소개
이 문서에서는 Cisco Umbrella의 다중 AD 도메인 지원에 대해 설명합니다.
사전 요구 사항
요구 사항
이 문서에 대한 특정 요건이 없습니다.
사용되는 구성 요소
이 문서의 정보는 Cisco Umbrella를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
개요
이제 Umbrella 조직에서 여러 Active Directory 도메인에 대한 지원이 기본적으로 활성화됩니다.
이미 여러 AD 도메인을 별도의 Umbrella 조직에 온보딩한 경우 이러한 조직은 다중 AD 도메인 지원을 통해 단일 Umbrella 조직에 통합될 수 있습니다. 자세한 내용은 이 문서를 참조하십시오.
다중 AD 도메인 지원을 위한 전제 조건
- 로그온 이름이 OpenDNS_Connector인 사용자 계정은 각 도메인에 만들어야 하며 Umbrella 설명서에 지정된 요구 사항을 준수해야 합니다. AD 도메인 전체에서 이 계정에 대해 동일한 비밀번호를 유지하는 것이 좋습니다.
- 가상 어플라이언스를 사용하여 구축하려면 Umbrella 사이트의 각 AD 도메인에 대해 하나의 AD 커넥터가 필요하며, 필요한 경우 이중화를 위해 선택적인 두 번째 커넥터가 필요합니다.
- 구축에 로밍 클라이언트 또는 AnyConnect만 포함된 경우, 단일 다중 도메인 AD 커넥터*는 여러 도메인의 AD 사용자/그룹을 동기화할 수 있습니다. 이렇게 하려면 각 도메인에서 동일한 비밀번호로 OpenDNS_Connector 계정을 만들어야 합니다. 이 기능은 기본적으로 활성화되어 있지 않으며, 이 기능을 활성화하려면 지원 티켓을 높여야 합니다.
- AD 커넥터는 버전 1.2.3 이상을 실행해야 합니다.
- Umbrella 설명서에 지정된 다른 모든 전제 조건은 다중 AD 도메인에도 적용됩니다.
다중 AD 도메인 지원의 제한 사항(가상 어플라이언스 구축)
- 도메인 간 인증이 현재 AD 커넥터에서 인식되지 않습니다. AD 사용자가 다른 AD 도메인에 속한 로컬 도메인 컨트롤러에 대해 인증하면 AD 커넥터는 해당 사용자에 대한 AD 사용자-IP 매핑을 검색할 수 없습니다. 가상 어플라이언스는 사용자 ID를 해당 IP와 연결할 수 없으므로 해당 사용자에 대해 모든 AD 기반 정책을 적용할 수 없습니다. 해결 방법은 Umbrella 사이트(Umbrella 설명서에 지정)의 기준이 영향을 받지 않는 한 동일한 Umbrella 사이트에 있는 두 AD 도메인의 도메인 컨트롤러를 포함하는 것입니다.
- 도메인 간 멤버가 있는 AD 그룹에는 Umbrella 정책이 적용되지 않습니다. 여러 도메인의 사용자에게 적용되는 정책을 생성하려면 각 도메인의 관련 그룹/사용자를 정책에 추가해야 합니다.
다중 AD 도메인 지원의 제한 사항(로밍 클라이언트 구축)
- 로밍 클라이언트/AnyConnect 구축은 도메인 간 인증 제한의 영향을 받지 않습니다.
- 다중 도메인 AD 커넥터 기능을 활성화하면 Umbrella는 도메인 간 그룹 멤버가 있는 AD 그룹을 지원할 수 있습니다. 이는 지원 티켓을 발행하여 명시적으로 요청해야 합니다. 또한 동일한 기능을 사용하면 단일 커넥터에서 여러 AD 도메인의 AD ID를 동기화할 수 있습니다.
피드백