Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

사용자 액세스 제어 구성 개요

Junos Space 네트워크 관리 플랫폼은 Junos Space 관리자를 통해 Junos Space 시스템에 적절한 액세스 정책을 적용하는 데 사용하는 강력한 사용자 액세스 제어 메커니즘 시스템을 제공합니다. Junos Space에서 관리자는 다양한 기능적 역할을 수행할 수 있습니다. CLI 관리자가 Junos Space 어플라이언스를 설치하고 구성합니다. 유지 관리 모드 관리자는 문제 해결 및 데이터베이스 복원 작업과 같은 시스템 수준의 작업을 수행합니다. 어플라이언스를 설치 및 구성한 후에는 사용자를 생성하고 이러한 사용자가 Junos Space 플랫폼 작업 공간에 액세스하고 애플리케이션, 사용자, 디바이스, 서비스, 고객 등을 관리할 수 있도록 역할을 할당할 수 있습니다.

표 1 에는 Junos Space 관리자와 수행할 수 있는 작업이 나와 있습니다.

표 1: Junos Space 관리자
Junos Space 관리자 기능 설명 작업

CLI 관리자

시리얼 콘솔에서 Junos Space 어플라이언스의 시스템 설정을 설정하고 관리하는 관리자

CLI 관리자 이름은 admin입니다.

CLI 관리자 암호는 콘솔 시스템 설정 메뉴에서 변경할 수 있습니다.

  • Junos Space 어플라이언스에 대한 기본 설정을 설치하고 구성합니다.

  • 어플라이언스의 네트워크 및 시스템 설정을 변경합니다(예:

    • CLI 관리자 암호를 변경합니다.

    • 라우팅 매개 변수를 수정합니다.

    • DNS 서버 설정을 수정합니다.

    • 시간대 및 NTP 서버 설정을 변경합니다.

    • VM 드라이브 크기를 확장합니다(Junos Space 가상 어플라이언스만 해당).

    • 문제 해결을 위해 로그 파일을 검색합니다.

유지 관리 모드 관리자

Junos Space 네트워크 관리 플랫폼에서 시스템 수준의 유지 보수를 수행할 책임이 있는 관리자

유지 관리 모드 관리자 이름은 maintenance입니다.

유지 관리 모드 암호는 Junos Space 어플라이언스를 처음 구성할 때 시리얼 콘솔에서 구성됩니다.

  • 데이터베이스 백업 파일을 사용하여 Junos Space 네트워크 관리 플랫폼을 이전 상태로 복원합니다.

  • 유지 관리 모드로 들어가 Junos Space 노드를 종료합니다.

  • 문제 해결을 위해 로그 파일을 검색합니다.

  • 유지 보수 모드를 종료하고 Junos Space 시스템을 명시적으로 시작합니다.

Junos Space 사용자 인터페이스 사용자

하나 이상의 사전 정의된 역할이 할당된 Junos Space 사용자. 사용자에게 할당된 각 역할은 Junos Space 사용자 인터페이스의 작업 공간에서 사용할 수 있는 개체(애플리케이션, 디바이스, 사용자, 작업, 서비스, 고객)에 대한 특정 액세스 및 관리 권한을 제공합니다.

Junos Space 사용자에게 할당할 수 있는 사전 정의된 역할에 대한 자세한 내용은 사용자 액세스 제어 개요 구성을 참조하십시오.

다음을 통해 사용자 액세스 제어를 구성할 수 있습니다.

  • Junos Space 플랫폼에 액세스하기 위한 사용자 인증 및 권한 부여 방법 결정

  • 사용자가 액세스할 수 있는 시스템 기능에 따라 사용자를 분리합니다. 다른 사용자에게 다른 역할 집합을 할당할 수 있습니다. Junos Space 네트워크 관리 플랫폼은 25개 이상의 사전 정의된 사용자 역할을 포함하며 조직의 요구에 따라 사용자 지정 역할을 생성할 수 있도록 지원합니다. 사용자가 Junos Space에 로그인하면 사용자가 액세스할 수 있는 작업 공간과 수행할 수 있는 작업은 특정 사용자 계정에 할당된 역할에 따라 결정됩니다.

  • 액세스가 허용된 도메인에 따라 사용자를 분리합니다. Junos Space의 도메인 기능을 사용하여 사용자와 디바이스를 전역 도메인에 할당하고 하위 도메인을 생성한 다음 이러한 도메인 중 하나 이상에 사용자를 할당할 수 있습니다. 도메인은 디바이스, 템플릿, 사용자 등을 포함할 수 있는 객체의 논리적 그룹입니다. 사용자가 Junos Space에 로그인할 때 볼 수 있는 개체 집합은 해당 사용자 계정이 할당된 도메인을 기반으로 합니다.

    여러 도메인을 사용하여 지리적으로 멀리 떨어져 있는 대규모 시스템을 더 작고 관리하기 쉬운 섹션으로 분리하고 개별 시스템에 대한 관리 액세스를 제어할 수 있습니다. 도메인 관리자 또는 사용자를 할당하여 해당 도메인에 할당된 디바이스 및 개체를 관리할 수 있습니다. 한 도메인에 할당된 사용자가 반드시 다른 도메인의 개체에 액세스할 필요가 없도록 도메인 계층을 디자인할 수 있습니다. 도메인에 할당된 사용자가 상위 도메인에 있는 객체를 보지 못하도록 제한할 수도 있습니다(Junos Space 릴리스 13.3에서는 글로벌 도메인의 객체를 보지 못함).

    예를 들어 소규모 조직에는 전체 네트워크에 대해 하나의 도메인(글로벌 도메인)만 있는 반면, 대규모 국제 조직에는 글로벌 도메인 내에 여러 하위 도메인이 있어 전 세계의 각 지역 사무소 네트워크를 나타낼 수 있습니다.

다음 섹션에서는 사용자 액세스 제어 메커니즘을 구성하는 방법에 대해 설명합니다.

인증 및 권한 부여 모드

첫 번째 결정은 원하는 인증 및 권한 부여 모드에 관한 것입니다. Junos Space의 기본 모드는 로컬 인증 및 권한 부여이며, 이는 Junos Space 데이터베이스에서 유효한 암호로 사용자 계정을 생성하고 해당 계정에 할당된 역할 집합을 할당해야 함을 의미합니다. 사용자 세션은 이 암호를 기반으로 인증되며 사용자 계정에 할당된 역할 집합에 따라 사용자가 수행할 수 있는 작업 집합이 결정됩니다.

조직이 중앙 집중식 AAA(Authentication, Authorization, and Accounting) 서버 세트에 의존하는 경우 관리 작업 공간(네트워크 관리 플랫폼 > 관리)의 인증 서버 페이지로 이동하여 이러한 서버와 함께 작동하도록 Junos Space를 구성할 수 있습니다.

참고:

  • 이러한 서버와 함께 작동하도록 Junos Space를 구성하려면 슈퍼 관리자 또는 시스템 관리자 권한이 있어야 합니다.

  • 원격 AAA 서버에 액세스하도록 Junos Space를 구성하려면 원격 AAA 서버의 IP 주소, 포트 번호 및 공유 암호를 알아야 합니다. Junos Space에 서버를 추가하자마자 연결 버튼을 사용하여 Junos Space와 AAA 서버 간의 연결을 테스트하는 것이 좋습니다. 이렇게 하면 구성된 IP 주소, 포트 또는 자격 증명에 문제가 있는지 즉시 알 수 있습니다.

  • AAA 서버의 정렬된 목록을 구성할 수 있습니다. Junos Space는 구성한 순서대로 이들에게 연락합니다. 두 번째 서버는 첫 번째 서버에 연결할 수 없는 경우에만 연결됩니다.

  • PAP(Password Authentication Protocol) 또는 CHAP(Challenge Handshake Authentication Protocol)를 통해 RADIUS 또는 TACACS+ 서버를 구성할 수 있습니다. Junos Space가 유지 관리하는 AAA 서버의 정렬된 목록에 RADIUS 및 TACACS+ 서버를 혼합하여 사용할 수 있습니다.

  • 원격 인증 및 권한 부여에는 원격 전용 및 원격 로컬의 두 가지 모드가 있습니다.

    • remote-only - 인증 및 권한 부여는 원격 AAA 서버 집합(RADIUS 또는 TACACS+)에 의해 수행됩니다.

    • remote-local—이 경우, 사용자가 원격 인증 서버에 구성되지 않았거나, 서버에 연결할 수 없거나, 원격 서버가 사용자 액세스를 거부할 때, 해당 로컬 사용자가 Junos Space 데이터베이스에 존재하면 로컬 암호가 사용됩니다.

원격 전용 모드를 사용하는 경우 Junos Space에서 로컬 사용자 계정을 만들 필요가 없습니다. 대신 사용하는 AAA 서버에서 사용자 계정을 생성하고 원격 프로파일 이름을 각 사용자 계정에 연결해야 합니다. 원격 프로필은 사용자가 Junos Space에서 수행할 수 있는 기능 집합을 정의하는 역할 모음입니다. Junos Space에서 원격 프로필을 생성합니다. 원격 프로파일에 대한 자세한 내용은 원격 프로파일을 참조하십시오. 원격 프로파일 이름은 RADIUS에서 VSA(Vendor-Specific Attribute)로, TACACS+에서 AVP(Attribute-Value Pair)로 구성할 수 있습니다. AAA 서버가 사용자 세션을 성공적으로 인증하면 Junos Space로 다시 전송되는 응답 메시지에 원격 프로필 이름이 포함됩니다. Junos Space는 이 원격 프로필 이름을 기반으로 원격 프로필을 조회하고 사용자가 수행할 수 있는 기능 집합을 결정합니다.

원격 전용 모드의 경우에도 다음 경우 중 하나로 Junos Space에서 로컬 사용자 계정을 생성할 수 있습니다.

  • 모든 AAA 서버가 다운되더라도 사용자가 Junos Space에 로그인할 수 있도록 허용하려고 합니다. 이 경우 Junos Space 데이터베이스에 로컬 사용자 계정이 있으면 로컬 데이터를 기반으로 사용자 세션이 인증되고 권한이 부여됩니다. 이 시나리오에서도 액세스를 보장하려는 몇 가지 중요한 사용자 계정에 대해 이 작업을 수행하도록 선택할 수 있습니다.

  • 장치 파티션을 사용하여 장치를 하위 그룹으로 분할하고 이러한 하위 개체를 다른 사용자에게 할당하려고 합니다. 디바이스 파티션을 사용하여 여러 하위 도메인에서 물리적 인터페이스, 논리적 인터페이스 및 물리적 인벤토리 요소를 공유할 수 있습니다. 디바이스 파티션은 M 시리즈 및 MX 시리즈 라우터에서만 지원됩니다. 자세한 내용은 Junos Space 네트워크 관리 플랫폼 작업 공간 사용자 가이드디바이스 파티션 생성 주제를 참조하십시오.

사용자 인증에 대한 자세한 내용은 Junos Space 인증 모드 개요 주제( Junos Space 네트워크 관리 플랫폼 작업 공간 사용자 가이드)를 참조하십시오.

인증서 기반 및 인증서 매개 변수 기반 인증

Junos Space 네트워크 관리 플랫폼은 사용자에 대한 인증서 기반 및 인증서 매개 변수 기반 인증을 지원합니다. 릴리스 15.2R1부터 인증서 매개 변수 기반 인증 모드에서도 사용자를 인증할 수 있습니다. 인증서 기반 및 인증서 매개 변수 기반 인증을 사용하면 사용자의 자격 증명을 기반으로 사용자를 인증하는 대신 사용자의 인증서 및 인증서 매개 변수를 기반으로 사용자를 인증할 수 있습니다. 이러한 인증 모드는 암호 기반 인증보다 더 안전한 것으로 간주됩니다. 인증서 매개 변수 기반 인증을 사용하면 로그인 프로세스 중에 인증되는 매개 변수를 최대 4개까지 정의할 수 있습니다. SSL 연결을 통한 인증서 기반 및 인증서 매개 변수 기반 인증을 사용하여 다양한 서버 및 사용자 간의 세션을 인증하고 권한을 부여할 수 있습니다. 이러한 인증서는 스마트 카드, USB 드라이브 또는 컴퓨터의 하드 드라이브에 저장할 수 있습니다. 사용자는 일반적으로 스마트 카드를 살짝 밀어 사용자 이름과 암호를 입력하지 않고 시스템에 로그인합니다.

인증서 기반 및 인증서 매개 변수 기반 인증에 대한 자세한 내용은 Junos Space 네트워크 관리 플랫폼 작업 공간 기능 가이드의 인증서 관리 개요 항목을 참조하십시오.

사용자 역할

Junos Space를 구성할 때 사용자가 액세스할 수 있는 시스템 기능에 따라 사용자를 분리하는 방법을 결정해야 합니다. 이렇게 하려면 다른 사용자에게 다른 역할 집합을 할당하여 수행합니다. 역할은 Junos Space 사용자가 액세스할 수 있는 작업 공간 모음과 각 작업 공간 내에서 사용자가 수행할 수 있는 일련의 작업을 정의합니다. Junos Space 네트워크 관리 플랫폼이 지원하는 사전 정의된 사용자 역할을 평가하려면 역할 페이지(네트워크 관리 플랫폼 > 역할 기반 액세스 제어 > 역할)로 이동합니다. 또한 Junos Space 네트워크 관리 플랫폼에 설치되는 모든 Junos Space 애플리케이션에는 사전 정의된 고유한 사용자 역할이 있습니다. 역할 페이지에는 기존의 모든 Junos Space 애플리케이션 역할, 설명 및 각 역할에 포함된 작업이 나열됩니다.

기본 사용자 역할이 요구 사항을 충족하지 않는 경우 역할 만들기 페이지(네트워크 관리 플랫폼 > 역할 기반 액세스 제어 > 역할 > 역할 만들기)로 이동하여 사용자 지정 역할을 구성할 수 있습니다. 역할을 만들려면 이 역할의 사용자가 액세스할 수 있는 작업 영역을 선택하고 각 작업 영역에 대해 사용자가 해당 작업 영역에서 수행할 수 있는 작업 집합을 선택합니다.

참고:

조직에 필요한 최적의 사용자 역할 집합에 도달하기 위해 사용자 역할 만들기를 여러 번 반복해야 할 수도 있습니다.

사용자 역할을 정의한 후에는 다양한 사용자 계정(Junos Space에서 생성된 로컬 사용자 계정의 경우)에 할당하거나 원격 인증에 사용할 원격 프로필에 할당할 수 있습니다.

사용자 역할 구성에 대한 자세한 내용은 역할 기반 액세스 제어 개요 주제( Junos Space 네트워크 관리 플랫폼 워크스페이스 사용자 가이드)를 참조하십시오.

원격 프로필

원격 프로파일은 원격 권한 부여의 경우에 사용됩니다. 원격 프로필은 사용자가 Junos Space에서 수행할 수 있는 기능 집합을 정의하는 역할 모음입니다. 기본적으로 생성된 원격 프로파일은 없으며, 원격 프로파일 생성 페이지( 원격 프로파일 생성> 네트워크 관리 플랫폼 > 역할 기반 액세스 제어 원격 프로파일 >생성)로 이동하여 생성해야 합니다. 원격 프로필을 만들 때 해당 프로필에 속한 하나 이상의 역할을 선택해야 합니다. 그런 다음 원격 AAA 서버에 있는 하나 이상의 사용자 계정에 대한 원격 프로필의 이름을 구성할 수 있습니다.

AAA 서버가 사용자 세션을 성공적으로 인증하면 AAA 서버는 Junos Space로 돌아오는 응답 메시지에 해당 사용자에 대해 구성된 원격 프로필 이름을 포함합니다. Junos Space는 이 이름을 기반으로 원격 프로필을 조회하고 사용자의 역할 집합을 결정합니다. 그런 다음 Junos Space는 이 정보를 사용하여 사용자가 액세스할 수 있는 작업 공간 세트와 사용자가 수행할 수 있는 작업을 제어합니다.

참고:

원격 인증과 함께 로컬 권한 부여를 사용하기로 결정한 경우 원격 프로파일을 구성할 필요가 없습니다. 이 경우 로컬 사용자 계정을 만들고 이러한 사용자 계정에 역할을 할당해야 합니다. 구성된 AAA 서버는 인증을 수행하며, 인증된 각 세션에 대해 Junos Space는 데이터베이스의 사용자 계정에 대해 로컬로 구성된 역할을 기반으로 권한 부여를 수행합니다.

원격 프로필 생성에 대한 자세한 내용은 원격 프로필 생성 주제( Junos Space 네트워크 관리 플랫폼 작업 공간 사용자 가이드)를 참조하십시오.

도메인

도메인 페이지(역할 기반 액세스 제어 > 도메인)에서 도메인을 추가, 수정 또는 삭제할 수 있습니다. 이 페이지는 전역 도메인에 로그인한 경우에만 액세스할 수 있습니다. 즉, 전역 도메인에서만 도메인을 추가, 수정 또는 삭제할 수 있습니다. 기본적으로 사용자가 만든 모든 도메인은 전역 도메인 아래에 추가됩니다. 도메인을 추가할 때 이 도메인의 사용자가 상위 도메인에 대한 읽기 전용 액세스 권한을 갖도록 허용할 수 있습니다. 이렇게 하면 하위 도메인의 모든 사용자가 상위 도메인의 객체를 읽기 전용 모드로 볼 수 있습니다.

참고:

두 가지 계층 수준, 즉 전역 도메인과 전역 도메인 아래에 추가할 수 있는 다른 도메인만 지원됩니다.

도메인 관리에 대한 자세한 내용은 도메인 개요 주제( Junos Space 네트워크 관리 플랫폼 워크스페이스 사용자 가이드)를 참조하십시오.

사용자 계정

다음과 같은 경우 Junos Space에서 사용자 계정을 생성해야 합니다.

  • 로컬 인증 및 권한 부여 수행 - Junos Space에서 사용자 계정을 생성합니다. 각 사용자 계정에는 유효한 암호와 사용자 역할 집합이 포함되어야 합니다. 사용자 계정을 생성하려면 Create User(사용자 생성 ) 페이지(Network Management Platform > Role Based Access Control> User Accounts(사용자 계정) > Create User)로 이동합니다.

  • 원격 인증 및 로컬 권한 부여 수행 - 시스템의 각 사용자에 대한 사용자 계정을 생성하고 각 사용자 계정에 역할 집합이 할당되었는지 확인합니다. 인증은 원격으로 수행되므로 사용자 계정에 대한 암호를 입력하지 않아도 됩니다.

  • 원격 인증 및 권한 부여를 수행하고 모든 AAA 서버가 다운되거나 Junos Space에서 연결할 수 없는 경우에도 특정 사용자가 Junos Space에 액세스할 수 있도록 허용하려면 유효한 암호를 사용하여 이러한 사용자에 대한 로컬 사용자 계정을 생성합니다. 시스템은 이러한 사용자에 대해 하나 이상의 역할을 구성하도록 강제합니다. 그러나 AAA 서버가 제공하는 원격 프로파일 이름을 기반으로 권한 부여가 수행됩니다.

  • 원격 인증 및 권한 부여를 수행하지만 지정된 사용자에 대한 원격 인증 실패를 재정의하고 Junos Space에 액세스할 수 있도록 허용하려면 - 일반적인 시나리오는 새 Junos Space 사용자를 생성해야 하지만 원격 AAA 서버에서 사용자를 구성하기 위한 즉각적인 액세스 권한이 없는 경우입니다. 이러한 사용자에 대해 유효한 암호와 유효한 역할 집합을 사용하여 로컬 사용자 계정을 만들어야 합니다.

  • 원격 인증 및 권한 부여를 수행하고 도메인을 기반으로 사용자 간에 디바이스를 분리하려면—도메인은 Junos Space의 사용자 개체에 할당되어야 하므로 Junos Space에서 원격 프로필을 생성하고 해당 프로필에 역할과 도메인을 할당해야 합니다.

    참고:

    원격 인증과 함께 로컬 권한 부여를 사용하기로 결정한 경우 원격 프로파일을 구성할 필요가 없습니다. 이 경우 로컬 사용자 계정을 만들고 이러한 사용자 계정에 역할을 할당해야 합니다. 구성된 AAA 서버는 인증을 수행하며, 인증된 각 세션에 대해 Junos Space는 데이터베이스의 사용자 계정에 대해 로컬로 구성된 역할을 기반으로 권한 부여를 수행합니다.

참고:

Junos Space는 유효한 암호에 대해 특정 규칙을 적용합니다. 이러한 규칙은 애플리케이션 페이지(네트워크 관리 플랫폼 > 관리 > 애플리케이션)에서 네트워크 관리 플랫폼 설정의 일부로 구성합니다. 응용 프로그램을 마우스 오른쪽 단추로 클릭하고 응용 프로그램 설정 수정을 선택합니다. 그런 다음 창 왼쪽에서 암호를 선택합니다. 다음 페이지에서 현재 설정을 보고 수정할 수 있습니다.

사용자 계정 생성에 대한 자세한 내용은 Junos Space 네트워크 관리 플랫폼에서 사용자 생성 주제(Junos Space 네트워크 관리 플랫폼 작업 공간 사용자 가이드)를 참조하십시오.

장치 파티션

장치 페이지(네트워크 관리 플랫폼 > 장치 > 장치 관리)에서 장치를 분할할 수 있습니다. 디바이스를 하위 그룹으로 분할한 다음 파티션을 다른 도메인에 할당하여 이러한 하위 개체를 다른 사용자에게 할당할 수 있습니다. 디바이스의 파티션은 하나만 도메인에 할당할 수 있습니다.

참고:

디바이스 파티션은 M 시리즈 및 MX 시리즈 라우터에서만 지원됩니다.

디바이스 파티션에 대한 자세한 내용은 디바이스 파티션 생성 주제( Junos Space 네트워크 관리 플랫폼 워크스페이스 사용자 가이드)를 참조하십시오.

관련 문서

릴리스 기록 테이블
릴리스
설명
15.2R1
릴리스 15.2R1부터 인증서 매개 변수 기반 인증 모드에서도 사용자를 인증할 수 있습니다.