Security (7) 썸네일형 리스트형 vTPM 구성 테스트 물리 서버에 TPM이 구성된 환경을 가지기 어려운 상황에서는 vTPM을 이용하여, TPM 관련 테스트를 진행해볼 수 있습니다. (사실 vTPM을 이용하려면, 하단의 Hypervisor에는 이미 TPM 설정이 되어 있어야 하긴 합니다.) 아래 예제는 Nested ESXi VM에 vTPM Device를 추가하고 Motherboard 교체 시 어떤 현상이 발생하는지까지 테스트 해 본 내용입니다. Nested ESXi의 경우, Powershell로만 vTPM 추가가 가능한 것으로 보임 https://williamlam.com/2022/05/quick-tip-adding-a-vtpm-virtual-trusted-platform-module-to-a-nested-esxi-vm.html 참고로 ESXi 설치하기 위해.. TPM 구성 테스트 TPM 구성을 위한 BIOS 설정 및 수동 TPM 설정을 통해 활성화 방법에 대해서 알아보겠습니다. BIOS 설정(DELL 기준) Secure Boot 활성화 TPM(Trusted Platform Module) 활성 SHA256 설정 DELL 서버의 경우에는 SHA256을 하고 나야 TXT 활성화가 가능 ESXi 수동 설정 https://haewon83.tistory.com/143에 기술된 가이드와 동일 # esxcli system settings encryption get Mode: NONE Require Executables Only From Installed VIBs: false Require Secure Boot: false # esxcli system settings encryption set .. TPM Overview ESXi 6.7 이상부터는 TPM 2.0을 지원합니다. 이와 관련하여, 현재 설정 정보를 확인하는 방법 및 설정 관련 정보를 알아보도록 하겠습니다. Prerequisites To use a TPM 2.0 chip, your vCenter Server environment must meet these requirements: vCenter Server 6.7 or later ESXi 6.7 host or later with TPM 2.0 chip installed and enabled in UEFI UEFI Secure Boot enabled Ensure that the TPM is configured in the ESXi host's BIOS to use the SHA-256 hashing algorit.. Unable to access to web client due to discrepancy between config store database and configuration xml file [문제 증상] ESXi Host 재부팅 이 후 Web Client 접속 실패 동일한 ESXi Host에 SSH는 접근 가능 [분석 내용] - 알 수 없는 시점에 vSphereClient Firewall Rule을 변경(이번 경우는 허용 가능한 IP를 추가)한 후 ESXi Host를 재부팅 할 때, Configuration 정보가 저장된 Config Store Database를 우선 확인하게 됩니다. - 이 때, Config Store Database에 vSphereClient 관련 Firewall Rule 정보가 존재하는 경우 Configuration 정보가 있는 XML 파일에 설정된 값을 이용하지 않는 Bug가 있습니다. - 이번 상황도 XML 파일에는 "enabled" flag가 true로 되어 있었.. Configure vCenter Server Identity Provider Federation for AD FS [구성 환경] vCenter Active Directory Active Directory Certificate Authority Active Directory Federation Service [SAML, OAuth, OIDC] https://gruuuuu.github.io/security/ssofriends/ SAML SAML은 인증 정보 제공자와, 서비스 제공자 간의 인증 및 인가 데이터를 교환하기 위한 XML기반의 표준 데이터 포맷 SAML은 인증정보를 XML포맷으로 생성하고, 이 XML데이터를 암호화함으로써 제 3자에게 내용을 노출시키지 않고 최종 수신자에게 전달 이 때 생성한 XML을 Assertion, Assertion에는 ID공급자 이름, 발행일 및 만료일 같은 정보가 포함 SAMLReque.. Use ADFS as Identity Provider for vCenter 1. ADFS에서 Application Group 생성 우선, vCenter에서 Redirect URIs를 확인해야 합니다. vCenter > Administration > Single Sign On > Configuration > Identity Provider 탭에서 Change Identity Provider 우측에 위치한 "!" 표시를 클릭하면 Redirect URI 정보를 알 수 있습니다. 아래 그림에서는 두 가지 Redirect URI가 확인됩니다. https://vcsa01.contoso.com/ui/login https://vcsa01.contoso.com/ui/login/oauth2/authcode 이제 ADFS에서 Client Identifier, Shared Secret, OpenID.. Active Directory - Kerberos Kerberos는 송수신 과정의 네트워크 패킷을 들여다 볼 수 있고, 변조가 가능한 개방된 네트워크 환경에서 Client와 Server간에 상호 인증(Authentication)을 위한 기능을 제공합니다. 안정적인 인증을 제공하기 위해서 Kerberos는 Symmetric Keys, Encrypted Objects, Keberos 서비스를 이용합니다. Kerberos 인증은 여러 종류의 Key를 사용합니다. 1) User, service, system keys : 패스워드에서 생성한 Symmetric keys 2) Public keys : Smart card와 사용되는 Asymmetric keys 3) Session keys : Domain Controller가 생성한 Symmetric keys 이러한 .. 이전 1 다음
