© 2004-2012 CoSoSys Ltd. www.EndpointProtector.com

Endpoint Protector 4 Active Directory 활용하기

㈜코소시스코리아 대표 강영호

Gabriel.Kang@CoSoSys.co.kr, 010-2025-0586

2013년 4월 1일

© 2004-2012 CoSoSys Ltd. www.EndpointProtector.com

Active Directory 활용의 목적

Endpoint Protector에서 Active Directory를 사용하면 다음과 같은 작업이 쉽습니다.

각각의 등록 정보 아래에 해당 정보를 다루기 위한 주의사항을 적었습니다. 참고 하세요.

AD 사용자를 EPP 서버에 등록, PC에는 Active Directory에서 알지 못하는 PC의 Local 계정 사용자도 항상 존재 할 수 있습니다.

Mac OS X, Linux 등 OS의 사용자들은 대부분 Active Directory에 존재하지 않습니다.

AD DB를 사용해서 사용자들을 EPP 서버에 미리 등록하고, PC에서 주변기기/인터넷/프로그램 등을 사용한 정보 반출의 정책을 미리 정할 수 있습니다.

AD 컴퓨터를 EPP 서버에 등록, PC 중에는 Active Directory에 등록되지 않는 PC도 항상 존재 할 수 있습니다.

Mac OS X, Linux 등 OS의 PC /서버들은 대부분 Active Directory를 사용하지 않습니다.

AD에 등록된 PC들을 EPP 서버에 등록하고 주변기기/인터넷/프로그램 등을 사용한 정보 반출의 정책을 미리 정할 수 있습니다.

AD 그룹을 EPP 서버에 등록, EPP 서버에서 직접 만들어진 Active Directory에서 사용하지 않는 그룹도 있습니다.

필요에 따라서 그룹은 얼마던 만들거나 지워질 수 있습니다.

AD를 사용해서 그룹들을 미리 등록하고 PC와 주변기기 및 인터넷 등을 사용한 정보 반출의 정책을 미리 정할 수 있습니다.

AD Sync를 통한 AD 변동을 반영, AD가 등록한 그룹을 삭제하면 복구 할 수 없는 경우가 있습니다.

Active Directory Sync 사용하지 않는 PC의 Local 계정 사용자도 항상 존재 할 수 있습니다.

Mac OS X, Linux 등의 사용자는 대부분 Active Directory를 사용하지 않습니다.

AD를 통한 에이전트 배포 및 삭제가 가능. AD를 사용한 EPP Client Agent 배포 및 삭제는 가장 권장하는 에이전트 배포 방식입니다.

Active Directory를 사용하지 않는 PC에도 배포를 하여 주십시오.

설치 유도는 “설치”가 아닙니다. 반드시 모든 Client에서 설치를 확인하시고, 완료 후에는 삭제 방지 암호를 설정합니다.

© 2004-2012 CoSoSys Ltd. www.EndpointProtector.com

Active Directory 사용 준비

Active Directory는 복잡한 DB로써 Endpoint Protector가 사용하지 않는 많은 구성 요소가 있고, 이런 불필요한 것들을 사용하지 않도록 세심하게 AD의 자료를 처리해야 합니다.

AD 서버에서 “ldp.exe” 명령을 타이핑하면 ldap 구조를 볼 수 있습니다. [연결(C) – 연결 (C)…] 후에 [연결(C) – 바인딩(B)] 하고 [보기(V) – 트리(T)]합니다. 읽을 [OU=]를 마우스 우측 버튼으로 누르고 [DN복사(P)]를 하면 해당 이름을 복사합니다. 예: 사용자만 가져오기 -> “OU=SBSUsers,OU=Users,OU=MyBusiness,DC=cososys,DC=local”

ldp 화면

© 2004-2012 CoSoSys Ltd. www.EndpointProtector.com

Active Directory 가져오기

AD DB 속에 있는 사용자/컴퓨터/그룹 정보를 읽어 들이기 위해서 사용합니다.

OU=MyBusiness,DC=cososys,DC=local

위 DN은 필요한 정보만을 EPP로 읽어 들이기 위해서 조심스럽게 선택 되었습니다.

© 2004-2012 CoSoSys Ltd. www.EndpointProtector.com

Active Directory 가져오기

AD 가져오기는 주어진 DN의 모든 요소를 브라우저에 표시합니다. DN의 구성이 방대한 경우 브라우저의 표시 한계를 벗어 날 수 있습니다. 이런 경우에는 AD 동기화를 사용하세요.

- 전체 AD의 일부 DN을 가지고 왔지만 여전히 모두 필요한 것은 아닙니다. - 트리 구조를 보면서 EPP 서버에 입력할 Computers, Groups, Users를 찾아서 해당 대상들이 모두 속한 최상위 요소의 이름에 V 마크 합니다.

© 2004-2012 CoSoSys Ltd. www.EndpointProtector.com

Active Directory 동기화

AD DB 속에 있는 특정 사용자/컴퓨터/그룹 정보를 주기적으로 읽어 들입니다.

• AD 동기화가 AD DB의 모든 내용을 읽어 들이지 않는 점을 주목하십시오. DLP에서 AD의 객체들을 모두 읽어 들이는 것은 상황을 복잡하게 만들 수 있습니다.

• 꼭 필요한 대상을 지정해서 그 대상에 적합한 최적의 주기로 AD의 객체를 가지고 와서 DLP의 객체에 통합하는 작업을 하는 것이 동기화입니다.

• ldp 프로그램 등을 통해서 AD 객체를 확인하고 검증된 DN을 사용하는 것이 필요합니다.

© 2004-2012 CoSoSys Ltd. www.EndpointProtector.com

Active Directory 동기화

필요한 대상을 지정하고, 가장 적절한 동기화 주기를 설정하고 저장합니다. Active Directory 동기화 작업은 필요한 만큼 반복 할 수 있고 불필요한 것은 삭제 할 수 있습니다.

© 2004-2012 CoSoSys Ltd. www.EndpointProtector.com

Active Directory 동기화

Security Groups의 보안 그룹을 읽어 들이고, 사용자들을 읽어 들이는 작업을 매 1시간 간격으로 하도록 설정 하였습니다. 이상은 3가지 대상을 2개의 AD 동기화로 설정한 예입니다. 1개의 동기화 혹은 3개의 동기화로 표현 될 수도 있습니다.

© 2004-2012 CoSoSys Ltd. www.EndpointProtector.com

Active Directory 가져오기/동기화 결과

PC의 Local 계정 Active Directory 동기화 기능으로 가져온 계정

AD 동기화 실행 기록

Active Directory에서 전달된 사용자/컴퓨터/그룹은 “도메인”으로 구별이 됩니다.

- 삭제는 User -> Groups 순서로 합니다. 일단 삭제되면 동기화로 복구 되지 않습니다.

© 2004-2012 CoSoSys Ltd. www.EndpointProtector.com

국내외 리퍼런스 및 수상 기록

Our Customers Awards