Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

중앙 웹 인증

웹 인증은 클라이언트의 웹 브라우저를 전체 로그인 프로세스를 처리하는 중앙 웹 인증 서버(CWA 서버)로 재지정하여 사용자를 위한 네트워크에 대한 액세스를 제공합니다. 웹 인증은 802.1X 기반 장치를 사용하지만 만료된 네트워크 자격 증명과 같은 기타 문제로 인하여 인증 실패를 일원화하는 일반 네트워크 사용자를 위한 폴백 인증 방법으로 사용될 수도 있습니다.

중앙 웹 인증 이해

웹 인증은 사용자가 사용자 이름과 암호를 입력하도록 요구하는 로그인 페이지로 웹 브라우저 요청을 리디렉션합니다. 인증에 성공하면 사용자는 네트워크에 대한 액세스가 허용됩니다. 웹 인증은 802.1X를 지원하지 않는 장치를 사용하여 네트워크에 액세스를 시도하는 기업 사이트 방문자와 같은 임시 사용자에게 네트워크 액세스를 제공하는 데 유용합니다. 웹 인증은 802.1X 기반 장치를 사용하지만 만료된 네트워크 자격 증명과 같은 기타 문제로 인하여 인증 실패를 일원화하는 일반 네트워크 사용자를 위한 폴백 인증 방법으로 사용될 수도 있습니다.

웹 인증은 캡션 포털을 사용하여 스위치에서 로컬로 수행될 수 있지만, 이를 위해서는 네트워크 액세스 장비로 사용되는 각 스위치에서 웹 포털 페이지를 구성해야 합니다. 중앙 웹 인증(CWA)은 클라이언트의 웹 브라우저를 전체 로그인 프로세스를 처리하는 중앙 웹 인증 서버(CWA 서버)로 재지정하여 효율성과 확장 이점을 제공합니다.

중앙 웹 인증 프로세스

호스트가 MAC 인증에 실패한 후 중앙 웹 RADIUS 호출됩니다. 호스트는 먼저 802.1X 인증을 사용하여 인증을 시도할 수 있지만, 중앙 웹 인증을 시도하기 RADIUS MAC RADIUS 시도해야 합니다. 인증자로 운영되는 스위치는 RADIUS, 인증 및 어드버타이어링(AAA) 서버와 메시지를 교환합니다. MAC RADIUS 장애가 발생하면 스위치는 AAA 서버에서 Access-Accept 메시지를 수신합니다. 이 메시지에는 동적 방화벽 필터와 중앙 웹 인증을 위한 리디렉션 URL이 포함되어 있습니다. 스위치는 호스트가 IP 주소를 수신할 수 있는 필터를 적용하고 URL을 사용하여 호스트를 웹 인증 페이지로 리디렉션합니다.

호스트는 로그인 자격 증명에 대한 프롬프트가 표시될 수 있으며 허용 가능한 사용 정책에 동의하도록 요청될 수도 있습니다. 웹 인증에 성공하면 AAA 서버는 인증된 세션의 조건을 업데이트하는 CoA(Change of Authorization) 메시지를 전송합니다. 이를 통해 인증자는 제어된 포트에 적용된 필터 또는 VLAN 할당을 업데이트하여 호스트가 LAN에 액세스할 수 있도록 합니다.

중앙 웹 인증의 이벤트 순서는 다음과 그림 1 같습니다(참조).

  1. 스위치(인증자)에 연결된 호스트는 MAC RADIUS 인증을 초기화합니다.

  2. MAC RADIUS 인증에 실패했습니다. AAA 서버는 액세스-거부 메시지를 스위치로 전송하는 대신 동적 방화벽 필터와 CWA 리디렉션 URL이 포함된 Access-Accept 메시지를 전송합니다.

  3. 필터 조건에 따라 호스트가 DHCP 요청을 전송하도록 허용됩니다.

  4. 호스트는 DHCP 서버에서 IP 주소와 DNS 정보를 수신합니다. AAA 서버는 고유의 세션 ID를 가지고 있는 새로운 세션을 개시합니다.

  5. 호스트가 웹 브라우저를 오픈합니다.

  6. 인증자는 CWA 리디렉션 URL을 호스트로 전송합니다.

  7. 호스트가 CWA 서버로 리디렉션된 후 로그인 자격 증명이 프롬프트됩니다.

  8. 호스트는 사용자 이름과 암호를 입력합니다.

  9. 웹 인증에 성공하면 AAA 서버는 CoA 메시지를 보내어 제어된 포트에 적용된 필터 또는 VLAN 할당을 처리하여 호스트가 LAN에 액세스할 수 있도록 합니다.

  10. 인증자는 CoA-ACK 메시지로 응답하고 MAC RADIUS 인증 요청을 AAA 서버로 전송합니다.

  11. AAA 서버는 세션 ID와 적절한 액세스 정책에 일치하며 호스트를 인증하기 위해 Access-Accept 메시지를 전송합니다.

그림 1: 중앙 웹 인증 프로세스중앙 웹 인증 프로세스

중앙 웹 인증을 위한 동적 방화벽 필터

중앙 웹 인증은 AAA 서버에서 중앙에서 정의되고 해당 서버를 통해 인증을 요청하는 서플리컨트에 동적으로 적용되는 동적 방화벽 필터를 사용합니다. 필터를 통해 호스트는 DHCP를 사용하여 IP 주소를 동적으로 얻을 수 있습니다. 서버에서 보낸 Access-Accept 메시지에 RADIUS 속성(필터)을 사용하여 필터를 정의합니다. 필터는 VSA(벤더별 속성Juniper-Switching-Filter 속성 또는 필터 ID 속성 중 하나를 사용하여 정의할 수 IETF(Internet Engineering Task Force) RADIUS 있습니다.

중앙 웹 인증을 위해 Juniper-Switching-Filter VSA를 사용하려면 CWA 서버의 대상 IP 주소를 허용하는 올바른 조건으로 필터를 구성해야 합니다. 이 구성은 AAA 서버에서 직접 수행됩니다. 중앙 웹 인증을 위해 Filter-ID 속성을 사용 하도록 AAA 서버에서 필터로 JNPR_RSVD_FILTER_CWA 값을 입력합니다. 이 속성의 필터 조건은 추가 구성이 필요 없는 중앙 웹 인증을 위해 내부적으로 정의됩니다. 중앙 웹 인증을 위한 동적 방화벽 필터 구성에 대한 자세한 내용은 중앙 웹 인증 구성 을 참조하십시오.

중앙 웹 인증을 위한 리디렉션 URL

중앙 웹 인증에서 인증자는 리디렉션 URL을 사용하여 호스트의 웹 브라우저 요청을 CWA 서버로 리디렉션합니다. 리다이미션 후, CWA 서버는 로그인 프로세스를 완료합니다. 중앙 웹 인증을 위한 리디렉션 URL은 AAA 서버 또는 인증자에서 구성할 수 있습니다. 동적 방화벽 필터와 함께 리디렉션 URL이 표시되어 MAC RADIUS 장애가 발생하면 중앙 웹 인증 프로세스를 트리거해야 합니다.

리디렉션 URL은 AAA 서버에서 속성 번호 50인 Juniper-CWA-Redirect VSA를 사용하여 AAA Juniper RADIUS 수 있습니다. URL은 AAA 서버에서 동적 방화벽 필터를 포함하는 동일한 RADIUS Access-Accept 메시지의 스위치로 전달됩니다. 또한 [ ] 계층 수준에서 CLI URL을 사용하여 호스트 인터페이스에서 로컬로 리디렉션 URL을 redirect-urledit protocols dot1x authenticator interface interface-name 구성할 수 있습니다. 리디렉션 URL 구성에 대한 자세한 내용은 중앙 웹 인증 구성 을 참조하십시오.

중앙 웹 인증 구성

중앙 웹 인증은 호스트의 웹 브라우저가 중앙 웹 인증(CWA) 서버로 리디렉션되는 인증의 폴백 방식입니다. CWA 서버는 사용자가 사용자 이름과 암호를 입력할 수 있는 웹 포털을 제공합니다. CWA 서버에서 이러한 자격 증명이 검증된 경우 사용자는 인증을 통해 네트워크에 대한 액세스가 허용됩니다.

호스트가 MAC 인증에 실패한 후 중앙 웹 RADIUS 호출됩니다. 인증자로 운영되는 스위치는 동적 방화벽 필터와 중앙 웹 인증을 위한 리디렉션 URL이 RADIUS AAA 서버에서 액세스 허용(Access-Accept) 메시지를 수신합니다. 동적 방화벽 필터와 리디렉션 URL은 모두 중앙 웹 인증 프로세스가 트리거될 수 있어야 합니다.

중앙 웹 인증을 위한 동적 방화벽 필터 구성

동적 방화벽 필터는 중앙 웹 인증에서 사용되어 호스트가 DHCP 서버의 IP 주소를 얻을 수 있도록 하여 호스트가 네트워크에 액세스할 수 있도록 합니다. 필터는 Access-Accept 메시지의 인증자에 RADIUS 속성을 사용하여 AAA 서버에 정의됩니다. VSA(벤더별 속성Juniper-Switching-Filter 속성 또는 표준 속성인 Filter-ID 속성 중 하나를 사용하여 필터를 IETF(Internet Engineering Task Force) RADIUS 수 있습니다.

  • 중앙 웹 인증을 위해 Juniper-Switching-Filter VSA를 사용하려면 AAA 서버에서 직접 필터 용어를 구성해야 합니다. 필터는 CWA 서버의 대상 IP 주소를 해당 조치와 일치하기 위해 용어를 포함해야 allow 합니다.

    몇 가지 예를 들면 다음과 같습니다.

    주:

    스위치는 리디렉션 URL에 대한 DNS 쿼리를 해결하지 않습니다. CWA 서버의 대상 IP Juniper 스위칭-필터 속성을 구성해야 합니다.

  • 중앙 웹 인증을 위해 Filter-ID 속성을 사용 JNPR_RSVD_FILTER_CWA AAA 서버의 속성 값으로 입력합니다. 이 속성의 필터 조건은 추가 구성이 필요 없는 중앙 웹 인증을 위해 내부적으로 정의됩니다.

    몇 가지 예를 들면 다음과 같습니다.

AAA 서버의 동적 방화벽 필터 구성에 대한 자세한 내용은 AAA 서버 설명서를 참조하십시오.

중앙 웹 인증을 위한 리디렉션 URL 구성

중앙 웹 인증에서 인증자는 리디렉션 URL을 사용하여 호스트의 웹 브라우저 요청을 CWA 서버로 리디렉션합니다. 중앙 웹 인증을 위한 리디렉션 URL은 AAA 서버 또는 호스트 인터페이스에서 로컬로 구성할 수 있습니다.

  • AAA 서버에서 리디렉션 URL을 구성하려면 Juniper-CWA-Redirect VSA를 사용하려면 Juniper RADIUS 에 있는 속성 번호 50을 사용합니다. URL은 AAA 서버에서 동적 방화벽 필터를 포함하는 동일한 RADIUS Access-Accept 메시지의 스위치로 전달됩니다.

    몇 가지 예를 들면 다음과 같습니다.

    주:

    동적 방화벽 필터에 대해 JNPR_RSVD_FILTER_CWA 필터 ID 속성이 사용되는 경우 리디렉션 URL은 예를 들어 AAA 서버의 IP 주소를 포함해야 https://10.10.10.10 합니다.

  • 호스트 인터페이스에서 로컬로 리디렉션 URL을 구성하기 위해 다음 명령문을 CLI 사용합니다.

    몇 가지 예를 들면 다음과 같습니다.

중앙 웹 인증 구성 지침

리디렉션 URL과 동적 방화벽 필터가 모두 RADIUS MAC RADIUS 후에 중앙 웹 인증이 트리거됩니다. 리디렉션 URL 및 동적 방화벽 필터는 다음과 같은 조합으로 구성할 수 있습니다.

  1. AAA 서버는 CWA 리디렉션 URL과 동적 방화벽 필터를 모두 인증자에 전송합니다. 리다이어(redirect) URL은 Juniper-CWA-Redirect VSA를 사용하여 AAA 서버에서 구성하며 동적 방화벽 필터는 Juniper-Switching-Filter VSA를 사용하여 AAA 서버에서 구성됩니다. 이 경우 CWA 서버의 대상 IP 주소를 허용하도록 필터를 구성해야 합니다.

  2. AAA 서버는 동적 방화벽 필터를 인증자에 전송하고 리디렉션 URL은 호스트 포트에서 로컬로 구성됩니다. 리다이어 URL은 CLI 명령문을 사용하여 인증자상에서 구성되는 것으로 동적 방화벽 필터는 AAA 서버에서 redirect-url Juniper-Switching-Filter VSA를 사용하여 구성됩니다. 이 경우 CWA 서버의 대상 IP 주소를 허용하도록 필터를 구성해야 합니다.

  3. AAA 서버는 CWA 리디렉션 URL과 동적 방화벽 필터를 모두 인증자에 전송합니다. 리다이어(redirect) URL은 Juniper-CWA-Redirect VSA를 사용하여 AAA 서버에서 구성되는데, 동적 방화벽 필터는 AAA 서버에서 필터-ID 속성을 사용하여 AAA 서버상에 JNPR_RSVD_FILTER_CWA. 이 경우 리디렉션 URL에 CWA 서버의 IP 주소가 포함되어야 합니다.

  4. AAA 서버는 동적 방화벽 필터를 인증자에 전송하고 리디렉션 URL은 호스트 포트에서 로컬로 구성됩니다. 리다이어 URL은 CLI 명령문을 사용하여 인증자상에서 구성되는데, 동적 방화벽 필터는 AAA 서버에서 필터 ID 속성을 사용하여 인증자에 redirect-url JNPR_RSVD_FILTER_CWA. 이 경우 리디렉션 URL에 CWA 서버의 IP 주소가 포함되어야 합니다.