4 단계 RSA 및 EDGE1 설치 및 구성

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

RSA는 RADIUS 및 otp 서버 이며 RADIUS 및 OTP를 구성 하기 전에 설치 됩니다.

다음 단계를 수행 하 여 RSA 배포를 구성 합니다.

  1. RSA 서버에 운영 체제를 설치 합니다. RSA 서버에 Windows Server 2016, Windows Server 2012 R2 또는 Windows Server 2012를 설치 합니다.

  2. RSA에서 TCP/IP를 구성 합니다. RSA 서버에서 TCP/IP 설정을 구성 합니다.

  3. RSA 서버에 인증 관리자 설치 파일을 복사 합니다. RSA에 운영 체제를 설치한 후에는 인증 관리자 파일을 RSA 컴퓨터로 복사 합니다.

  4. RSA 서버를 CORP 도메인에 가입 시킵니다. RSA를 CORP 도메인에 가입 시킵니다.

  5. RSA에서 Windows 방화벽을 사용 하지 않도록 설정 합니다. RSA 서버에서 Windows 방화벽을 사용 하지 않도록 설정 합니다.

  6. Rsa 서버에 RSA 인증 관리자를 설치 합니다. RSA 인증 관리자를 설치 합니다.

  7. RSA 인증 관리자를 구성 합니다. 인증 관리자를 구성 합니다.

  8. DAProbeUser를 만듭니다. 검색을 위해 사용자 계정을 만듭니다.

  9. C l i e n t 1에 RSA SecurID 소프트웨어 토큰을 설치 합니다. C l i e n t 1에 RSA SecurID 소프트웨어 토큰을 설치 합니다.

  10. EDGE1를 RSA 인증 에이전트로 구성 합니다. EDGE1에서 RSA 인증 에이전트를 구성 합니다.

  11. OTP 인증을 지원 하도록 EDGE1을 구성 합니다. DirectAccess에 대해 OTP를 구성 하 고 구성을 확인 합니다.

RSA 서버에 운영 체제 설치

  1. RSA에서 Windows Server 2016, Windows Server 2012 R2 또는 Windows Server 2012 설치를 시작 합니다.

  2. 지침에 따라 설치를 완료 하 고 Windows Server 2016, Windows Server 2012 R2 또는 Windows Server 2012 (전체 설치)를 지정 하 고 로컬 관리자 계정에 대 한 강력한 암호를 지정 합니다. 로컬 관리자 계정을 사용하여 로그온합니다.

  3. 커넥트 인터넷에 액세스할 수 있는 네트워크에 RSA를 사용 하 고 Windows 업데이트를 실행 하 여 Windows Server 2016, Windows Server 2012 R2 또는 Windows Server 2012에 대 한 최신 업데이트를 설치한 다음 인터넷 연결을 끊습니다.

  4. 커넥트 RSA를 Corpnet 서브넷에 연결할 수 있습니다.

RSA에서 TCP/IP 구성

  1. 초기 구성 작업에서 네트워킹 구성을 클릭 합니다.

  2. 네트워크 연결에서 로컬 영역 연결을 마우스 오른쪽 단추로 클릭 한 다음 속성을 클릭 합니다.

  3. 인터넷 프로토콜 버전 4(TCP/IPv4)를 클릭하고 속성을 클릭합니다.

  4. 다음 IP 주소 사용을 클릭합니다. IP 주소10.0.0.5를 입력합니다. 서브넷 마스크255.255.255.0을 입력합니다. 기본 게이트웨이10.0.0.2를 입력 합니다. 다음 dns 서버 주소 사용을 클릭 하 고 기본 설정 dns 서버10.0.0.1을 입력 합니다.

  5. 고급을 클릭하고 DNS 탭을 클릭합니다.

  6. 이 연결에 대 한 DNS 접미사corp.contoso.com를 입력 한 다음 확인 을 두 번 클릭 합니다.

  7. 로컬 영역 연결 속성 대화 상자에서 닫기를 클릭 합니다.

  8. 네트워크 연결 창을 닫습니다.

RSA 서버에 인증 관리자 설치 파일 복사

  1. RSA 서버에서 C:\RSA 설치 폴더를 만듭니다.

  2. RSA Authentication Manager 7.1 SP4 미디어의 내용을 C:\RSA 설치 폴더에 복사 합니다.

  3. 하위 폴더 C:\RSA 설치 \ 라이선스 및 토큰을 만듭니다.

  4. RSA 라이선스 파일을 C:\RSA 설치 \ 라이선스 및 토큰에 복사 합니다.

RSA 서버를 CORP 도메인에 가입 시킵니다.

  1. 내 컴퓨터를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

  2. 시스템 속성 대화 상자의 컴퓨터 이름 탭에서 변경을 클릭합니다.

  3. 컴퓨터 이름RSA를 입력 합니다. 소속 그룹에서 도메인을 클릭 하 고 Corp.contoso.com를 입력 한 다음 확인을 클릭 합니다.

  4. 사용자 이름 및 암호를 입력 하 라는 메시지가 표시 되 면 User1 및 암호를 입력 하 고 확인을 클릭 합니다.

  5. 도메인 환영 대화 상자에서 확인을클릭 합니다.

  6. 컴퓨터를 다시 시작해야 한다는 메시지가 표시되면 확인을 클릭합니다.

  7. 시스템 속성 대화 상자에서 닫기를 클릭합니다.

  8. 컴퓨터를 다시 시작할지 묻는 메시지가 표시되면 지금 다시 시작을 클릭합니다.

  9. 컴퓨터가 다시 시작 되 면 User1 및 암호를 입력 하 고 로그온: 드롭다운 목록에서 CORP를 선택 하 고 확인을 클릭 합니다.

RSA에서 Windows 방화벽 사용 안 함

  1. 시작, 제어판, 시스템 및 보안, Windows 방화벽을 차례로 클릭 합니다.

  2. Windows 방화벽 설정 또는 해제를 클릭 합니다.

  3. 모든 설정에 대해 Windows 방화벽을 해제 합니다.

  4. 확인 을 클릭 하 Windows 방화벽을 닫습니다.

Rsa 서버에 RSA 인증 관리자 설치

  1. 이 프로세스 중에 언제 든 지 보안 경고 메시지가 표시 되 면 실행 을 클릭 하 여 계속 합니다.

  2. C:\RSA 설치 폴더를 열고 autorun.exe를 두 번 클릭 합니다.

  3. 지금 설치를 클릭 하 고, 다음을 클릭 하 고, 미주에 대 한 위쪽 옵션을 선택 하 고, 다음을 클릭 합니다.

  4. 동의 함 을 선택 하다음을 클릭 합니다.

  5. 기본 인스턴스를 선택 하 고 다음을 클릭 합니다.

  6. 디렉터리 이름: 필드에 c:\rsa를 입력 하 고 다음을 클릭 합니다.

  7. 서버 이름 (RSA.corp.contoso.com) 및 IP 주소가 올바른지 확인 하 고 다음을 클릭 합니다.

  8. C:\RSA 설치 \ 라이선스 및 토큰으로 이동 하 고 다음을 클릭 합니다.

  9. 라이선스 파일 확인 페이지에서 다음을 클릭 합니다.

  10. 사용자 ID 필드에 관리자를 입력 하 고 암호 및암호 확인 필드에 강력한 암호를 입력 합니다. 다음을 클릭합니다.

  11. 로그 선택 화면에서 기본값을 그대로 적용 하 고 다음을 클릭 합니다.

  12. 요약 화면에서 설치를 클릭 합니다.

  13. 설치가 완료 되 면 마침을 클릭 합니다.

RSA 인증 관리자 구성

  1. RSA 보안 콘솔이 자동으로 열리지 않으면 RSA 컴퓨터 바탕 화면에서 "RSA 보안 콘솔"을 두 번 클릭 합니다.

  2. 보안 인증서 경고/보안 경고가 표시 되 면 이 웹 사이트를 계속 탐색을 클릭 하거나 를 클릭 하 여 계속 진행 하 고 요청 된 경우 신뢰할 수 있는 사이트에이 사이트를 추가 합니다.

  3. 사용자 ID 필드에 관리자 를 입력 하 고 확인을 클릭 합니다.

  4. 암호 필드에 관리자 계정의 암호를 입력 하 고 로그온을 클릭 합니다.

  5. 토큰 정보를 삽입 합니다.

    1. RSA 보안 콘솔 에서 인증 을 클릭 하 고 SecurID 토큰을 클릭 합니다.

    2. 토큰 가져오기 작업을 클릭 한 다음 새 추가를 클릭 합니다.

    3. 가져오기 옵션 섹션에서 찾아보기를 클릭 합니다. C:\에서 토큰 XML 파일을 찾아 선택 합니다. RSA 설치 \ 라이선스 및 토큰 폴더를 입력 하 고 열기를 클릭 합니다.

    4. 페이지 아래쪽에서 작업 제출 을 클릭 합니다.

  6. OTP 새 사용자를 만듭니다.

    1. RSA 보안 콘솔 에서 id 탭을 클릭 하 고 사용자를 클릭 한 다음 새로 추가를 클릭 합니다.

    2. 성: 섹션에서 user를 입력 하 고 사용자 ID: 섹션에 User1 을 입력 합니다 (UserID는이 랩에서 사용 되는 AD 사용자 이름과 동일 해야 함). 암호:암호 확인: 섹션에 강력한 암호를 입력 합니다. ' 다음 로그온 할 때 사용자에 게 암호를 변경 해야 함 ' 확인란의 선택을 취소 하 고 저장을 클릭 합니다.

  7. 가져온 토큰 중 하나에 User1을 할당 합니다.

    1. 사용자 페이지에서 User1을 클릭하고 SecurID 토큰 을 클릭합니다.

    2. SecurID 토큰을 클릭하고 토큰 할당을클릭합니다.

    3. 일련 번호 제목 아래에서 나열된 첫 번째 숫자를 클릭하고 할당을클릭합니다.

    4. 할당된 토큰을 클릭하고 편집을클릭합니다. 사용자 인증 요구 사항에대한 SecurID PIN 관리 섹션에서 PIN 필요 안 함(토큰 코드만) 을선택합니다.

    5. 토큰 저장 및 배포를클릭합니다.

    6. 기본 사항 섹션의 소프트웨어 토큰 배포 페이지에서 SDTID(발급 토큰 파일)를 클릭합니다.

    7. 토큰 파일 옵션 섹션의 소프트웨어 토큰 배포 페이지에서 복사 보호 사용 확인란의 선택을 취소합니다. 암호 없음다음을 클릭합니다.

    8. 소프트웨어 토큰 배포 페이지의 파일 다운로드 섹션에서 지금 다운로드를클릭합니다. 저장을 클릭합니다. C:\RSA 설치로 이동한 다음 저장닫기를클릭합니다.

    9. 나중에 사용할 수 있는 RSA 보안 콘솔을 최소화합니다.

  8. 인증 관리자를 RADIUS 서버로 구성합니다.

    1. RSA 컴퓨터 바탕 화면에서 "RSA 보안 운영 콘솔"을두 번 클릭합니다.

    2. 보안 인증서 경고/보안 경고가 표시되면 이 웹 사이트로 계속을 클릭하거나 예를 클릭하여 계속 진행하고 요청된 경우 이 사이트를 신뢰할 수 있는 사이트에 추가합니다.

    3. 사용자 ID 및 암호를 입력하고 로그온을클릭합니다.

    4. 배포 구성 - RADIUS - 서버 구성을클릭합니다.

    5. 추가 자격 증명 필요 페이지에서 관리자 사용자 ID 및 암호를 입력하고 확인을클릭합니다.

    6. RADIUS 서버 구성 페이지에서 비밀 및 마스터 암호 에 대해 관리자 사용자에게 사용된 것과 동일한 암호를 입력합니다. 관리자 사용자 ID 및 암호를 입력하고 구성을클릭합니다.

    7. 'RADIUS 서버를 구성했습니다.' 메시지가 표시되는지 확인합니다. Done을 클릭합니다. RSA 운영 콘솔 을 닫습니다.

    8. "RSA 보안 콘솔"로 다시 전환합니다.

    9. RADIUS 탭에서 RADIUS 서버를 클릭합니다. rsa.corp.contoso.com 나열되어 있는지 확인합니다.

  9. RSA 서버를 RSA 인증 클라이언트로 구성합니다.

    1. RADIUS 탭에서 RADIUS 클라이언트 및추가를클릭합니다.

    2. ANY RADIUS 클라이언트 확인란을 클릭합니다.

    3. 공유 비밀 필드에 선택한 강력한 암호를 입력합니다. 나중에 OTP용 EDGE1을 구성할 때 이 동일한 암호를 사용합니다.

    4. IP 주소 필드를 비워 두고 만들기/모델 항목을 표준 RADIUS로둡니다.

    5. RSA 에이전트 없이 저장을클릭합니다.

  10. EDGE1을 RSA 인증 에이전트로 구성하는 데 필요한 파일을 만듭니다.

    1. 액세스 탭에서 인증 에이전트 를 강조 표시하고새로 추가를클릭합니다.

    2. 호스트 이름 필드에 EDGE1을 입력하고 IP 확인을 클릭합니다.

    3. 이제 EDGE1의 IP 주소가 IP 주소 필드에 표시됩니다. 저장을 클릭합니다.

  11. EDGE1 서버(AM_Config.zip)에 대한 구성 파일을 생성합니다.

    1. 액세스 탭에서 인증 에이전트 를강조 표시하고 구성 파일 생성을클릭합니다.

    2. 구성 파일 생성 페이지에서 구성 파일 생성을 클릭한 다음 지금 다운로드를클릭합니다.

    3. 저장을클릭하고 C:\로 찾습니다. RSA 설치를 클릭하고 저장을클릭합니다.

    4. 다운로드 완료 대화 상자에서 닫기를 클릭합니다.

  12. EDGE1 서버(EDGE1_NodeSecret.zip)에 대한 노드 비밀 파일을 생성합니다.

    1. 액세스 탭에서 인증 에이전트 를 강조 표시하고기존 관리를클릭합니다.

    2. 현재 구성된 노드 EDGE1을 클릭하고 노드 암호 관리를클릭합니다.

    3. 임의 노드 비밀 만들기를 확인하고 노드 비밀을 파일로 내보내기 확인란을 선택합니다.

    4. 암호화 암호 및 암호화 암호 확인 필드에 관리자에게 사용된 것과 동일한 암호를 입력하고 저장을클릭합니다.

    5. 노드 비밀 파일 생성 페이지에서 지금 다운로드를클릭합니다.

    6. 파일 다운로드 대화 상자에서 저장을클릭하고 C:\RSA 설치로 이동한 후 저장을클릭합니다. 다운로드 완료 대화 상자에서 닫기를 클릭합니다.

    7. RSA 인증 관리자 미디어에서 \auth_mgr\windows-x86_64\am\rsa-ace_nsload\win32-5.0-x86\agent_nsload.exe C:\RSA 설치로 복사합니다.

DAProbeUser 만들기

  1. RSA 보안 콘솔에서ID 탭을 클릭하고 사용자를 클릭한 다음 새로 추가를클릭합니다.

  2. 성: 섹션에 Probe를 입력하고 사용자 ID: 섹션에 DAProbeUser를 입력합니다. 암호:암호 확인: 섹션에 강력한 암호를 입력합니다. '다음에 로그온할 때 사용자가 암호를 변경하도록 요구' 확인란의 선택 취소를 취소하고 저장을클릭합니다.

CLIENT1에 RSA SecurID 소프트웨어 토큰 설치

이 절차를 사용하여 CLIENT1에 SecurID 소프트웨어 토큰을 설치합니다.

SecurID 소프트웨어 토큰 설치

  1. CLIENT1 컴퓨터에서 C:\RSA Files 폴더를 만듭니다. 파일 Software_Tokens.zip RSA 컴퓨터의 C:\RSA 설치에서 C:\RSA 파일로 복사합니다. USER1_000031701832.SDTID 파일을 CLIENT1의 C:\RSA Files에 추출합니다.

  2. RSA SecurID 소프트웨어 토큰 미디어 원본에 액세스하고 SecurID SoftwareToken 클라이언트 앱 폴더에서 RSASECURIDTOKEN410을 두 번 클릭하여 RSA SecurID 설치를 시작합니다. 파일 열기 - 보안 경고 메시지가 나타나면 실행을클릭합니다.

  3. RSA SecurID 소프트웨어 토큰 - InstallShield 마법사 대화 상자에서 다음을 두 번 클릭합니다.

  4. 사용권 계약에 동의하고 다음을클릭합니다.

  5. 설치 유형 대화 상자에서 일반을 선택하고 다음 을 클릭한 다음설치를클릭합니다.

  6. 사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 를 클릭합니다.

  7. RSA SecurID Software Token 시작 확인란을 선택하고 마침을클릭합니다.

  8. 파일에서 가져오기를클릭합니다.

  9. 찾아보기를클릭하고 C:\RSA Files\User1_000031701832.SDTID를 선택하고 열기를클릭합니다.

  10. 확인을 두 번 클릭합니다.

EDGE1을 RSA 인증 에이전트로 구성

이 절차를 사용하여 RSA 인증을 수행하도록 EDGE1을 구성합니다.

RSA 인증 에이전트 구성

  1. EDGE1에서 Windows 탐색기를 열고 C:\RSA Files 폴더를 만듭니다. RSA ACE 설치 미디어로 이동

  2. RSA 미디어에서 C:\RSA 파일로 파일 agent_nsload.exe, AM_Config.zip 및 EDGE1_NodeSecret.zip 복사합니다.

  3. 두 zip 파일의 콘텐츠를 다음 위치에 추출합니다.

    1. C:\Windows\system32\

    2. C:\Windows\SysWOW64\

  4. C:\Windows\SysWOW64\에 agent_nsload.exe 복사합니다.

  5. 관리자 권한 명령 프롬프트를 열고 C:\Windows\SysWOW64로 이동합니다.

  6. agent_nsload.exe -f nodesecret.rec -p > password를 입력합니다. 여기서 <> password는 초기 RSA 구성 중에 만든 강력한 암호입니다. 키를 누릅니다.

  7. C:\Windows\SysWOW64\securid를 C:\Windows\System32에 복사합니다.

OTP 인증을 지원하도록 EDGE1 구성

이 절차를 사용하여 DirectAccess에 대한 OTP를 구성하고 구성을 확인합니다.

DirectAccess에 대한 OTP 구성

  1. EDGE1에서 서버 관리자 열고 왼쪽 창에서 원격 액세스를 클릭합니다.

  2. 서버 창에서 EDGE1을 마우스 오른쪽 단추로 클릭하고 원격 액세스 관리를선택합니다.

  3. 구성을 클릭합니다.

  4. DirectAccess 설치 창의 2단계 - 원격 액세스 서버에서 편집을클릭합니다.

  5. 다음을 세 번 클릭하고 인증 섹션에서 2단계 인증OTP 사용 을선택하고 컴퓨터 인증서 사용이 선택되어 있는지 확인합니다. 루트 CA가 CN=corp-APP1-CA로 설정되어 있는지 확인합니다. 다음을 클릭합니다.

  6. OTP RADIUS 서버 섹션에서 빈 서버 이름 필드를 두 번 클릭합니다.

  7. RADIUS 서버 추가 대화 상자의 서버 이름 필드에 RSA를 입력합니다. 공유 암호 필드 옆의 변경 을 클릭 하 고 암호 및 새 암호 확인 필드의 RSA 서버에서 RADIUS 클라이언트를 구성할 때 사용한 것과 동일한 암호를 입력 합니다. 확인 을 두 번 클릭 하 고 다음을 클릭 합니다.

    참고

    RADIUS 서버가 원격 액세스 서버와 다른 도메인에 있는 경우 서버 이름 필드는 RADIUS 서버의 FQDN을 지정 해야 합니다.

  8. OTP CA Servers 섹션에서 APP1.corp.contoso.com를 선택 하 고 추가를 클릭 합니다. 다음을 클릭합니다.

  9. Otp 인증서 템플릿 페이지에서 찾아보기 를 클릭 하 여 otp 인증에 대해 발급 된 인증서를 등록 하는 데 사용 되는 인증서 템플릿을 선택 하 고 인증서 템플릿 대화 상자에서 DAOTPLogon를 선택 합니다. 확인을 클릭합니다. 찾아보기 를 클릭 하 여 원격 액세스 서버에서 OTP 인증서 등록 요청에 서명 하는 데 사용 하는 인증서를 등록 하는 데 사용 되는 인증서 템플릿을 선택 하 고 인증서 템플릿 대화 상자에서 DAOTPRA를 선택 합니다. Ok를 클릭합니다. 다음을 클릭합니다.

  10. 원격 액세스 서버 설치 페이지에서 마침을 클릭 하 고 DirectAccess 전문가 마법사에서 마침 을 클릭 합니다.

  11. 원격 액세스 검토 대화 상자에서 적용을 클릭 하 고, DirectAccess 정책이 업데이트 될 때까지 기다린 후 닫기를 클릭 합니다.

  12. 시작 화면에서powershell.exe를 입력 하 고 powershell을 마우스 오른쪽 단추로 클릭 한 다음 고급을 클릭 하 고 관리자 권한으로 실행을 클릭 합니다. 사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 를 클릭합니다.

  13. Windows PowerShell 창에서 gpupdate/force 를 입력 하 고 enter 키를 누릅니다.

  14. 원격 액세스 관리 콘솔을 닫았다가 다시 열고 모든 OTP 설정이 올바른지 확인 합니다.