메서드 D v2.0을 사용하여 유리 액세스를 중단하는 것은 관리자가 중요한 네트워크 패브릭 디바이스에 안전하고 긴급하게 액세스할 수 있도록 하는 간소화된 접근 방식입니다. 이 가이드는 긴급 액세스 절차인 브레이크 글래스 액세스를 설정하고 사용하는 방법을 안내하며, SSH 키 생성, 권한 설정 및 네트워크 패브릭 디바이스에 대한 액세스를 포함합니다.
또한 D v2.0 방법은 엔트라 그룹에 NNF(Nexus Network Fabric) 기본 제공 역할을 할당함으로써, 그룹 기반 역할 할당을 적용하여 비상 액세스 관리의 간소화를 지원합니다.
Nexusidentity Azure CLI를 사용하여 SSH 키 생성
IAM(Break glass Identity and Access Management) 구성으로 시작하려면 Nexusidentity 확장을 사용하여 SSH 키를 설정해야 합니다. 다음 필수 구성 요소를 설치하고 업데이트했는지 확인합니다.
필수 조건
- 문서에 언급된 대로 사용하는 설정 방법 D v2.0.
- Bash 터미널이 있는 PowerShell 또는 Linux 컴퓨터가 있는 Windows 컴퓨터.
- OpenSSH: 버전 9.4 이상.
- Python: 버전 3.11 이상(64비트).
- Azure CLI: 버전 2.61 이상(64비트)
- Managednetworkfabric 확장: 7.0.0
- Nexusidentity 확장: 1.0.0b4 이상.
- YubiKey 펌웨어 버전: 5.2.3 이상이어야 합니다.
- 긴 경로 사용: - Windows 긴 경로 지원을 사용하도록 설정해야 참조.
- MSAL(Microsoft 인증 라이브러리) 버전: 1.31.2b1
- azure-mgmt-resource: 23.1.1
그룹 기반 역할 할당을 위한 필수 구성 요소 및 설정
보안 그룹 만들기: BreakGlass 액세스가 필요한 사용자를 포함하는 Entra 보안 그룹을 정의합니다. 그룹에 역할 할당: 개별 사용자 대신 보안 그룹에 BreakGlass 역할을 할당합니다.
Nexusidentity 확장을 설치하고 SSH 키를 생성하는 단계
- 긴 경로 활성화 (Windows OS에만 해당)
관리자 권한으로 다음 PowerShell을 실행합니다.
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "LongPathsEnabled" -Value 1 -PropertyType DWORD -ForcePowerShell 터미널을 닫습니다.
- PowerShell 열기: (Windows OS에만 해당)
비고
이 프로세스에 비관리자 모드를 사용합니다.
Azure CLI 업데이트:
다음 명령을 실행하여 Azure CLI를 최신 버전으로 업데이트합니다.
az upgrade
Nexusidentity 확장을 설치합니다.
Nexusidentity 확장을 추가하려면
az extension add --name nexusidentity
Nexusidentity 확장을 사용하여 SSH 키를 생성합니다.
a. 초기 설치를 위해 YubiKey를 다시 설정하려면 Yubico 키 관리자 를 다운로드합니다.
b. 컴퓨터에 YubiKey를 연결합니다.
c. 다음을 사용하여 Azure에 로그인합니다.
az logind. SSH 키를 생성하려면 다음 명령을 실행합니다.
az nexusidentity gen-keys비고
Dv2.0 메서드 암호를 사용하려면 펌웨어 버전이 5.2.3 이상인 YubiKey 하드웨어 토큰이 필요합니다.
e. 이 프로세스 중에 다음을 수행합니다.
토큰에서 키를 덮어쓰라는 메시지가 표시되면 Enter 키를 누릅니다.
팝업 창에서 보안 키를 선택하고 프롬프트를 따릅니다.
YubiKey PIN을 입력하고 메시지가 표시되면 디바이스를 터치합니다.
키를 덮어쓰라는 메시지가 표시되면 Enter 키를 누릅니다.
암호를 입력하라는 메시지가 표시되면 Enter 키를 누릅니다.
f. 키 생성에 성공하면 다음이 표시됩니다.
Successfully uploaded public key to Microsoft Entra Id account {user.mail}
Network Fabric에서 Entra 사용자에게 비상 접근 권한 부여
손익분기 액세스를 사용하도록 설정하기 위해 관리자는 Network Fabric 디바이스의 Entra 사용자에게 아래 역할을 할당할 수 있습니다.
Nexus Network Fabric 서비스 판독기:
사용자가 패브릭 디바이스에서 표시 명령을 실행할 수 있습니다.
구성 모드에 대한 액세스를 허용하지 않습니다.
Nexus Network Fabric 서비스 제공자:
- 실행 중인 구성을 수정할 수 있는 show 명령과 설정 변경 명령을 허용합니다.
이러한 역할이 할당되면 지정된 패브릭 인스턴스 내의 모든 디바이스에서 해당 사용자 이름 및 공용 SSH 키가 자동으로 프로비전됩니다.
비고
구독 소유자가 구독 범위에서 사용자, Network Fabric 서비스 읽기 권한자 또는 기록기 역할을 할당하는 경우 이 역할 할당은 모든 Network Fabric 인스턴스에서 상속됩니다. 따라서 모든 Network Fabric 인스턴스에서 기본 제공 역할과 연결된 권한이 사용자에게 부여됩니다.
비고
차단 유리 사용자 계정은 4시간마다 조정됩니다. 즉각적인 문제 해결을 위해 네트워크 패브릭 지원 팀에 지원 티켓을 접수하십시오.
그룹 기반 역할 할당 범위
역할 할당은 패브릭 범위에서 설정됩니다. 각 사용자에게는 특정 패브릭 인스턴스에 대한 권한이 있어야 합니다. 이 권한은 더 높은 수준의 권한 부여(예: 구독 수준 할당)에서 상속될 수 있습니다.
여러 그룹에 지정된 패브릭 인스턴스에 대해 동일한 NNF(Nexus Network Fabric) 기본 제공 역할(예: Nexus Network Fabric 서비스 판독기 또는 기록기)을 할당할 수 있습니다.
사용자 제한 사항
최대 200개의 사용자 계정(기존 메서드 Dv1.0 및 메서드 Dv1.5 사용자를 포함하는 모든 그룹 및 개별 사용자 계정에서)에게 BreakGlass 액세스 권한을 부여할 수 있습니다.
패브릭 인스턴스에 대해 동일한 역할에 여러 그룹을 할당할 수 있지만 200명의 사용자 제한은 여전히 적용됩니다.
비고
중첩된 그룹은 지원되지 않습니다. 직접 그룹 멤버 자격만 고려됩니다.
Network Fabric 장치에 대한 긴급 액세스
권한이 부여되면 사용자는 FIDO-2 하드웨어 토큰(예: YubiKey)을 사용하여 네트워크 패브릭 디바이스에 액세스할 수 있습니다. 이 단계에 따라 긴급 액세스 권한을 사용합니다.
액세스 준비:
- FIDO-2 하드웨어 토큰이 컴퓨터에 연결되어 있는지 확인합니다.
옵션과 함께 SSH를 사용합니다.
-J- 이
-J옵션을 사용하면 점프 서버를 통해 로그인하고 패브릭 디바이스에 직접 액세스할 수 있습니다. 이 프로세스에는 먼저 점프 서버로 인증한 다음, SSH 키를 사용하여 패브릭 디바이스를 사용하는 인증이 포함됩니다.
다음 명령 형식을 사용하여 패브릭 디바이스에 액세스합니다.
ssh -J JumpBoxUsername@JumpBoxIp EntraUsername@FabricDeviceIP- 이
비고
이 명령은 인증을 위한 중개자로 점프 서버를 사용하여 보안 연결을 설정합니다.
그룹 기반 역할 할당 동기화
Entra Group을 BreakGlass 역할에 할당하면 해당 그룹의 모든 사용자는 다음 동기화 주기 동안 적절한 디바이스 액세스가 프로비전됩니다.
조정 프로세스
BreakGlass 계정 조정은 4시간마다 발생하며 Entra 역할 할당과 디바이스 액세스 간의 맞춤을 보장합니다.
그룹에서 제거된 사용자: 디바이스 액세스가 취소됩니다.
그룹에 추가된 사용자: 적절한 디바이스 액세스가 프로비전됩니다.
그룹 역할 할당 제거됨: 그룹의 모든 사용자에게 액세스 권한이 취소됩니다.
그룹 멤버 자격 해결 실패: 그룹 멤버 자격을 확인할 수 없는 경우(예: Entra API 오류 또는 연결 문제로 인해) 기존 디바이스 계정은 변경되지 않습니다.