Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

RADIUS TACACS+에 대한 인증 순서 및 로컬 암호

Junos OS Evolved는 로컬 비밀번호 인증, RADIUS 및 TACACS+를 비롯한 다양한 인증 방법을 지원하여 네트워크에 대한 액세스를 제어합니다.

여러 인증 방법을 지원하도록 디바이스를 구성할 때 디바이스가 시도할 방법의 순서를 정할 수 있습니다. 이 주제에서는 인증 순서가 어떻게 작동하는지, 디바이스에서 인증 순서를 구성하는 방법에 대해 설명합니다.

인증 순서 개요

네트워크 관리자는 문을 구성 authentication-order 하여 Junos OS Evolved 가 다른 인증 방법을 시도하여 라우터 또는 스위치에 대한 사용자 액세스를 확인하는 순서를 정할 수 있습니다. 인증 순서를 설정하지 않은 경우 기본적으로 Junos OS Evolved는 구성된 로컬 암호를 기반으로 사용자를 확인합니다.

인증 순서에 RADIUS 또는 TACACS+ 서버가 포함되지만 서버가 요청에 응답하지 않는 경우 , Junos OS Evolved 는 항상 로컬 암호 인증을 최후의 수단으로 시도하는 기본값입니다.

인증 순서에 RADIUS 또는 TACACS+ 서버가 포함되어 있지만 서버가 요청을 거부하면 요청 처리가 더 복잡해집니다.

  • (로컬 비밀번호 인증) 인증 순서 끝에 포함되어 있고 원격 인증 서버가 인증 요청을 거부하면 password 디바이스는 로컬 비밀번호 인증을 시도합니다.

  • (로컬 비밀번호 인증)가 인증 순서에 포함되지 않고 원격 인증 서버가 인증 요청을 거부하는 경우 password 요청은 거부로 끝납니다.

    참고:

    Junos OS Evolved 릴리스 20.4R1 및 이전 릴리스에서 원격 인증 서버가 요청을 거부하는 경우 디바이스는 여전히 로컬 암호 인증을 시도합니다.

따라서 원격 인증 서버가 요청을 거부하는 경우 디바이스가 로컬 암호 인증을 시도하기 위해 디바이스가 최종 인증 순서 옵션으로 포함 password 해야 합니다.

인증 순서가 로 authentication-order password설정된 경우 디바이스는 로컬 비밀번호 인증만 사용합니다.

원격 인증 사용

Junos OS Evolved를 RADIUS 또는 TACACS+ 인증 클라이언트(또는 둘 다)로 구성할 수 있습니다.

문에 authentication-order 포함된 인증 방법을 사용할 수 없거나 인증 방법을 사용할 수 없지만 해당 인증 서버가 거부 응답을 반환하면 Junos OS Evolved 는 문에 authentication-order 포함된 다음 인증 방법을 시도합니다.

RADIUS 또는 TACACS+ 서버 인증은 다음 이유 중 하나 이상에 대해 실패할 수 있습니다.

  • 인증 방법이 구성되지만 해당 인증 서버는 구성되지 않습니다. 예를 들어, RADIUS 및 TACACS+ 인증 방법은 문에 authentication-order 포함되어 있지만 해당 RADIUS 또는 TACACS+ 서버는 각 [edit system radius-server][edit system tacplus-server] 계층 수준에서 구성되지 않습니다.

  • 인증 서버는 해당 서버에 대해 구성된 시간 제한 값 이전에 또는 시간 초과가 구성되지 않은 경우 기본 시간 초과 전에 응답하지 않습니다.

  • 네트워크 문제로 인해 인증 서버에 연결할 수 없습니다.

인증 서버는 다음 이유 중 하나 또는 둘 다에 대해 거부 응답을 반환할 수 있습니다.

  • 라우터 또는 스위치에 액세스하는 사용자의 사용자 프로필은 인증 서버에 구성되지 않습니다.

  • 사용자가 잘못된 로그온 자격 증명을 입력합니다.

로컬 비밀번호 인증 사용 방법

문에서 authentication-order 인증 방법을 명시적으로 구성 password 하거나 원격 인증 서버에 장애가 발생할 때 이 방법을 폴백 메커니즘으로 사용할 수 있습니다. password 인증 방법은 계층 수준에서 구성된 [edit system login] 로컬 사용자 프로필을 참조합니다. 사용자는 다음 시나리오에서 로컬 사용자 이름과 암호를 사용하여 라우터 또는 스위치에 로그인할 수 있습니다.

  • 암호 인증 방법(password)은 문에서 authentication-order 인증 방법 중 하나로 명시적으로 구성됩니다.

    이 경우 디바이스는 이전 인증 방법이 로그온 자격 증명을 수락하지 않으면 로컬 암호 인증을 시도합니다. 이는 이전 인증 방법이 응답하지 못하든 잘못된 사용자 이름 또는 암호로 인해 거부 응답을 반환하든 마찬가지입니다.

  • 암호 인증 방법은 문에서 authentication-order 인증 방법 중 하나로 명시적으로 구성되지 않습니다.

    이 경우 구성된 모든 인증 방법이 응답하지 않으면 운영 체제는 로컬 비밀번호 인증만 시도합니다. 잘못된 사용자 이름 또는 암호로 인해 구성된 인증 방법이 거부 응답을 반환하는 경우 운영 체제는 로컬 비밀번호 인증을 사용하지 않습니다.

    참고:

    Junos OS Evolved 릴리스 20.4R1 및 이전 릴리스에서 Junos OS Evolved는 다른 인증 방법이 거부 응답을 반환하는지 또는 응답하지 않든 간에 여전히 로컬 암호 인증을 시도합니다.

인증 시도 순서

표 1은 계층 수준의 문이 Junos OS 디바이스에 [edit system] 대한 액세스를 위해 사용자를 인증하는 데 사용하는 절차를 어떻게 결정하는지 authentication-order 설명합니다.

표 1: 인증 시도 순서

구문

인증 시도 순서

authentication-order radius;

  1. 구성된 RADIUS 인증 서버를 사용해 보십시오.

  2. RADIUS 서버를 사용할 수 있고 인증이 수락되면 액세스 권한을 부여합니다.

  3. RADIUS 서버를 사용할 수 있지만 인증이 거부되면 액세스를 거부합니다.

    참고:

    Junos OS Evolved 릴리스 20.4R1 및 이전 릴리스에서는 RADIUS 서버를 사용할 수 있지만 인증이 거부된 경우 로컬 암호 인증을 시도합니다.

  4. RADIUS 서버를 사용할 수 없는 경우 로컬 비밀번호 인증을 시도하십시오.

authentication-order [ radius password ];

  1. 구성된 RADIUS 인증 서버를 사용해 보십시오.

  2. RADIUS 서버를 사용할 수 있고 인증이 수락되면 액세스 권한을 부여합니다.

  3. RADIUS 서버가 응답하지 않거나 서버가 응답을 반환하면 인증 순서대로 명시적으로 구성되므로 로컬 암호 인증을 시도합니다.

authentication-order [ radius tacplus ];

  1. 구성된 RADIUS 인증 서버를 사용해 보십시오.

  2. RADIUS 서버를 사용할 수 있고 인증이 수락되면 액세스 권한을 부여합니다.

  3. RADIUS 서버가 응답하지 않거나 서버가 응답을 반환하면 구성된 TACACS+ 서버를 시도합니다.

  4. TACACS+ 서버를 사용할 수 있고 인증이 수락되면 액세스 권한을 부여합니다.

  5. TACACS+ 서버를 사용할 수 있지만 인증이 거부되면 액세스를 거부합니다.

    참고:

    Junos OS Evolved 릴리스 20.4R1 및 이전 릴리스에서는 TACACS+ 서버를 사용할 수 있지만 인증이 거부된 경우 로컬 암호 인증을 시도합니다.

authentication-order [ radius tacplus password ];

  1. 구성된 RADIUS 인증 서버를 사용해 보십시오.

  2. RADIUS 서버를 사용할 수 있고 인증이 수락되면 액세스 권한을 부여합니다.

  3. RADIUS 서버가 응답하지 않거나 서버가 응답을 반환하면 구성된 TACACS+ 서버를 시도합니다.

  4. TACACS+ 서버를 사용할 수 있고 인증이 수락되면 액세스 권한을 부여합니다.

  5. TACACS+ 서버가 응답하지 않거나 서버가 거부 응답을 반환하면 인증 순서대로 명시적으로 구성되므로 로컬 비밀번호 인증을 시도하십시오.

authentication-order tacplus;

  1. 구성된 TACACS+ 인증 서버를 사용해 보십시오.

  2. TACACS+ 서버를 사용할 수 있고 인증이 수락되면 액세스 권한을 부여합니다.

  3. TACACS+ 서버를 사용할 수 있지만 인증이 거부되면 액세스를 거부합니다.

    참고:

    Junos OS Evolved 릴리스 20.4R1 및 이전 릴리스에서는 TACACS+ 서버를 사용할 수 있지만 인증이 거부된 경우 로컬 암호 인증을 시도합니다.

  4. TACACS+ 서버를 사용할 수 없는 경우 로컬 비밀번호 인증을 시도하십시오.

authentication-order [ tacplus password ];

  1. 구성된 TACACS+ 인증 서버를 사용해 보십시오.

  2. TACACS+ 서버를 사용할 수 있고 인증이 수락되면 액세스 권한을 부여합니다.

  3. TACACS+ 서버가 응답하지 않거나 서버가 거부 응답을 반환하면 인증 순서대로 명시적으로 구성되므로 로컬 비밀번호 인증을 시도하십시오.

authentication-order [ tacplus radius ];

  1. 구성된 TACACS+ 인증 서버를 사용해 보십시오.

  2. TACACS+ 서버를 사용할 수 있고 인증이 수락되면 액세스 권한을 부여합니다.

  3. TACACS+ 서버가 응답하지 않거나 서버가 거부 응답을 반환하면 구성된 RADIUS 서버를 시도합니다.

  4. RADIUS 서버를 사용할 수 있고 인증이 수락되면 액세스 권한을 부여합니다.

  5. RADIUS 서버를 사용할 수 있지만 인증이 거부되면 액세스를 거부합니다.

    참고:

    Junos OS Evolved 릴리스 20.4R1 및 이전 릴리스에서는 RADIUS 서버를 사용할 수 있지만 인증이 거부된 경우 로컬 암호 인증을 시도합니다.

  6. TACACS+ 또는 RADIUS 서버를 사용할 수 없는 경우 로컬 암호 인증을 시도합니다.

authentication-order password;

  1. 계층 수준에서 구성된 [edit system login] 암호를 사용하여 사용자를 인증하려고 합니다.

  2. 인증이 수락되면 액세스 권한을 부여합니다.

  3. 인증이 거부되면 액세스를 거부합니다.
참고:

SSH 공개 키가 구성된 경우, SSH 사용자 인증은 먼저 문에서 authentication-order 구성된 인증 방법을 사용하기 전에 공개 키 인증을 수행하려고 시도합니다. SSH 로그인이 먼저 공개 키 인증을 수행하지 않고 문에서 authentication-order 구성된 인증 방법을 사용하려면 SSH 공개 키를 구성하지 마십시오.

RADIUS, TACACS+ 및 로컬 비밀번호 인증에 대한 인증 순서 구성

authentication-order 문을 사용하여 Junos OS Evolved가 라우터 또는 스위치에 대한 사용자 액세스를 확인할 때 다른 인증 방법을 시도하는 순서에 우선 순위를 지정할 수 있습니다. 인증 순서를 설정하지 않은 경우 기본적으로 사용자는 로컬로 구성된 암호를 기반으로 확인됩니다.

일반 텍스트를 사용하여 암호를 구성하고 진화한 Junos OS 사용하여 암호화할 때 일반 텍스트로 인터넷을 통해 암호를 전송하고 있습니다. 사전 암호화된 암호를 사용하는 것은 암호의 일반 텍스트가 인터넷을 통해 전송될 필요가 없다는 것을 의미하기 때문에 더 안전합니다. 또한 암호의 경우 한 번에 한 명의 사용자만 암호에 할당될 수 있습니다.

한편, RADIUS 및 TACACS+는 비밀번호를 암호화합니다. 이러한 인증 방법을 사용하면 사용자를 하나씩 할당하는 대신 한 번에 일련의 사용자를 할당할 수 있습니다. 하지만 이러한 인증 시스템은 다음과 같습니다.

  • RADIUS UDP를 사용하며, TACACS+는 TCP를 사용합니다.

  • RADIUS 전송 중에 암호만 암호화하는 반면 TACACS+는 전체 세션을 암호화합니다.

  • RADIUS 인증(디바이스)과 권한 부여(사용자)를 결합하는 반면, TACACS+는 인증, 권한 부여 및 책임성을 분리합니다.

간단히 말해 TACACS+는 RADIUS 것보다 더 안전합니다. 그러나 RADIUS 성능이 향상되고 상호 운용성이 우수합니다. RADIUS 널리 지원되는 반면, TACACS+는 Cisco 독점 제품이며 Cisco 외부에서는 널리 지원되지 않습니다.

시스템, 제한 사항, IT 정책 및 운영 기본 설정에 따라 인증 순서를 구성할 수 있습니다.

인증 순서를 구성하려면 계층 수준에서 문을 [edit system] 포함합니다authentication-order.

이 문을 포함할 수 있는 계층 수준 목록은 이 문에 대한 문 요약 섹션을 참조하십시오.

다음은 가능한 인증 순서 입력 옵션입니다.

  • radius- RADIUS 인증 서버를 사용하여 사용자를 확인합니다.

  • tacplus- TACACS+ 인증 서버를 사용하여 사용자를 확인합니다.

  • password-계층 수준의 인증 문 [edit system login user] 에서 로컬로 구성된 사용자 이름과 암호를 사용하여 사용자를 확인합니다.

CHAP(Challenge Handshake Authentication Protocol) 인증 시퀀스는 30초 이상 걸릴 수 없습니다. 클라이언트를 인증하는 데 30초 이상이 걸리면 인증이 포기되고 새로운 시퀀스가 시작됩니다.

예를 들어, 라우터 또는 스위치가 각 서버에 세 번 접촉하려고 시도하도록 RADIUS 서버 3개를 구성한 것으로 가정합니다. 또한 각 재시도 시 서버의 시간이 3초 후에 나간 것으로 가정합니다. 이 시나리오에서는 CHAP가 장애로 간주하기 전에 RADIUS 인증 방법에 부여된 최대 시간은 27초입니다. 이 구성에 RADIUS 서버를 더 추가하는 경우, 이 서버를 시도하기 전에 인증 프로세스가 포기될 수 있기 때문에 연락되지 않을 수 있습니다.

Junos OS Evolved는 CHAP 인증이 한 번에 가질 수 있는 서 있는 인증 서버 요청 수에 제한을 적용합니다. 따라서 인증 서버 방법(예: RADIUS)은 이 제한을 초과할 때 클라이언트를 인증하지 못할 수 있습니다. 인증이 실패하면 인증이 성공하고 링크가 설정될 때까지 라우터 또는 스위치에 의해 인증 시퀀스가 재인증됩니다. 그러나 RADIUS 서버를 사용할 수 없으며 추가 인증 방법(예: tacplus 또는 password )이 구성된 경우 다음 인증 방법을 시도합니다.

다음 예는 구성 radiuspassword 인증 방법을 보여줍니다.

다음 예는 문 뒤에 radius 문을 삽입하는 tacplus 방법을 보여줍니다.

다음 예는 인증 순서에서 문을 삭제 radius 하는 방법을 보여줍니다.

예: 인증 순서 구성

이 예는 사용자 로그인에 대한 인증 순서를 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 초기 디바이스 구성을 수행합니다. 디바이스 시작 가이드를 참조하십시오.

개요

디바이스가 디바이스에 대한 사용자 액세스를 확인하는 데 사용하는 인증 방법 순서를 구성할 수 있습니다. 각 로그인 시도의 경우, 디바이스는 암호가 일치하거나 모든 인증 방법을 시도할 때까지 구성된 순서대로 인증 방법을 시도합니다. 원격 인증을 구성하지 않으면 구성된 로컬 암호를 기반으로 사용자가 확인됩니다.

이 예는 RADIUS 인증 서비스를 먼저 수행한 다음 TACACS+ 인증 서비스를 통해 그리고 마지막으로 로컬 비밀번호 인증을 사용하여 사용자 인증을 시도하도록 디바이스를 구성합니다.

로컬 비밀번호 인증을 사용할 때 시스템에 액세스하려는 모든 사용자에 대해 로컬 사용자 계정을 생성해야 합니다. 그러나 원격 인증 서버를 사용할 때 사용자 집합이 공유하는 템플릿 계정(권한 부여 목적)을 생성할 수 있습니다. 사용자가 템플릿 계정에 할당되면 명령줄 인터페이스(CLI) 사용자 이름이 로그인 이름입니다. 그러나 사용자는 템플릿 계정에서 권한, 파일 소유권 및 효과적인 사용자 ID를 상속합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

인증 순서 구성:

  1. 기존 문을 삭제합니다 authentication-order .

  2. 인증 순서에 RADIUS 인증을 추가합니다.

  3. 인증 순서에 TACACS+ 인증을 추가합니다.

  4. 인증 순서에 로컬 비밀번호 인증을 추가합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인합니다 show system authentication-order . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스를 구성한 후 구성 모드에서 을(를) 입력합니다 commit .

참고:

RADIUS 또는 TACACS+ 인증을 완전히 설정하려면 하나 이상의 RADIUS 또는 TACACS+ 서버를 구성하고 사용자 계정 또는 사용자 템플릿 계정을 생성해야 합니다.

확인

구성이 제대로 작동하는지 확인합니다.

인증 순서 구성 확인

목적

디바이스가 구성된 순서대로 인증 방법을 사용하는지 확인합니다.

작업

각 인증 방법에 대해 다른 비밀번호를 가진 테스트 사용자를 생성합니다. 다른 암호를 사용하여 디바이스에 로그인합니다. 이전 방법이 암호를 거부하거나 응답하지 못할 때 디바이스가 후속 인증 방법을 쿼리하는지 확인합니다.

또는 테스트 환경에서 인증 서버 구성 또는 로컬 사용자 계정 구성(또는 둘 다)을 비활성화하여 각 인증 방법을 테스트할 수 있습니다. 예를 들어 TACACS+ 서버를 테스트하려면 RADIUS 서버 구성과 사용자의 로컬 계정을 비활성화할 수 있습니다. 그러나 사용자의 로컬 계정을 비활성화하는 경우 사용자가 여전히 사용자 템플릿과 같은 remote 로컬 사용자 템플릿 계정에 매핑되도록 해야 합니다.

릴리스 기록 테이블
릴리스
설명
20.4R1
Junos OS Evolved 릴리스 20.4R2 및 21.1R1부터 암호 인증 동작은 Junos OS 암호 인증 동작과 일치하도록 업데이트됩니다. 인증 순서에 RADIUS 또는 TACACS+ 서버가 포함되어 있지만 서버가 요청에 응답하지 않는 경우, Junos OS Evolved는 항상 로컬 암호 인증을 최후의 수단으로 시도하는 기본값입니다.