RADIUS 인증
Junos OS Evolved는 네트워크 디바이스에서 사용자의 중앙 인증을 위한 RADIUS를 지원합니다. 디바이스에서 RADIUS 인증을 사용하려면 네트워크 관리자는 네트워크에 있는 하나 이상의 RADIUS 서버에 대한 정보를 구성해야 합니다. 또한 디바이스에 RADIUS 계정을 구성하여 LAN에 로그인 또는 로그아웃하는 사용자에 대한 통계 데이터를 수집하여 RADIUS 계정 서버로 전송할 수 있습니다.
RADIUS 서버 인증 구성
RADIUS 인증은 네트워크 디바이스에 액세스하려는 사용자를 인증하는 방법입니다. 다음 섹션에서는 RADIUS를 사용하는 이유와 구성 방법을 설명합니다.
- RADIUS를 사용해야 하는 이유
- RADIUS 서버 세부 정보 구성
- 시스템 인증을 위한 RADSEC(RADIUS over TLS) 구성
- 관리 인스턴스를 사용하도록 RADIUS 구성
RADIUS를 사용해야 하는 이유
사용자(네트워크 관리자)는 RADIUS 및 TACACS+를 포함한 네트워크 디바이스에서 사용자의 중앙 인증에 다른 프로토콜을 사용할 수 있습니다. 멀티벤더 IETF 표준이기 때문에 RADIUS를 추천하며 그 기능은 TACACS+ 또는 기타 독점 시스템의 것보다 더 폭넓게 수용됩니다. 또한 보안 강화를 위해 일회성 비밀번호 시스템을 사용하는 것이 좋으며 이러한 시스템의 모든 벤더가 RADIUS를 지원합니다.
우선 순위가 상호 운용성과 성능인 경우 RADIUS를 사용해야 합니다.
-
상호 운용성 - RADIUS는 TACACS+보다 상호 운용성이 뛰어납니다. 주로 TACACS+의 고유한 특성 때문입니다. TACACS+는 더 많은 프로토콜을 지원하는 반면, RADIUS는 보편적으로 지원됩니다.
-
성능 - RADIUS는 라우터와 스위치에서 훨씬 가볍습니다. 이러한 이유로 네트워크 엔지니어는 일반적으로 TACACS+보다 RADIUS를 선호합니다.
RADIUS 서버 세부 정보 구성
디바이스에서 RADIUS 인증을 사용하려면 각 RADIUS 서버의 계층 수준에서 [edit system] 하나의 radius-server 문을 포함하여 네트워크에 있는 하나 이상의 RADIUS 서버에 대한 정보를 구성합니다. 디바이스는 RADIUS 서버를 구성된 순서대로 쿼리합니다. 주 서버(구성된 첫 번째 서버)를 사용할 수 없는 경우 디바이스는 응답을 수신할 때까지 목록의 각 서버에 연결을 시도합니다.
네트워크 디바이스는 RADIUS 인증 사용자를 로컬 정의 사용자 계정 또는 사용자 템플릿 계정에 매핑하여 권한 부여를 결정할 수 있습니다. 기본적으로 Junos OS Evolved 는 다음과 같은 경우 RADIUS 인증 사용자를 구성된 경우 사용자 템플릿 계정에 remote할당합니다.
-
인증 사용자는 로컬 디바이스에 구성된 사용자 계정이 없습니다.
-
RADIUS 서버가 사용자를 로컬 사용자 템플릿에 할당하지 않거나 서버가 할당하는 템플릿이 로컬 장치에 구성되어 있지 않습니다.
RADIUS 서버는 인증된 사용자를 다른 사용자 템플릿에 할당하여 해당 사용자에게 다른 관리 권한을 부여할 수 있습니다. 사용자는 CLI에서 동일한 로그인 이름을 유지하지만 할당된 템플릿에서 로그인 클래스, 액세스 권한 및 효과적인 사용자 ID를 상속합니다. RADIUS 인증 사용자가 로컬로 정의된 사용자 계정 또는 사용자 템플릿 remote 에 매핑되지 않고 템플릿이 구성되지 않은 경우 인증이 실패합니다.
사용자 이름은 remote Junos OS Evolved 에서 특별한 사례이며 항상 소문자여야 합니다. 원격 서버에서 인증하지만 디바이스에 로컬 구성된 사용자 계정이 없는 사용자의 템플릿으로 사용됩니다. Junos OS Evolved 는 로컬 정의 계정 없이 인증된 사용자에게 템플릿 권한을 remote 적용합니다. 템플릿에 remote 매핑된 모든 사용자는 동일한 로그인 클래스에 있습니다.
여러 디바이스에서 원격 인증을 구성하기 때문에 구성 그룹 내부에서 구성하는 것이 일반적입니다. 여기에 제시된 단계는 라는 구성 그룹 global에 있습니다. 구성 그룹을 사용하는 것은 선택 사항입니다.
RADIUS 서버에 의한 인증 구성:
시스템 인증을 위한 RADSEC(RADIUS over TLS) 구성
RADSEC(RADIUS over TLS)는 시스템 인증 및 어카운팅을 위해 Junos 디바이스와 RADIUS 서버 간에 안전하고 암호화된 통신을 제공합니다. 시스템은 OpenSSL API를 사용하여 SSL/TLS 세션을 설정하고 인증서 유효성 검사를 수행합니다.
system 시스템 수준 인증(관리 액세스)에 적용됩니다. 네트워크 액세스 제어를 위한 RADSEC 구성의 경우,
access 계층 아래에 RADSEC을 구성합니다.
RADSEC은 TCP 포트 2083(UDP 포트 1812/1813 대신)에서 TLS 암호화를 사용하여 관리 인증 트래픽을 보호합니다. RADSEC은 두 가지 인증 모드를 지원합니다.
- 단방향 TLS: 클라이언트는 신뢰할 수 있는 CA 인증서를 사용하여 서버의 인증서를 확인합니다.
- 상호 TLS(mTLS): 클라이언트와 서버 모두 인증서를 사용하여 서로를 인증합니다.
시작하기 전에:
다음을 확인합니다.
- CA 인증서는 서버 유효성 검사에 사용할 수 있습니다
- 클라이언트 인증서를 사용할 수 있습니다(상호 인증에만 필요)
CA 인증서 구성:
파일을 복사하여 아래의 /var/tmp/certs/<trusted-ca-group>/subject <hash>.0으로 이름을 바꿀 수 있습니다. 또는 아래에 주체 <hash>.0 /var/tmp/certs/<trusted-ca-group> 이 있는 심볼릭 링크를 생성하고 이를 실제 인증서 파일에 연결할 수도 있습니다.
- 주체 이름 해시를 생성합니다.
openssl x509 -in <CA-file-name> -noout -subject_hash
- 심볼릭 링크 생성:
ln -s <CA-file-name> <hash>.0
동일한 주제 이름 해시 값을 가진 CA 파일이 두 개 이상 있는 경우 확장명이 달라야 합니다. 예를 들어 'E5D93F80.1' 등이 있습니다. 그에 따라 내선 번호가 어떻게 정렬되는지에 대한 검색이 수행됩니다.
예:
cd /var/tmp/certs/grp1/ openssl x509 -in root-ca.crt -noout -subject_hash ln -s root-ca.crt e5d93f80.0
클라이언트 인증서 구성(상호 인증만 해당):
상호 인증의 경우, 클라이언트 인증서와 개인 키를 에 배치합니다./var/tmp/certs/<certificate-id>/
폴더에는 다음이 포함되어야 합니다.
client.crt- 클라이언트 인증서 파일client.key- 클라이언트 개인 키 파일
예:
mkdir -p /var/tmp/certs/ca1/ cp client.crt /var/tmp/certs/ca1/ cp client.key /var/tmp/certs/ca1/
시스템 인증에 대한 RADSEC 구성:
다음 예는 상호 인증이 있는 완전한 RADSEC 구성을 보여줍니다.
[edit]
user@host# show system
login {
user remote {
class operator;
}
}
authentication-order [ radius password ];
radius-server {
1.1.1.1 {
port 2083;
tls {
trusted-ca-group grp1;
mutual-authentication {
certificate-id ca1;
}
}
secret "$9$ABC123"; ## SECRET-DATA
}
}
accounting {
destination {
radius {
server {
1.1.1.1 {
accounting-port 2083;
tls {
trusted-ca-group grp1;
mutual-authentication {
certificate-id ca1;
}
}
secret "$9$ABC123"; ## SECRET-DATA
}
}
}
}
}
검증:
네트워크 디바이스에 로그인하고 성공적인 인증 확인합니다. RADSEC이 작동하는지 확인하려면 로컬 비밀번호가 구성되지 않은 계정으로 로그인을 시도하십시오.
구성 매개 변수:
trusted-ca-group—아래/var/tmp/certs/의 CA 인증서가 들어 있는 폴더에 해당하는 신뢰할 수 있는 CA 그룹 이름입니다. OpenSSL은 이러한 CA 인증서를 사용하여 RADIUS 서버의 인증서를 검증합니다.certificate-id—아래의/var/tmp/certs/클라이언트 인증서 및 개인 키가 들어 있는 폴더에 해당하는 인증서 식별자입니다. 상호 인증에 필요합니다.
관리 인스턴스를 사용하도록 RADIUS 구성
기본적으로 Junos OS Evolved 는 기본 라우팅 인스턴스를 통해 RADIUS에 대한 인증, 권한 부여 및 어카운팅 패킷을 라우팅합니다. 기본이 아닌 VRF 인스턴스의 관리 인터페이스를 통해 RADIUS 패킷을 라우팅할 수도 있습니다.
관리 인스턴스를 통해 mgmt_junos RADIUS 패킷을 라우팅하는 방법:
-
관리 인스턴스를
mgmt_junos사용하도록 설정합니다.[edit system] user@host# set management-instance
-
구성된 경우 RADIUS 인증 서버 및 RADIUS 어카운팅 서버에 대한 문을 구성
routing-instance mgmt_junos합니다.[edit system] user@host# set radius-server server-address routing-instance mgmt_junos user@host# set accounting destination radius server server-address routing-instance mgmt_junos
예: 시스템 인증을 위한 RADIUS 서버 구성
이 예에서는 RADIUS 서버를 통해 시스템 인증을 구성합니다.
요구 사항
시작하기 전에:
-
초기 디바이스 구성을 수행합니다. 해당 디바이스의 시작하기 가이드를 참조하십시오.
-
네트워크에 하나 이상의 RADIUS 서버를 구성합니다.
개요
이 예에서는 IP 주소 172.16.98.1의 새 RADIUS 서버를 추가합니다. RADIUS 서버의 공유 암호를 Radiussecret1로 지정합니다. 디바이스는 암호화된 값으로 구성 데이터베이스에 암호를 저장합니다. 마지막으로, RADIUS 서버 요청에서 디바이스가 사용하는 소스 주소를 지정합니다. 대부분의 경우 디바이스의 루프백 주소를 사용할 수 있으며, 이 예에서는 10.0.0.1입니다.
네트워크 디바이스에서 로컬 비밀번호 인증, RADIUS 및 TACACS+와 같은 여러 사용자 인증 방법에 대한 지원을 구성할 수 있습니다. 여러 인증 방법을 구성할 때 디바이스가 시도할 방법의 순서를 정할 수 있습니다. 이 예에서는 먼저 RADIUS 인증 서비스를 사용할 디바이스를 구성하고, 실패하면 로컬 비밀번호 인증을 시도합니다.
RADIUS 인증 사용자는 권한 부여를 결정하는 네트워크 디바이스에서 로컬 사용자 계정 또는 로컬 사용자 템플릿 계정에 매핑해야 합니다. 기본적으로 RADIUS 인증 사용자가 로컬 사용자 계정 또는 특정 사용자 템플릿에 매핑하지 않으면, 사용자는 구성된 경우 사용자 템플릿에 remote 할당됩니다. 이 예제에서는 사용자 템플릿을 구성합니다.remote
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set system radius-server 172.16.98.1 set system radius-server 172.16.98.1 secret Radiussecret1 set system radius-server 172.16.98.1 source-address 10.0.0.1 set system authentication-order [radius password] set system login user remote class operator
단계별 절차
시스템 인증에 대한 RADIUS 서버 구성:
-
새 RADIUS 서버를 추가하고 IP 주소를 설정합니다.
[edit system] user@host# set radius-server 172.16.98.1
-
RADIUS 서버의 공유 암호(비밀번호)를 지정합니다.
[edit system] user@host# set radius-server 172.16.98.1 secret Radiussecret1
-
디바이스의 루프백 주소를 소스 주소로 지정합니다.
[edit system] user@host# set radius-server 172.16.98.1 source-address 10.0.0.1
-
디바이스의 인증 순서를 지정하고 옵션을 포함합니다.
radius[edit system] user@host# set authentication-order [radius password]
- 사용자 템플릿 및 해당 로그인 클래스를 구성합니다
remote.[edit system] user@host# set login user remote class operator
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show system 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
다음 출력에는 이 예와 관련된 구성 계층의 일부만 포함됩니다.
[edit]
user@host# show system
login {
user remote {
class operator;
}
}
authentication-order [ radius password ];
radius-server {
172.16.98.1 {
secret "$9$ABC123"; ## SECRET-DATA
source-address 10.0.0.1;
}
}
디바이스를 구성한 후 구성 모드로 들어갑니다 commit .
주니퍼 네트웍스 벤더별 RADIUS 속성
Junos OS Evolved는 RADIUS 서버에서 주니퍼 네트웍스 RADIUS VSA(Vendor-Specific Attribute) 구성을 지원합니다. 이러한 VSA는 벤더 ID가 주니퍼 네트웍스 ID 번호 2636으로 설정된 RADIUS 벤더별 속성에 캡슐화됩니다.
표 1 에는 구성할 수 있는 주니퍼 네트웍스 VSA가 나와 있습니다.
일부 속성은 POSIX 1003.2에 정의된 대로 확장 정규 표현식을 허용합니다. 정규 표현식에 공백, 연산자 또는 와일드카드 문자가 포함되어 있는 경우 따옴표로 묶습니다. 자세한 정보는 다음을 참조하십시오.
| 이름 |
설명 |
유형 |
길이 |
문자열 |
|---|---|---|---|---|
| 주니퍼 로컬 사용자 이름 |
사용자가 디바이스에 로그인할 때 이 사용자에게 할당된 사용자 템플릿의 이름을 나타냅니다. 이 특성은 액세스 수락 패킷에만 사용됩니다. |
1 |
≥3 |
인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟. |
| 주니퍼 허용 명령 |
사용자의 로그인 클래스 권한 비트에 의해 승인된 명령 외에 사용자가 명령을 실행할 수 있는 확장 정규 표현을 포함합니다. 이 특성은 액세스 수락 패킷에만 사용됩니다. |
2 |
≥3 |
확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟. |
| 주니퍼 거부 명령 |
사용자의 로그인 클래스 권한 비트에 의해 승인된 명령을 실행할 수 있는 사용자 권한을 거부하는 확장 정규 표현을 포함합니다. 이 특성은 액세스 수락 패킷에만 사용됩니다. |
3 |
≥3 |
확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟. |
| 주니퍼 허용 구성 |
사용자의 로그인 클래스 권한 비트에 의해 승인된 문 외에 사용자가 구성 문을 보고 수정할 수 있는 확장 정규 표현을 포함합니다. 이 특성은 액세스 수락 패킷에만 사용됩니다. |
4 |
≥3 |
확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟. |
| 주니퍼 거부 구성 |
사용자의 로그인 클래스 권한 비트에 의해 승인된 구성 문을 보거나 수정할 수 있는 사용자 권한을 거부하는 확장 정규 표현을 포함합니다. 이 특성은 액세스 수락 패킷에만 사용됩니다. |
5 |
≥3 |
확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟. |
| 주니퍼 인터랙티브 커맨드 |
사용자가 입력한 대화형 명령을 나타냅니다. 이 특성은 Accounting-Request 패킷에만 사용됩니다. |
8 |
≥3 |
인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟. |
| 주니퍼 구성 변경 |
구성(데이터베이스)이 변경되는 대화형 명령을 나타냅니다. 이 특성은 Accounting-Request 패킷에만 사용됩니다. |
9 |
≥3 |
인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟. |
| 주니퍼 사용자 권한 |
서버가 사용자 권한을 지정하는 데 사용하는 정보를 포함합니다. 이 특성은 액세스 수락 패킷에만 사용됩니다.
참고:
RADIUS 서버가 사용자에게 권한 또는 |
10 |
≥3 |
인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟. 문자열은 공백으로 구분된 권한 플래그의 목록입니다. 각 플래그의 정확한 이름은 전체적으로 지정되어야 합니다. |
| 주니퍼 인증 유형 |
사용자를 인증하는 데 사용되는 인증 방법(로컬 데이터베이스 또는 RADIUS 서버)을 나타냅니다. 로컬 데이터베이스를 사용하여 사용자가 인증되면, 속성 값은 '로컬'을 표시합니다. 사용자가 RADIUS 또는 LDAP 서버를 사용하여 인증된 경우 속성 값은 '원격'으로 표시됩니다. |
11 |
≥5 |
인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟. |
| 주니퍼 세션 포트 |
설정된 세션의 소스 포트 번호를 나타냅니다. |
12 |
정수 크기 |
정수 |
| 주니퍼 허용 구성 정규 표현식 |
사용자의 로그인 클래스 권한 비트에 의해 승인된 문 외에 사용자가 구성 문을 보고 수정할 수 있는 확장 정규 표현을 포함합니다. 이 특성은 액세스 수락 패킷에만 사용됩니다. |
13 |
≥3 |
확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟. |
| 주니퍼 거부 구성 정규 표현식 |
사용자의 로그인 클래스 권한 비트에 의해 승인된 구성 문을 보거나 수정할 수 있는 사용자 권한을 거부하는 확장 정규 표현을 포함합니다. 이 특성은 액세스 수락 패킷에만 사용됩니다. |
14 |
≥3 |
확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟. |
VSA에 대한 자세한 내용은 RFC 2138, RADIUS(원격 인증 전화 접속 사용자 서비스)를 참조하십시오.
RADIUS 또는 TACACS+ 서버에서 정규식을 사용하여 명령 허용 또는 거부
Junos OS Evolved 는 RADIUS 및 TACACS+ 인증된 사용자를 사용자의 액세스 권한을 정의하는 로컬 정의 사용자 계정 또는 사용자 템플릿 계정에 매핑할 수 있습니다. 선택적으로 각 인증 서버에서 주니퍼 네트웍스RADIUS 및 TACACS+ VSA(Vendor-Specific Attribute)를 정의하여 사용자의 액세스 권한을 구성할 수도 있습니다.
사용자의 로그인 클래스는 사용자에게 실행 권한이 부여된 작동 모드 및 구성 모드 명령과 사용자가 보고 수정할 수 있는 구성 영역을 결정하는 권한 집합을 정의합니다. 또한 로그인 클래스는 사용자가 특정 명령을 실행하거나 구성의 특정 영역을 보고 수정하는 기능을 허용하거나 거부하는 정규식을 정의할 수 있습니다. 로그인 클래스에는 사용자 권한을 정의하는 다음 문이 포함될 수 있습니다.
-
permissions -
allow-commands -
allow-commands-regexps -
allow-configuration -
allow-configuration-regexps -
deny-commands -
deny-commands-regexps -
deny-configuration -
deny-configuration-regexps
마찬가지로 RADIUS 또는 TACACS+ 서버 구성은 주니퍼 네트웍스 VSA를 사용하여 사용자의 액세스 권한을 결정하는 특정 사용 권한 또는 정규식을 정의할 수 있습니다. 지원되는 RADIUS 및 TACACS+ VSA 목록은 다음을 참조하십시오.
- 주니퍼 네트웍스 벤더별 RADIUS 속성
- .. /concept/.. /topic-map/user-access-tacacs-인증.html#id-juniper-networks-vendor-specific-tacacs-attributes
RADIUS 또는 TACACS+ 서버에 대한 사용자 권한을 공백으로 구분된 값 목록으로 정의할 수 있습니다.
-
RADIUS 서버는 다음 속성과 구문을 사용합니다.
Juniper-User-Permissions += "flag1 flag2 flag3",
예를 들면 다음과 같습니다.
Juniper-User-Permissions += "interface interface-control configure",
-
TACACS+ 서버는 다음 속성과 구문을 사용합니다.
user-permissions = "flag1 flag2 flag3"
예를 들면 다음과 같습니다.
user-permissions = "interface interface-control configure"
또한 RADIUS 또는 TACACS+ 서버는 단일 확장 정규식(POSIX 1003.2에 정의됨)을 사용하여 사용자가 특정 명령을 실행하거나 구성 영역을 보고 수정하는 기능을 허용하거나 거부하는 주니퍼 네트웍스 VSA를 정의할 수 있습니다. 여러 명령 또는 구성 계층을 괄호 안에 묶고 파이프 기호를 사용하여 구분합니다. 정규 표현식에 공백, 연산자 또는 와일드카드 문자가 포함되어 있는 경우 따옴표로 묶습니다. 로컬 및 원격으로 권한 부여 매개 변수를 구성하면 디바이스는 TACACS+ 또는 RADIUS 권한 부여 중에 수신된 정규식을 로컬 디바이스에 정의된 정규식과 병합합니다.
-
RADIUS 서버는 다음 속성과 구문을 사용합니다.
Juniper-Allow-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Deny-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Allow-Configuration += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration += "(config1)|(config2)|(confign)",
예를 들면 다음과 같습니다.
Juniper-Allow-Commands += "(test)|(ping)|(quit)", Juniper-Deny-Commands += "(request)|(restart)", Juniper-Allow-Configuration += "(groups re0)|(system radius-server)", Juniper-Deny-Configuration += "(system radius-options)|(system accounting)",
-
TACACS+ 서버는 다음 속성과 구문을 사용합니다.
allow-commands = "(cmd1)|(cmd2)|(cmdn)" deny-commands = "(cmd1)|(cmd2)|(cmdn)" allow-configuration = "(config1)|(config2)|(confign)" deny-configuration = "(config1)|(config2)|(confign)"
예를 들면 다음과 같습니다.
allow-commands = "(test)|(ping)|(quit)" deny-commands = "(request)|(restart)" allow-configuration = "(groups re0)|(system tacplus-server)" deny-configuration = "(system tacplus-options)|(system accounting)"
또한 RADIUS 및 TACACS+ 서버는 로컬 디바이스에서 구성할 수 있는 동일한 *-regexps 문에 해당하는 속성 구성을 지원합니다. *-regexps TACACS+ 속성 및 *-Regexps RADIUS 속성은 이전 속성과 동일한 정규식 구문을 사용하지만 변수를 사용하여 정규식을 구성할 수 있습니다.
-
RADIUS 서버는 다음 속성과 구문을 사용합니다.
Juniper-Allow-Configuration-Regexps += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration-Regexps += "(config1)|(config2)|(confign)",
-
TACACS+ 서버는 다음 속성과 구문을 사용합니다.
allow-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" deny-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" allow-configuration-regexps = "(config1)|(config2)|(confign)" deny-configuration-regexps = "(config1)|(config2)|(confign)"
예를 들어 TACACS+ 서버 구성은 다음 속성을 정의할 수 있습니다.
allow-commands-regexps = "(show cli .*)|(ping 10.1.1..*)" deny-commands-regexps = "(configure .*)|(edit)|(commit)|(rollback .*)"
RADIUS 또는 TACACS+ 서버에서 각 개별 식을 별도의 줄에 지정하는 단순화된 구문을 사용하여 속성을 정의할 수도 있습니다.
RADIUS 서버의 경우 다음 구문을 사용하여 개별 정규식을 지정합니다.
Juniper-User-Permissions += "permission-flag1", Juniper-User-Permissions += "permission-flag2", Juniper-User-Permissions += "permission-flagn", Juniper-Allow-Commands += "cmd1", Juniper-Allow-Commands += "cmd2", Juniper-Allow-Commands += "cmdn", Juniper-Deny-Commands += "cmd1", Juniper-Deny-Commands += "cmd2", Juniper-Deny-Commands += "cmdn", Juniper-Allow-Configuration += "config1", Juniper-Allow-Configuration += "config2", Juniper-Allow-Configuration += "confign", Juniper-Deny-Configuration += "config1", Juniper-Deny-Configuration += "config2", Juniper-Deny-Configuration += "confign",
TACACS+ 서버의 경우 다음 구문을 사용하여 개별 정규식을 지정합니다.
user-permissions1 = "permission-flag1" user-permissions2 = "permission-flag2" user-permissionsn = "permission-flagn" allow-commands1 = "cmd1" allow-commands2 = "cmd2" allow-commandsn = "cmdn" deny-commands1 = "cmd1" deny-commands2 = "cmd2" deny-commandsn = "cmdn" allow-configuration1 = "config1" allow-configuration2 = "config2" allow-configurationn = "confign" deny-configuration1 = "config1" deny-configuration2 = "config2" deny-configurationn = "confign"
-
TACACS+ 서버 구문에서 숫자 값 1부터 n to는 고유해야 하지만 순차적일 필요는 없습니다. 예를 들어 다음 구문이 유효합니다.
allow-commands1="cmd1" allow-commands3="cmd3" allow-commands2="cmd2" deny-commands3="cmd3" deny-commands2="cmd2" deny-commands1="cmd1"
-
RADIUS 또는 TACACS+ 서버는 개별 정규식 줄 수에 제한을 가합니다.
-
명령을 실행
show cli authorization하면 개별 식을 별도의 행에 지정한 경우에도 명령 출력에 정규식이 한 줄로 표시됩니다.
사용자는 운영 모드 명령을 실행 show cli authorization 하여 클래스, 권한, 명령 및 구성 권한을 확인할 수 있습니다.
user@host> show cli authorization
네트워크 디바이스에서 로컬로 권한 부여 매개 변수를 구성하고 RADIUS 또는 TACACS+ 서버에서 원격으로 권한 부여 매개 변수를 구성하면 디바이스는 TACACS+ 또는 RADIUS 권한 부여 중에 수신된 정규 표현식을 로컬로 구성된 정규 표현식과 병합합니다. 최종 표현식에 구문 오류가 포함된 경우 전체 결과는 잘못된 정규 표현식입니다.
RADIUS 계정 이해
네트워크 디바이스는 IETF RFC 2866, RADIUS 계정을 지원합니다. 디바이스에 RADIUS 계정을 구성하여 LAN에 로그인 또는 로그아웃하는 사용자에 대한 통계 데이터를 수집하여 RADIUS 계정 서버로 전송할 수 있습니다. 통계 데이터는 일반 네트워크 모니터링, 사용 패턴 분석 및 추적, 세션 기간 또는 액세스한 서비스 유형에 따라 사용자에게 요금을 청구하는 데 사용할 수 있습니다.
RADIUS 계정을 구성하려면 다음을 지정합니다.
-
디바이스에서 통계 데이터를 수신할 하나 이상의 RADIUS 계정 서버
-
수집할 계정 데이터 유형
RADIUS 계정 및 인증에 동일한 서버를 사용하거나 별도의 서버를 사용할 수 있습니다. RADIUS 계정 서버 목록을 지정할 수 있습니다. 디바이스는 서버를 구성된 순서대로 쿼리합니다. 주 서버(구성된 첫 번째 서버)를 사용할 수 없는 경우 디바이스는 응답을 수신할 때까지 목록의 각 서버에 연결을 시도합니다.
디바이스와 RADIUS 서버 간의 RADIUS 계정 프로세스는 다음과 같이 작동합니다.
-
RADIUS 계정 서버는 특정 포트에서 UDP(User Datagram Protocol) 패킷을 수신합니다. RADIUS 계정을 위한 기본 포트는 1813입니다.
-
디바이스는 이벤트 기록을 포함하는 계정 요청 패킷을 계정 서버로 전달합니다. 이 요청자와 연관된 이벤트 레코드에는 요청자에 대한 사용자 서비스의 시작을 나타내는 Acct-Status-Type 속성이 포함되어 있습니다. 요청자의 세션이 종료되면 계정 요청에는 사용자 서비스 종료를 나타내는 Acct-Status-Type 속성값이 포함됩니다. RADIUS 계정 서버는 이를 세션 정보 및 세션 길이를 포함하는 계정 종료 기록으로 기록합니다.
-
RADIUS 계정 서버는 이러한 이벤트를 계정 시작 또는 계정 종료 기록으로 파일에 기록합니다. FreeRADIUS에서 파일 이름은 192.0.2.0과 같은 서버의 주소입니다.
-
계정 서버는 계정 요청을 수신했음을 확인하는 계정 응답 패킷을 디바이스로 보냅니다.
-
디바이스가 서버로부터 계정 응답 패킷을 수신하지 않으면 서버가 응답을 반환할 때까지 계정 요청을 계속 보냅니다.
RADIUS 서버에서 이 프로세스를 통해 수집된 통계를 볼 수 있습니다. 이러한 통계를 보려면 통계를 수신하도록 구성된 로그 파일에 액세스하십시오.
RADIUS 시스템 계정 구성
RADIUS 어카운팅을 활성화하면 RADIUS 클라이언트 역할을 하는 주니퍼 네트웍스 디바이스가 소프트웨어 로그인, 구성 변경 및 대화형 명령과 같은 사용자 활동에 대해 RADIUS 서버에 알릴 수 있습니다. RADIUS 계정을 위한 프레임워크는 RFC 2866, RADIUS 계정에 설명되어 있습니다.
RADIUS 서버에서 사용자 이벤트 감사 구성
RADIUS 계정을 구성하려면 다음을 수행합니다.
다음 예에서는 RADIUS 계정을 위해 3개의 서버(10.5.5.5, 10.6.6.6, 10.7.7.7)를 구성합니다.
system {
accounting {
events [ login change-log interactive-commands ];
destination {
radius {
server {
10.5.5.5 {
accounting-port 3333;
secret $ABC123;
source-address 10.1.1.1;
retry 3;
timeout 3;
}
10.6.6.6 secret $ABC123;
10.7.7.7 secret $ABC123;
}
}
}
}
}