HAOS - 스마트싱스 제로트러스트 우회 연결
가이드 라기 보다는 트러블슈팅에 가까운 글입니다만
클라우드플레어 제로트러스트 설정을 하고나니 생각지도 못했던 곳에서 문제가 생기더라고요
우선 저 같은 경우 HAOS를 네이티브 헤놀에서 VMM으로 돌리고 있습니다
네이티브 헤놀은 클라우드 플레어 제로 트러스트 터널로 연결 돼있고
HAOS는 애플리케이션 추가해서 로그인 보안을 설정 해놨습니다
여기까지는 문제가 없습니다
HAOS에 접속을 하면 이런 화면이 반겨 주는 거죠
문제는 뭐냐하면
제가 HAOS에 스마트싱스를 연결 해놨다는 점 입니다
스마트싱스를 연결 한 이유는 우선 스마트싱스 허브 V3를 메인으로 쓰고 있고
예전에 사둔 빅스비 홈 미니 스마트 스피커를 방마다 두고 사용 중이기 때문이죠
사은품으로 풀렸을 때 당근에서 몇 개 샀거든요...
IR리모컨 기능도 기본 탑재라 좋습니다 스마트폰도 갤럭시라 연동 잘 되고요
여하튼 HAOS를 음성으로 컨트롤 하기 위해서 스마트싱스 연결을 한거죠
스마트싱스 허브에 연결 된 기기들 옮기기 귀찮은 것도 있고요....
HAOS에 스마트싱스 연결 하는 건 아주 간단 합니다
HAOS 설정 - 통합구성요소 - 우측 하단에 통합구성요소 추가하기 누르시고
SmartThings 검색 하면 바로 뜹니다
선택을 하시면
이런 식으로 HAOS DDNS + 웹훅 코드가 주르륵 붙은 주소가 뜨는데 이게 문제입니다
제로트러스트에서 이것까지 차단을 하더라고요
이 화면에서 다음을 누르면
이런 화면과 함께 스마트싱스 개인 액세스 토큰을 입력 하라고 합니다
저 위의 링크 클릭 하면 삼성 계정 로그인 하고 토큰 생성하는 창으로 넘어갑니다
주의 하실 점은 저 링크를 따라가서 만든 토큰은 생성 당시 1회만 볼 수 있습니다
토큰 잃어버리시면 다시 발급 받아야 합니다
다시 볼 수 있는 기능이 없으니 어디다 적어두세요
빅스비 홈 미니를 연결 하거나
장소가 여러 개라 여러 번 반복 등록 해야할 경우 필요 합니다
체크 할 수 있는 건 다 체크 하시고 토큰 만들어서 넣고 확인을 누르면
이런 오류가 뜨게 되는데요
해결 방법은 제로트러스트 애플리케이션을 해제 하는 방법이 있을 거고요
다른 방법은 웹 훅 관련 주소만 우회를 시키는 거겠죠
방화벽 설정이나 DDNS 설정, 인증서 설정등이 잘못돼서
외부 접속이 안되는 경우도 이런 오류가 표시 되니 체크 해주세요
제로트러스트 애플리케이션에서 새로 추가를 해줍니다
셀프 호스팅 선택 하시고
앱이름은 편한대로 하시고
여기 표시 된 주소를 입력 해줍니다
앞부분 DDNS는 HAOS에 설정한 DDNS일 거고요
/api/webhook/sdljslfjlsdfjlksd... 은 뒤쪽에 입력을 해주세요
아래로 쭉 내려서
체크 해제 해주시고
다음
이름은 편한대로 하시고 Bypass 선택하시고요
추가 규칙에 Everyone 선택 하시고
나머지는 전부 체크 해제 상태로 둡니다
다음
여기는 건드릴 곳이 없습니다 전부 체크 해제 상태 그대로 앱 추가 누르시면 됩니다
그럼 이제 다시 HAOS가서 스마트싱스 연결을 해보시면
이런 식으로 화면이 넘어가면서 스마트싱스에 설정 해둔 장소들이 나옵니다
장소 선택을 하시고 확인 누르시면
그 장소 관리자 계정으로 로그인을 한 번 하게 되고 이런 화면이 뜹니다
편한대로 적어주시고 Done
허용 눌러주세요
완료
다시 HAOS로 가보시면
이런 식으로 그 장소에 추가 된 장비들이 다 넘어옵니다
HAOS에서 영역 설정을 해두셨으면 다 분류를 하셔도 되고 우선 완료 누른 후 필요한 것들 하나씩 추가 하셔도 됩니다
끝!
제로 트러스트도 잘 동작 합니다!
긴 글 읽으시느라 고생 하셨습니다
별 내용 아닌데 역시 글로 쓰다보면 길어지네요
위 방법이 정확한 해결책인지는 모르겠습니다만
저는 우선 저렇게 설정해서 사용 중입니다
더 안전하고 좋은 방법이 있다면 알려주세요
특정 API 주소만 유출 안된다면 아주 좋은 방법이네요.
HA앱을 안써서 지금 설치 해봤는데
앱 실행 해서 제로트러스트 적용 된 HA에 연결 시도 하면 제로트러스트 로그인 창이 뜹니다
그런데 구글 로그인은 오류가 뜨네요
앱이 Google의 안전한 브라우저 정책을 준수하지 않기 때문에 발생한다네요
추가설정을 해줘야 할것 같습니다만
이메일 로그인은 잘 됩니다
한 번 로그인 하면 설정한 인증 시간 동안은 추가 인증 없이 로그인 됩니다
HA말고 다른 앱들은 어떻게 할 방법이 없을까요.,..
api 를 모르니 연결을 못하겠네요 ..ㅜ
앱 같은 경우 앱 제작자가 지원을 해야 하는 경우가 많아서
뭐라고 말하기가 힘들겠네요
cmt alert