외부 인증 서버 구성
외부 인증 서버는 인증을 위해 외부 서버에서 사용자의 자격 증명을 수집하는 데 사용됩니다.
외부 인증 서버 이해
인증, 권한 부여 및 어카운팅(AAA) 서버는 다음과 같은 방법으로 사용자 액세스에 대한 추가 보호 및 제어 수준을 제공합니다.
인증에 따라 방화벽 사용자가 결정됩니다.
권한 부여는 방화벽 사용자가 수행할 수 있는 작업을 결정합니다.
어카운팅은 방화벽 사용자가 네트워크에서 수행한 작업을 결정합니다.
인증은 단독으로 사용하거나 권한 부여 및 어카운팅과 함께 사용할 수 있습니다. 권한 부여를 위해서는 항상 사용자를 먼저 인증해야 합니다. 어카운팅을 단독으로 사용하거나 인증 및 권한 부여와 함께 사용할 수 있습니다.
사용자의 자격 증명이 수집되면 다음 유형의 서버를 지원하는 방화벽 사용자 인증을 사용하여 처리됩니다.
로컬 인증 및 권한 부여
RADIUS 인증 및 권한 부여(Juniper Steel-Belted Radius 서버와 호환)
LDAP 인증 전용(LDAP 버전 3을 지원하며 Windows AD와 호환됨)
SecurID 인증 전용(RSA SecurID 외부 인증 서버 사용)
Junos OS는 로컬, RADIUS 및 TACACS+ 서버를 사용한 관리 인증도 지원합니다.
이 항목에는 다음 섹션이 포함되어 있습니다.
SecurID 사용자 인증 이해
SecurID는 사용자가 정적 또는 동적 암호를 자격 증명으로 입력할 수 있는 인증 방법입니다. 동적 암호는 사용자의 PIN과 임의로 생성된 토큰의 조합으로, 짧은 기간(약 1분) 동안 유효합니다. SecurID 서버에서 사용자에 대해 정적 암호가 설정됩니다. 예를 들어 SecurID 서버 관리자는 SecurID 토큰을 분실한 사용자에 대해 임시 고정 암호를 설정할 수 있습니다.
사용자가 정책으로 보호되는 리소스에 액세스하려고 시도하고 SecurID가 프로필 authentication-order
매개 변수에서 유일한 인증 모드 또는 사용할 첫 번째 모드로 구성된 경우, 디바이스는 인증을 위해 사용자의 자격 증명을 SecurID 서버로 전달합니다. 사용자가 유효한 값을 입력하면 요청된 리소스에 액세스할 수 있습니다.
SecurID 서버에는 사용자가 잘못된 자격 증명을 반복적으로 제공할 경우 사용자에게 챌린지를 제공하는 기능이 포함되어 있습니다. 그러나 Junos OS는 챌린지 기능을 지원하지 않습니다. 대신 SecurID 서버 관리자가 사용자에 대한 RSA 토큰을 다시 동기화해야 합니다.
SecurID의 경우 SecurID 서버에서 주니퍼 네트웍스 디바이스에 대한 정보를 구성하면 이 정보를 sdconf.rec라는 파일로 내보냅니다.
디바이스에 sdconf.rec 파일을 설치하려면 FTP와 같은 대역 외 방법을 사용해야 합니다. 파일이 정기적으로 삭제되지 않는 디렉토리에 파일을 설치합니다. 임시 디렉토리에 넣지 마십시오. 예를 들어 /var/db/secureid/server1/sdconf.rec에 설치할 수 있습니다.
sdconf.rec 파일에는 주니퍼 네트웍스 디바이스에 SecurID 서버의 주소를 제공하는 정보가 포함되어 있습니다. 외부 인증 서버로 사용할 SecurID 서버를 구성할 때는 이 정보를 명시적으로 구성할 필요가 없습니다.
예: RADIUS 및 LDAP 사용자 인증 구성
이 예에서는 외부 인증을 위해 디바이스를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 인증 사용자 그룹을 생성합니다.
개요
여러 사용자 계정을 함께 배치하여 로컬 데이터베이스나 RADIUS, LDAP 또는 SecurID 서버에 저장할 수 있는 사용자 그룹을 구성할 수 있습니다. 정책에서 인증 사용자 그룹 및 외부 인증 서버를 참조하면 정책과 일치하는 트래픽이 인증 검사를 유발합니다.
이 예에서는 외부 인증에 대해 액세스 프로필 Profile-1을 구성하는 방법을 보여 줍니다. 액세스 프로필에는 RADIUS 서버 2개와 LDAP 서버 1개가 구성됩니다. 그러나 인증 순서는 RADIUS 서버만 지정하므로 RADIUS 서버 인증에 실패하면 방화벽 사용자가 인증에 실패합니다. 로컬 데이터베이스에 액세스할 수 없습니다.
방화벽 클라이언트가 RADIUS 서버에 의해 인증된 경우 RADIUS 서버에서 반환된 그룹 멤버십 VSA는 RADIUS 서버 구성 또는 액세스 프로파일 Profile-1에 알파, 베타 또는 감마 클라이언트 그룹을 포함해야 합니다. 액세스 프로필은 사용자의 사용자 이름과 비밀번호를 저장하거나 이러한 정보가 저장되는 외부 인증 서버를 가리킵니다.
구성
절차
CLI 빠른 구성
이 예제를 빠르게 구성하려면 다음 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 명령을 복사하여 [edit] 계층 수준에서 CLI에 붙여넣은 다음, 구성 모드에서 을 입력합니다 commit .
set access profile Profile-1 authentication-order radius set access profile Profile-1 client Client-1 client-group alpha set access profile Profile-1 client Client-1 client-group beta set access profile Profile-1 client Client-1 client-group gamma set access profile Profile-1 client Client-1 firewall-user password pwd set access profile Profile-1 client Client-2 client-group alpha set access profile Profile-1 client Client-2 client-group beta set access profile Profile-1 client Client-2 firewall-user password pwd set access profile Profile-1 client Client-3 firewall-user password pwd set access profile Profile-1 client Client-4 firewall-user password pwd set access profile Profile-1 session-options client-group alpha set access profile Profile-1 session-options client-group beta set access profile Profile-1 session-options client-group gamma set access profile Profile-1 session-options client-idle-timeout 255 set access profile Profile-1 session-options client-session-timeout 4 set access profile Profile-1 ldap-options base-distinguished-name CN=users,DC=junos,DC=juniper,DC=net set access profile Profile-1 ldap-options search search-filter sAMAccountName= set access profile Profile-1 ldap-options search admin-search distinguished-name cn=administrator,cn=users,dc=junos,dc=juniper,dc=net set access profile Profile-1 ldap-options search admin-search password pwd set access profile Profile-1 ldap-server 203.0.113.39/24 set access profile Profile-1 radius-server 203.0.113.62/24 secret example-secret set access profile Profile-1 radius-server 203.0.113.62/24 retry 10 set access profile Profile-1 radius-server 203.0.113.27/24 secret juniper
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이 작업을 수행하는 방법에 대한 지침은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
외부 인증을 위한 디바이스 구성:
외부 인증 순서에 대한 RADIUS 서버를 지정합니다.
[edit] user@host# set access profile Profile-1 authentication-order radius
Client1-4 방화벽 사용자를 구성하고 Client-1 방화벽 사용자 및 Client-2 방화벽 사용자를 클라이언트 그룹에 할당합니다.
[edit access profile Profile-1] user@host# set client Client-1 client-group alpha user@host# set client Client-1 client-group beta user@host# set client Client-1 client-group gamma user@host# set client Client-1 firewall-user password pwd user@host# set client Client-2 client-group alpha user@host# set client Client-2 client-group beta user@host# set client Client-2 firewall-user password pwd user@host# set client Client-3 firewall-user password pwd user@host# set client Client-4 firewall-user password pwd
세션 옵션에서 클라이언트 그룹을 구성합니다.
[edit access profile Profile-1] user@host# set session-options client-group alpha user@host# set session-options client-group beta user@host# set session-options client-group gamma user@host# set session-options client-idle-timeout 255 user@host# set session-options client-session-timeout 4
LDAP 서버 및 서버 옵션에 대한 IP 주소를 구성합니다.
[edit access profile Profile-1] user@host# set ldap-options base-distinguished-name CN=users,DC=junos,DC=mycompany,DC=net user@host# set ldap-options search search-filter sAMAccountName= user@host# set ldap-options search admin-search password pwd user@host# set ldap-options search admin-search distinguished-name cn=administrator,cn=users,dc=junos,dc=mycompany,dc=net user@host# set ldap-server 203.0.113.39/24
두 RADIUS 서버의 IP 주소를 구성합니다.
[edit access profile Profile-1] user@host# set radius-server 203.0.113.62/24 secret pwd user@host# set radius-server 203.0.113.62/24 retry 10 user@host# set radius-server 203.0.113.27/24 secret pwd
결과
구성 모드에서 명령을 입력하여 show access profile Profile-1
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
user@host# show access profile Profile-1 authentication-order radius; client Client-1 { client-group [ alpha beta gamma ]; firewall-user { password "$ABC123"; ## SECRET-DATA } } client Client-2 { client-group [ alpha beta ]; firewall-user { password "$ABC123"; ## SECRET-DATA } } client Client-3 { firewall-user { password "$ABC123"; ## SECRET-DATA } } client Client-4 { firewall-user { password "$ABC123"; ## SECRET-DATA } } session-options { client-group [ alpha beta gamma ]; client-idle-timeout 255; client-session-timeout 4; } ldap-options { base-distinguished-name CN=users,DC=junos,DC=juniper,DC=net; search { search-filter sAMAccountName=; admin-search { distinguished-name cn=administrator,cn=users,dc=junos, dc=mycompany,dc=net; password "$ABC123"; ## SECRET-DATA } } } ldap-server { 203.0.113.39/24 ; } radius-server { 203.0.113.62/24 { secret "$ABC123"; ## SECRET-DATA retry 10; } 203.0.113.27/24 { secret "$ABC123"; ## SECRET-DATA } }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
보안 연결을 위해 TLS/SSL을 사용한 LDAP 인증 사용
Junos OS 릴리스 15.1X49-D70부터 SRX 시리즈 방화벽은 방화벽 사용자 인증을 위한 LDAP용 TLS(Transport Layer Security) StartTLS 확장을 지원하고 방화벽 인증을 통해 사용자 이름과 역할 정보를 얻기 위한 통합 사용자 방화벽 인증을 지원합니다. StartTTLS를 사용하면 피어 간의 협상이 완료된 후 TLS 계층을 통해 LDAP 서버와 클라이언트 간에 프로토콜 데이터를 전송할 수 있습니다. StartTLS는 기존의 안전하지 않은 LDAP 연결을 보안 TLS/SSL 연결로 업그레이드합니다.
SRX 시리즈 방화벽은 TLSv1.1 및 TLS v1.2를 지원하여 TLS/SSL과 함께 LDAP 인증을 사용합니다.
LDAP용 StartTLS를 사용하면 점점 더 강력한 보안을 제공하는 다음 암호 집합을 사용하여 보안 통신을 제공할 수 있습니다.
높은 암호화 암호: AES256-SHA,DES-CBC3-SHA
중간 암호화 암호: 높은 암호화 암호 + RC4-SHA:RC4-MD5:AES128-SHA
중간 암호화 암호: 중간 암호화 암호 + DES-CBC-SHA:EXP1024-DES-CBC-SHA:EXP1024-RC4-SHA:EXP1024-RC4-MD5:EXP-DES-CBC-SHA:EXP-RC4-MD5
LDAP의 StartTLS 구현은 다음 표준 LDAP 서버와 상호 운용됩니다.
Windows Active Directory
Novell e-디렉토리
Sun LDAP
Openldap
기본적으로 LDAP 트래픽은 안전하게 전송되지 않습니다. SSL/TLS(Secure Sockets Layer/Transport Layer Security) 기술을 사용하여 LDAP 트래픽의 기밀 및 보안을 설정할 수 있습니다.
LDAP 서버 구성의 일부로 TLS 매개 변수를 구성하려면:
SRX 시리즈 방화벽은 기본적으로 LDAP 인증을 위한 TLS 핸드셰이크 중에 LDAP 서버의 인증서에 대한 추가 검사를 지원합니다. 서버 인증서의 유효성 검사가 필요하지 않은 경우 다음 구성을 사용하여 서버 인증서의 유효성 검사를 무시하고 확인하지 않고 인증서를 수락할 수 있습니다.
[edit] user@host# set access profile profile-name ldap-server ip-address no-tls-certificate-check
기본적으로 은 no-tls-certificate-check
비활성화된 상태로 유지됩니다.
예: SecurID 사용자 인증 구성
이 예에서는 SecurID를 외부 인증 서버로 구성하는 방법을 보여 줍니다.
요구 사항
시작하기 전에 인증 사용자 그룹을 생성합니다.
개요
SecurID는 사용자가 정적 또는 동적 암호를 자격 증명으로 입력할 수 있는 인증 방법입니다. 동적 암호는 사용자의 PIN과 임의로 생성된 토큰의 조합으로, 짧은 기간(약 1분) 동안 유효합니다. SecurID 서버에서 사용자에 대해 정적 암호가 설정됩니다. 예를 들어 SecurID 서버 관리자는 SecurID 토큰을 분실한 사용자에 대해 임시 고정 암호를 설정할 수 있습니다.
사용자가 정책으로 보호되는 리소스에 액세스하려고 시도하고 SecurID가 프로필 authentication-order
매개 변수에서 유일한 인증 모드 또는 사용할 첫 번째 모드로 구성된 경우, 디바이스는 인증을 위해 사용자의 자격 증명을 SecurID 서버로 전달합니다. 사용자가 유효한 값을 입력하면 요청된 리소스에 액세스할 수 있습니다.
Server-1을 SecurID 서버로 사용하고 해당 구성 파일이 파일의 디바이스에 /var/db/securid/Server-1/sdconf.rec
상주하도록 지정합니다. 구성 모드에서 다음 명령을 입력합니다.
user@host# set access securid-server Server-1 configuration-file “/var/db/securid/Server-1/sdconf.rec”
구성
절차
CLI 빠른 구성
이 예제를 빠르게 구성하려면 다음 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 명령을 복사하여 [edit] 계층 수준에서 CLI에 붙여넣은 다음, 구성 모드에서 을 입력합니다 commit .
set access profile Profile-2 authentication-order securid
set access profile Profile-2 client Client-1 client-group alpha
set access profile Profile-2 client Client-1 client-group beta
set access profile Profile-2 client Client-1 client-group gamma
set access profile Profile-2 client Client-1 firewall-user password pwd
set access profile Profile-2 client Client-2 client-group alpha
set access profile Profile-2 client Client-2 client-group beta
set access profile Profile-2 client Client-2 firewall-user password pwd
set access profile Profile-2 client Client-3 firewall-user password pwd
set access profile Profile-2 client Client-4 firewall-user password pwd
set access profile Profile-2 session-options client-group alpha
set access profile Profile-2 session-options client-group beta
set access profile Profile-2 session-options client-group gamma
set access profile Profile-2 session-options client-idle-timeout 255
set access profile Profile-2 session-options client-session-timeout 4
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이 작업을 수행하는 방법에 대한 지침은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
SecurID를 외부 인증 서버로 구성하려면 다음을 수행합니다.
Profile-2 프로파일의 경우 SecurID를 외부 인증에 사용할 서버로 구성합니다.
[edit] user@host# set access profile Profile-2 authentication-order securid
여러 프로필에서 단일 SecurID 서버를 공유하려면 각 프로필에 대해 인증 모드로 포함할
securid
매개 변수를 설정합니다authentication-order
.클라이언트 1부터 4까지 방화벽 사용자로 구성하고 클라이언트-1과 클라이언트-2를 클라이언트 그룹에 할당합니다.
[edit access profile Profile-2] user@host# set client Client-1 client-group alpha user@host# set client Client-1 client-group beta user@host# set client Client-1 client-group gamma user@host# set client Client-1 firewall-user password pwd user@host# set client Client-2 client-group alpha user@host# set client Client-2 client-group beta user@host# set client Client-2 firewall-user password pwd user@host# set client Client-3 firewall-user password pwd user@host# set client Client-4 firewall-user password pwd
세션 옵션에서 클라이언트 그룹을 구성합니다.
[edit access profile Profile-2] user@host# set session-options client-group alpha user@host# set session-options client-group beta user@host# set session-options client-group gamma user@host# set session-options client-idle-timeout 255 user@host# set session-options client-session-timeout 4
결과
구성 모드에서 명령을 입력하여 show access profile Profile-2
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show access profile Profile-2 authentication-order securid; client Client-1 { client-group [ alpha beta gamma ]; firewall-user { password "$ABC123"; ## SECRET-DATA } } client Client-2 { client-group [ alpha beta ]; firewall-user { password "$ABC123"; ## SECRET-DATA } } client Client-3 { firewall-user { password "$ABC123"; ## SECRET-DATA } } client Client-4 { firewall-user { password "$ABC123"; ## SECRET-DATA } } session-options { client-group [alpha beta gamma]; client-idle-timeout 255; client-session-timeout 4; }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
확인
문제 해결
동적 VPN 구성에서 실패한 인증 문제 해결
문제
디바이스가 동적 VPN 구성에서 클라이언트 주소를 찾지 못합니다.
솔루션
디바이스 호스트 이름, 도메인 검색 및 이름 서버가 올바르게 구성되었는지 확인합니다.
[edit system] user@host# set host-name srxhost.example.net user@host# set domain-search domain.example.net user@host# set name-server 203.0.113.11
RSA 서버에서 디바이스 호스트 이름이 확인되는지 확인합니다.
예: SecurID 노드 시크릿 파일 삭제
이 예는 노드 시크릿 파일을 삭제하는 방법을 보여줍니다.
요구 사항
시작하기 전에 SecurID 노드 시크릿 파일을 삭제해야 하는지 확인하십시오.
개요
주니퍼 네트웍스 디바이스가 처음에 SecurID 서버와 성공적으로 통신하면 노드 시크릿 파일이 자동으로 생성됩니다. 이 파일은 소프트웨어가 첫 번째 사용자를 성공적으로 인증한 후 주니퍼 네트웍스 디바이스와 SecurID 서버 간의 핸드셰이크의 결과로 생성됩니다. 주니퍼 네트웍스 디바이스와 SecurID 서버 간의 모든 후속 통신은 각 인증 요청에서 핸드셰이크를 반복하는 대신 두 노드 간의 신뢰 표현으로 이 암호를 사용합니다.
정상적인 상황에서는 노드 시크릿 파일을 삭제하면 안 됩니다. 드문 경우지만, 예를 들어 심각한 문제를 디버깅하기 위해 그렇게 해야 하는 경우 명령을 사용하여 clear
파일을 제거할 수 있습니다.
파일을 삭제할 경우 SecurID 서버에서 주니퍼 네트웍스 디바이스 및 SecurID 서버에 대한 노드 시크릿 파일이 더 이상 존재하지 않음을 나타내는 상자를 선택 취소해야 합니다. 그렇지 않으면 인증 시도가 실패합니다.
구성
절차
단계별 절차
노드 시크릿 파일을 삭제하려면 다음을 수행합니다.
clear
명령을 사용하여 노드 시크릿 파일을 제거하십시오. 후속 사용자 인증 중에 디바이스는 SecurID 서버와의 공유 암호를 다시 설정하고 노드 암호 파일을 다시 생성합니다. 운영 모드에서 명령을 입력하여clear network-access
주니퍼 네트웍스 디바이스의 을(를) 지웁니다securid-node-secret-file
.user@host> clear network-access securid-node-secret-file
운영 모드에서 명령을 입력하여 삭제를
show network-access securid-node-secret-file
확인합니다. 출력이 표시되지 않으면 이 예의 지침을 반복하여 수정하십시오.user@host> show network-access securid-node-secret-file
확인
명령을 입력하여 삭제를 show network-access securid-node-secret-file
확인합니다.