Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

사용자 인증 개요

Junos OS는 네트워크 관리자가 네트워크에 대한 사용자 액세스를 제어하는 데 사용하는 다양한 인증 방법을 지원합니다. 이러한 방법에는 로컬 암호 인증, RADIUS 및 TACACS+가 포함됩니다. 이러한 인증 방법 중 하나를 사용하여 라우터나 스위치에 액세스하려는 사용자 및 디바이스의 유효성을 검사합니다.SSH 및 Telnet. 인증은 권한이 없는 장치와 사용자가 LAN에 액세스하는 것을 방지합니다.

사용자 인증 방법

Junos OS는 세 가지 사용자 인증 방법을 지원합니다. 로컬 비밀번호 인증, RADIUS 및 TACACS+.

로컬 비밀번호 인증을 사용하면 라우터 또는 스위치에 로그인할 수 있는 각 사용자의 비밀번호를 구성할 수 있습니다.

RADIUS 및 TACACS+는 로그인 방법을 사용하여 라우터 또는 스위치에 액세스하려는 사용자를 검증하기 위한 인증 방법입니다. RADIUS 및 TACACS+ 클라이언트는 라우터 또는 스위치에서 실행되고 서버는 원격 네트워크 시스템에서 실행되는 분산 클라이언트/서버 시스템입니다.

라우터 또는 스위치를 RADIUS, TACACS+ 클라이언트 또는 조합으로 구성할 수 있습니다. Junos OS 구성 파일에서 인증 암호를 구성할 수도 있습니다. 사용자 액세스를 확인할 때 소프트웨어가 다른 인증 방법을 시도하는 순서를 구성하기 위해 방법의 우선 순위를 지정할 수 있습니다.

사용자 인증을 위한 로컬 사용자 템플릿 계정 구성

로컬 사용자 템플릿 계정을 사용하여 다른 로그인 클래스를 할당하므로 원격 인증 서버를 통해 인증된 사용자에게 다른 권한을 부여할 수 있습니다. 각 템플릿은 해당 템플릿에 할당된 사용자에게 적합한 다른 권한 집합을 정의할 수 있습니다. 라우터 또는 스위치에서 로컬로 템플릿을 정의하면 TACACS+ 및 RADIUS 인증 서버가 템플릿을 참조합니다. 인증된 사용자가 템플릿 계정에 할당되면 CLI 사용자 이름은 로그인 이름이지만 사용자는 템플릿 계정에서 권한, 파일 소유권 및 유효 사용자 ID를 상속합니다.

로컬 사용자 템플릿을 구성하고 사용자가 로그인하면 Junos OS는 사용자의 로그인 이름을 인증하기 위해 인증 서버에 요청을 발행합니다. 사용자가 인증되면 서버는 로컬 사용자 이름을 Junos OS에 반환합니다( TACACS+의 경우 및 RADIUS의 경우).local-user-nameJuniper-Local-User-Name 그런 다음 Junos OS는 해당 로그인 이름에 로컬 사용자 이름이 지정되었는지 여부를 결정하고, 지정된 경우 Junos OS는 사용자를 해당 로컬 사용자 템플릿에 할당합니다. 인증된 사용자에 대한 로컬 사용자 템플릿이 존재하지 않는 경우, 라우터 또는 스위치는 구성된 경우 기본적으로 템플릿으로 설정됩니다 .remote

로컬 사용자 템플릿을 구성하려면 계층 수준에서 템플릿 사용자 이름을 정의합니다.[edit system login] 클래스를 할당하여 템플릿이 적용되는 로컬 사용자에게 부여할 권한을 지정합니다.

로컬 사용자 템플릿에 사용자를 할당하려면 적절한 매개 변수( TACACS+ 및 RADIUS의 경우)를 사용하여 원격 인증 서버를 구성하고 로컬 사용자 템플릿에 대해 정의된 사용자 이름을 지정합니다.local-user-nameJuniper-Local-User-Name 로컬 사용자 템플릿 계정을 공유하는 사용자에 대해 다른 액세스 권한을 구성하기 위해 인증 서버 구성 파일에서 벤더별 속성을 사용하여 사용자에 대한 특정 명령 및 구성 계층을 허용하거나 거부할 수 있습니다.

이 예는 로컬 디바이스에서 및 사용자 템플릿을 구성합니다.salesengineering 그런 다음 TACACS+ 서버 구성 파일은 사용자를 특정 템플릿에 할당합니다.

Simon 및 Rob 사용자가 인증되면 라우터 또는 스위치가 로컬 사용자 템플릿을 적용합니다 .sales 로그인 사용자 Harold 및 Jim이 인증되면 라우터 또는 스위치가 로컬 사용자 템플릿을 적용합니다 .engineering

사용자 인증을 위한 원격 사용자 템플릿 계정 구성

네트워크 디바이스는 원격으로 인증된 사용자를 로컬로 정의된 사용자 계정 또는 사용자 템플릿 계정에 매핑할 수 있으며, 이는 권한 부여를 결정합니다. 템플릿 계정은 특수 사용자 템플릿입니다.remote 기본적으로 은 (는) 다음과 같은 경우 구성된 경우 템플릿 계정에 원격 인증된 사용자를 할당합니다.Junos OSremote

  • 인증 사용자는 로컬 디바이스에 구성된 사용자 계정이 없습니다.

  • 원격 인증 서버가 사용자를 로컬 사용자 템플릿에 할당하지 않거나 서버가 할당하는 템플릿이 로컬 디바이스에 구성되어 있지 않습니다.

템플릿 계정을 구성하려면 계층 수준에서 문을 포함하고 템플릿에 할당된 사용자에 대한 로그인 클래스를 지정합니다.remoteuser remote[edit system login]remote

템플릿 계정을 공유하는 사용자에 대해 다른 액세스 권한을 구성하기 위해 인증 서버 구성 파일에서 벤더별 속성을 사용하여 사용자에 대한 특정 명령 및 구성 계층을 허용하거나 거부할 수 있습니다.remote

예: 템플릿 계정 만들기

이 예시는 템플릿 계정을 만드는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

RADIUS 또는 TACACS+ 인증을 사용할 때 사용자 집합이 공유하는 템플릿 계정을 만들 수 있습니다. 인증된 사용자가 템플릿 계정에 할당되면 CLI 사용자 이름은 로그인 이름이지만 사용자는 템플릿 계정에서 권한, 파일 소유권 및 유효 사용자 ID를 상속합니다.

기본적으로 은 (는) 다음과 같은 경우 원격으로 인증된 사용자를 템플릿 계정에 할당합니다.Junos OSremote

  • 인증 사용자는 로컬 디바이스에 구성된 사용자 계정이 없습니다.

  • 원격 인증 서버가 사용자를 로컬 사용자 템플릿에 할당하지 않거나 서버가 할당하는 템플릿이 로컬 디바이스에 구성되어 있지 않습니다.

이 예에서는 템플릿 계정을 만들고 사용자 이름을 로 설정하고 사용자의 로그인 클래스를 로 설정합니다.remoteremoteoperator 디바이스는 RADIUS 또는 TACACS+에 의해 인증되었지만 로컬 사용자 계정이 없거나 다른 로컬 템플릿 계정에 속한 사용자에게 템플릿을 할당합니다.remote

그런 다음 로컬 템플릿 계정을 만들고 사용자 이름을 admin으로, 로그인 클래스를 superuser로 설정합니다. 원격으로 인증된 사용자를 다른 로그인 클래스에 할당해야 하는 경우 로컬 템플릿 계정을 사용합니다. 따라서 각 템플릿은 해당 사용자 템플릿에 할당된 사용자에게 적합한 다른 권한 집합을 부여할 수 있습니다.

구성

원격 템플릿 계정 만들기

단계별 절차

템플릿 계정을 만들 려면:remote

  • 사용자의 사용자 이름과 로그인 클래스를 설정합니다.remote

결과

구성 모드에서 show system login 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스를 구성한 후 구성 모드에서 commit을(를) 입력하십시오.

로컬 템플릿 계정 만들기

단계별 절차

로컬 템플릿 계정을 만들려면:

  1. 사용자 템플릿의 사용자 이름과 로그인 클래스를 설정합니다.

결과

구성 모드에서 show system login 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스를 구성한 후 구성 모드에서 commit을(를) 입력하십시오.

주:

RADIUS 또는 TACACS+ 인증을 완전히 설정하려면 하나 이상의 RADIUS 또는 TACACS+ 서버를 구성하고 시스템 인증 순서를 지정해야 합니다. 자세한 내용은 다음 작업을 참조하세요.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

템플릿 계정 생성 확인

목적

템플릿 계정이 만들어졌는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 .show system login

원격 인증 서버란 무엇입니까?

네트워크에서 이미 원격 인증 서버를 사용하고 있을 수 있습니다. 이러한 서버를 사용하면 네트워크의 모든 디바이스에 대해 중앙에서 일관된 사용자 계정 집합을 만들 수 있으므로 이러한 서버를 사용하는 것이 가장 좋습니다. 원격 인증 서버를 사용하여 네트워크에서 AAA(Authentication, Authorization, and Accountability) 솔루션을 구현하면 사용자 계정을 훨씬 쉽게 관리할 수 있습니다.

대부분의 기업에서는 다음 세 가지 기본 원격 인증 방법 중 하나 이상을 사용합니다. RADIUS 및 TACACS+. Junos OS는 세 가지 방법을 모두 지원하며, 모든 유형의 원격 인증 서버를 쿼리하도록 Junos OS를 구성할 수 있습니다. RADIUS 또는 TACACS+ 서버의 개념 은 간단합니다. 각각은 라우터, 스위치, 보안 디바이스 및 서버가 이러한 시스템에 액세스하려고 시도할 때 사용자를 인증하는 데 사용할 수 있는 중앙 인증 서버 역할을 합니다. 클라이언트/서버 모델에서 중앙 사용자 디렉토리가 인증, 감사 및 액세스 제어를 위해 제공하는 이점을 생각해 보십시오. RADIUS 및 TACACS+ 인증 방법은 네트워크 인프라에 비슷한 이점을 제공합니다.

중앙 서버를 사용하면 시간이 많이 걸리고 오류가 발생하기 쉬운 작업인 각 장치에 로컬 사용자를 생성하는 대안에 비해 여러 가지 이점이 있습니다. 또한 중앙 인증 시스템은 암호 스니핑 및 암호 재생 공격에 대한 보호 기능을 제공하는 SecureID와 같은 일회성 암호 시스템의 사용을 단순화합니다. 이러한 공격에서 누군가는 캡처한 암호를 사용하여 시스템 관리자로 가장할 수 있습니다.

  • RADIUS - 상호 운용성 및 성능이 우선 순위인 경우 RADIUS를 사용해야 합니다.

    • 상호 운용성 - RADIUS는 TACACS+보다 더 상호 운용이 가능합니다. 주로 TACACS+의 고유한 특성 때문입니다. TACACS+는 더 많은 프로토콜을 지원하는 반면, RADIUS는 보편적으로 지원됩니다.

    • 성능 - RADIUS는 TACACS+보다 라우터 및 스위치에서 훨씬 가볍습니다. 이러한 이유로, 네트워크 엔지니어는 일반적으로 TACACS+보다 RADIUS를 선호합니다.

  • TACACS+ - 보안과 유연성이 최우선인 경우 TACACS+를 사용해야 합니다.

    • 보안 - TACACS+는 RADIUS보다 더 안전합니다. 전체 세션이 암호화될 뿐만 아니라 권한 부여와 인증이 별도로 수행되어 다른 사람이 네트워크에 강제로 침입하는 것을 방지합니다.

    • 유연성 - TCP(Transmission Control Protocol)는 UDP보다 더 유연한 전송 프로토콜입니다. 고급 네트워크에서 TCP를 사용하여 더 많은 작업을 수행할 수 있습니다. 또한 TACACS+는 NetBIOS와 같은 더 많은 엔터프라이즈 프로토콜을 지원합니다.