일전에 Juniper SA Series를 통한 Windows Terminal Service 접속 시의 SSO 적용 Test 에 대한 포스팅을 진행하였습니다. 포스팅 완료 후에 업무 정리를 하면서 잠깐 생각해 보니, 여러 명의 사용자가 SA에 접속하여 사용할 때, 자신 것 이외의 Terminal Service 들도 보이겠구나라는 생각에 Test를 추가로 진행하였습니다.


 물론 사용자 별로 Role을 만들어 설정하면 되겠지만, 수십 수백명의 사용자가 있다면, 좀 귀찮을 거란 생각에 Host가 아닌 대역 또는 Range를 둬서 접속하도록 하는 것을 간단하게 Test 진행하였습니다.


 이번 Test는 SSL VPN 에서 NAC 역할을 하는 IC로 Switching이 가능한  Juniper MAG 를 통해 진행하였습니다.


 Juniper SSL VPN에는 아시다시피 File, Web, Virtual Desktop 등 Publishing 할 객체 별로 여러 가지 Form을 지원하는데요, 그 중에 SAM ( Secure Application Manager ) 라는 기능이 있습니다. Network Connect 가 Tunnel을 형성하여 Network 단위로 ACL을 적용하는 것이라면, SAM은 프로세스와 네트워크 단위로 허용하여 해당 프로세스만 연결하는 것을 지원합니다. ( SAM은 Windows 버전과 Java 버전이 있습니다. )


 아래와 같은 화면에서 Windows Secure Application Manager를 실행하면, SAM이 실행되면서 허용된 프로세스 및 IP로 접속할 수 있습니다. Test에서는 Terminal Service 만 적용한 것으로 mstsc.exe 에 대한 Connection을 보실 수 있습니다. 프로세스 명이 지정된 것을 보시면 아시겠지만, Terminal 접속은 Client PC의 자체 Application을 통해 접속하게 됩니다.

 

 

 

 

 한 가지 참고할 점은 SAM을 통해 내부 Resource에 접근하는 것은 앞서 포스팅하였던 SSO 접속이 되지 않으니, 이 점 착오 없으시기 바랍니다.


 이번 Test는 Terminal Service 접속으로 Test를 진행하였습니다만, Juniper SSL VPN에서 제공하는 SAM 기능을 통해 telnet 또는 ssh, VNC 등을 등록하여 접속이 가능하니 사용하시거나 구축하시는데 참고하시기 바랍니다.

 

Posted by 로버무트