 인스턴스에추가할수있습니다. 원격 ID 소스는 Active Directory 및 OpenLDAP 서버구현으로제한됩니다. 30 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 vcenter Single Sign-On 의기본도메인설정 각 vcenter Single Sign-On ID 소스는도메인과연결되어있습니다. vcenter Single Sign-On 은도메인이름없이로그인하는사용자를인증하는데기본도메인을사용합니다. 기본도메인이아닌도메인에속한사용자는로그인할때도메인이름을포함해야합니다. 사용자가 vsphere Web Client 에서 vcenter Server 시스템에로그인할때로그인동작은해당사용자가기본도메인 ( 기본 ID 소스로설정된도메인 ) 에있는지여부에따라달라집니다. 기본도메인에있는사용자는자신의사용자이름과암호로로그인할수있습니다. vcenter Single Sign-On 에 ID 소스로추가되었지만기본도메인은아닌도메인에있는사용자는 vcenter Server 에로그인할수는있지만다음방법중하나로도메인을지정해야합니다. 도메인이름접두사포함 ( 예 : MYDOMAIN\user1) 도메인포함 ( 예 : user1@mydomain.com) vcenter Single Sign-On ID 소스가아닌도메인에있는사용자는 vcenter Server 에로그인할수없습니다. vcenter Single Sign-On 에추가하는도메인이도메인계층의일부이면 Active Directory 에서는해당계층에있는다른도메인의사용자가인증되었는지여부를확인합니다. 1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 관리 > Single Sign-On > 구성으로이동합니다. 3 ID 소스탭에서 ID 소스를선택하고기본도메인으로설정아이콘을클릭합니다. 도메인화면에서기본도메인은도메인열에 ( 기본값 ) 이표시됩니다. vcenter Single Sign-On ID 소스추가 사용자는 vcenter Single Sign-On ID 소스로추가된도메인에속해있는경우에만 vcenter Server 에로그인할수있습니다. vcenter Single Sign-On 관리자는 vsphere Web Client 에서 ID 소스를추가할수있습니다. ID 소스는네이티브 Active Directory( 통합 Windows 인증 ) 도메인이거나 OpenLDAP 디렉토리서비스일수있습니다. 이전버전과의호환성을위해 Active Directory LDAP 서버를사용할수도있습니다. vcenter Single Sign-On 을사용하는 vcenter Server 에대한 ID 소스, (30 페이지 ) 항목을참조하십시오. 설치가완료되면다음과같은기본 ID 소스와사용자를사용할수있습니다. localos 모든로컬운영체제사용자. 업그레이드중인경우이미인증이가능한사용자는계속인증을수행할수있습니다. localos ID 소스사용은 Platform Services Controller 를사용하는환경에서는의미가없습니다. vsphere.local vcenter Single Sign-On 내부사용자를포함합니다. 필수조건 ID 소스로추가하려는도메인은 vcenter Single Sign-On 이실행중인시스템에서사용할수있어야합니다. vcenter Server Appliance 를사용하는경우에는 vcenter Server Appliance 구성설명서를참조하십시오. VMware, Inc. 31

1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 관리 > Single Sign-On > 구성으로이동합니다. 3 ID 소스탭에서 ID 소스추가아이콘을클릭합니다. 4 ID 소스유형을선택하고 ID 소스설정을입력합니다. 옵션 Active Directory( 통합 Windows 인증 ) Active Directory 를 LDAP 서버로 OpenLDAP LocalOS 설명 이옵션은네이티브 Active Directory 를구현하는데사용합니다. 이옵션을사용하려면 vcenter Single Sign-On 서비스가실행중인시스템이 Active Directory 도메인에있어야합니다. Active Directory ID 소스설정, (32 페이지 ) 항목을참조하십시오. 이옵션을사용하면이전버전과호환됩니다. 이경우도메인컨트롤러및기타정보를지정해야합니다. Active Directory LDAP 서버및 OpenLDAP 서버 ID 소스설정, (33 페이지 ) 항목을참조하십시오. 이옵션은 OpenLDAP ID 소스에사용합니다. Active Directory LDAP 서버및 OpenLDAP 서버 ID 소스설정, (33 페이지 ) 항목을참조하십시오. 이옵션은로컬운영체제를 ID 소스로추가하는데사용합니다. 로컬운영체제의이름에대한메시지만표시됩니다. 이옵션을선택하면지정한시스템의모든사용자가다른도메인의일부가아니더라도 vcenter Single Sign-On 에표시됩니다. 참고사용자계정을잠그거나사용하지않도록설정하면 Active Directory 도메인에서인증및그룹 / 사용자검색에실패합니다. 사용자계정은사용자및그룹 OU에대한읽기전용액세스권한이있어야하며사용자및그룹특성을읽을수있어야합니다. 이것이인증권한에대한기본 Active Directory 도메인구성입니다. 특별한서비스사용자를사용하는것이좋습니다. 5 Active Directory LDAP 서버또는 OpenLDAP ID 소스를구성한경우연결테스트를클릭하여 ID 소스에연결할수있는지확인합니다. 6 확인을클릭합니다. 후속작업 ID 소스가추가되면권한없음역할이있는사용자를제외한모든사용자를인증할수있습니다. vcenter Server Modify.permissions 권한이있는사용자는사용자또는사용자그룹에 vcenter Server 에로그인하여개체를보고관리할수있는권한을할당할수있습니다. vsphere 보안설명서를참조하십시오. Active Directory ID 소스설정 Active Directory( 통합 Windows 인증 ) ID 소스유형을선택하면로컬시스템계정을 SPN( 서비스사용자이름 ) 으로사용하거나 SPN 을명시적으로지정할수있습니다. vcenter Single Sign-On 서버가 Active Directory 도메인에가입된경우에만이옵션을사용할수있습니다. Active Directory ID 소스사용을위한필수구성요소 해당 ID 소스를사용할수있는경우에만 Active Directory ID 소스를사용하도록 vcenter Single Sign-On 을설정할수있습니다. Windows 설치의경우 Windows 시스템을 Active Directory 도메인에가입합니다. 32 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 vcenter Server Appliance 의경우 vcenter Server Appliance 구성설명서의지침을따릅니 다. 참고 Active Directory( 통합 Windows 인증 ) 는항상 Active Directory 도메인포리스트의루트를사용합니다. Active Directory 포리스트내에하위도메인을가진통합 Windows 인증 ID 소스를구성하려면 VMware 기술자료문서 2070433을참조하십시오. 구성속도를높이려면시스템계정사용을선택합니다. If you expect to rename the local machine on which vcenter Single Sign-On runs, specifying an SPN explicitly is preferable. 참고 vsphere 5.5에서 vcenter Single Sign-On은 SPN을지정하는경우에도시스템계정을사용합니다. VMware 기술자료문서 2087978를참조하십시오. 표 2 5. ID 소스추가설정 텍스트상자도메인이름시스템계정사용 SPN( 서비스사용자이름 ) 사용 SPN( 서비스사용자이름 ) UPN( 사용자계정이름 ) 암호 설명 도메인이름의 FQDN 입니다 ( 예 : mydomain.com). IP 주소를제공하지마십시오. 이도메인이름은 vcenter Server 시스템을통해 DNS 에서확인할수있어야합니다. vcenter Server Appliance 를사용중인경우네트워크설정구성에대한정보를사용하여 DNS 서버설정을업데이트합니다. 로컬시스템계정을 SPN 으로사용하려면이옵션을선택합니다. 이옵션을선택하는경우도메인이름만지정하십시오. 이시스템의이름을변경해야할경우에는이옵션을선택하지마십시오. 로컬시스템의이름을변경해야할경우이옵션을선택합니다. SPN, ID 소스를사용하여인증할수있는사용자및사용자암호를지정해야합니다. Kerberos 가 Active Directory 서비스를식별하는데도움이되는 SPN 입니다. 이름에도메인을포함합니다 ( 예 : STS/example.com). SPN 은전체도메인에서고유해야합니다. setspn -S 를실행하면중복 SPN 이생성되지않았는지확인할수있습니다. setspn 에대한자세한내용은 Microsoft 설명서를참조하십시오. 이 ID 소스를사용하여인증할수있는사용자의이름및암호입니다. 이메일주소형식 ( 예 : jchin@mydomain.com) 을사용합니다. Active Directory 서비스인터페이스편집기 (ADSI 편집 ) 를사용하여사용자계정이름을확인할수있습니다. Active Directory LDAP 서버및 OpenLDAP 서버 ID 소스설정 이전버전과의호환성을위해 Active Directory 를 LDAP 서버 ID 소스로사용할수있습니다. 입력이거의필요없는설치에는 Active Directory( 통합 Windows 인증 ) 옵션을사용하십시오. OpenLDAP 서버 ID 소스는 OpenLDAP 를사용하는환경에서사용할수있습니다. OpenLDAP ID 소스를구성하는경우추가요구사항은 VMware 기술자료문서 2064977 을참조하십시오. 표 2 6. LDAP 서버로사용되는 Active Directory 및 OpenLDAP 설정 필드 설명 이름 ID 소스의이름입니다. 사용자의기본 DN 사용자의기본고유이름입니다. VMware, Inc. 33

표 2 6. LDAP 서버로사용되는 Active Directory 및 OpenLDAP 설정 ( 계속 ) 필드 도메인이름 도메인별칭 설명 도메인의 FDQN( 예 : example.com) 입니다. 이필드에 IP 주소를입력하지마십시오. Active Directory ID 소스의경우도메인의 NetBIOS 이름입니다. SSPI 인증을사용하는경우 Active Directory 도메인의 NetBIOS 이름을 ID 소스의별칭으로추가합니다. OpenLDAP ID 소스의경우별칭을지정하지않으면대문자로표시된도메인이름이추가됩니다. 그룹의기본 DN 그룹의기본고유이름입니다. 기본서버 URL 도메인의기본도메인컨트롤러 LDAP 서버입니다. ldap://hostname:port 또는 ldaps://hostname:port 형식을사용합니다. 일반적으로포트는 ldap: 연결의경우 389 이고 ldaps: 연결의경우 636 입니다. Active Directory 다중도메인컨트롤러배포의경우일반적으로포트는 ldap: 연결의경우 3268 이고 ldaps: 연결의경우 3269 입니다. 기본또는보조 LDAP URL 에 ldaps:// 를사용하는경우 Active Directory 서버의 LDAPS 끝점에대한신뢰를설정하는인증서가필요합니다. 보조서버 URL 인증서선택 사용자이름 페일오버에서사용되는보조도메인컨트롤러 LDAP 서버의주소입니다. Active Directory LDAP 서버또는 OpenLDAP 서버 ID 소스와함께 LDAPS 를사용하려는경우 [URL] 필드에 ldaps:// 를입력하면 [ 인증서선택 ] 버튼을사용할수있게됩니다. 보조 URL 은필요하지않습니다. 도메인에서사용자및그룹의기본 DN 에대해최소한읽기전용액세스권한이있는사용자의 ID 입니다. 암호사용자이름에서지정된사용자의암호입니다. vcenter Single Sign-On ID 소스편집 vsphere 사용자는 ID 소스에정의되어있습니다. vcenter Single Sign-On 과연결된 ID 소스의세부정보를편집할수있습니다. 1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 관리 > Single Sign-On > 구성을찾습니다. 3 ID 소스탭을클릭합니다. 4 표의 ID 소스를마우스오른쪽버튼으로클릭하고 ID 소스편집을선택합니다. 34 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 5 ID 소스설정을편집합니다. 사용할수있는옵션은선택한 ID 소스유형에따라다릅니다. 옵션 Active Directory( 통합 Windows 인증 ) Active Directory 를 LDAP 서버로 OpenLDAP LocalOS 설명 이옵션은네이티브 Active Directory 를구현하는데사용합니다. 이옵션을사용하려면 vcenter Single Sign-On 서비스가실행중인시스템이 Active Directory 도메인에있어야합니다. Active Directory ID 소스설정, (32 페이지 ) 항목을참조하십시오. 이옵션을사용하면이전버전과호환됩니다. 이경우도메인컨트롤러및기타정보를지정해야합니다. Active Directory LDAP 서버및 OpenLDAP 서버 ID 소스설정, (33 페이지 ) 항목을참조하십시오. 이옵션은 OpenLDAP ID 소스에사용합니다. Active Directory LDAP 서버및 OpenLDAP 서버 ID 소스설정, (33 페이지 ) 항목을참조하십시오. 이옵션은로컬운영체제를 ID 소스로추가하는데사용합니다. 로컬운영체제의이름에대한메시지만표시됩니다. 이옵션을선택하면지정한시스템의모든사용자가다른도메인의일부가아니더라도 vcenter Single Sign-On 에표시됩니다. 6 연결테스트를클릭하여 ID 소스에연결할수있는지확인합니다. 7 확인을클릭합니다. vcenter Single Sign-On ID 소스제거 vsphere 사용자는 ID 소스에정의되어있습니다. 등록된 ID 소스목록에서 ID 소스를제거할수있습니다. 1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 관리 > Single Sign-On > 구성을찾습니다. 3 ID 소스탭에서 ID 소스를선택하고 ID 소스삭제아이콘을클릭합니다. 4 삭제할것인지묻는메시지가표시되면예를클릭합니다. Windows 세션인증을사용하는 vcenter Single Sign-On 사용 vcenter Single Sign-On 을 Windows 세션인증 (SSPI) 과함께사용할수있습니다. 로그인페이지에확인란이표시되도록하려면클라이언트통합플러그인을설치해야합니다. SSPI 를사용하면현재시스템에로그인되어있는사용자의로그인속도가향상됩니다. 필수조건 Windows 도메인을올바르게설정해야합니다. VMware 기술자료문서 2064250 를참조하십시오. 1 vsphere Web Client 로그인페이지로이동합니다. 2 Windows 세션인증사용확인란을사용할수없는경우로그인페이지아래쪽에서클라이언트통합플러그인다운로드를클릭합니다. 3 브라우저에서인증서오류가발생하거나팝업차단이실행되어설치가차단되면브라우저의도움말지침에따라문제를해결합니다. VMware, Inc. 35

4 다른브라우저를닫으라는메시지가표시되면브라우저를닫습니다. 설치가완료되면모든브라우저에플러그인을사용할수있습니다. 브라우저에서요구하는경우개별세션또는모든세션에대해플러그인을허용해야할수있습니다. 5 브라우저를종료했다가다시시작합니다. 다시시작한후에는 Windows 세션인증사용확인란을선택할수있습니다. vcenter Server 이중인증 vcenter Single Sign-On 을사용하면 vcenter Single Sign-On 에알려진 ID 소스에포함된사용자의이름및암호를사용하거나, Active Directory ID 소스에대한 Windows 세션인증을사용하여인증할수있습니다. vsphere 6.0 업데이트 2 부터는스마트카드 (UPN 기반의 CAC 즉 Common Access Card) 또는 RSA SecurID 토큰을사용한인증도지원됩니다. 이중인증방법 이중인증방법은주로정부기관또는대기업에서사용됩니다. CAC(Common Access Card) 인증 RSA SecurID 인증 CAC 인증의경우사용자가로그인하는컴퓨터의 USB 드라이브에물리적카드를연결해야만액세스가허용됩니다. PKI 를배포할때 CA 에서클라이언트인증서로스마트카드인증서만발급한경우에는사용자에게스마트카드인증서만제공됩니다. 사용자가인증서를선택하면 PIN 을묻는메시지가표시됩니다. 물리적카드및인증서와일치하는 PIN 을모두가진사용자만로그인할수있습니다. RSA SecureID 인증을사용하려면올바르게구성된 RSA Authentication Manager 가환경에포함되어있어야합니다. Platform Services Controller 가 RSA 서버를가리키도록구성되어있고 RSA SecurID 인증이사용되도록설정되어있으면사용자는자신의사용자이름및토큰을사용하여로그인할수있습니다. 참고 vcenter Single Sign-On은네이티브 SecurID만지원하며 RADIUS 인증은지원하지않습니다. 기본값이아닌인증방법지정 관리자는 Platform Services Controller 웹인터페이스를사용하거나 sso-config 스크립트 (Windows 에서는 sso-config.bat 및장치에서는 sso-config.sh) 를사용하여설정작업을수행할수있습니다. Common Access Card 인증의경우 sso-config 스크립트를사용하여웹브라우저를설정해야하며 Platform Services Controller 웹인터페이스또는 sso-config 를사용하여 vcenter Single Sign-On 설정을수행할수있습니다. 설정에는 CAC 인증을사용하도록설정하고, 인증서해지정책을구성하고로그인배너를설정하는작업이포함됩니다. RSA SecureID 의경우 sso-config 스크립트를사용하여도메인의 RSA Authentication Manager 를구성하고 RSA 토큰인증을사용하도록설정합니다. 이인증방법은사용하도록설정한경우 Platform Services Controller 웹인터페이스에표시되지만, 웹인터페이스에서 RSA SecureID 인증을구성할수는없습니다. 여러인증방법결합 sso-config 를사용하여각인증방법을개별적으로사용하도록설정하거나사용하지않도록설정할수있습니다. 예를들어이중인증방법중하나를테스트하는동안에는초기에사용자이름및암호인증을사용하도록설정해두었다가나중에인증방법중하나만사용하도록설정할수있습니다. 36 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 vcenter Single Sign-On 을위한스마트카드인증구성 사용자가 vsphere Web Client 에서 vcenter Server 또는연결된 Platform Services Controller 에연결할때스마트카드인증이필요하도록환경을설정할수있습니다. 스마트카드인증로그인 스마트카드는집적회로칩이내장된소형플라스틱카드입니다. 여러정부기관및대기업에서는시스템보안을강화하고보안규정을준수하기위해 CAC(Common Access Card) 같은스마트카드를사용합니다. Common Access Card 는각시스템에스마트카드판독기가포함되어있고, Common Access Card 를관리하는스마트카드하드웨어드라이버가사전설치되어있는환경에서사용됩니다. vcenter Single Sign-On 에대해스마트카드인증을구성할경우, vcenter Server 또는 Platform Services Controller 시스템에로그인하는사용자에게는다음과같이스마트카드와 PIN 조합을사용하여인증하라는메시지가표시됩니다. 1 사용자가스마트카드를스마트카드판독기에넣으면 vcenter Single Sign-On 이카드에서인증서를읽습니다. 2 vcenter Single Sign-On 은인증서를선택하라는메시지를표시한후해당인증서의 PIN 을묻습니다. 3 vcenter Single Sign-On 은스마트카드에있는인증서가알려진인증서인지그리고 PIN 이올바른지여부를확인합니다. 해지확인이활성화되어있으면 vcenter Single Sign-On 은인증서가해지되었는지여부도확인합니다. 4 인증서가알려진인증서이고해지되지않았으면사용자가인증되고, 이사용자는자신에게권한이부여된작업을수행할수있습니다. 참고대부분의경우테스트중에는사용자이름및암호인증을사용하도록설정해두는것이좋습니다. 테스트가완료된후에는사용자이름및암호인증을사용하지않도록설정하고스마트카드인증을사용하도록설정합니다. 이렇게하면 vsphere Client 에서스마트카드로그인만허용합니다. 시스템에서루트또는관리자권한을가진사용자만 Platform Services Controller 에직접로그인하여사용자이름및암호를다시사용하도록설정할수있습니다. 명령줄을사용하여스마트카드인증구성 sso-config 유틸리티를사용하면명령줄에서스마트카드인증을구성할수있습니다. 이유틸리티는모든스마트카드구성작업을지원합니다. 명령줄에서스마트카드인증을구성할때는항상 sso-config 명령을먼저사용하여 Platform Services Controller 를설정합니다. 그런다음 Platform Services Controller 웹인터페이스를사용하여다른작업을수행할수있습니다. 1 사용자가로그인할때웹브라우저가스마트카드인증서제출을요청하도록 Platform Services Controller 를구성합니다. 2 인증정책을구성합니다. 정책은 sso-config 스크립트또는 Platform Services Controller 웹인터페이스를사용하여구성할수있습니다. 지원되는인증유형의구성및해지설정은 VMware Directory Service 에저장되며 vcenter Single Sign-On 도메인내의모든 Platform Services Controller 인스턴스에복제됩니다. 스마트카드인증을제외한다른모든인증방법을사용하지않도록설정한경우사용자는스마트카드인증을사용하여로그인해야합니다. VMware, Inc. 37

vsphere Web Client 에서로그인할수없고사용자이름및암호인증기능이해제되어있는경우루트사용자또는관리자는다음명령을실행하여 Platform Services Controller 명령줄에서사용자이름및암호인증을다시사용하도록설정할수있습니다. 이예제는 Windows 에해당하는명령이며, Linux 의경우 sso-config.sh 명령을사용하십시오. sso-config.bat -set_authn_policy -pwdauthn true 다음위치에서 sso-config 스크립트를찾을수있습니다. Windows Linux C:\Program Files\VMware\VCenter server\vmware Identity Services\sso-config.bat /opt/vmware/bin/sso-config.sh 필수조건 환경에서 Platform Services Controller 버전 6.0 업데이트 2 이상을사용하고, 현재 vcenter Server 버전 6.0 이상을사용중인지확인합니다. 버전 5.5 노드를버전 6.0 으로업그레이드합니다. 환경에엔터프라이즈 PKI( 공개키인프라 ) 가설정되어있고인증서가다음과같은요구사항을충족하는지확인합니다. SAN( 주체대체이름 ) 확장의 Active Directory 계정에해당하는 UPN( 사용자계정이름 ) 이 있습니다. 인증서의 [ 애플리케이션정책 ] 또는 [ 고급키사용 ] 필드에클라이언트인증을지정하지않으면브라우저에해당인증서가표시되지않습니다. 최종사용자의 Workstation 에서 Platform Services Controller 웹인터페이스인증서를신뢰하는지확인합니다. 신뢰하지않는인증서인경우브라우저는인증을시도하지않습니다. Active Directory ID 소스를구성하여 vcenter Single Sign-On 에 ID 소스로추가합니다. Active Directory ID 소스에속한사용자한명이상에게 vcenter Server 관리자역할을할당합니다. 그러면해당사용자는 Active Directory 그룹에속해있고 vcenter Server 관리자권한을갖고있으므로인증할수있습니다. administrator@vsphere.local 사용자는스마트카드인증을수행할수없습니다. 환경에서 Platform Services Controller HA 솔루션을사용하려면스마트카드인증을설정하기전에모든 HA 구성을완료해야합니다. VMware 기술자료문서 2112085(Windows) 또는 2113315(vCenter Server Appliance) 를참조하십시오. 1 인증서를가져온후 sso-config 유틸리티에서볼수있는폴더에복사합니다. 옵션 Windows 설명 Platform Services Controller Windows 설치환경에로그인한후 WinSCP 또는유사한유틸리티를사용하여파일을복사합니다. 장치 a 장치콘솔에직접로그인하거나 SSH 를사용하여로그인합니다. b 다음과같이장치셸을사용하도록설정합니다. c shell.set --enabled True shell chsh -s "/bin/bash" root csh -s "bin/appliance/sh" root WinSCP 또는유사한유틸리티를사용하여인증서를 Platform Services Controller 의 /usr/lib/vmware-sso/vmwarests/conf 에복사합니다. d 필요한경우다음과같이장치셸을사용하지않도록설정합니다. chsh -s "bin/appliancesh" root 38 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 2 각 Platform Services Controller 노드에서 sso-config CLI 를사용하여스마트카드인증설정을구성합니다. a sso-config 스크립트가있는디렉토리로이동합니다. 옵션 Windows 장치 설명 C:\Program Files\VMware\VCenter server\vmware Identity Services /opt/vmware/bin b 다음명령을실행합니다. sso-config.[bat sh] -set_tc_cert_authn -switch true -cacerts [FirstTrustedCA.cer,SecondTrustedCA.cer,...] -t tenant 예 : sso-config.bat -set_tc_cert_authn -switch true -cacerts MySmartCA1.cer -t vsphere.local c 가상시스템또는물리적시스템을다시시작합니다. service-control --stop vmware-stsd service-control --start vmware-stsd 3 VMDIR(VMware Directory Service) 에대해스마트카드인증을사용하도록설정하려면다음명령을실행합니다. sso-config.[bat sh] -set_authn_policy -certauthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer -t tenant 예 : sso-config.[bat sh] -set_authn_policy -certauthn true -cacerts MySmartCA1.cer,MySmartCA2.cer -t vsphere.local 여러인증서를지정하는경우인증서사이에공백을사용할수없습니다. 4 다른모든인증방법을사용하지않도록설정하려면다음명령을실행합니다. sso-config.sh -set_authn_policy -pwdauthn false -t vsphere.local sso-config.sh -set_authn_policy -winauthn false -t vsphere.local sso-config.sh -set_authn_policy -securidauthn false -t vsphere.local 이러한명령을사용하면필요에따라여러인증방법을사용하거나사용하지않도록설정할수있습니다. 5 ( 선택사항 ) 인증서정책허용목록을설정하려면다음명령을실행합니다. sso-config.[bat sh] -set_authn_policy -certpolicies policies 정책을여러개지정하려면다음과같이각정책을명령으로구분합니다. sso-config.bat -set_authn_policy -certpolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19 이허용목록은인증서의인증서정책확장에서허용되는정책의개체 ID 를지정합니다. X509 인증서는인증서정책확장을가질수있습니다. 6 ( 선택사항 ) 구성정보를나열하려면다음명령을실행합니다. sso-config.[bat sh] -get_authn_policy -t tenantname VMware, Inc. 39

Platform Services Controller 웹인터페이스를사용하여스마트카드인증관리 Platform Services Controller 웹인터페이스에서는스마트카드인증의사용여부를설정하고, 로그인배너를사용자지정하고, 해지정책을설정할수있습니다. 명령줄에서스마트카드인증을구성할때는항상 sso-config 명령을먼저사용하여 Platform Services Controller 를설정합니다. 그런다음 Platform Services Controller 웹인터페이스를사용하여다른작업을수행할수있습니다. 1 사용자가로그인할때웹브라우저가스마트카드인증서제출을요청하도록 Platform Services Controller 를구성합니다. 2 인증정책을구성합니다. 정책은 sso-config 스크립트또는 Platform Services Controller 웹인터페이스를사용하여구성할수있습니다. 지원되는인증유형의구성및해지설정은 VMware Directory Service 에저장되며 vcenter Single Sign-On 도메인내의모든 Platform Services Controller 인스턴스에복제됩니다. 스마트카드인증을제외한다른모든인증방법을사용하지않도록설정한경우사용자는스마트카드인증을사용하여로그인해야합니다. vsphere Web Client 에서로그인할수없고사용자이름및암호인증기능이해제되어있는경우루트사용자또는관리자는다음명령을실행하여 Platform Services Controller 명령줄에서사용자이름및암호인증을다시사용하도록설정할수있습니다. 이예제는 Windows 에해당하는명령이며, Linux 의경우 sso-config.sh 명령을사용하십시오. sso-config.bat -set_authn_policy -pwdauthn true 필수조건 환경에서 Platform Services Controller 버전 6.0 업데이트 2 이상을사용하고, 현재 vcenter Server 버전 6.0 이상을사용중인지확인합니다. 버전 5.5 노드를버전 6.0 으로업그레이드합니다. 환경에엔터프라이즈 PKI( 공개키인프라 ) 가설정되어있고인증서가다음과같은요구사항을충족하는지확인합니다. SAN( 주체대체이름 ) 확장의 Active Directory 계정에해당하는 UPN( 사용자계정이름 ) 이 있습니다. 인증서의 [ 애플리케이션정책 ] 또는 [ 고급키사용 ] 필드에클라이언트인증을지정하지않으면브라우저에해당인증서가표시되지않습니다. 최종사용자의 Workstation 에서 Platform Services Controller 웹인터페이스인증서를신뢰하는지확인합니다. 신뢰하지않는인증서인경우브라우저는인증을시도하지않습니다. Active Directory ID 소스를구성하여 vcenter Single Sign-On 에 ID 소스로추가합니다. Active Directory ID 소스에속한사용자한명이상에게 vcenter Server 관리자역할을할당합니다. 그러면해당사용자는 Active Directory 그룹에속해있고 vcenter Server 관리자권한을갖고있으므로인증할수있습니다. administrator@vsphere.local 사용자는스마트카드인증을수행할수없습니다. 환경에서 Platform Services Controller HA 솔루션을사용하려면스마트카드인증을설정하기전에모든 HA 구성을완료해야합니다. VMware 기술자료문서 2112085(Windows) 또는 2113315(vCenter Server Appliance) 를참조하십시오. 40 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 1 인증서를가져온후 sso-config 유틸리티에서볼수있는폴더에복사합니다. 옵션 설명 Windows Platform Services Controller Windows 설치환경에로그인한후 WinSCP 또는유사한유틸리티를사용하여파일을복사합니다. 장치 a 장치콘솔에직접로그인하거나 SSH 를사용하여로그인합니다. b 다음과같이장치셸을사용하도록설정합니다. c shell.set --enabled True shell chsh -s "/bin/bash" root csh -s "bin/appliance/sh" root WinSCP 또는유사한유틸리티를사용하여인증서를 Platform Services Controller 의 /usr/lib/vmware-sso/vmwarests/conf 에복사합니다. d 필요한경우다음과같이장치셸을사용하지않도록설정합니다. chsh -s "bin/appliancesh" root 2 각 Platform Services Controller 노드에서 sso-config CLI 를사용하여스마트카드인증설정을구성합니다. a sso-config 스크립트가있는디렉토리로이동합니다. 옵션 Windows 장치 설명 C:\Program Files\VMware\VCenter server\vmware Identity Services /opt/vmware/bin b 다음명령을실행합니다. sso-config.[bat sh] -set_tc_cert_authn -switch true -cacerts [FirstTrustedCA.cer,SecondTrustedCA.cer,...] -t tenant 예 : sso-config.bat -set_tc_cert_authn -switch true -cacerts MySmartCA1.cer,MySmartCA2.cer -t vsphere.local 인증서가여러개인경우인증서를쉼표로구분하되쉼표사이에공백을사용하지않습니다. c 가상시스템또는물리적시스템을다시시작합니다. service-control --stop vmware-stsd service-control --start vmware-stsd 3 웹브라우저에서다음 URL 을지정하여 Platform Services Controller 에연결합니다. https://psc_hostname_or_ip/psc 내장된배포에서 Platform Services Controller 호스트이름또는 IP 주소는 vcenter Server 호스트이름또는 IP 주소와동일합니다. 4 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자그룹에속한다른멤버의사용자이름과암호를지정합니다. 설치시다른도메인을지정한경우에는 administrator@mydomain 으로로그인합니다. 5 Single Sign-On > 구성으로이동합니다. 6 스마트카드구성을클릭하고신뢰할수있는 CA 인증서탭을선택합니다. VMware, Inc. 41

7 하나이상의신뢰할수있는인증서를추가하려면인증서추가를클릭하고찾아보기를클릭하고신뢰할수있는 CA 에서모든인증서를선택한후확인을클릭합니다. 8 인증구성을지정하려면인증구성옆의편집을클릭한후인증방법을선택하거나선택취소합니다. RSA SecurID 인증은이웹인터페이스에서사용하도록설정하거나사용하지않도록설정할수없습니다. 그러나 RSA SecurID 를사용하도록명령줄에서설정한경우에는해당상태가웹인터페이스에표시됩니다. 스마트카드인증에대한해지정책설정 인증서해지확인을사용자지정할수있으며 vcenter Single Sign-On 이해지된인증서에대한정보를검색하는위치를지정할수있습니다. Platform Services Controller 웹인터페이스를사용하거나 sso-config 스크립트를사용하여동작을사용자지정할수있습니다. 선택하는설정은 CA 에서지원하는기능에따라부분적으로달라집니다. 해지확인을사용하지않도록설정하면 vcenter Single Sign-On 이모든 CRL 또는 OCSP 설정을무시합니다. 해지확인을사용하도록설정하면 PKI 설정에따라권장되는설정이달라집니다. OCSP 전용 CRL 전용 발급하는 CA 에서 OCSP 응답자를지원하는경우 OCSP 를사용하도록설정하고 CRL 을페일오버로사용하지않도록설정합니다. 발급하는 CA 에서 OSCP 를지원하지않는경우, CRL 확인을사용하도록설정하고 OSCP 확인을사용하지않도록설정합니다. OSCP 및 CRL 모두발급하는 CA 에서 OCSP 응답자와 CRL 둘모두지원하는경우, vcenter Single Sign-On 은 OCSP 응답자부터확인합니다. 응답자가사용가능한상태가아니거나알수없는상태를반환하면 vcenter Single Sign-On 은 CRL 을확인합니다. 이경우에는 OCSP 확인및 CRL 확인둘모두사용하도록설정하고 CRL 을 OCSP 에대한페일오버로사용하도록설정합니다. 해지확인을사용하도록설정하면고급사용자가다음과같은추가설정을지정할수있습니다. OSCP URL 인증서의 CRL 사용 CRL 위치 기본적으로 vcenter Single Sign-On 은검증중인인증서에정의된 OCSP 응답자의위치를확인합니다. 인증서에기관정보액세스확장의위치가없거나, 해당확장을재정의하려는경우 ( 예 : 환경에서사용할수없는경우 ) 에는위치를명시적으로지정할수있습니다. 기본적으로 vcenter Single Sign-On 은검증중인인증서에정의된 CRL 의위치를확인합니다. CRL 배포지점확장이인증서에없거나, 기본값을재정의하려면이옵션을사용하지않도록설정하십시오. 인증서의 CRL 사용옵션을사용하지않도록설정하고, CRL 의위치 ( 파일또는 HTTP URL) 를지정하려면이속성을사용합니다. 또한인증서정책을추가하여 vcenter Single Sign-On 이허용하는인증서를추가적으로제한할수있습니다. 필수조건 환경에서 Platform Services Controller 버전 6.0 업데이트 2 이상을사용하고, 현재 vcenter Server 버전 6.0 이상을사용중인지확인합니다. 버전 5.5 노드를버전 6.0 으로업그레이드합니다. 환경에엔터프라이즈 PKI( 공개키인프라 ) 가설정되어있고인증서가다음과같은요구사항을충족하는지확인합니다. SAN( 주체대체이름 ) 확장의 Active Directory 계정에해당하는 UPN( 사용자계정이름 ) 이 있습니다. 42 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 인증서의 [ 애플리케이션정책 ] 또는 [ 고급키사용 ] 필드에클라이언트인증을지정하지않으면브라우저에해당인증서가표시되지않습니다. 최종사용자의 Workstation 에서 Platform Services Controller 웹인터페이스인증서를신뢰하는지확인합니다. 신뢰하지않는인증서인경우브라우저는인증을시도하지않습니다. Active Directory ID 소스를구성하여 vcenter Single Sign-On 에 ID 소스로추가합니다. Active Directory ID 소스에속한사용자한명이상에게 vcenter Server 관리자역할을할당합니다. 그러면해당사용자는 Active Directory 그룹에속해있고 vcenter Server 관리자권한을갖고있으므로인증할수있습니다. administrator@vsphere.local 사용자는스마트카드인증을수행할수없습니다. 환경에서 Platform Services Controller HA 솔루션을사용하려면스마트카드인증을설정하기전에모든 HA 구성을완료해야합니다. VMware 기술자료문서 2113085(Windows) 또는 2113315(vCenter Server Appliance) 를참조하십시오. 1 웹브라우저에서다음 URL 을지정하여 Platform Services Controller 에연결합니다. https://psc_hostname_or_ip/psc 내장된배포에서 Platform Services Controller 호스트이름또는 IP 주소는 vcenter Server 호스트이름또는 IP 주소와동일합니다. 2 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자그룹에속한다른멤버의사용자이름과암호를지정합니다. 설치시다른도메인을지정한경우에는 administrator@mydomain 으로로그인합니다. 3 Single Sign-On > 구성으로이동합니다. 4 인증서해지설정을클릭하고해지확인을사용하거나사용하지않도록설정합니다. 5 현재환경에인증서정책이적용되어있으면수락된인증서정책창에서정책을추가할수있습니다. RSA SecurID 인증설정 사용자가암호대신 RSA SecurID 토큰을사용하여로그인하도록환경을설정할수있습니다. SecurID 설정은명령줄에서만지원됩니다. 세부정보는 RSA SecurID 설정에관한 vsphere 블로그게시물두개를참조하십시오. 참고 RSA Authentication Manager에서사용자 ID는 1~255개 ASCII 문자를사용하는고유식별자여야합니다. 문자앰퍼샌드 (&), 백분율 (%), 보다큼 (>), 보다작음 (<) 및작은따옴표 (`) 는허용되지않습니다. 필수조건 환경에서 Platform Services Controller 버전 6.0 업데이트 2 이상을사용하고, 현재 vcenter Server 버전 6.0 이상을사용중인지확인합니다. 버전 5.5 노드를버전 6.0 으로업그레이드합니다. 환경에 RSA Authentication Manager 가올바르게구성되어있고사용자에게 RSA 토큰이있는지확인합니다. RSA Authentication Manager 버전 8.0 이상이필요합니다. RSA Manager 가사용하는 ID 소스가 vcenter Single Sign-On 에추가되었는지확인합니다. vcenter Single Sign-On ID 소스추가, (31 페이지 ) 를참조하십시오. RSA Authentication Manager 시스템에서 Platform Services Controller 호스트이름을확인할수있고 Platform Services Controller 시스템에서 RSA Authentication Manager 호스트이름을확인할수있는지확인합니다. VMware, Inc. 43

액세스 > 인증에이전트 > 구성파일생성을선택하여 RSA Manager 에서 sdconf.rec 파일을내보냅니다. 생성된 AM_Config.zip 파일의압축을해제하고 sdconf.rec 파일을찾습니다. sdconf.rec 파일을 Platform Services Controller 노드에복사합니다. 1 sso-config 스크립트가있는디렉토리로변경합니다. 옵션 Windows 장치 설명 C:\Program Files\VMware\VCenter server\vmware Identity Services /opt/vmware/bin 2 RSA SecurID 인증을사용하도록설정하려면다음명령을실행합니다. sso-config.[sh bat] -t tenantname -set_authn_policy securidauthn true tenantname 은 vcenter Single Sign-On 도메인의이름이며, 기본값은 vsphere.local 입니다. 3 ( 선택사항 ) 다른인증방법을사용하지않도록설정하려면다음명령을실행합니다. sso-config.sh -set_authn_policy -pwdauthn false -winauthn false -certauthn false -t vsphere.local 4 현재사이트에있는테넌트가 RSA 사이트를사용하도록환경을구성하려면다음명령을실행합니다. sso-config.[sh bat] -set_rsa_site [-t tenantname] [-siteid Location] [-agentname Name] [-sdconffile Path] 예 : sso-config.sh -set_rsa_site -agentname SSO_RSA_AUTHSDK_AGENT -sdconffile /tmp/sdconf.rec 다음옵션을지정할수있습니다. 옵션 설명 siteid 선택적 Platform Services Controller 사이트 ID. Platform Services Controller 는사이트당 RSA Authentication Manager 인스턴스또는클러스터를하나지원합니다. 이옵션을명시적으로지정하지않으면 RSA 구성은현재 Platform Services Controller 사이트에적용됩니다. 이옵션은다른사이트를추가할때만사용합니다. agentname RSA Authentication Manager 에정의됩니다. sdconffile RSA Manager 에서다운로드한 sdconf.rec 파일의사본이며, RSA Manager 에대한구성정보 ( 예 : IP 주소 ) 를포함합니다. 5 ( 선택사항 ) 테넌트구성을기본값이아닌값으로변경하려면다음명령을실행합니다. sso-config.[sh bat] -set_rsa_config [-t tenantname] [-loglevel Level] [-logfilesize Size] [- maxlogfilecount Count] [-conntimeout Seconds] [-readtimeout Seconds] [-encalglist Alg1,Alg2,...] 일반적으로기본값은적절합니다. 예 : sso-config.sh -set_rsa_config -t vsphere.local -loglevel DEBUG 6 ( 선택사항 ) ID 소스가 UPN( 사용자계정이름 ) 을사용자 ID 로사용하지않으면 ID 소스 userid 특성을설정합니다. userid 특성은 RSA userid 로사용할 LDAP 특성을결정합니다. sso-config.[sh bat] -set_rsa_userid_attr_map [-t tenantname] [-idsname Name] [-ldapattr AttrName] [- siteid Location] 44 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 예 : sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsname ssolabs.com -ldapattr userprincipalname 7 현재설정을표시하려면다음명령을실행합니다. sso-config.sh -t tenantname -get_rsa_config 사용자이름과암호인증이사용하지않도록설정되어있고 SecurID 토큰인증이사용하도록설정되어있는경우사용자는자신의사용자이름과 SecurID 토큰으로로그인해야합니다. 사용자이름과암호로그인은더이상가능하지않습니다. 로그인배너관리 vsphere 6.0 업데이트 2 부터는환경에로그인배너를포함할수있습니다. 원하는텍스트를표시하거나, 사용자가확인란을클릭해야하도록설정할수있습니다 ( 예 : 약관에동의함을나타내는확인란선택 ). 로그인배너를사용하도록설정하거나사용하지않도록설정할수있으며, 사용자가명시적동의확인란을클릭해야하도록설정할수도있습니다. 1 웹브라우저에서다음 URL 을지정하여 Platform Services Controller 에연결합니다. https://psc_hostname_or_ip/psc 내장된배포에서 Platform Services Controller 호스트이름또는 IP 주소는 vcenter Server 호스트이름또는 IP 주소와동일합니다. 2 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자그룹에속한다른멤버의사용자이름과암호를지정합니다. 설치시다른도메인을지정한경우에는 administrator@mydomain 으로로그인합니다. 3 Single Sign-On 에서구성을선택하고로그인배너탭을클릭합니다. 4 편집을클릭하고로그인배너를구성합니다. 옵션상태명시적동의제목메시지 설명 사용확인란을클릭하여로그인배너를사용하도록설정합니다. 이확인란을클릭해야다른필드를변경할수있습니다. 사용자가로그인하기전에확인란을클릭하도록하려면명시적동의확인란을클릭합니다. 확인란없이메시지를표시할수도있습니다. 배너의제목입니다. 기본적으로로그인배너텍스트는 I agree to the 입니다. 기본텍스트에텍스트를추가할수있습니다 ( 예 : Terms and Conditions). 배너를클릭했을때사용자에게표시되는메시지입니다. 예를들어약관텍스트일수있습니다. 메시지는명시적동의옵션을사용할경우에필요합니다. vcenter Single Sign-On 을다른서비스제공자의 ID 제공자로사용 vsphere Web Client 는신뢰할수있는 SAML 2.0 SP( 서비스제공자 ) 로 vcenter Single Sign- On 에자동으로등록됩니다. vcenter Single Sign-On 이 SAML IDP(ID 제공자 ) 역할을하는 ID 페더레이션에신뢰할수있는다른서비스제공자를추가할수있습니다. 서비스제공자는 SAML 2.0 프로토콜규정을준수해야합니다. 페더레이션이설정되면서비스제공자는 vcenter Single Sign-On 에서인증할수있는사용자에게액세스권한을부여합니다. 참고 vcenter Single Sign-On은다른 SP의 IDP가될수있습니다.vCenter Single Sign-On은다른 IDP를사용하는 SP일수없습니다. VMware, Inc. 45

등록된 SAML 서비스제공자는라이브세션을이미가진사용자, 즉 ID 제공자에로그인되어있는사용자에게액세스권한을부여할수있습니다. 예를들어 vrealize Automation 7.0 이상에서는 vcenter Single Sign-On 을 ID 제공자로지원합니다. vcenter Single Sign-On 및 vrealize Automation 에서페더레이션을설정할수있습니다. 이렇게하면 vcenter Single Sign-On 에서는사용자가 vrealize Automation 에로그인할때인증을수행할수있습니다. ID 페더레이션에 SAML 서비스제공자를가입하려면 SP 와 IDP 사이에메타데이터를교환하여둘사이에신뢰관계를설정해야합니다. vcenter Single Sign-On 및 vcenter Single Sign-On 을사용하는서비스둘모두에서통합작업을수행해야합니다. 1 IDP 메타데이터를파일로내보낸다음 SP 로가져옵니다. 2 SP 메타데이터를내보내고 IDP 로가져옵니다. vcenter Single Sign-On 에대한 vsphere Web Client 인터페이스를사용하여 IDP 메타데이터를내보내고 SP 에서메타데이터를가져올수있습니다. vrealize Automation 을 SP 로사용하는경우, SP 메타데이터내보내기및 IDP 메타데이터가져오기에대한자세한내용을보려면 vrealize Automation 설명서를참조하십시오. 참고서비스가 SAML 2.0 표준을완전하게지원하지않으면통합이이루어지지않습니다. SAML 서비스제공자추가 SAML 서비스제공자를 vcenter Single Sign-On 에추가하고, 해당서비스에 vcenter Single Sign-On 을 ID 제공자로추가합니다. 이렇게하면나중에사용자가서비스제공자에로그인하면서비스제공자가 vcenter Single Sign-On 을사용하여해당사용자를인증합니다. VMware vrealize Automation 7.0 이상에포함되어있는 Single Sign-On 솔루션을 vcenter Single Sign-On ID 제공자와통합하려는경우또는다른외부 SAML 서비스제공자를사용하는경우에는이프로세스를사용하십시오. 이프로세스에는메타데이터를 SAML 서비스제공자에서 vcenter Single Sign-On 으로가져오고 vcenter Single Sign-On 메타데이터를 SAML 서비스제공자로가져와서두제공자가모든데이터를공유하도록하는작업이포함됩니다. 필수조건 대상서비스에서 SAML 2.0 표준을완벽하게지원해야합니다. 메타데이터가 SAML 2.0 메타데이터스키마를정확하게준수하지않을경우스키마를가져오기전에편집해야할수있습니다. 예를들어 ADFS(Active Directory Federation Service) SAML 서비스제공자를사용하는경우에메타데이터를가져오려면먼저편집해야합니다. 다음의비표준요소를제거합니다. fed:applicationservicetype fed:securitytokenservicetype 현재 vsphere Web Client 에서 SAML IDP 메타데이터를가져올수없습니다. 1 서비스제공자의메타데이터를파일로내보냅니다. 2 서비스제공자의메타데이터를 vcenter Single Sign-On 에가져옵니다. a administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. b Single Sign-On > 구성으로이동합니다. 46 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 c SAML 서비스제공자탭을선택합니다. d SAML 서비스제공자의메타데이터필드에서가져오기를클릭하고 XML 문자열을대화상자에붙여넣거나, 파일에서가져오기를클릭하여파일을가져온다음가져오기를클릭합니다. 3 vcenter Single Sign-On 메타데이터를내보냅니다. a SAML 서비스제공자의메타데이터필드에서다운로드를클릭합니다. b 파일위치를지정합니다. 4 SAML 서비스제공자 ( 예 : VMware vrealize Automation 7.0 이상 ) 로이동한후 SAML 서비스제공자의지침에따라 vcenter Single Sign-On 메타데이터를해당서비스제공자에추가합니다. 메타데이터가져오기에대한자세한내용은 vrealize Automation 설명서를참조하십시오. STS(Security Token Service) vcenter Single Sign-On STS(Security Token Service) 는보안토큰을발급, 검증및갱신하는웹서비스입니다. 사용자는자신의기본자격증명을 STS 인터페이스에제공하여 SAML 토큰을획득합니다. 기본자격증명은사용자유형에따라다릅니다. 사용자 애플리케이션사용자 vcenter Single Sign-On ID 소스에서사용할수있는사용자이름및암호 유효한인증서 STS 는기본자격증명에기반하여사용자를인증하고사용자특성이포함된 SAML 토큰을구성합니다. STS 는 STS 서명인증서로 SAML 토큰을서명한다음토큰을사용자에게할당합니다. 기본적으로 STS 서명인증서는 VMCA 를통해생성됩니다. vsphere Web Client 에서기본 STS 서명인증서를교체할수있습니다. 회사의보안정책에따라모든인증서를교체해야하는경우이외에는 STS 서명인증서를교체하지마십시오. 사용자가 SAML 토큰을가진후 SAML 토큰은가능한다양한프록시를통해사용자의 HTTP 요청의일부로전송됩니다. 의도한수신자 ( 서비스제공자 ) 만 SAML 토큰에서해당정보를사용할수있습니다. 장치에새 STS 서명인증서생성 기본 vcenter Single Sign-On STS(Security Token Service) 서명인증서를교체하려면새인증서를생성한후 Java 키저장소에추가해야합니다. 이절차에서는내장된배포장치또는외부 Platform Services Controller 장치에대해수행하는단계를설명합니다. 참고이인증서는 10년간유효하며외부를대상으로하는인증서가아닙니다. 회사의보안정책에서요구하는경우이외에는이인증서를교체하지마십시오. Platform Services Controller Windows 설치를실행하는경우에는 vcenter Windows 설치에서새 STS 서명인증서생성, (48 페이지 ) 을참조하십시오. 1 새인증서를저장할최상위디렉토리를생성하고디렉토리의위치를확인합니다. mkdir newsts cd newsts pwd #resulting output: /root/newst 2 certool.cfg 파일을새디렉토리에복사합니다. cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts VMware, Inc. 47

3 certool.cfg 파일사본을열고, 로컬 Platform Services Controller IP 주소와호스트이름을사용하도록편집합니다. 국가는필수항목이며, 아래예제에나와있는대로 2 자여야합니다. # # Template file for a CSR request # # Country is needed and has to be 2 characters Country = US Name = STS Organization = ExampleInc OrgUnit = ExampleInc Dev State = Indiana Locality = Indianapolis IPAddress = 10.0.1.32 Email = chen@exampleinc.com Hostname = homecenter.exampleinc.local 4 키를생성합니다. /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key -- pubkey=/root/newsts/sts.pub 5 인증서를생성합니다. /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer -- privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg 6 인증서를 PK12 형식으로변환합니다. openssl pkcs12 -export -in /root/newsts/newsts.cer -inkey /root/newsts/sts.key -certfile /etc/vmwaresso/keys/ssoserverroot.crt -name "newstssigning" -passout pass:changeme -out newsts.p12 7 인증서를 JKS(Java 키저장소 ) 에추가합니다. /usr/java/jre-vmware/bin/keytool -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 - srcstorepass changeme -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS - deststorepass testpassword -destkeypass testpassword /usr/java/jre-vmware/bin/keytool -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file /etc/vmware-sso/keys/ssoserverroot.crt -alias root-ca 8 메시지가표시되면예를입력하여키저장소에인증서를수락합니다. 후속작업 이제새인증서를가져올수있습니다. 보안토큰서비스인증서새로고침, (50 페이지 ) 를참조하십시오. vcenter Windows 설치에서새 STS 서명인증서생성 기본 STS 서명인증서를교체하려면먼저새인증서를생성하고 Java 키저장소에추가해야합니다. 이절차는 Windows 설치에서수행할단계를설명합니다. 참고이인증서는 10년간유효하며외부를대상으로하는인증서가아닙니다. 회사의보안정책에서요구하는경우이외에는이인증서를교체하지마십시오. 가상장치를사용중인경우 장치에새 STS 서명인증서생성, (47 페이지 ) 항목을참조하십시오. 48 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 1 새인증서를유지할새디렉토리를생성합니다. cd C:\ProgramData\VMware\vCenterServer\cfg\sso\keys\ mkdir newsts cd newsts 2 certool.cfg 파일의사본을만들어서새디렉토리에둡니다. copy "C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg". 3 certool.cfg 파일사본을열고, 로컬 Platform Services Controller IP 주소와호스트이름을사용하도록편집합니다. 국가는필수사항이며 2 자여야합니다. 다음샘플은이러한내용을보여줍니다. # # Template file for a CSR request # # Country is needed and has to be 2 characters Country = US Name = STS Organization = ExampleInc OrgUnit = ExampleInc Dev State = Indiana Locality = Indianapolis IPAddress = 10.0.1.32 Email = chen@exampleinc.com Hostname = homecenter.exampleinc.local 4 키를생성합니다. "C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --server localhost --genkey -- privkey=sts.key --pubkey=sts.pub 5 인증서를생성합니다. "C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --gencert --cert=newsts.cer -- privkey=sts.key --config=certool.cfg 6 인증서를 PK12 형식으로변환합니다. "C:\Program Files\VMware\vCenter Server\openSSL\openssl.exe" pkcs12 -export -in newsts.cer -inkey sts.key -certfile..\ssoserverroot.crt -name "newstssigning" -passout pass:changeme -out newsts.p12 7 인증서를 JKS(Java 키저장소 ) 에추가합니다. "C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass changeme -srcalias newstssigning -destkeystore roottrust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword "C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importcert -keystore root-trust.jks - deststoretype JKS -storepass testpassword -keypass testpassword -file..\ssoserverroot.crt -alias rootca 후속작업 이제새인증서를가져올수있습니다. 보안토큰서비스인증서새로고침, (50 페이지 ) 를참조하십시오. VMware, Inc. 49

보안토큰서비스인증서새로고침 vcenter Single Sign-On 서버에는 STS(Security Token Service) 가포함됩니다. Security Token Service 는보안토큰을발급, 검증및갱신하는웹서비스입니다. 인증서가만료되거나변경된경우 vsphere Web Client 에서기존 Security Token Service 인증서를수동으로새로고칠수있습니다. SAML 토큰을획득하기위해사용자는기본자격증명을 STS(Secure Token Server) 에제공합니다. 기본자격증명은사용자유형에따라다릅니다. 솔루션사용자 기타사용자 유효한인증서 vcenter Single Sign-On ID 소스에서사용할수있는사용자이름및암호 STS 는기본자격증명을사용하여사용자를인증하고사용자특성이포함된 SAML 토큰을구성합니다. STS 서비스는 STS 서명인증서로 SAML 토큰을서명한다음토큰을사용자에게할당합니다. 기본적으로 STS 서명인증서는 VMCA 를통해생성됩니다. 사용자가 SAML 토큰을가진후 SAML 토큰은가능한다양한프록시를통해사용자의 HTTP 요청의일부로전송됩니다. 의도한수신자 ( 서비스제공자 ) 만 SAML 토큰에서해당정보를사용할수있습니다. 회사정책에서요구하거나만료된인증서를업데이트하려는경우기존 STS 서명인증서 vsphere Web Client 를교체할수있습니다. 주의파일시스템의파일을교체하지마십시오. 교체할경우디버깅하기어려운예기치않은오류가발생합니다. 참고인증서를교체한다음노드를다시시작하여 vsphere Web Client 서비스와 STS 서비스를모두다시시작해야합니다. 필수조건 Java 키저장소에추가한인증서를 Platform Services Controller 에서로컬워크스테이션으로복사합니다. Platform Services Controller 장치 Windows 설치 certificate_location/keys/root-trust.jks For example: /keys/root-trust.jks 예 : /root/newsts/keys/root-trust.jks certificate_location\root-trust.jks 예 : C:\Program Files\VMware\vCenter Server\jre\bin\root-trust.jks 1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 인증서탭을선택한다음 STS 서명하위탭을선택하고 STS 서명인증서추가아이콘을클릭합니다. 50 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 3 인증서를추가합니다. a 찾아보기를클릭하여새인증서가포함된키저장소 JKS 파일을찾고열기를클릭합니다. b 메시지가표시되면암호를입력합니다. c STS 별칭체인의맨위를클릭하고확인을클릭합니다. d 메시지가표시되면암호를다시입력합니다. 4 확인을클릭합니다. 5 Platform Services Controller 노드를다시시작하여 STS 서비스와 vsphere Web Client 를모두다시시작합니다. 다시시작하기전까지는인증이제대로작동하지않으니반드시다시시작해야합니다. LDAPS SSL 인증서의만료날짜확인 Active Directory LDAP 서버및 OpenLDAP 서버 ID 소스를선택하고 LDAPS 를사용하기로결정한경우 LDAP 트래픽에대해 SSL 인증서를업로드할수있습니다. SSL 인증서는미리지정한기간이지나면만료됩니다. 인증서가만료되는시기를알아두면만료날짜이전에인증서를교체하거나갱신할수있습니다. Active Directory LDAP 서버및 OpenLDAP 서버를사용하고서버에대해 ldaps:// URL 을지정하는경우에만인증서만료정보가표시됩니다. [ID 소스신뢰저장소 ] 탭은다른유형의 ID 소스또는 ldap:// 트래픽에대해비어있습니다. 1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 관리 > Single Sign-On > 구성을찾습니다. 3 인증서탭을클릭한다음 ID 소스신뢰저장소하위탭을클릭합니다. 4 인증서를찾아유효기간종료텍스트상자의만료날짜를확인합니다. 탭위쪽에인증서의만료가임박했음을나타내는경고가표시될수도있습니다. vcenter Single Sign-On 정책관리 vcenter Single Sign-On 정책은환경에보안규칙을적용합니다. 기본 vcenter Single Sign-On 암호, 잠금정책및토큰정책을보고편집할수있습니다. vcenter Single Sign-On 암호정책편집 vcenter Single Sign-On 암호정책은 vcenter Single Sign-On 사용자암호의형식및만료에대한규칙및제한모음입니다. 암호정책은 vcenter Single Sign-On 도메인 (vsphere.local) 의사용자에게만적용됩니다. 기본적으로 vcenter Single Sign-On 암호는 90 일후에만료됩니다. vsphere Web Client 는암호가만료되려고할때미리알려줍니다. VMware, Inc. 51

1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 관리 > Single Sign-On > 구성으로이동합니다. 3 정책탭을클릭하고암호정책을선택합니다. 4 편집을클릭합니다. 5 암호정책매개변수를편집합니다. 옵션 설명 설명암호정책설명입니다. 최대수명사용자가변경해야될때까지암호가존재할수있는최대일수입니다. 재사용제한 사용자의이전암호수로, 선택할수없습니다. 예를들어사용자가최근 6 개의암호를다시사용할수없는경우 6 을입력합니다. 최대길이암호에허용되는최대문자수입니다. 최소길이 문자요구사항 인접한동일문자수 암호에요구되는최소문자수입니다. 최소길이는영문자, 숫자및특수문자결합의최소요구사항을충족해야합니다. 암호에요구되는다양한문자유형의최소수입니다. 각문자유형의수를다음과같이지정할수있습니다. 특수문자 : & # % 영문자 : A b c D 대문자 : A B C 소문자 : a b c 숫자 : 1 2 3 영문자의최소수는대소문자결합요구사항을충족해야합니다. vsphere 6.0 이상에서는암호에서 ASCII 가아닌문자를지원합니다. vcenter Single Sign-On 이전버전에서는지원되는문자에대한제한이있습니다. 암호에허용되는인접한동일문자의최대수입니다. 숫자가 0 보다커야합니다. 예를들면 1 을입력하면 p@$$word 와같은암호가허용되지않습니다. 6 확인을클릭합니다. vcenter Single Sign-On 잠금정책편집 vcenter Single Sign-On 잠금정책은사용자가잘못된자격증명으로로그인을시도할때 vcenter Single Sign-On 계정이잠기는조건을지정합니다. 잠금정책은편집가능합니다. 사용자가잘못된암호로 vsphere.local 에로그인하려고여러번시도하면해당사용자가잠깁니다. 잠금정책을사용하면실패한최대로그인시도횟수와실패사이의허용되는경과시간을지정할수있습니다. 또한계정이자동으로잠금해제될때까지의경과시간을지정할수도있습니다. 참고잠금정책은 administrator@vsphere.local과같은시스템계정이아닌사용자계정에만적용됩니다. 1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 52 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 2 관리 > Single Sign-On > 구성을찾습니다. 3 정책탭을클릭하고잠금정책을선택합니다. 4 편집을클릭합니다. 5 매개변수를편집합니다. 옵션 설명 설명잠금정책에대한선택적설명. 실패한최대로그인시도횟수계정이잠길때까지허용되는최대로그인시도실패횟수입니다. 실패시간간격 잠금해제시간 잠금을트리거하기위해실패한로그인시도가발생해야하는기간입니다. 계정이잠김상태로유지되는기간입니다. 0 을입력하면관리자가해당계정을명시적으로잠금해제해야합니다. 6 확인을클릭합니다. vcenter Single Sign-On 토큰정책편집 vcenter Single Sign-On 토큰정책은클럭허용오차, 갱신횟수및기타토큰속성을지정합니다. 토큰사양이회사의보안표준에맞도록 vcenter Single Sign-On 토큰정책을편집할수있습니다. 1 vsphere Web Client 에로그인합니다. 2 관리 > Single Sign-On 을선택하고구성을선택합니다. 3 정책탭을클릭하고토큰정책을선택합니다. vsphere Web Client 에현재구성설정이표시됩니다. 기본설정을수정하지않은경우 vcenter Single Sign-On 은기본설정을사용합니다. 4 토큰정책구성매개변수를편집합니다. 옵션클럭허용오차토큰갱신최대횟수토큰위임최대횟수보유자토큰최대수명키소유자토큰최대수명 설명 vcenter Single Sign-On 에서허용하는클라이언트클럭과도메인컨트롤러클럭간시간차이 ( 밀리초 ) 입니다. 시간차이가지정된값보다크면 vcenter Single Sign-On 은토큰을잘못된것으로선언합니다. 토큰을갱신할수있는최대횟수입니다. 갱신최대횟수를초과한경우새보안토큰이필요합니다. 키소유자토큰은 vsphere 환경의서비스에위임할수있습니다. 위임된토큰을사용하는서비스는토큰을제공한주체대신서비스를수행합니다. 토큰요청은 DelegateTo ID 를지정합니다. DelegateTo 값은솔루션토큰또는솔루션토큰에대한참조일수있습니다. 이값은단일키소유자토큰을위임할수있는횟수를지정합니다. 보유자토큰은토큰소유여부에따라서만인증을제공합니다. 보유자토큰은단기단일작업에사용됩니다. 보유자토큰은요청을보내는사용자또는엔티티의 ID 를확인하지않습니다. 이값은토큰을재발급하기전까지의보유자토큰수명값을지정합니다. 키소유자토큰은토큰에포함된보안아티팩트를기반으로인증을제공합니다. 키소유자토큰은위임에사용될수있습니다. 클라이언트는키소유자토큰을가져와다른엔티티에위임할수있습니다. 토큰에는원래소유자와대리자를식별하기위한클레임이포함되어있습니다. vsphere 환경에서는 vcenter Server 시스템사용자대신위임된토큰을가져오고해당토큰을사용하여작업을수행합니다. 이값은토큰이잘못된것으로표시되기전까지의키소유자토큰수명을결정합니다. 5 확인을클릭합니다. VMware, Inc. 53

vcenter Single Sign-On 사용자및그룹관리 vcenter Single Sign-On 관리자는 vsphere Web Client 에서 vsphere.local 도메인의사용자및그룹을관리할수있습니다. vcenter Single Sign-On 관리자는다음작업을수행할수있습니다. vcenter Single Sign-On 사용자추가 (54 페이지 ) vsphere Web Client 의사용자탭에나열된사용자는 vsphere.local 도메인에속한 vcenter Single Sign-On 내부사용자입니다. vcenter Single Sign-On 사용자사용안함 / 사용 (55 페이지 ) vcenter Single Sign-On 사용자계정을사용하지않도록설정한경우사용자는관리자가해당계정을사용하도록설정하기전까지 vcenter Single Sign-On 서버에로그인할수없습니다. vsphere Web Client 인터페이스에서사용자를사용하거나사용하지않도록설정할수있습니다. vcenter Single Sign-On 사용자삭제 (56 페이지 ) vsphere.local 도메인에있는사용자를 vcenter Single Sign-On 에서삭제할수있습니다. 로컬운영체제사용자나다른도메인의사용자는 vsphere Web Client 에서삭제할수없습니다. vcenter Single Sign-On 사용자편집 (56 페이지 ) vsphere Web Client 에서 vcenter Single Sign-On 사용자의암호또는기타세부정보를변경할수있습니다. vsphere.local 도메인의사용자이름은바꿀수없습니다. 따라서 administrator@vsphere.local 은이름을바꿀수없습니다. vcenter Single Sign-On 그룹추가 (57 페이지 ) vcenter Single Sign-On 에서그룹탭에나열되는그룹은 vcenter Single Sign-On 내부그룹입니다. 그룹을사용하여그룹멤버 ( 주체 ) 의모음에대한컨테이너를생성할수있습니다. vcenter Single Sign-On 그룹에멤버추가 (57 페이지 ) vcenter Single Sign-On 그룹멤버는하나이상의 ID 소스에속하는사용자또는다른그룹일수있습니다. vsphere Web Client 에서새멤버를추가할수있습니다. vcenter Single Sign-On 그룹에서멤버제거 (58 페이지 ) vsphere Web Client 에서 vcenter Single Sign-On 그룹의멤버를제거할수있습니다. 로컬그룹에서멤버 ( 사용자또는그룹 ) 를제거하는경우해당멤버는시스템에서삭제되지않습니다. vcenter Single Sign-On 솔루션사용자삭제 (58 페이지 ) vcenter Single Sign-On 은솔루션사용자를표시합니다. 솔루션사용자는서비스모음입니다. 여러 vcenter Server 솔루션사용자가미리정의되고설치의일부로 vcenter Single Sign- On 에인증됩니다. 제거가완전하게완료되지않은경우와같은문제해결상황에서는 vsphere Web Client 에서개별솔루션사용자를삭제할수있습니다. vcenter Single Sign-On 암호변경 (59 페이지 ) 로컬도메인 vsphere.local 에속해있는사용자는기본적으로웹인터페이스에서자신의 vcenter Single Sign-On 암호를변경할수있습니다. 다른도메인의사용자는해당도메인의규칙에따라자신의암호를변경할수있습니다. vcenter Single Sign-On 사용자추가 vsphere Web Client 의사용자탭에나열된사용자는 vsphere.local 도메인에속한 vcenter Single Sign-On 내부사용자입니다. vsphere Web Client 의 vcenter Single Sign-On 관리인터페이스에서다른도메인을선택하고해당도메인의사용자에대한정보를볼수는있지만사용자를다른도메인에추가할수는없습니다. 54 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 홈을클릭하고관리 > Single Sign-On > 사용자및그룹으로이동합니다. 3 현재선택된도메인이 vsphere.local 이아닌경우드롭다운메뉴에서 vsphere.local 을선택합니다. 다른도메인에는사용자를추가할수없습니다. 4 사용자탭에서새사용자아이콘을클릭합니다. 5 새사용자의사용자이름과암호를입력합니다. 사용자를생성한후에는사용자이름을변경할수없습니다. 암호는시스템의암호정책요구사항을충족해야합니다. 6 ( 선택사항 ) 새사용자의성과이름을입력합니다. 7 ( 선택사항 ) 사용자의이메일주소및설명을입력합니다. 8 확인을클릭합니다. 사용자를추가하면처음에는해당사용자에게관리작업을수행할수있는권한이없습니다. 후속작업 사용자를 vsphere.local domain 의그룹 ( 예 : VMCA 를관리할수있는사용자그룹 (CAAdmins) 또는 vcenter Single Sign-On 을관리할수있는사용자그룹 (Administrators)) 에추가합니다. vcenter Single Sign-On 그룹에멤버추가, (57 페이지 ) 를참조하십시오. vcenter Single Sign-On 사용자사용안함 / 사용 vcenter Single Sign-On 사용자계정을사용하지않도록설정한경우사용자는관리자가해당계정을사용하도록설정하기전까지 vcenter Single Sign-On 서버에로그인할수없습니다. vsphere Web Client 인터페이스에서사용자를사용하거나사용하지않도록설정할수있습니다. 사용하지않도록설정된사용자계정은 vcenter Single Sign-On 시스템에서사용할수있는상태로유지되지만사용자는로그인하거나서버에서작업을수행할수없습니다. 관리자권한이있는사용자는 vcenter 사용자및그룹페이지에서사용자를사용하거나사용하지않도록설정할수있습니다. 필수조건 vcenter Single Sign-On 사용자를사용하거나사용하지않도록설정하려면 vcenter Single Sign- On 관리자그룹의멤버여야합니다. 1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 홈을클릭하고관리 > Single Sign-On > 사용자및그룹으로이동합니다. 3 사용자를선택하고사용안함아이콘을클릭한다음메시지가표시되면예를클릭합니다. 4 사용자를다시사용하도록설정하려면사용자를마우스오른쪽버튼으로클릭하고사용을선택한다음메시지가표시되면예를클릭합니다. VMware, Inc. 55

vcenter Single Sign-On 사용자삭제 vsphere.local 도메인에있는사용자를 vcenter Single Sign-On 에서삭제할수있습니다. 로컬운영체제사용자나다른도메인의사용자는 vsphere Web Client 에서삭제할수없습니다. 주의 vsphere.local 도메인의관리자를삭제하면더이상 vcenter Single Sign-On에로그인할수없습니다. 이경우 vcenter Server 및해당구성요소를다시설치해야합니다. 1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 홈을클릭하고관리 > Single Sign-On > 사용자및그룹으로이동합니다. 3 사용자탭을선택하고 vsphere.local 도메인을선택합니다. 4 사용자목록에서삭제할사용자를선택하고삭제아이콘을클릭합니다. 주의해서진행하십시오. 이작업은실행취소할수없습니다. vcenter Single Sign-On 사용자편집 vsphere Web Client 에서 vcenter Single Sign-On 사용자의암호또는기타세부정보를변경할수있습니다. vsphere.local 도메인의사용자이름은바꿀수없습니다. 따라서 administrator@vsphere.local 은이름을바꿀수없습니다. administrator@vsphere.local 과동일한권한을가진추가사용자를생성할수있습니다. vcenter Single Sign-On 사용자는 vcenter Single Sign-On vsphere.local 도메인에저장됩니다. vsphere Web Client 에서 vcenter Single Sign-On 암호정책을검토할수있습니다. administrator@vsphere.local 로로그인하고구성 > 정책 > 암호정책을선택합니다. 1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 홈을클릭하고관리 > Single Sign-On > 사용자및그룹으로이동합니다. 3 사용자탭을클릭합니다. 4 사용자를마우스오른쪽버튼으로클릭하고사용자편집을선택합니다. 5 필요에맞게사용자를변경합니다. 사용자의사용자이름은변경할수없습니다. 암호는시스템의암호정책요구사항을충족해야합니다. 6 확인을클릭합니다. 56 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 vcenter Single Sign-On 그룹추가 vcenter Single Sign-On 에서그룹탭에나열되는그룹은 vcenter Single Sign-On 내부그룹입니다. 그룹을사용하여그룹멤버 ( 주체 ) 의모음에대한컨테이너를생성할수있습니다. vsphere Web Client 관리인터페이스에서 vcenter Single Sign-On 그룹을추가하면해당그룹이 vsphere.local 도메인에추가됩니다. 1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 홈을클릭하고관리 > Single Sign-On > 사용자및그룹으로이동합니다. 3 그룹탭을선택하고새그룹아이콘을클릭합니다. 4 그룹의이름과설명을입력합니다. 그룹을생성한후에는그룹이름을변경할수없습니다. 5 확인을클릭합니다. 후속작업 그룹에멤버를추가합니다. vcenter Single Sign-On 그룹에멤버추가 vcenter Single Sign-On 그룹멤버는하나이상의 ID 소스에속하는사용자또는다른그룹일수있습니다. vsphere Web Client 에서새멤버를추가할수있습니다. Microsoft Active Directory 또는 OpenLDAP 그룹의멤버를 vcenter Single Sign-On 그룹에추가할수있습니다. 외부 ID 소스의그룹은 vcenter Single Sign-On 그룹에추가할수없습니다. vsphere Web Client 의그룹탭에나열된그룹은 vsphere.local 도메인에속합니다. vsphere.local 도메인의그룹, (27 페이지 ) 를참조하십시오. 1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 홈을클릭하고관리 > Single Sign-On > 사용자및그룹으로이동합니다. 3 그룹탭을클릭하고관리자등의그룹을클릭합니다. 4 그룹멤버영역에서멤버추가아이콘을클릭합니다. 5 그룹에추가할멤버가포함된 ID 소스를선택합니다. 6 ( 선택사항 ) 검색어를입력하고검색을클릭합니다. 7 멤버를선택하고추가를클릭합니다. 여러멤버를동시에추가할수있습니다. 8 확인을클릭합니다. VMware, Inc. 57

vcenter Single Sign-On 그룹에서멤버제거 vsphere Web Client 에서 vcenter Single Sign-On 그룹의멤버를제거할수있습니다. 로컬그룹에서멤버 ( 사용자또는그룹 ) 를제거하는경우해당멤버는시스템에서삭제되지않습니다. 1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 홈을클릭하고관리 > Single Sign-On > 사용자및그룹으로이동합니다. 3 그룹탭을선택하고그룹을클릭합니다. 4 그룹멤버목록에서제거할사용자또는그룹을선택하고멤버제거아이콘을클릭합니다. 5 확인을클릭합니다. 사용자가그룹에서는제거되지만시스템에는남아있습니다. vcenter Single Sign-On 솔루션사용자삭제 vcenter Single Sign-On 은솔루션사용자를표시합니다. 솔루션사용자는서비스모음입니다. 여러 vcenter Server 솔루션사용자가미리정의되고설치의일부로 vcenter Single Sign-On 에인증됩니다. 제거가완전하게완료되지않은경우와같은문제해결상황에서는 vsphere Web Client 에서개별솔루션사용자를삭제할수있습니다. 환경에서 vcenter Server 솔루션사용자또는타사솔루션사용자와연결된서비스집합을제거할때해당솔루션사용자가 vsphere Web Client 표시에서제거됩니다. 애플리케이션을강제로제거하거나솔루션사용자가아직시스템에있는동안시스템이복구할수없는상태가되는경우 vsphere Web Client 에서솔루션사용자를명시적으로제거할수있습니다. 중요솔루션사용자를삭제하는경우해당서비스가더이상 vcenter Single Sign-On에인증할수없습니다. 1 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자권한을가진다른사용자로 vsphere Web Client 에로그인합니다. vcenter Single Sign-On 관리자권한을가진사용자는 vsphere.local 도메인에서 Administrators 그룹에있습니다. 2 홈을클릭하고관리 > Single Sign-On > 사용자및그룹으로이동합니다. 3 솔루션사용자탭을클릭하고솔루션사용자이름을클릭합니다. 4 솔루션사용자삭제아이콘을클릭합니다. 5 예를클릭합니다. 솔루션사용자와연결된서비스가더이상 vcenter Server 에액세스할수없으며 vcenter Server 서비스로작동할수없습니다. 58 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 vcenter Single Sign-On 암호변경 로컬도메인 vsphere.local 에속해있는사용자는기본적으로웹인터페이스에서자신의 vcenter Single Sign-On 암호를변경할수있습니다. 다른도메인의사용자는해당도메인의규칙에따라자신의암호를변경할수있습니다. vcenter Single Sign-On 잠금정책은암호가만료되는시점을결정합니다. 기본적으로 vcenter Single Sign-On 사용자암호는 90 일후만료되지만 administrator@vsphere.loal 에대한암호와같은관리자암호는만료되지않습니다. vcenter Single Sign-On 관리인터페이스에는암호가만료되려고할때주의가표시됩니다. 참고암호는만료되지않은경우에만변경할수있습니다. 암호가만료된경우에는로컬도메인의관리자 ( 기본적으로 administrator@vsphere.local) 가 dir-cli password reset 명령을사용하여암호를재설정할수있습니다. vcenter Single Sign-On 도메인의관리자그룹멤버만암호를재설정할수있습니다. 1 웹브라우저에서다음 URL 을지정하여 Platform Services Controller 에연결합니다. https://psc_hostname_or_ip/psc 내장된배포에서 Platform Services Controller 호스트이름또는 IP 주소는 vcenter Server 호스트이름또는 IP 주소와동일합니다. 2 administrator@vsphere.local 또는 vcenter Single Sign-On 관리자그룹에속한다른멤버의사용자이름과암호를지정합니다. 설치시다른도메인을지정한경우에는 administrator@mydomain 으로로그인합니다. 3 위쪽탐색창에서도움말메뉴왼쪽에있는사용자의사용자이름을클릭하여풀다운메뉴를표시합니다. 또는 Single Sign-On > 사용자및그룹을선택하고마우스오른쪽버튼메뉴에서사용자편집을선택할수있습니다. 4 암호변경을선택하고현재암호를입력합니다. 5 새암호를입력하고확인을위해한번더입력합니다. 암호는암호정책을준수해야합니다. 6 확인을클릭합니다. vcenter Single Sign-On 보안모범사례 vcenter Single Sign-On 보안모범사례를따라 vsphere 환경을보호합니다. vsphere 6.0 인증및인증서인프라는 vsphere 환경의보안을향상합니다. 인프라가손상되지않도록하려면 vcenter Single Sign-On 모범사례를따릅니다. 암호만료확인 NTP 구성 기본 vcenter Single Sign-On 암호정책의암호지속시간은 90 일입니다. 90 일후에는암호가만료되고로그기능이손상됩니다. 만료를확인하고적시에암호를새로고칩니다. 모든시스템이동일한상대적시간소스 ( 관련지역화오프셋포함 ) 를사용하며상대적시간소스를합의된시간표준 ( 예 : 협정세계시 UTC) 에연관시킬수있는지확인합니다. 동기화된시스템은 vcenter Single Sign-On 인증서유효성및기타 vsphere 인증서의유효성에필수적입니다. VMware, Inc. 59

또한 NTP 는로그파일의침입자추적을용이하게합니다. 잘못된시간설정은공격을감지하기위해로그파일을검사하고연관시키기어렵게할뿐아니라감사를부정확하게할수있습니다. vcenter Single Sign-On 문제해결 vcenter Single Sign-On 구성은복잡한과정일수있습니다. 다음항목에서는 vcenter Single Sign-On 의문제해결을위한시작지점을제공합니다. 이설명서센터와 VMware 기술자료시스템에서추가포인터를검색하십시오. Lookup Service 오류의원인확인 vcenter Single Sign-On 설치에 vcenter Server 또는 vsphere Web Client 와관련된오류가표시됩니다. 문제점 vcenter Server 및 Web Client 설치관리자에 Lookup Service 에연결할수없습니다. VM_ssoreg.log 를참조하십시오. 라는오류가표시됩니다. 원인 이문제의원인은호스트시스템의클럭이동기화되지않았거나, 방화벽이차단하고있거나, 서비스를시작해야하는등여러가지입니다. 해결방법 1 vcenter Single Sign-On, vcenter Server 및 Web Client 를실행하는호스트시스템의클럭이동기화되었는지확인합니다. 2 오류메시지에나와있는특정로그파일을확인합니다. 오류메시지에서시스템임시폴더는 %TEMP% 를의미합니다. 3 해당로그파일내에서다음과같은오류메시지를검색합니다. 로그파일에는모든설치시도에대한출력메시지가포함되어있습니다. 등록공급자를초기화하는중... 이라고표시된마지막메시지를찾습니다. 메시지 java.net.connectexception: 연결시간초과 : 연결 java.net.connectexception: 연결거부 : 연결 원인및해결방법 IP 주소가잘못되었거나, 방화벽이 vcenter Single Sign-On 으로의액세스를차단하고있거나, vcenter Single Sign-On 이오버로드된경우입니다. 방화벽에의해 vcenter Single Sign-On 포트 ( 기본값 : 7444) 가차단되고있지않은지확인하고, vcenter Single Sign-On 이설치되어있는시스템에사용가능한 CPU, I/O 및 RAM 용량이충분한지확인합니다. IP 주소또는 FQDN 이잘못되었고 vcenter Single Sign-On 서비스가아직시작되지않았거나, 시작된지 1 분이지나지않은경우입니다. vcenter Single Sign-On 서비스 (Windows) 및 vmware-sso 데몬 (Linux) 의상태를확인하여 vcenter Single Sign-On 이작동중인지확인합니다. 서비스를다시시작합니다. 이렇게해서문제를해결할수없으면 vsphere 문제해결가이드의복구섹션을참조하십시오. 60 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 메시지 예기치않은상태코드 : 404. 초기화하는동안 SSO Server 에서오류가발생함 UI 에나와있는오류가 vcenter Single Sign-On 에연결할수없습니다. 로시작하는경우입니다. 원인및해결방법 vcenter Single Sign-On 을다시시작합니다. 이렇게해서문제를해결할수없으면 vsphere 문제해결가이드의복구섹션을참조하십시오. 또한 SslHandshakeFailed 라는반환코드도표시됩니다. 이는일반적으로발생하지않는오류로, vcenter Single Sign-On 호스트에서확인하도록지정한 IP 주소나 FQDN 이 vcenter Single Sign-ON 을설치할때사용한것과다르다는것을나타냅니다. %TEMP%\VM_ssoreg.log 에서다음메시지가포함된줄을찾습니다. 인증서에포함된호스트이름이일치하지않습니다. < 구성된 FQDN 또는 IP>!= <A>, <B> 또는 <C> 를설치하십시오. 여기서 A 는 vcenter Single Sign-On 을설치할때입력한 FQDN 이며, B 와 C 는시스템에서대신사용할수있게생성된 FQDN 입니다. 로그파일에서!= 기호의오른쪽에나와있는 FQDN 을사용하도록구성을수정합니다. 대부분의경우 vcenter Single Sign-On 설치시지정한 FQDN 을사용합니다. 사용할수있는대체 FQDN 이네트워크구성에없는경우에는 vcenter Single Sign-On SSL 구성을복구해야합니다. Active Directory 도메인인증을사용하여로그인할수없음 vsphere Web Client 에서 vcenter Server 구성요소에로그인합니다. Active Directory 사용자이름및암호를사용합니다. 인증이실패합니다. 문제점 Active Directory ID 소스를 vcenter Single Sign-On 에추가해도사용자가 vcenter Server 에로그인할수없습니다. 원인 사용자가사용자이름및암호를사용하여기본도메인에로그인합니다. 다른모든도메인에로그인할때는도메인이름을포함해야합니다 (user@domain 또는 DOMAIN\user). vcenter Server Appliance 를사용하는경우에는다른문제가발생할수도있습니다. 해결방법 모든 vcenter Single Sign-On 배포에대해기본 ID 소스를변경할수있습니다. 변경후사용자는사용자이름및암호만사용하여기본 ID 소스에로그인할수있습니다. Active Directory 포리스트내에하위도메인을가진통합 Windows 인증 ID 소스를구성하려면 VMware 기술자료문서 2070433 을참조하십시오. 기본적으로통합 Windows 인증은 Active Directory 포리스트의루트도메인을사용합니다. vcenter Server Appliance 를사용하며기본 ID 소스를변경한후에도문제가해결되지않으면다음과같은추가문제해결단계를수행합니다. 1 vcenter Server Appliance 와 Active Directory 도메인컨트롤러간에클럭을동기화합니다. 2 각도메인컨트롤러의 PTR( 포인터레코드 ) 가 Active Directory 도메인 DNS 서비스에있으며 PTR 레코드정보가컨트롤러의 DNS 이름과일치하는지확인합니다. vcenter Server Appliance 를사용하는경우다음명령을실행하여작업을수행할수있습니다. a 도메인컨트롤러를나열하려면다음명령을실행합니다. # dig SRV _ldap._tcp.my-ad.com 다음예와같이관련주소가응답섹션 (ANSWER SECTION) 에표시됩니다. ;; ANSWER SECTION: _ldap._tcp.my-ad.com. (...) my-controller.my-ad.com... VMware, Inc. 61

b 각도메인컨트롤러에대해다음명령을실행하여정방향및역방향분석을확인합니다. # dig my-controller.my-ad.com 다음예와같이관련주소가응답섹션 (ANSWER SECTION) 에표시됩니다. ;; ANSWER SECTION: my-controller.my-ad.com (...) IN A controller IP address... # dig -x <controller IP address> 다음예와같이관련주소가응답섹션 (ANSWER SECTION) 에표시됩니다. ;; ANSWER SECTION: IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com... 3 이렇게해도문제가해결되지않으면 vcenter Server Appliance 를 Active Directory 도메인에서제거한후도메인에다시가입합니다. vcenter Server Appliance 구성설명서를참조하십시오. 4 vcenter Server Appliance 에연결된모든브라우저세션을닫고모든서비스를다시시작합니다. /bin/service-control --restart --all 사용자계정잠김으로인한 vcenter Server 로그인실패 vsphere Web Client 로그인페이지에서 vcenter Server 에로그인할때계정이잠겨있다는오류가발생합니다. 문제점 몇차례의로그인시도가실패하면 vcenter Single Sign-On 을사용하여 vsphere Web Client 에로그인할수없습니다. 이경우계정이잠겼다는메시지가표시됩니다. 원인 실패한최대로그인시도횟수를초과한것입니다. 해결방법 시스템도메인 (vsphere.local) 의사용자로로그인하는경우 vcenter Single Sign-On 관리자에게계정잠금해제를요청하십시오. 아니면암호정책에서잠금이만료되도록설정되어있는경우계정의잠금이해제될때까지기다릴수도있습니다. vcenter Single Sign-On 관리자는 CLI 명령을사용하여계정의잠금을해제할수있습니다. Active Directory 또는 LDAP 도메인의사용자로로그인하는경우 Active Directory 또는 LDAP 관리자에게계정잠금해제를요청하십시오. 62 VMware, Inc.

2 장 vcenter Single Sign-On 으로 vsphere 인증 VMware 디렉토리서비스복제에시간이많이걸릴수있음 환경에여러개의 Platform Services Controller 인스턴스가있으면 Platform Services Controller 인스턴스중하나를사용할수없더라도환경은계속작동합니다. Platform Services Controller 이다시사용가능한상태가되면사용자데이터및기타정보는일반적으로 60 초내에복제됩니다. 하지만특별한상황에서는복제에시간이많이걸릴수있습니다. 문제점 환경내여러위치에여러개의 Platform Services Controller 인스턴스가있을때 Platform Services Controller 하나를사용할수없는상황에서많은변경작업을수행하면, VMware 디렉토리서비스인스턴스전체에복제가곧바로표시되지않습니다. 예를들어다른인스턴스에서사용가능상태의 Platform Services Controller 인스턴스에새사용자를추가한경우복제완료전까지는새사용자가표시되지않습니다. 원인 정상작동중에는한 Platform Services Controller 인스턴스 ( 노드 ) 의 vmdir(vmware Directory Service) 인스턴스를변경하면이변경내용은약 60 초내에직접복제파트너에표시됩니다. 복제토폴로지에따라한노드의변경내용을중간노드를통해전파해야각노드의각 vmdir 인스턴스에도착할수도있습니다. 복제되는정보에는사용자정보, 인증서정보, VMware VMotion 으로생성, 복제또는마이그레이션되는가상시스템의라이센스정보등이포함됩니다. 네트워크가중단되거나노드를사용할수없는등과같은이유로복제링크가끊기면페더레이션의변경내용이융합되지않습니다. 사용할수없는노드가복원되면각노드는모든변경내용을가져오려고시도합니다. 결과적으로모든 vmdir 인스턴스가일관된상태로융합되지만하나의노드를사용할수없는기간동안많은변경이발생한경우에는일관된상태가될때까지시간이걸릴수있습니다. 해결방법 복제수행중에도환경은정상적으로작동합니다. 1 시간넘게지속되는경우가아니면문제해결을시도하지마십시오. VMware, Inc. 63

64 VMware, Inc.

인증서 3 vsphere 구성요소는 SSL 을사용하여서로간에그리고 ESXi 와보안통신을합니다. SSL 통신을사용하면데이터기밀성과무결성이보장됩니다. 또한데이터가보호되며전송중감지되지않은채로수정될수없습니다. 인증서는 vsphere Web Client 같은 vcenter Server 서비스가 vcenter Single Sign-On 에초기인증을수행할때도사용됩니다.vCenter Single Sign-On 은구성요소가이후인증에사용할수있는 SAML 토큰을각구성요소에프로비저닝합니다. vsphere 6.0 이상에서 VMCA(VMware Certificate Authority) 는각 ESXi 호스트와각 vcenter Server 서비스에 VMCA 서명이있는인증서를기본적으로할당합니다. 기존인증서를새 VMCA 서명인증서로교체하거나, VMCA 를하위 CA 로지정하거나, 모든인증서를사용자지정인증서로교체할수있습니다. 다음과같이여러가지옵션이있습니다. 표 3 1. 여러가지인증서교체방법 옵션 Platform Services Controller 웹인터페이스 (vsphere 6.0 업데이트 1 이상 ) 를사용합니다. 명령줄에서 vsphere Certificate Manager 유틸리티를사용합니다. 자세한내용은 Platform Services Controller 웹인터페이스를사용하여인증서관리, (80 페이지 ) vsphere Certificate Manager 유틸리티를사용하여인증서관리, (87 페이지 ) CLI 명령을사용하여수동으로인증서를교체합니다. CLI 명령으로인증서및서비스관리, (123 페이지 ) vsphere 인증서관리 (http://link.brightcove.com/services/player/bcpid2296383276001? bctid=ref:video_vsphere6_cert_infrastructure) 이장에서는다음주제에대해설명합니다. 다양한솔루션경로에대한인증서요구사항, (66 페이지 ) 인증서관리개요, (69 페이지 ) Platform Services Controller 웹인터페이스를사용하여인증서관리, (80 페이지 ) vsphere Certificate Manager 유틸리티를사용하여인증서관리, (87 페이지 ) 수동인증서교체, (96 페이지 ) CLI 명령으로인증서및서비스관리, (123 페이지 ) vsphere Web Client 를사용하여 vcenter 인증서보기, (138 페이지 ) vcenter 인증서만료경고의임계값설정, (138 페이지 ) VMware, Inc. 65

다양한솔루션경로에대한인증서요구사항 인증서요구사항은 VMCA 를중간 CA 로사용하는지, 아니면사용자지정인증서를사용하는지에따라달라집니다. 또한시스템인증서와솔루션사용자인증서간에요구사항이다릅니다. 시작하기전에환경의모든노드에서시간이동기화되는지확인합니다. 가져온모든인증서에대한요구사항 키크기 : 2048 비트이상 (PEM 인코딩 ) PEM 형식. VMware 는 PKCS8 및 PKCS1(RSA 키 ) 을지원합니다. 키가 VECS 에추가되면추가된키가 PKCS8 로변환됩니다. x509 버전 3 SubjectAltName 에는 DNS Name=machine_FQDN 이포함되어야합니다. CRT 형식 다음과같은키사용이포함되어있습니다. 디지털서명, 부인방지, 키암호화 고급키사용에클라이언트인증과서버인증을포함하면안됩니다. VMCA 는다음인증서를지원하지않습니다. 와일드카드가있는인증서 알고리즘 md2withrsaencryption 1.2.840.113549.1.1.2, md5withrsaencryption 1.2.840.113549.1.1.4 및 sha1withrsaencryption 1.2.840.113549.1.1.5 는권장되지않습니다. 또한 RSASSA-PSS(OID 1.2.840.113549.1.1.10) 알고리즘은지원되지않습니다. 인증서의 RFC 2253 규정준수 인증서는 RFC 2253 규정을준수해야합니다. Certificate Manager 를사용하여 CSR 을생성하지않는경우 CSR 에다음필드가포함되어있어야합니다. 문자열 CN L ST O OU C STREET DC UID X.500 AttributeType commonname localityname stateorprovincename organizationname organizationalunitname countryname streetaddress domaincomponent userid Certificate Manager 를사용하여 CSR 을생성하는경우다음정보를묻는메시지가나타나며 Certificate Manager 에서해당필드를 CSR 파일에추가합니다. 연결하는 vcenter Single Sign-On 도메인의관리자또는 dministrator@vsphere.local 사용 자의암호 외부 Platform Services Controller 가있는환경에서 CSR 을생성할경우 Platform Services Controller 의호스트이름또는 IP 주소를입력하라는메시지가표시됩니다. 66 VMware, Inc.

3 장 vsphere 보안인증서 Certificate Manager 가 certool.cfg 파일에저장하는정보대부분의필드에서기본값을수락하거나사이트별값을제공할수있습니다. 시스템의 FQDN 은필수항목입니다. administrator@vsphere.local 의암호 두글자의국가코드 회사이름 조직이름 조직구성단위 상태 구 / 군 / 시 IP 주소 ( 선택사항 ) 이메일 호스트이름, 즉인증서를교체하려고하는시스템의정규화된도메인이름. 호스트이름이 FQDN 과일치하지않으면인증서교체가올바르게완료되지않으며환경이불안정한상태가될수있습니다. vcenter Server ( 관리 ) 노드에서명령을실행하는경우 Platform Services Controller 의 IP 주소 VMCA 를중간 CA 로사용하는경우의요구사항 VMCA 를중간 CA 로사용하는경우인증서가다음요구사항을충족해야합니다. VMware, Inc. 67

인증서유형 인증서요구사항 루트인증서 vsphere Certificate Manager 를사용하여 CSR 을생성할수있습니다. vsphere Certificate Manager 를사용하여 CSR 생성및루트인증서 ( 중간 CA) 준비, (89 페이지 ) 의내용을참조하십시오. CSR 을수동으로생성하려는경우에는서명을위해보내는인증서가다음요구사항을충족해야합니다. 키크기 : 2048 비트이상 PEM 형식. VMware 는 PKCS8 및 PKCS1(RSA 키 ) 을지원합니다. 키가 VECS 에추가되면추가된키가 PKCS8 로변환됩니다. x509 버전 3 사용자지정인증서를사용하는경우 CA 확장을루트인증서에대해 true 로설정해야하며인증서서명이요구사항목록에있어야합니다. CRL 서명을사용하도록설정해야합니다. 고급키사용에클라이언트인증또는서버인증을포함하면안됩니다. 인증서체인의길이에대한명시적제한이없습니다. VMCA 는 OpenSSL 기본값인 10 개의인증서를사용합니다. 와일드카드또는 2 개이상의 DNS 이름이있는인증서는지원되지않습니다. VMCA 의부수적인 CA 를생성할수없습니다. Microsoft CA( 인증기관 ) 를사용하는예는 VMware 기술자료문서 2112009, Creating a Microsoft Certificate Authority Template for SSL certificate creation in vsphere 6.0(vSphere 6.0 에서 SSL 인증서생성에사용할 Microsoft CA( 인증기관 ) 템플릿생성 ) 을참조하십시오. 시스템 SSL 인증서 솔루션사용자인증서 vsphere Certificate Manager 를사용하여 CSR 을생성하거나수동으로 CSR 을생성할수있습니다. CSR 을수동으로생성하는경우위의가져온모든인증서에대한요구사항목록에나온요구사항을충족해야합니다. 또한호스트의 FQDN 을지정해야합니다. vsphere Certificate Manager 를사용하여 CSR 을생성하거나수동으로 CSR 을생성할수있습니다. 참고각솔루션사용자의이름에다른값을사용해야합니다. 인증서를수동으로생성하는경우사용하는도구에따라주체아래에 CN으로표시될수있습니다. vsphere Certificate Manager 를사용하는경우각솔루션사용자에대한인증서정보를입력하라는메시지가표시됩니다. vsphere Certificate Manager 가이정보를 certool.cfg 에저장합니다. Certificate Manager 에서요청하는정보를참조하십시오. 사용자지정인증서에대한요구사항 사용자지정인증서를사용하려면인증서가다음요구사항을충족해야합니다. 68 VMware, Inc.

3 장 vsphere 보안인증서 인증서유형 시스템 SSL 인증서 솔루션사용자인증서 인증서요구사항 각노드의시스템 SSL 인증서는타사또는엔터프라이즈 CA 에서받은별도의인증서를가져야합니다. vsphere Certificate Manager 를사용하여 CSR 을생성하거나수동으로생성할수있습니다. CSR 은위의가져온모든인증서에대한요구사항목록에나온요구사항을충족해야합니다. vsphere Certificate Manager 를사용하는경우각솔루션사용자에대한인증서정보를입력하라는메시지가표시됩니다. vsphere Certificate Manager 가이정보를 certool.cfg 에저장합니다. Certificate Manager 에서요청하는정보를참조하십시오. 대부분의필드에서기본값을수락하거나사이트별값을제공할수있습니다. 시스템의 FQDN 은필수항목입니다. 각노드의각솔루션사용자는타사또는엔터프라이즈 CA 에서받은별도의인증서를가져야합니다. vsphere Certificate Manager 를사용하여 CSR 을생성하거나직접준비할수있습니다. CSR 은위의가져온모든인증서에대한요구사항목록에나온요구사항을충족해야합니다. vsphere Certificate Manager 를사용하는경우각솔루션사용자에대한인증서정보를입력하라는메시지가표시됩니다. vsphere Certificate Manager 가이정보를 certool.cfg 에저장합니다. Certificate Manager 에서요청하는정보를참조하십시오. 참고각솔루션사용자의이름에다른값을사용해야합니다. 인증서를수동으로생성하는경우사용하는도구에따라주체아래에 CN으로표시될수있습니다. 이후에솔루션사용자인증서를사용자지정인증서로교체하는경우타사 CA 의전체서명인증서체인을제공해야합니다. 참고사용자지정인증서에는 CRL 배포지점, 기관정보액세스또는인증서템플릿정보를사용하지마십시오. 인증서관리개요 새인증서인프라가미치는영향은환경의요구사항, 새로설치중인지업그레이드중인지, ESXi 또는 vcenter Server 중무엇을고려중인지에따라달라집니다. VMware 인증서를교체하지않는관리자 현재 VMware 인증서를교체중이지않은관리자인경우 VMCA 가모든인증서관리를처리할수있습니다. VMCA 는 VMCA 를루트인증기관으로사용하는인증서로 vcenter Server 구성요소와 ESXi 호스트를프로비저닝합니다. 이전버전의 vsphere 에서 vsphere 6 로업그레이드중인경우에는자체서명된모든인증서가 VMCA 에의해서명된인증서로교체됩니다. VMware, Inc. 69

VMware 인증서를사용자지정인증서로교체하는관리자 새로설치시관리자는회사정책에따라타사또는엔터프라이즈인증기관이서명한인증서가필요하거나사용자지정인증서정보가필요한경우다음중에서선택할수있습니다. VMCA 루트인증서를 CA 서명된인증서로교체합니다. 이시나리오에서 VMCA 인증서는이타사 CA 의중간인증서입니다. VMCA 는전체인증서체인이포함된인증서로 vcenter Server 구성요소와 ESXi 호스트를프로비저닝합니다. 회사정책에따라체인에중간인증서가허용되지않는경우에는인증서를명시적으로교체해야합니다. vsphere Certificate Manager 유틸리티를사용하거나관리 CLI 를사용한수동인증서교체를수행할수있습니다. 사용자지정인증서를사용하는환경을업그레이드할때는일부인증서를유지할수있습니다. ESXi 호스트는업그레이드중자체사용자지정인증서를유지합니다. vcenter Server 업그레이드프로세스에서모든관련루트인증서를 vcenter Server 에서 VECS 의 TRUSTED_ROOTS 저장소에추가해야합니다. vcenter Server 업그레이드후에는관리자가인증서모드를사용자지정으로설정할수있습니다 ( 인증서모드변경, (170 페이지 ) 참조 ). 인증서모드가기본값인 VMCA 일때사용자가 vsphere Web Client 에서인증서새로고침을수행하면 VMCA 서명인증서가사용자지정인증서를교체합니다. vcenter Server 구성요소의경우수행되는작업은기존환경에따라달라집니다. 단순설치를내장된배포로업그레이드하는경우에는 vcenter Server 사용자지정인증서가유지됩니다. 업그레이드후환경은이전처럼작동합니다. vcenter Single Sign-On 과 vcenter Server 구성요소가서로다른시스템에있는다중사이트배포를업그레이드하는경우, 업그레이드프로세스에서는 Platform Services Controller 노드와하나이상의관리노드가포함된다중노드배포를생성합니다. 이시나리오에서는기존 vcenter Server 및 vcenter Single Sign-On 인증서가유지되며시스템 SSL 인증서로사용됩니다. VMCA 는 VMCA 서명인증서를각솔루션사용자 (vcenter 서비스모음 ) 에게할당합니다. 솔루션사용자는이인증서를 vcenter Single Sign-On 에인증하는용도로만사용하므로솔루션사용자인증서를교체할필요가없을수있습니다. 새로운아키텍처로인해서비스배포와교체가달라졌기때문에 vsphere 5.5 설치에사용가능했던 vsphere 5.5 인증서교체도구를더이상사용할수없습니다. 대부분의인증서관리작업에새로운명령줄유틸리티인 vsphere Certificate Manager 를사용할수있습니다. vcenter 인증서인터페이스 vcenter Server 의경우다음의도구및인터페이스를사용하여인증서를보고교체할수있습니다. vsphere Certificate Manager 유틸리티 인증서관리 CLI vsphere Web Client 인증서관리 일반적인인증서교체작업모두를명령줄에서수행합니다. dir-cli, certool 및 vecs-cli 를사용하여모든인증서관리작업을수행합니다. 만료정로를포함하여인증서를봅니다. ESXi 의경우 vsphere Web Client 에서인증서관리를수행합니다. 인증서는 VMCA 에의해프로비저닝되며 vmdir 또는 VECS 가아니라 ESXi 호스트에만로컬로저장됩니다. ESXi 호스트에대한인증서관리, (163 페이지 ) 를참조하십시오. 70 VMware, Inc.

3 장 vsphere 보안인증서 지원되는 vcenter 인증서 vcenter Server, Platform Services Controller, 관련시스템및서비스의경우다음인증서가지원됩니다. VMCA(VMware 인증기관 ) 에서생성하고서명한인증서. 사용자지정인증서. 자체내부 PKI 에서생성된엔터프라이즈인증서. Verisign, GoDaddy 등과같은외부 PKI 가생성한타사 CA 서명인증서. 루트 CA 없이 OpenSSL 을사용하여생성된자체서명인증서는지원되지않습니다. 인증서교체개요 구성하는시스템에대한요구사항과회사정책에따라다양한유형의인증서교체를수행할수있습니다. vsphere Certificate Manager 유틸리티를사용하거나설치에포함된 CLI 를사용하여수동으로각각의교체를수행할수있습니다. 기본인증서를교체할수있습니다. vcenter Server 구성요소의경우설치에포함된명령줄도구집합을사용할수있습니다. 여러옵션이있습니다. VMCA 에서서명한인증서로교체 VMCA 인증서가만료되거나다른이유로인증서를교체하려는경우인증서관리 CLI 를사용하여해당프로세스를수행할수있습니다. 기본적으로 VMCA 루트인증서는 10 년후에만료되고 VMCA 에서서명한모든인증서는루트인증서가만료될때즉최대 10 년후에만료됩니다. 그림 3 1. VMCA 에서서명한인증서가 VECS 에저장됨 VMCA 서명됨 CA-Cert Machine-Cert VECS VMware, Inc. 71

VMCA 를중간 CA 로만들기 VMCA 루트인증서를엔터프라이즈 CA 또는타사 CA 에서서명한인증서로교체할수있습니다. VMCA 는인증서를프로비저닝하고 VMCA 를중간 CA 로만들때마다사용자지정루트인증서에서명합니다. 참고외부 Platform Services Controller가포함된새로설치를수행하는경우먼저 Platform Services Controller를설치한다음 VMCA 루트인증서를교체합니다. 다음으로다른서비스를설치하거나환경에 ESXi 호스트를추가합니다. 내장된 Platform Services Controller로새로설치를수행하는경우 ESXi 호스트를추가하기전에 VMCA 루트인증서를교체합니다. 그렇게하면모든인증서가전체체인에의해서명되고새인증서를생성하지않아도됩니다. 그림 3 2. 타사또는엔터프라이즈 CA 에서서명한인증서가 VMCA 를중간 CA 로사용 VMCA VMware vsphere 서명됨 서명됨 서명됨 루트 CA-Cert 엔터프라이즈 CA-Cert CA-Cert Machine-Cert VECS VMCA 사용안함, 사용자지정인증서로프로비저닝 사용자지정인증서로기존 VMCA 서명된인증서를교체할수있습니다. 해당접근방식을사용하는경우모든인증서프로비저닝및모니터링에대한책임이있습니다. 72 VMware, Inc.

3 장 vsphere 보안인증서 그림 3 3. 외부인증서가 VECS 에직접저장됨 VMCA VMware vsphere 서명됨 외부 CA ( 상용또는엔터프라이즈 ) 사용되지않음 Machine-Cert VECS 하이브리드배포 VMCA 가인증서중일부를제공하도록하면서인프라의다른부분에사용자지정인증서를사용할수있습니다. 예를들어솔루션사용자인증서는 vcenter Single Sign-On 에인증하는데에만사용되므로 VMCA 를통해이러한인증서를프로비저닝하는것을고려합니다. 모든 SSL 트래픽을보호하려면사용자지정인증서로시스템 SSL 인증서를교체합니다. ESXi 인증서교체 ESXi 호스트의경우 vsphere Web Client 에서인증서프로비저닝동작을변경할수있습니다. VMware 인증기관모드 ( 기본값 ) 사용자지정인증기관모드 지문모드 vsphere Web Client 에서인증서를갱신하는경우 VMCA 는해당호스트에대한인증서를발급합니다. 인증서체인을포함하도록 VMCA 루트인증서를변경한경우호스트인증서에는전체체인이포함됩니다. VMCA 에서서명하거나발급하지않은인증서를수동으로업데이트하고사용할수있습니다. 새로고침동안 5.5 인증서를유지하는데사용할수있습니다. 디버깅상황에서만일시적으로이모드를사용합니다. vsphere 6.0 에서인증서를사용하는위치 vsphere 6.0 이상에서는 VMCA(VMware 인증기관 ) 가인증서로사용자환경을프로비저닝합니다. 여기에는보안연결을위한시스템 SSL 인증서, vcenter Single Sign-On 에인증하기위한솔루션사용자인증서및 vcenter Server 에추가된 ESXi 호스트용인증서가포함됩니다. 다음의인증서가사용됩니다. 표 3 2. vsphere 6.0 의인증서 인증서프로비저닝주체저장위치 ESXi 인증서 VMCA( 기본값 ) ESXi 호스트에로컬로 시스템 SSL 인증서 VMCA( 기본값 ) VECS 솔루션사용자인증서 VMCA( 기본값 ) VECS VMware, Inc. 73