Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

LDAPS, RADIUS, TACACS+및 로컬 암호에 대한 인증 주문

Junos OS 암호 인증, LDAPS, RADIUS 및 TACACS+를 비롯한 다양한 인증 방법을 지원하여 네트워크에 대한 액세스를 제어합니다.

여러 인증 방법을 지원하도록 디바이스를 구성하면 디바이스가 다른 메소드를 사용하게 하는 순서에 우선 순위를 지정할 수 있습니다. 이 주제에서는 인증 순서의 작동 방식과 디바이스에서 인증 순서를 구성하는 방법에 대해 논의합니다.

인증 주문 개요

사용자(네트워크 관리자)는 여러 인증 방법을 사용하여 라우터 또는 스위치에 대한 사용자 액세스를 검증하는 순서에 우선 순위를 부여하도록 authentication-orderJunos OS 명령문을 구성할 수 있습니다. 인증 순서를 설정하지 않은 경우 기본적으로 구성된 로컬 암호를 기반으로 Junos OS 사용자를 검증합니다.

인증 주문에 LDAPS, RADIUS 또는 TACACS+ 서버가 포함되어 있지만 서버가 요청에 응답하지 않는 경우 항상 로컬 암호 인증을 마지막으로 Junos OS 시도합니다.

인증 주문에 LDAPS, RADIUS 또는 TACACS+ 서버가 포함되어 있지만 서버에서 요청을 거부하면 요청 처리가 더욱 복잡해집니다.

  • 인증 순서 끝에 (로컬 암호 인증)가 포함되는 경우 원격 인증 서버가 인증 요청을 거부하면 디바이스가 로컬 암호 인증을 password 시도합니다.

  • (로컬 암호 인증)가 인증 순서에 포함되지 않을 경우 원격 인증 서버가 인증 요청을 거부하면 Junos OS Evolved는 여전히 로컬 암호 인증을 시도하는 반면, Junos OS 거부로 password 종료됩니다.

따라서 Junos OS 인증 서버가 해당 요청을 거부할 경우, 장비가 로컬 암호 인증을 시도하기 위한 최종 인증 주문 password 옵션으로 포함해야 합니다.

인증 순서가 설정되어 있는 경우 디바이스는 로컬 암호 authentication-order password 인증만 사용합니다.

원격 인증 사용

LDAPS Junos OS, RADIUS 또는 TACACS+ 인증 클라이언트로 구성할 수 있습니다(또는 조합).

명령문에 포함된 인증 메소드를 사용할 수 없는 경우 또는 인증 방법이 제공되지만 해당 인증 서버가 거부 응답을 반환하는 경우 명령문에 포함된 다음 인증 메소드를 authentication-orderJunos OSauthentication-order 실행합니다.

LDAP, RADIUS 또는 TACACS+ 서버 인증에 장애가 있을 수 있는 이유는 하나 이상입니다.

  • 인증 방법이 구성되지만 해당 인증 서버는 구성되지 않습니다. 예를 들어, RADIUS 및 TACACS+ 인증 방식은 명령문에 포함되지만, 해당 RADIUS 또는 TACACS+ 서버는 각 계층 수준 및 계층 수준으로 구성되지 authentication-order[edit system radius-server][edit system tacplus-server] 않습니다.

  • 인증 서버는 해당 서버에 대해 구성된 타임아웃 값이나 타임아웃이 구성되지 않는 경우 기본 타임아웃 이전까지 응답하지 않습니다.

  • 네트워크 문제로 인하여 인증 서버에 도달할 수 없습니다.

인증 서버는 다음 두 가지 이유 중 하나 또는 두 가지에 대해 거부 응답을 반환할 수 있습니다.

  • 라우터 또는 스위치에 액세스하는 사용자 프로파일은 인증 서버에서 구성되지 않습니다.

  • 사용자는 올바르지 않은 로그온 자격 증명을 입력합니다.

로컬 암호 인증의 사용 방법

명령문에서 인증 방법을 명시적으로 구성하거나 원격 인증 서버에 장애가 발생하면 이 방법을 폴백 메커니즘으로 passwordauthentication-order 사용할 수 있습니다. 인증 방법은 계층 수준에서 구성된 로컬 사용자 password[edit system login] 프로필을 컨설팅합니다. 사용자는 다음 시나리오에서 로컬 사용자 이름과 암호를 사용하여 라우터 또는 스위치에 로그인할 수 있습니다.

  • 암호 인증 방법()은 명령문의 인증 방법 중 하나로 password 명시적으로 authentication-order 구성됩니다. 이 경우, 이전 인증 방법이 로그온 증명을 수락하지 않는 경우 디바이스는 로컬 암호 인증을 사용합니다. 이전 인증 방법이 응답하지 못하거나 사용자 이름이나 암호의 잘못된 때문에 거부 응답을 반환하는지 여부에 따라 이는 사실입니다.

  • 암호 인증 방법은 선언문의 인증 방법 중 하나로 명시적으로 구성되지 authentication-order 않습니다. 이 경우:

    • Junos OS Evolved는 다른 인증 방법이 거부 응답을 반환하거나 응답을 실패하는지 여부에 따라 로컬 암호 인증을 계속합니다.
    • Junos OS 구성된 모든 인증 방식이 응답하지 못하면 로컬 암호 인증만 하도록 합니다. Junos OS 구성된 인증 방법이 잘못된 사용자 이름 또는 암호로 인하여 거부 응답을 반환하는 경우 로컬 암호 인증을 사용하지 않습니다.

인증 시도 순서

표 1 계층 수준에서 명령문이 사용자에 대한 액세스를 인증하기 위해 사용하는 Junos OS 방법을 authentication-order[edit system] 나타냅니다.

표 1: 인증 시도 순서

구문

인증 시도 순서

authentication-order radius부터 시작하여

  1. 구성된 RADIUS 인증 서버를 사용해 보아도 됩니다.

  2. 1대의 RADIUS 사용할 수 있으며 인증을 수락하면 액세스 권한을 부여할 수 있습니다.

  3. RADIUS 제공되지만 인증이 거부된 경우 액세스 거부.

  4. RADIUS 없는 경우 로컬 암호 인증을 사용해 보아야 합니다.

authentication-order [ radius password ]부터 시작하여

  1. 구성된 RADIUS 인증 서버를 사용해 보아도 됩니다.

  2. 1대의 RADIUS 사용할 수 있으며 인증을 수락하면 액세스 권한을 부여할 수 있습니다.

  3. RADIUS 서버가 응답하지 못하거나 서버가 거부 응답을 반환하는 경우, 인증 순서대로 명시적으로 구성되어 있기 때문에 로컬 암호 인증을 시도합니다.

authentication-order [ radius ldaps ]부터 시작하여

  1. 구성된 RADIUS 인증 서버를 사용해 보아도 됩니다.

  2. 1대의 RADIUS 사용할 수 있으며 인증을 수락하면 액세스 권한을 부여할 수 있습니다.

  3. RADIUS 서버가 응답하지 못하거나 서버가 거부 응답을 반환하는 경우 구성된 LDAP 서버를 사용해 보도록 합니다.

  4. LDAP 서버가 사용 가능하고 인증이 허용된 경우 액세스 권한을 부여합니다.

  5. LDAP 서버가 제공되지만 인증이 거부된 경우 액세스 거부

  6. RADIUS 또는 LDAP 서버를 사용할 수 없는 경우 로컬 암호 인증을 사용해 보아야 합니다.

authentication-order [ radius tacplus ]부터 시작하여

  1. 구성된 RADIUS 인증 서버를 사용해 보아도 됩니다.

  2. 1대의 RADIUS 사용할 수 있으며 인증을 수락하면 액세스 권한을 부여할 수 있습니다.

  3. RADIUS 서버가 응답하지 못하거나 서버가 거부 응답을 반환하는 경우 구성된 TACACS+ 서버를 사용해 보아야 합니다.

  4. TACACS+ 서버를 사용할 수 있으며 인증을 수락한 경우 액세스 권한을 부여합니다.

  5. TACACS+ 서버를 사용할 수 있지만 인증이 거부된 경우 액세스 거부

  6. TACACS+ RADIUS 사용할 수 없는 경우 로컬 암호 인증을 사용해 보아야 합니다.

authentication-order [ radius tacplus password ]부터 시작하여

  1. 구성된 RADIUS 인증 서버를 사용해 보아도 됩니다.

  2. 1대의 RADIUS 사용할 수 있으며 인증을 수락하면 액세스 권한을 부여할 수 있습니다.

  3. RADIUS 서버가 응답하지 못하거나 서버가 거부 응답을 반환하는 경우 구성된 TACACS+ 서버를 사용해 보아야 합니다.

  4. TACACS+ 서버를 사용할 수 있으며 인증을 수락한 경우 액세스 권한을 부여합니다.

  5. TACACS+ 서버가 응답하지 못하거나 서버가 거부 응답을 반환하는 경우, 인증 순서대로 명시적으로 구성되어 있기 때문에 로컬 암호 인증을 시도합니다.

authentication-order tacplus부터 시작하여

  1. 구성된 TACACS+ 인증 서버를 사용해 보아도 됩니다.

  2. TACACS+ 서버를 사용할 수 있으며 인증을 수락한 경우 액세스 권한을 부여합니다.

  3. TACACS+ 서버를 사용할 수 있지만 인증이 거부된 경우 액세스 거부

  4. TACACS+ 서버를 사용할 수 없는 경우 로컬 암호 인증을 사용해 보아야 합니다.

authentication-order [ tacplus password ]부터 시작하여

  1. 구성된 TACACS+ 인증 서버를 사용해 보아도 됩니다.

  2. TACACS+ 서버를 사용할 수 있으며 인증을 수락한 경우 액세스 권한을 부여합니다.

  3. TACACS+ 서버가 응답하지 못하거나 서버가 거부 응답을 반환하는 경우, 인증 순서대로 명시적으로 구성되어 있기 때문에 로컬 암호 인증을 시도합니다.

authentication-order [ tacplus radius ]부터 시작하여

  1. 구성된 TACACS+ 인증 서버를 사용해 보아도 됩니다.

  2. TACACS+ 서버를 사용할 수 있으며 인증을 수락한 경우 액세스 권한을 부여합니다.

  3. TACACS+ 서버가 응답에 실패하거나 서버가 거부 응답을 반환하는 경우 구성된 RADIUS 시도합니다.

  4. 1대의 RADIUS 사용할 수 있으며 인증을 수락하면 액세스 권한을 부여할 수 있습니다.

  5. RADIUS 제공되지만 인증이 거부된 경우 액세스 거부.

  6. TACACS+ 또는 RADIUS 없는 경우 로컬 암호 인증을 사용해 보아야 합니다.

authentication-order [ tacplus ldaps ]부터 시작하여

  1. 구성된 TACACS+ 인증 서버를 사용해 보아도 됩니다.

  2. TACACS+ 서버를 사용할 수 있으며 인증을 수락한 경우 액세스 권한을 부여합니다.

  3. TACACS+ 서버가 응답에 실패하거나 서버가 거부 응답을 반환하는 경우 구성된 LDAP 서버를 사용해 보아야 합니다.

  4. LDAP 서버가 사용 가능하고 인증이 허용된 경우 액세스 권한을 부여합니다.

  5. LDAP 서버가 제공되지만 인증이 거부된 경우 액세스 거부

  6. TACACS+ 또는 LDAP 서버를 사용할 수 없는 경우 로컬 암호 인증을 사용해 보아야 합니다.

authentication-order [ tacplus radius password ]부터 시작하여

  1. 구성된 TACACS+ 인증 서버를 사용해 보아도 됩니다.

  2. TACACS+ 서버를 사용할 수 있으며 인증을 수락한 경우 액세스 권한을 부여합니다.

  3. TACACS+ 서버가 응답에 실패하거나 서버가 거부 응답을 반환하는 경우 구성된 RADIUS 시도합니다.

  4. 1대의 RADIUS 사용할 수 있으며 인증을 수락하면 액세스 권한을 부여할 수 있습니다.

  5. RADIUS 서버가 응답하지 못하거나 서버가 거부 응답을 반환하는 경우, 인증 순서대로 명시적으로 구성되어 있기 때문에 로컬 암호 인증을 시도합니다.

authentication-order [ tacplus radius ldaps password ]부터 시작하여

  1. 구성된 TACACS+ 인증 서버를 사용해 보아도 됩니다.

  2. TACACS+ 서버를 사용할 수 있으며 인증을 수락한 경우 액세스 권한을 부여합니다.

  3. TACACS+ 서버가 응답에 실패하거나 서버가 거부 응답을 반환하는 경우 구성된 RADIUS 시도합니다.

  4. 1대의 RADIUS 사용할 수 있으며 인증을 수락하면 액세스 권한을 부여할 수 있습니다.

  5. RADIUS 서버가 응답하지 못하거나 서버가 거부 응답을 반환하는 경우 구성된 LDAP 서버를 사용해 보도록 합니다.

  6. LDAP 서버가 사용 가능하고 인증이 허용된 경우 액세스 권한을 부여합니다.

  7. LDAP 서버가 응답하지 못하거나 서버가 거부 응답을 반환하는 경우, 인증 순서대로 명시적으로 구성되어 있기 때문에 로컬 암호 인증을 시도합니다.

authentication-order password부터 시작하여

  1. 계층 수준에서 구성된 암호를 사용하여 사용자를 [edit system login] 인증합니다.

  2. 인증이 허용되면 액세스 권한을 부여합니다.

  3. 인증이 거부된 경우 액세스를 거부합니다.

authentication-order ldaps부터 시작하여

  1. 구성된 LDAP 인증 서버를 사용해 보아도 됩니다.

  2. LDAP 서버가 사용 가능하고 인증이 허용된 경우 액세스 권한을 부여합니다.

  3. LDAP 서버가 제공되지만 인증이 거부된 경우 액세스 거부

  4. LDAP 서버를 사용할 수 없는 경우 로컬 암호 인증을 사용해 보아야 합니다.

authentication-order [ ldaps password ]부터 시작하여

  1. 구성된 LDAP 인증 서버를 사용해 보아도 됩니다.

  2. LDAP 서버가 사용 가능하고 인증이 허용된 경우 액세스 권한을 부여합니다.

  3. LDAP 서버가 응답하지 못하거나 서버가 거부 응답을 반환하는 경우, 인증 순서대로 명시적으로 구성되어 있기 때문에 로컬 암호 인증을 시도합니다.

authentication-order [ ldaps tacplus ]부터 시작하여

  1. 구성된 LDAP 인증 서버를 사용해 보아도 됩니다.

  2. LDAP 서버가 사용 가능하고 인증이 허용된 경우 액세스 권한을 부여합니다.

  3. LDAP 서버가 응답에 실패하거나 서버가 거부 응답을 반환하는 경우 구성된 TACACS+ 서버를 사용해 보아야 합니다.

  4. TACACS+ 서버를 사용할 수 있으며 인증을 수락한 경우 액세스 권한을 부여합니다.

  5. TACACS+ 서버를 사용할 수 있지만 인증이 거부된 경우 액세스 거부

  6. LDAP 또는 TACACS+ 서버를 사용할 수 없는 경우 로컬 암호 인증을 사용해 보아야 합니다.

authentication-order [ ldaps tacplus password ]부터 시작하여

  1. 구성된 LDAP 인증 서버를 사용해 보아도 됩니다.

  2. LDAP 서버가 사용 가능하고 인증이 허용된 경우 액세스 권한을 부여합니다.

  3. LDAP 서버가 응답에 실패하거나 서버가 거부 응답을 반환하는 경우 구성된 TACACS+ 서버를 사용해 보아야 합니다.

  4. TACACS+ 서버를 사용할 수 있으며 인증을 수락한 경우 액세스 권한을 부여합니다.

  5. TACACS+ 서버가 응답하지 못하거나 서버가 거부 응답을 반환하는 경우, 인증 순서대로 명시적으로 구성되어 있기 때문에 로컬 암호 인증을 시도합니다.

주:

SSH 공용 키가 구성된 경우, SSH 사용자 인증은 먼저 명령문에 구성된 인증 방법을 사용하기 전에 공용 키 인증을 수행하도록 authentication-order 합니다. SSH 로그인이 먼저 공용 키 인증을 수행하려고 시도하지 않고 명령문에 구성된 인증 방법을 사용하기를 원할 경우 SSH 공용 키를 authentication-order 구성하지 않습니다.

LDAPS, RADIUS, TACACS+ 및 로컬 암호 인증에 대한 인증 주문 구성

명령문을 사용하여 라우터 또는 스위치에 대한 사용자 액세스를 검증할 때 서로 다른 인증 방법을 사용해 볼 순서를 authentication-orderJunos OS 지정할 수 있습니다. 인증 순서를 설정하지 않은 경우 기본적으로 로컬로 구성된 암호를 기반으로 사용자가 검증됩니다.

일반 텍스트를 사용하여 암호를 구성하고 암호화에 사용할 때 여전히 일반 텍스트로 인터넷을 통해 암호를 Junos OS 전송합니다. 사전 암호화된 암호를 사용하는 것은 암호의 일반 텍스트가 인터넷을 통해 전송되지 않을 수 있기 때문에 더욱 안전합니다. 또한 암호의 경우 한 때 한 사용자만 암호에 할당될 수 있습니다.

한편, LDAPS, RADIUS 및 TACACS+ 암호는 암호화합니다. 이러한 인증 방법을 사용하면 사용자를 하나씩 할당하는 대신 한 번씩 사용자를 할당할 수 있습니다. 그러나 이러한 인증 시스템의 차이는 다음과 같습니다.

  • RADIUS UDP 사용; TACACS+ 및 LDAPS는 TCP를 사용한다.

  • RADIUS 전송 중에 암호만 암호화하는 반면, TACACS+ 및 LDAPS는 전체 세션을 암호화합니다.

  • RADIUS 및 LDAPS는 인증(디바이스) 및 권한 부여(사용자)를 결합하는 반면, TACACS+는 인증, 권한 부여 및 책임성을 분리합니다.

즉, TACACS+는 500개 이상의 보안 RADIUS. 그러나 RADIUS 성능이 향상되어 상호 연동됩니다. RADIUS 널리 지원되는 반면, TACACS+는 Cisco의 독점 제품으로, Cisco 외부에서는 널리 지원되지 않습니다.

LDAPS는 RADIUS 및 TACACS+의 경우 사용되는 공유 키 대신 전용 키 메커니즘에 의존하기 때문에 RADIUS 및 TACACS+보다 안전합니다. TLS 프로토콜은 LDAP 클라이언트와 LDAP 서버 간에 효과적으로 데이터 전송을 보호합니다.

시스템, 제한 사항, IT 정책 및 운영 기본 설정에 따라 인증 주문을 구성할 수 있습니다.

인증 순서를 구성하기 위해서는 계층 수준에서 authentication-order[edit system] 명령문을 포함해야 합니다.

이 명령문을 포함할 수 있는 계층 수준 목록은 이 명령문에 대한 명령문 요약 섹션을 참조하십시오.

가능한 인증 주문 입력 옵션은 다음과 같습니다.

  • radius—인증 서버를 사용하는 RADIUS 확인

  • tacplus—TACACS+ 인증 서버를 사용하여 사용자를 검증합니다.

  • ldaps—LDAPS 인증 서버를 사용하여 사용자를 검증합니다.

  • password—계층 수준에서 인증 명령문에서 로컬로 구성된 사용자 이름 및 암호를 사용하여 [edit system login user] 사용자를 검증합니다.

도전 과제 CHAP(Handshake Authentication Protocol) 인증 시퀀스는 30초 이상이 걸릴 수 없습니다. 클라이언트를 인증하는 데 30초 이상이 걸리면 인증이 폐지된 후 새로운 시퀀스가 시작됩니다.

예를 들어 라우터 또는 스위치가 각 RADIUS 3회 접촉을 시도하도록 3개의 서버 구성을 가정해 보겠습니다. 다시 시도할 때마다 서버는 3초 후에 타임아웃됩니다. 이 시나리오에서는 CHAP가 장애를 고려하기 전에 RADIUS 인증 방식에 부여되는 최대 시간은 27초입니다. 이 구성에 RADIUS 서버가 추가되는 경우, 이들 서버가 시도되기 전에 인증 프로세스가 중단될 수 있기 때문에 연락이 닿지 않을 수 있습니다.

Junos OS CHAP 인증이 한 때 사용할 수 있는 상시 인증 서버 요청 수에 대한 제한을 적용합니다. 따라서, 예를 RADIUS 서버 방식은 이 제한을 초과할 경우 클라이언트 인증에 실패할 수 있습니다. 인증에 실패하면 인증에 성공하고 링크가 설정될 때까지 라우터 또는 스위치에 의해 인증 시퀀스가 재이동됩니다. 그러나 RADIUS 사용할 수 없거나 이와 같은 추가 인증 메소드를 구성할 수 없는 경우 다음 인증 방법이 tacpluspassword 시도됩니다.

다음 예에서는 구성 및 인증 radius 방법을 password 보여줍니다.

다음 예제에서는 명령문에 명령문을 tacplus 삽입하는 방법을 radius 보여줍니다.

다음 예제에서는 인증 순서에서 radius 명령문을 삭제하는 방법을 보여줍니다.

예를 들면 다음과 같습니다. 인증 순서 구성

이 예에서는 사용자 로그인에 대한 인증 순서를 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 초기 디바이스 구성을 수행하십시오. 디바이스를 위한 시작하기 가이드를 참조하십시오.

개요

장비가 장비에 대한 사용자 액세스를 검증하기 위해 사용하는 인증 방법 순서를 구성할 수 있습니다. 로그인 시도 때마다 디바이스는 암호가 일치하거나 모든 인증 방법이 시도될 때까지 구성된 순서로 인증 방법을 시도합니다. 원격 인증을 구성하지 않는 경우 사용자가 구성된 로컬 암호를 기반으로 검증됩니다.

이 예에서는 먼저 RADIUS 인증 서비스를 통해 사용자 인증을 시도한 다음, TACACS+ 인증 서비스를 사용하는 다음 마지막으로 로컬 암호 인증을 통해 사용자 인증을 시도하도록 디바이스를 구성합니다.

로컬 암호 인증을 사용하는 경우 시스템에 액세스하려는 모든 사용자에 대해 로컬 사용자 계정을 만들어야 합니다. 그러나 원격 인증 서버를 사용하는 경우, 사용자 세트가 공유하는 템플릿 계정(권한 부여 목적)을 생성할 수 있습니다. 사용자가 템플릿 계정에 할당될 때 명령줄 인터페이스(CLI) 사용자 이름은 로그인 이름입니다. 그러나 사용자는 템플릿 계정에서 권한, 파일 소유권 및 효과적인 사용자 ID를 상속합니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드로 [edit]commit 입력합니다.

GUI 빠른 구성
단계별 절차

인증 순서를 구성하는 경우:

  1. J-Web 사용자 인터페이스에서 Configure>System Properties>User Management 를 선택합니다.

  2. Edit을 클릭합니다. 사용자 관리 편집 대화 상자가 나타납니다.

  3. 탭을 Authentication Method and Order 선택합니다.

  4. Available Method에서 디바이스가 사용자를 인증하는 데 사용할 인증 방법을 선택합니다. 화살표 버튼을 사용하여 항목을 Selected Methods 목록으로 이동 사용 가능한 방법은 다음과 같습니다.

    • RADIUS

    • TACACS+

    • 로컬 암호

    사용자 인증을 위해 여러 메소드를 사용하려는 경우 이 단계를 반복하여 다른 메소드를 Selected Methods 목록에 추가합니다.

  5. Selected Methods에서 Up Arrow 및 Down Arrow를 사용하여 장비가 인증 방법을 실행해야 하는 순서를 지정합니다.

  6. 구성을 OK 확인하고 후보 구성으로 저장하려면 클릭하십시오.

  7. 디바이스를 구성한 후 Commit Options>Commit 을 클릭합니다.

단계별 절차

인증 순서를 구성하는 경우:

  1. 기존문을 authentication-order 삭제합니다.

  2. 인증 RADIUS 인증에 추가합니다.

  3. 인증 순서에 TACACS+ 인증을 추가합니다.

  4. 인증 순서에 로컬 암호 인증을 추가합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show system authentication-order 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스를 구성한 후 구성 commit 모드로 들어갑니다.

주:

LDAPS, RADIUS 또는 TACACS+ 인증을 완벽하게 설정하려면 하나 이상의 LDAPS, RADIUS 또는 TACACS+ 서버를 구성하고 사용자 계정 또는 사용자 템플릿 계정을 생성해야 합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

인증 주문 구성 확인

목적

디바이스가 구성된 순서대로 인증 방법을 사용하는지 확인합니다.

실행

각 인증 메소드에 대해 서로 다른 암호가 있는 테스트 사용자를 생성합니다. 서로 다른 암호를 사용하여 장비에 로그인합니다. 이전 메소드가 암호를 거부하거나 응답하지 않을 때 디바이스가 후속 인증 방법을 쿼리하는지 확인합니다.

또는 테스트 환경에서 인증 서버 구성 또는 로컬 사용자 계정 구성(또는 둘 모두)을 비활성화하여 각 인증 방법을 테스트할 수 있습니다. 예를 들어, TACACS+ 서버를 테스트하기 위해 RADIUS 서버 구성 및 사용자의 로컬 계정을 비활성화할 수 있습니다. 그러나 사용자의 로컬 계정을 비활성화하면 여전히 사용자 템플릿과 같은 로컬 사용자 템플릿 계정에 remote 매핑되어야 합니다.

예를 들면 다음과 같습니다. LDAPS, RADIUS, TACACS+, 암호 인증을 위한 시스템 인증 구성

다음 예에서는 LDAPS, RADIUS, TACACS+, 암호 인증을 실행하는 장치에서 시스템 인증을 구성하는 Junos OS.

이 예에서는 원격 LDAP 서버에 의해 인증된 사용자와 사용자만 로그인할 수 있습니다. 사용자가 로그인하고 LDAP 서버에 의해 인증되지 않은 경우 사용자는 라우터 또는 스위치에 대한 액세스가 거부됩니다. LDAP 서버를 사용할 수 없는 경우 사용자는 인증 방법을 사용하여 인증을 통해 라우터 또는 스위치에 대한 액세스를 password 허용합니다. 암호 인증 방법에 대한 자세한 내용은 인증 주문 개요 을 참조하십시오.

Philip이 시스템에 로그인을 하게 됐을 때 LDAP 서버가 그를 인증하면 클래스에 대한 액세스와 권한이 super-user 부여됩니다. 로컬 계정은 다른 사용자에 대해 구성되지 않습니다. 시스템에 로그인하고 LDAP 서버가 인증하면 동일한 사용자 ID(UID) 9999와 클래스와 관련된 권한을 사용하여 액세스가 operator 부여됩니다.

주:

인증을 위해 템플릿 계정을 사용하여 사용자 세트가 동시에 공유할 수 있는 단일 계정을 만들 수 있습니다. 예를 들어, 원격 템플릿 계정을 만들면 원격 사용자 집합이 단일 UID를 함께 공유할 수 있습니다. 템플릿 계정에 대한 자세한 내용은 예를 들면 다음과 같습니다. 인증 순서 구성 을 참조하십시오.

사용자가 장치에 로그인하면 LDAP, RADIUS 또는 TACACS+ 서버가 사용자의 로그인 이름을 인증에 사용합니다. 인증 서버가 사용자를 성공적으로 인증하고 사용자가 계층 수준에서 구성되지 않은 [edit system login user] 경우, 이는 원격 템플릿 계정이 계층 수준에서 구성되는 경우, 장치는 사용자를 위해 기본 원격 템플릿 사용자 edit system login user remote 계정을 사용합니다. 원격 템플릿 계정은 인증 서버에 의해 인증되지만 장비에서 로컬로 구성된 사용자 계정이 없는 모든 사용자를 위한 기본 템플릿 사용자 계정으로 사용됩니다. 이러한 사용자는 동일한 로그인 클래스와 UID를 공유합니다.

대체 템플릿 사용자를 구성하기 위해 LDAPS 인증 응답 user-name 패킷에 반환되는 매개 변수를 지정합니다. 모든 LDAP 서버가 이 매개 변수를 변경할 수 있는 것은 아니다. 다음은 구성에 대한 Junos OS 보여줍니다.

LDAP 서버가 다음과 같은 정보로 구성된다고 가정합니다.

  • 사용자 필립(User Philip)의 암호 "olympia" 암호

  • 사용자 Alexander 암호 "bucephalus" 및 사용자 이름 "운영자"

  • 사용자 Darius 암호 "적색 헤드" 및 사용자 이름 "운영자"

  • 암호 "athena"를 사용하는 사용자 Roxane

Philip은 고유의 로컬 사용자 계정을 가지고 있기 때문에 수퍼유저()로 super-user 액세스가 부여될 것입니다. Alexander와 Darius는 UID 9990을 공유하고 운영자 액세스 권한을 부여합니다. Roxane은 템플릿-사용자가 변경하지 않습니다. 따라서 다른 모든 원격 사용자와 액세스를 공유하여 읽기 전용 액세스 권한을 습니다.

출시 내역 표
릴리스
설명
20.2R1
릴리스 Junos OS 릴리스 20.2R1 LDAP(LDAP TLS) 클라이언트와 LDAPS 서버 사이에 TLS(전송 레이어 Security)를 통해 사용자 로그인을 위한 LDAP(Lightweight Directory Access Protocol) 지원을 소개합니다.