Active Directory 계정으로 로그인 오류 해결

유효한 Active Directory 계정으로 IBM® QRadar® 에 로그인할 때 오류가 발생하면 시간 동기화 문제가 있는지 확인하십시오.

이 태스크에 대한 정보

올바른 Active Directory 계정이 QRadar Console와 동기화되지 않으면 다음과 유사한 로그인 오류가 발생할 수 있습니다.

제공한 사용자 이름과 비밀번호가 유효하지 않습니다. 다시 시도하십시오.

QRadar 서버와 LDAP 인증 서버 간에 데이터를 수동으로 동기화할 수 있습니다.

사용자 속성 또는 그룹을 기반으로 하는 권한을 사용하는 경우 사용자 정보를 LDAP 서버에서 QRadar 콘솔로 자동으로 가져옵니다.

LDAP 서버에 구성된 각 그룹에는 QRadar 콘솔에 구성된 일치하는 사용자 역할 또는 보안 프로파일이 있어야 합니다. 일치하는 각 그룹마다, 사용자를 가져와서 해당 사용자 역할 또는 보안 프로파일에 기반하는 권한이 지정됩니다.

기본적으로 동기화는 24시간마다 발생합니다. 동기화의 시간 지정은 마지막 실행 시간에 기반합니다. 예를 들어, 오후 11시 45분에 동기화를 직접 실행하고 동기화 간격을 8시간으로 설정하면 다음 동기화는 오전 7시 45분에 발생합니다. 동기화가 발생할 때 로그인되어 있는 사용자의 액세스 권한이 변경되면 세션이 올바르지 않게 됩니다. 해당 사용자는 그 다음 요청 시 로그인 화면으로 경로가 재지정됩니다.

다음 단계를 수행하십시오.

프로시저

  1. Active Directory 가 최근에 구성되지 않은 경우 SSH를 사용하여 QRadar 에 root 사용자로 로그인하십시오.
  2. 다음 명령을 입력하십시오.

    cat /opt/qradar/conf/login.conf

  3. 서버가 Active Directory 인증에 대해 구성되어 있는지 확인하십시오.
    예를 들어, 인증 서버는 다음 출력과 유사합니다.

    LDAPServerURL=ldaps://<server>:<port>

    < server> 옵션은 QRadar 인증을 수신하는 Active Directory 도메인 컨트롤러입니다. 389는 기본 Active Directory LDAP 포트입니다.

  4. Active Directory 도메인 컨트롤러 IP 주소를 복사하십시오.
  5. 다음 명령을 입력하고 < server> 옵션에 대해 Active Directory 도메인 컨트롤러 IP 주소를 사용하십시오.

    ntpdate -q <server>

  6. 오프셋 시간이 +/- 300초보다 많은지 검증하십시오.
    출력은 다음 예제와 유사할 수 있습니다.

    server 192.0.2.0, stratum 3, offset -10774.586000, delay 0.04221 19 Nov 13:59:16 ntpdate[22011]: step time server 192.0.2.0 offset -10774.586000 sec

    오프셋 시간이 +/ - 300초를 초과하는 경우 QRadar Console 와 Active Directory 서버 간의 시간 간격으로 인해 인증 문제가 발생합니다.

  7. 다음 명령을 입력하여 QRadar 웹 서비스를 다시 시작하십시오.

    service tomcat restart

    QRadar 웹 서비스를 다시 시작하면 모든 사용자가 로그오프되고 이벤트 내보내기가 중지되며 보고서 생성이 중지됩니다. 일부 보고서를 수동으로 다시 시작하거나 유지보수 창이 이 프로시저를 완료할 때까지 대기해야 할 수 있습니다.

  8. QRadar Console 시스템 시간과 Active Directory 서버 시스템 시간이 5분이상 다른 경우 다음 단계를 수행하십시오.
    1. 관리 탭을 클릭하십시오.
    2. 탐색 메뉴에서 시스템 구성을 클릭하십시오.
    3. 인증을 클릭하십시오.
    4. 인증 모듈 목록에서 LDAP를 선택하십시오.
    5. 동기화 관리 > 지금 동기화 실행을 클릭하십시오.