흙수저의 엔지니어링

현재 사용 중인 fortigate 장비와 IPSec으로 연결된 다른 fortigate에 LDAP 서버를 설정하는데 계속 Connection 오류가 발생한 상황입니다.

정책이나 라우팅 정보는 제대로 설정이 되어 있는데, 안될 경우 LDAP 서버에 연결할 source-ip 설정을 해보시기 바랍니다.

DLAP 서버 설정의 connection 오류 발생

통신 확인 (기본 설정으로는 통신이 되지 않으나, 정책에서 허용되어 있는 인터페이스 IP로 출발지를 설정하니 정상 통신)

LDAP 서버 설정에서 출발지 IP 설정 적용 (GUI 환경에는 없어서 CLI 환경에서 작업 필요)

환경 설정 적용 확인

설정 완료

svn을 사용하다 보면, 형상관리로 인해서 기록이 누적되어 불필요한 용량들이 너무너무너무 많아 집니다.

실제로 제 개인적으로는 최대 한달 이상이 넘으면 그 이전 자료는 불필요하다고 생각이 듭니다.

당연히 자료가 많이 남아 있으면 좋겠지만, 자원은 한정적이다 보니 버전 관리는 어느정도 되어야 한다고 생각됩니다.

개인정보보호법이나 정보통신망법에서 이야기한 로그 기록은 svn과는 좀 다른 상황이긴 하죠~

회사에서 svn을 사용하는데, 사용하다보니 역시나 자원의 저장 공간 문제가 발생했습니다.

원하는 것은 형상관리 버전이 13,000번이 넘어서, 13,000번 이전 버전은 지우고 싶어하더군요.

그래서 제 PC에 하이퍼바이저를 이용하여 개인 가상화 서버를 설치하여 테스트 한 내용을 공유합니다.

(인터넷으로 아무리 검색해봐도 제대로 알려주는 곳이 없어서 ㅠㅠ 정말 힘들게... 익힌 내용입니다.)

테스트 목적

ㅇ 현재 형상관리 버전에서 오래된 형상관리 버전은 지우고, 원하는 형상관리 버전부터 남긴다.

테스트 결과

1. 현재의 svn에서 원하는 형상관리 버전까지 데이터를 export 한다.

2. 새로운 svn repository를 생성하여, export한 데이터를 import 시킨다.

3. 이전 svn repository 이름을 변경한다.

4. 새로운 svn repository 이름을 이전 svn repository 이름으로 변경한다.

5. client의 PC에서 기존 svn repository의 폴더에서 숨은 폴더인 .svn 폴더를 삭제한다.

6. client의 PC에서 cehckout을 하여 svn 폴더에 다시 접속한다.

7. 새로운 svn의 repository 데이터를 확인 후 기존 repository의 svn 폴더를 삭제한다.

[서버 작업]

운영 중인 svn을 중지합니다.

서비스 중지 후 새로운 repository를 생성합니다.

명령어: svnadmin create C:\Repositories\new_ksm_svn

새롭게 만든 repository에 기존의 repository 데이터를 export 하여 import 합니다.

이 명령어에서 기존 데이터의 형상관리 번호를 확인하여 원하는 만큼의 숫자를 입력해줘야 합니다.

 ㅇ 명령어: svnadmin dump -r 8:HEAD C:\Repositories\ksm_svn | svnadmin load C:\Repositories\new_ksm_svn

  - svnadmin: svn 관리자 명령어

  - dump: 데이터를 dump 파일로 만듬

  - r8:HEAD: 형상관리 버전 8번부터 최근(HEAD)까지 

  - C:\Repositories\ksm_svn: repository 경로

  - |: 해당 기호는 다음 명령어를 받아들이겠다는 표시입니다.

  - svnadmin: svn 관리자 명령어

  - load: dump 로 만든 파일을 불러오겠다

  - C:\Repositories\new_ksm_svn: 새롭게 만든 repository 경로

버전 5부터 8까지 백업 및 복구하는 명령어로 정상적으로 실행된 결과를 확인 할 수 있습니다.

기존 repository 이름 변경하기

(폴더 명을 바꾸거나, repository 이름을 변경하면 자동으로 동시에 바뀝니다.)

  - ksm_svn: old_ksm_svn으로 이름 변경

  - new_ksm_svn: ksm_svn으로 이름 변경

svn 서비스를 다시 시작 합니다.

새롭게 만든 ksm_svn repository에 사용자 권한을 부여합니다.

새로 만든 repository여서 사용자 권한이 없습니다.

사용자 권한 추가 후 "확인" 선택

[클라이언트 PC 작업]

저는 D:\ksm 이라는 폴더를 svn 폴더로 사용 중입니다.

(혹시 폴더에 다른 표시가 있다면 무시하셔도 됩니다.)

ksm이라는 svn의 폴더 안에 있는 .svn 폴더를 지웁니다.

삭제 완료

(파일이나 폴더에 다른 표시가 있으면 ".svn" 폴더 삭제 후 5초 이내에 아래와 같이 표시가 사라질 겁니다.)

ksm 폴더에서 팝업 매뉴 중 "SVN Checkout..." 매뉴를 선택합니다.

.svn 폴더를 지우고 나서 5초 전후로 ksm 폴더에 표시되어 있는 녹색 v 체크가 사라집니다.

해당 표시가 사라진 후에야 매뉴가 보일 것입니다. (근데 나는 왜 보이지.....)

Checkout Directory의 정보를 보면 svn 서버의 repository 폴더 명이 보일 겁니다.

저는 D:\ksm 폴더에 자료를 저장할 것이기 때문에 \ksm_svn은 삭제하였습니다.

내용 확인 후 "OK"를 선택하시면 됩니다.

새롭게 svn에 연결하여 아래 화면이 발생합니다.

"Checkout"을 선택하시면 됩니다.

기존 전체 버전관리가 8이였는데, 5부터 분리를 하였기에 새로운 svn에는 버전이 4개가 있습니다. (5, 6, 7, 8)

형상관리 버전을 확인하면 변경된 형상관리 버전을 확인할 수 있습니다.

 ㅇ 변경 전

 ㅇ 변경 후

※ 버그가 있네요.

새로운 형상관리 svn의 기록 중 1번은 정상적으로 백업이 안되네요...

dump 명령어로 이전할때 첫번째 자료만 이상하게 된다면 해당 순번의 버그를 감안하고 형상관리 버전을 백업해야 할 듯 합니다.

AD를 설치하고 운영을 하려다 보니, AD 서비스별 이동이 불편하더군요.

그래서 AD 운영에 필요한 서비스들을 묶은 관리 콘솔을 만들어 봅니다.

mmc.exe를 실행합니다. (mmc만 입력하면 그룹정책관리 서비스가 나옵니다.)

파일 → "스냅인 추가/제거 " 명령어 선택

"Active Directory 사용자 및 컴퓨터"와 "그룹 정책 관리"를 추가한 후 확인을 누릅니다.

아래의 화면처럼 나오면 AD 관리콘솔 완성 입니다.

해당 관리콘솔을 저장합니다.

"바탕 화면"을 누릅니다.

완료!

dsadd 명령어는 AD에서 계정을 생성하는 명령어 입니다.

계정 생성 편의성을 위해서 명령어를 확인해 봤습니다.

예제)

dsadd user "CN=홍길동,OU=test1,OU=ksm,DC=ksm,DC=com" -samid gildong_hong -upn gildong_hong@ksm.com -ln 홍 -fn 길동 -display 홍길동 -pwd 1234567890 -mustchpwd yes

[명령어 항목 설명]

dsadd user: 계정 생성 명령어

"CN=홍길동,OU=test1,OU=ksm,DC=ksm,DC=com": 계정을 생성할 조직 위치 및 이름

-samid gildong_hong: Windows 2000 이전 버전 사용자 로그온 이름 설정

-upn gildong_hong@ksm.com: 사용자 로그온 이름 설정 (컴퓨터 로그인 할때의 계정 입니다.)

- ln 홍: 성

- fn 길동: 이름

- display 홍길동: 표시되는 이름

-pwd 1234567890: 홍길동 계정의 패스워드 설정입니다.

-mustchpwd yes: 기본 패스워드 설정이기 때문에, 다음 로그온 시 반드시 암호를 변경하기 위한 옵션

AD 서버에서 사용자 설정 시 암호 정책 요구 사항에 맞지 않다는 메시지가 발생할 경우

AD 서버에서 AD 사용자 계정 생성 시 그룹 정책을 받는 것이 아니라면, 로컬 정책의 영향을 받습니다.

그래서 그룹 정책을 수정해도 암호 정책 요구 사항이 발생할 경우 로컬 정책을 한번 확인해 보세요.

옵션 중 "암호는 복잡성을 만족해야 함"을 사용 안 함으로 하시면 됩니다.

해당 사항의 의미는 사용자 생성 시 기본 암호를 쉽게 생성하려니 해당 규칙과는 상반되기 때문에 저는 로컬에서는 해당 옵션을 해지하여 사용합니다.

Active Directory를 fortigate의 LDAP 서버로 연결해보려고 합니다.

AD 서버가 구축이 되어 있다면 특별하게 설정할 것은 없습니다.

단지 ldap 계정을 한개 생성해줘야 합니다.

특별한 이슈는 없는데, AD를 LDAP 서버로 등록하려면 Common Name Identifier에 반드시 "sAMAccountName"으로 입력해야 AD의 ID를 사용할 수 있습니다.

아래는 Fortigate의 LDAP Server 설정 입니다.

AD에서 계정 정보 중 "특성 편집기"에서 확인한 sAMAccountName 필드 항목입니다.

혹시라도 "Common Name Identifier" 필드를 cn으로 입력한다면 ID는 이름이 됩니다.

아래는 Fortigate에서 User를 추가하는 화면 입니다.

아래의 ID 필드값을 cn으로 사용할지, sAMAccountName 으로 사용할지에 따라서 ID가 표시됩니다.

위의 화면처럼 locked이 걸린 경우 lock을 풀어줘야 합니다.

SVN 사용시 숨김폴더로 .svn 폴더가 생성됩니다.

해당 폴더에  wc.db 파일이 존재하며, 해당 파일을 열어 lock 걸린 부분을 확인하고 해제해야 합니다.

해제를 위한 방법을 아래를 참고하시면 됩니다.

아래 사이트에서 SQLite를 설치합니다.

https://sqlitebrowser.org/

설치 후 wc.db 파일을 불러옵니다.

wc.db 파일을 불러오면 테이블 중 WC_LOCK가 있습니다.

마우스 오른쪽 버튼을 눌러 "테이블 보기"를 하면 데이터가 "-1"이 있다면 지워합니다.

SQL 실행 → "DELETE FROM WC_LOCK" 입력 후 실행

실행 결과 확인 후 "변경사항 저장하기"으로 저장을 합니다.

이후 다시 "SVN Commit..."을 실행하면 됩니다.

Active Directory에서 그룹 정책을 사용하여 관리할때 기본으로 생성된 정책이 있습니다.

• Default Domain Policy
• Default Domain Controller Policy

정책입니다.

이 정책은 말 그대로 기본 도메인 정책과 기본 도메인 컨트롤러 정책이기 때문에 절대 삭제되어서는 안됩니다.

만약 어떠한 이유로 해당 정책이 삭제 되었다면 아래 방법을 통해 기본값으로 재 생성하는것은 가능합니다.

기본 도메인 정책(Default Domain Policy) 또는 기본 도메인 컨트롤러 정책(Defaul Domain Controller Policy) 중 하나가 삭제되면 Enterprise Admin그룹의 구성원으로 로그인 후 명령 프롬프트에서 아래의 명령어를 입력하면 기본 도메인 정책과 기본 도메인 컨트롤러 정책을 재 생성 해 줍니다.

도메인 컨트롤러 정책 초기화 설정

C:\Windows\system32>dcgpofix

Microsoft(R) Windows(R) 운영 체제 기본 그룹 정책 복원 유틸리티 v5.1

Copyright (C) Microsoft Corporation. 1981-2003

설명:  도메인의 기본 GPO(그룹 정책 개체)를 다시 생성합니다.

구문:  DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]


이 유틸리티는 기본 도메인 정책 또는 기본 도메인 컨트롤러 정책을
도메인 작성 직후 상태로
복원합니다. 이 작업을 수행하려면 도메인 관리자여야 합니다.

경고: GPO의 모든 변경 내용을 잃게 됩니다. 이 유틸리티는
매우 중대한 문제를 복구할 목적으로만 사용해야 합니다.

다음 도메인의 기본 도메인 정책 및 기본 도메인 컨트롤러 정책을 복원하려고 합니다.
domain.co.kr
계속 진행하시겠습니까: <Y/N>? y
경고: 이 작업은 선택한 GPO에서 모든 '사용자 권한 지정'을 대체합니다. 그 결과로 일부의 서버 응용 프로그램이 올바르게 작동하지 않을 수 있습니다. 계속 진행하시겠습니까: <Y/N>? y
기본 도메인 정책을 복원했습니다.
참고: 기본 도메인 정책의 내용만 복원되었습니다. 이 그룹 정책 개체에 대한 그룹 정책 연결은 변경되지 않았습니다.
기본적으로 기본 도메인 정책은 도메인에 연결됩니다.

기본 도메인 컨트롤러 정책을 복원했습니다.
참고: 기본 도메인 컨트롤러 정책의 내용만 복원했습니다. 이 그룹 정책 개체에 대한 그룹 정책 연결은 변경되지 않았습니다.
기본적으로 기본 도메인 컨트롤러 정책은 도메인 컨트롤러 OU에 연결됩니다.


C:\Windows\system32>

도메인 컨트롤러 정책 초기화 설정: 도메인 정책만 적용

C:\Windows\system32>dcgpofix /target:domain

Microsoft(R) Windows(R) 운영 체제 기본 그룹 정책 복원 유틸리티 v5.1

Copyright (C) Microsoft Corporation. 1981-2003

설명:  도메인의 기본 GPO(그룹 정책 개체)를 다시 생성합니다.

구문:  DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]


이 유틸리티는 기본 도메인 정책 또는 기본 도메인 컨트롤러 정책을
도메인 작성 직후 상태로
복원합니다. 이 작업을 수행하려면 도메인 관리자여야 합니다.

경고: GPO의 모든 변경 내용을 잃게 됩니다. 이 유틸리티는
매우 중대한 문제를 복구할 목적으로만 사용해야 합니다.

다음 도메인의 기본 도메인 정책을 복원하려고 합니다.
domain.co.kr
계속 진행하시겠습니까: <Y/N>? y
경고: 이 작업은 선택한 GPO에서 모든 '사용자 권한 지정'을 대체합니다. 그 결과로 일부의 서버 응용 프로그램이 올바르게 작동하지 않을 수 있습니다. 계속 진행하시겠습니까: <Y/N>? y
기본 도메인 정책을 복원했습니다.
참고: 기본 도메인 정책의 내용만 복원되었습니다. 이 그룹 정책 개체에 대한 그룹 정책 연결은 변경되지 않았습니다.
기본적으로 기본 도메인 정책은 도메인에 연결됩니다.


C:\Windows\system32>

도메인 컨트롤러 정책 초기화 설정: 도메인 컨트롤러 정책만 적용

C:\Windows\system32>dcgpofix /target:dc

Microsoft(R) Windows(R) 운영 체제 기본 그룹 정책 복원 유틸리티 v5.1

Copyright (C) Microsoft Corporation. 1981-2003

설명:  도메인의 기본 GPO(그룹 정책 개체)를 다시 생성합니다.

구문:  DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]


이 유틸리티는 기본 도메인 정책 또는 기본 도메인 컨트롤러 정책을
도메인 작성 직후 상태로
복원합니다. 이 작업을 수행하려면 도메인 관리자여야 합니다.

경고: GPO의 모든 변경 내용을 잃게 됩니다. 이 유틸리티는
매우 중대한 문제를 복구할 목적으로만 사용해야 합니다.

다음 도메인의 기본 도메인 컨트롤러 정책을 복원하려고 합니다.
domain.co.kr
계속 진행하시겠습니까: <Y/N>? y
경고: 이 작업은 선택한 GPO에서 모든 '사용자 권한 지정'을 대체합니다. 그 결과로 일부의 서버 응용 프로그램이 올바르게 작동하지 않을 수 있습니다. 계속 진행하시겠습니까: <Y/N>? y
기본 도메인 컨트롤러 정책을 복원했습니다.
참고: 기본 도메인 컨트롤러 정책의 내용만 복원했습니다. 이 그룹 정책 개체에 대한 그룹 정책 연결은 변경되지 않았습니다.
기본적으로 기본 도메인 컨트롤러 정책은 도메인 컨트롤러 OU에 연결됩니다.


C:\Windows\system32>

일반적으로 도메인 사용자 계정은 10대까지만 도메인 참여가 가능하다고 합니다.

옵션 설정으로도 10번으로 되어 있네요~

해당 숫자를 0으로 줄이시면 아무도 AD에 JOIN이 불가능 합니다.

JOIN 수를 0으로 하면 권한이 있는 사람만이 JOIN이 가능합니다.

방법을 알고 싶으시다면 아래 게시글 확인 하시기 바랍니다.

https://dirt-spoon.tistory.com/130

AD를 도입하면서 맨 처음 걱정하는 것이 무엇이냐?

바로 사용자의 패스워드 입니다.

왜 문제이냐???

패스워드를 한번도 사용하지 않은 계정 정보로 컴퓨터를 JOIN 시키면 아래와 같이 메시지 발생합니다.

그래서 PC를 등록시킬 계정을 별도로 두는 게 좋습니다.

아래는 PC를 등록할 계정의 권한을 설정하는 부분입니다.

포리스트에서 팝업 매뉴 실행 → 제어 위임 Click

다음 Click

추가 Click

고급 Click

지금 찾기 Click → 권한을 위임할 계정 Click

확인 Click

다음 Click

도메인에 컴퓨터 가입시키기 체크 → 다음 Click

마침 Click