사용자 인증 개요
Junos OS 네트워크 관리자가 네트워크에 대한 사용자 액세스를 제어하는 데 사용하는 다양한 인증 방법을 지원합니다. 이러한 방법에는 로컬 비밀번호 인증, LDAP(Lightweight Directory Access Protocol), RADIUS 및 TACACS+가 포함됩니다. 일부 로그인 사용자는 TLS(전송 레이어 Security)를 사용합니다. Junos OS 릴리스 20.2R1부터 LDAPS 클라이언트와 LDAPS 서버 간의 TLS(LDAPS)를 사용하는 로그인 사용자에 대한 LDAP 지원을 도입했습니다. (LDAPS 클라이언트는 Junos OS 실행하는 디바이스입니다.) 이러한 인증 방법 중 하나를 사용하여 SSH 및 Telnet을 사용하여 라우터 또는 스위치에 액세스하려는 사용자와 디바이스를 검증합니다. 인증은 권한이 없는 디바이스와 사용자가 LAN에 액세스하는 것을 방지합니다.
사용자 인증 방법
Junos OS 4가지 사용자 인증 방법을 지원합니다. 로컬 암호 인증, TDAPS(LDAP over TLS), RADIUS 및 TACACS+.
로컬 암호 인증을 사용하면 라우터 또는 스위치에 로그인할 수 있는 각 사용자에 대한 암호를 구성합니다.
LDAPS, RADIUS 및 TACACS+는 로그인 방법을 사용하여 라우터 또는 스위치에 액세스하려는 사용자를 검증하기 위한 인증 방법입니다. 분산 클라이언트/서버 시스템(LDAPS, RADIUS 및 TACACS+ 클라이언트는 라우터 또는 스위치에서 실행되며 서버는 원격 네트워크 시스템에서 실행됩니다.
라우터 또는 스위치를 LDAPS, RADIUS 또는 TACACS+ 클라이언트 또는 조합으로 구성할 수 있습니다. 또한 Junos OS 구성 파일에서 인증 비밀번호를 구성할 수 있습니다. 사용자 액세스를 확인할 때 소프트웨어가 다른 인증 방법을 시도하는 순서를 구성하는 방법에 우선 순위를 지정할 수 있습니다.
사용자 인증을 위한 로컬 사용자 템플릿 계정 구성
로컬 사용자 템플릿 계정을 사용하여 다른 로그인 클래스를 할당하고 원격 인증 서버를 통해 인증된 사용자에게 다른 권한을 부여합니다. 각 템플릿은 해당 템플릿에 할당된 사용자에게 적합한 다른 권한 집합을 정의할 수 있습니다. 라우터 또는 스위치에서 로컬로 템플릿을 정의하고 TACACS+, RADIUS 및 LDAPS 인증 서버가 템플릿을 참조합니다. 인증된 사용자가 템플릿 계정에 할당되면 CLI 사용자 이름은 로그인 이름이지만 사용자는 템플릿 계정에서 권한, 파일 소유권 및 효과적인 사용자 ID를 상속합니다.
로컬 사용자 템플릿을 구성하고 사용자가 로그인하면 Junos OS 인증 서버에 대한 요청을 발행하여 사용자의 로그인 이름을 인증합니다. 사용자가 인증되면 서버는 로컬 사용자 이름을 Junos OS(juniperLocalUserName LDAPS, TACACS+, local-user-name 및 Juniper-Local-User-Name RADIUS)로 반환합니다. 그런 다음 Junos OS 해당 로그인 이름에 대해 로컬 사용자 이름이 지정되었는지 여부를 결정하고, 그런 경우 Junos OS 사용자를 해당 로컬 사용자 템플릿에 할당합니다. 인증된 사용자에 대한 로컬 사용자 템플릿이 존재하지 않는 경우, 라우터 또는 스위치는 기본값으로 템플릿(구성된 경우)입니다 remote .
로컬 사용자 템플릿을 구성하려면 계층 수준에서 템플릿 사용자 이름을 [edit system login] 정의합니다. 클래스를 할당하여 템플릿이 적용되는 로컬 사용자에게 부여할 권한을 지정합니다.
[edit system login]
user local-username {
full-name "Local user account";
uid uid-value;
class class-name;
}
사용자를 로컬 사용자 템플릿에 할당하려면(LDAPS, TACACS+, local-user-name RADIUS Juniper-Local-User-Name 경우)juniperLocalUserName 적절한 매개변수를 사용하여 원격 인증 서버를 구성하고 로컬 사용자 템플릿에 정의된 사용자 이름을 지정합니다. 로컬 사용자 템플릿 계정을 공유하는 사용자에 대해 다른 액세스 권한을 구성하기 위해 인증 서버 구성 파일에서 벤더별 속성을 사용하여 사용자에 대한 특정 명령 및 구성 계층을 허용하거나 거부할 수 있습니다.
다음 예는 로컬 디바이스에서 사용자 템플릿을 구성 u_ldap 하고 LDIF(LDAP 데이터 교환 형식) 구성 파일은 사용자를 템플릿에 할당합니다.
[edit]
system {
login {
user u-ldap {
class class-name;
}
}
user.ldif snippet: dn: uid=simon,dc=example,dc=com uid: simon sn: User cn: Auth User objectClass: person objectClass: organizationalPerson objectClass: posixAccount objectClass: top objectClass: shadowAccount objectClass: juniperAuthAccount loginShell: /bin/bash homeDirectory: /home/simon userPassword: secret uidNumber: 1002 gidNumber: 1002 shadowMax: 10 juniperLocalUserName: u_ldap juniperUserPerms: clear view shell admin-control juniperAllowConf: (show cli authorization)|(ping) juniperDenyConf: (show ospf)|(show log) juniperAllowCmds: configure juniperDenyCmds: shutdown
다음 예는 로컬 디바이스에서 u_ldap 및 auth 사용자 템플릿을 구성하고 인증 서버 구성은 각 사용자를 적절한 템플릿에 할당합니다. 사용자 John과 Harry가 인증되면 라우터 또는 스위치가 로컬 사용자 템플릿을 u_ldap 적용합니다. 사용자 Tom과 Dave가 인증되면 라우터 또는 스위치가 로컬 사용자 템플릿을 auth 적용합니다.
[edit]
system {
login {
user u-ldap {
uid 6001;
class ldap-class;
}
user auth {
uid 6002;
class operator;
}
}
}
user = john {
...
service = junos-exec {
juniperLocalUserName = u-ldap
juniperAllowCmds= "(start shell)|(show cli authorization)|(clear ipsec)|(show firewall)|(show interfaces)|(show version)"
juniperDenyCmds= "(show ospf)|(show log)|(show system certificate)|(show ppp)|(show policy)|restart|request"
}
}
user = harry {
...
service = junos-exec {
juniperLocalUserName = u-ldap
juniperAllowCmds = "(start shell)|(show cli authorization)|(clear ipsec)|(show firewall)|(show interfaces)|(show version)"
juniperDenyCmds = "(show ospf)|(show log)|(show system certificate)|(show ppp)|(show policy)|restart|request"
}
}
user = tom {
...
service = junos-exec {
juniperLocalUserName = auth
juniperAllowCmds = "(start shell)|(show cli authorization)"
juniperDenyCmds = "show ppp statistics"
}
}
user = dave {
...
service = junos-exec {
juniperLocalUserName = auth
juniperAllowCmds = "show bgp neighbor"
juniperDenyCmds = "telnet | ssh"
}
}
이 예는 로컬 디바이스에서 sales 및 engineering 사용자 템플릿을 구성합니다. 그런 다음 TACACS+ 서버 구성 파일은 사용자를 특정 템플릿에 할당합니다.
[edit]
system {
login {
user sales {
uid 6003;
class sales-class;
}
user engineering {
uid 6004;
class super-user;
}
}
}
사용자 Simon과 Rob이 인증되면 라우터 또는 스위치가 로컬 사용자 템플릿을 sales 적용합니다. 로그인 사용자인 해롤드와 Jim이 인증되면 라우터 또는 스위치가 로컬 사용자 템플릿을 engineering 적용합니다.
user = simon {
...
service = junos-exec {
local-user-name = sales
allow-commands = "configure"
deny-commands = "shutdown"
}
}
user = rob {
...
service = junos-exec {
local-user-name = sales
allow-commands = "(request system) | (show rip neighbor)"
deny-commands = "clear"
}
}
user = harold {
...
service = junos-exec {
local-user-name = engineering
allow-commands = "monitor | help | show | ping | traceroute"
deny-commands = "configure"
}
}
user = jim {
...
service = junos-exec {
local-user-name = engineering
allow-commands = "show bgp neighbor"
deny-commands = "telnet | ssh"
}
}
사용자 인증을 위한 원격 사용자 템플릿 계정 구성
네트워크 디바이스는 원격 인증 사용자를 로컬로 정의된 사용자 계정 또는 사용자 템플릿 계정에 매핑하여 권한 부여를 결정할 수 있습니다. remote 템플릿 계정은 특별한 사용자 템플릿입니다. 기본적으로 Junos OS 다음과 같이 구성된 경우 원격 인증 사용자를 remote 템플릿 계정에 할당합니다.
-
인증된 사용자는 로컬 디바이스에 구성된 사용자 계정이 없습니다.
-
원격 인증 서버는 사용자를 로컬 사용자 템플릿에 할당하지 않거나 서버가 할당하는 템플릿이 로컬 디바이스에 구성되지 않습니다.
템플릿 계정을 구성 remote 하려면 계층 수준에서 문을 포함하고 user remote 템플릿에 [edit system login] 할당된 사용자에 대한 로그인 클래스를 remote 지정합니다.
[edit system login]
user remote {
full-name "remote users";
uid uid-value;
class class-name;
}
템플릿 계정을 공유하는 remote 사용자에 대해 다른 액세스 권한을 구성하기 위해 인증 서버 구성 파일에서 벤더별 속성을 사용하여 사용자에 대한 특정 명령 및 구성 계층을 허용하거나 거부할 수 있습니다.
예를 들면 다음과 같습니다. 템플릿 계정 만들기
이 예는 템플릿 계정을 만드는 방법을 보여줍니다.
요구 사항
이 기능을 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
LDAPS, RADIUS 또는 TACACS+ 인증을 사용할 때 사용자 집합이 공유하는 템플릿 계정을 만들 수 있습니다. 인증된 사용자가 템플릿 계정에 할당되면 CLI 사용자 이름은 로그인 이름이지만 사용자는 템플릿 계정에서 권한, 파일 소유권 및 효과적인 사용자 ID를 상속합니다.
기본적으로 다음 Junos OS 경우 원격 인증 사용자를 remote 템플릿 계정에 할당합니다.
-
인증된 사용자는 로컬 디바이스에 구성된 사용자 계정이 없습니다.
-
원격 인증 서버는 사용자를 로컬 사용자 템플릿에 할당하지 않거나 서버가 할당하는 템플릿이 로컬 디바이스에 구성되지 않습니다.
이 예에서 템플릿 계정을 만들고 remote 사용자 이름과 remote 로그인 클래스를 로 operator설정합니다. 디바이스는 LDAPS, RADIUS 또는 TACACS+에 의해 인증되었지만 로컬 사용자 계정이 없거나 다른 로컬 템플릿 계정에 속하지 않는 사용자에게 템플릿을 할당 remote 합니다.
그런 다음 로컬 템플릿 계정을 생성하고 사용자 이름을 관리자로 설정하고 로그인 클래스를 슈퍼유저로 설정합니다. 원격으로 인증된 사용자를 다른 로그인 클래스에 할당해야 할 때 로컬 템플릿 계정을 사용합니다. 따라서 각 템플릿은 해당 사용자 템플릿에 할당된 사용자에게 적합한 다른 권한 집합을 부여할 수 있습니다.
구성
원격 템플릿 계정 만들기
단계별 절차
템플릿 계정을 생성하려면 다음을 remote 수행합니다.
-
사용자에 대한 사용자 이름과 로그인 클래스를
remote설정합니다.[edit system login] user@host# set user remote class operator
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show system login . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show system login
user remote {
class operator;
}
디바이스를 구성한 후 구성 모드에서 을(를) 입력합니다 commit .
로컬 템플릿 계정 만들기
단계별 절차
로컬 템플릿 계정을 생성하려면 다음을 수행합니다.
-
사용자 템플릿에 대한 사용자 이름과 로그인 클래스를 설정합니다.
[edit system login] user@host# set user admin class superuser
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show system login . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show system login
user admin {
class super-user;
}
디바이스를 구성한 후 구성 모드에서 을(를) 입력합니다 commit .
LDAPS, RADIUS 또는 TACACS+ 인증을 완전히 설정하려면 하나 이상의 LDAPS, RADIUS 또는 TACACS+ 서버를 구성하고 시스템 인증 순서를 지정해야 합니다. 자세한 내용은 다음 작업을 참조하십시오.
-
RADIUS 서버를 구성합니다. 을(를) 참조하십시오 예: 시스템 인증을 위한 RADIUS 서버 구성.
-
TACACS+ 서버를 구성합니다. 을(를) 참조하십시오 예: 시스템 인증을 위한 TACACS+ 서버 구성.
-
LDAP 서버를 구성합니다. 을(를) 참조하십시오 TLS를 통한 LDAP 인증 구성.
-
시스템 인증 순서를 구성합니다. 을(를) 참조하십시오 예를 들면 다음과 같습니다. 인증 순서 구성.
원격 인증 서버란?
네트워크에 이미 원격 인증 서버(또는 서버)를 사용하고 있는 것일 수 있습니다. 네트워크의 모든 디바이스를 중앙에서 일관된 사용자 계정 집합을 만들 수 있기 때문에 이러한 서버를 사용하는 것이 가장 좋습니다. 원격 인증 서버를 사용하여 네트워크에서 인증, 권한 부여 및 책임(AAA) 솔루션을 구현할 때 사용자 계정 관리는 훨씬 쉽습니다.
대부분의 기업은 3가지 기본 원격 인증 방법 중 하나 이상을 사용합니다. LDAPS, RADIUS 및 TACACS+. Junos OS 세 가지 방법을 모두 지원하며, 모든 유형의 원격 인증 서버를 쿼리하도록 Junos OS 구성할 수 있습니다. LDAPS, RADIUS 또는 TACACS+ 서버의 이면에 대한 아이디어는 간단합니다. 각 서버는 라우터, 스위치, 보안 디바이스 및 서버가 이러한 시스템에 액세스할 때 사용자를 인증하는 데 사용할 수 있는 중앙 인증 서버 역할을 합니다. 중앙 사용자 디렉터리에서 클라이언트/서버 모델에서 인증 감사 및 액세스 제어에 제공하는 이점을 생각해 보십시오. LDAPS, RADIUS 및 TACACS+ 인증 방법은 네트워크 인프라에 비해 유사한 이점을 제공합니다.
중앙 서버를 사용하면 각 디바이스에서 로컬 사용자를 생성하는 대안보다 여러 가지 이점이 있으며, 시간이 많이 걸리고 오류가 발생하기 쉬운 작업입니다. 중앙 인증 시스템은 또한 SecureID와 같은 일회성 암호 시스템의 사용을 간소화하여 암호 스니핑 및 암호 재생 공격에 대한 보호를 제공합니다. 이러한 공격에는 누군가가 캡처한 비밀번호를 사용하여 시스템 관리자로 포즈를 취할 수 있습니다.
-
RADIUS - 우선 순위가 상호 운용성과 성능일 때는 RADIUS 사용해야 합니다.
-
상호운용성—RADIUS TACACS+보다 상호 운용성이 높습니다. 주로 TACACS+의 독점적 특성 때문입니다. TACACS+는 더 많은 프로토콜을 지원하지만 RADIUS 보편적으로 지원됩니다.
-
성능—RADIUS TACACS+보다 라우터와 스위치에서 훨씬 가볍습니다. 이러한 이유로 네트워크 엔지니어는 일반적으로 TACACS+에 RADIUS 선호합니다.
-
-
TACACS+- 우선 순위가 보안 및 유연성일 때 TACACS+를 사용해야 합니다.
-
보안—TACACS+는 RADIUS 것보다 더 안전합니다. 전체 세션은 암호화될 뿐만 아니라 권한 부여 및 인증이 별도로 수행되어 누구나 네트워크에 강제로 침입하는 것을 방지할 수 있습니다.
-
유연성 — TCP(Transmission Control Protocol)는 UDP보다 더 유연한 전송 프로토콜입니다. 보다 진보된 네트워크에서 TCP로 더 많은 작업을 할 수 있습니다. 또한 TACACS+는 NetBIOS와 같은 더 많은 엔터프라이즈 프로토콜을 지원합니다.
-
LDAPS - 우선 순위가 보안 및 확장성일 때 LDAPS를 사용해야 합니다.
-
보안 — 강화된 보안을 위해 LDAPS는 프라이빗 키를 사용하여 데이터를 암호화합니다. 프라이빗 키는 RADIUS 및 TACACS+ 사용 시 사용하는 공유 키와 달리 정보에 대한 무단 액세스를 방지하고 데이터를 효과적으로 보호합니다.
-
확장성 - LDAPS는 안정성 손실 없이 더 높은 확장성을 제공합니다. LDAPS가 지원하는 사용자 수에는 제한이 없습니다. 사용자는 자체 인증서를 유지하고 인증서 인증에는 클라이언트와 서버 간의 데이터 교환만 포함됩니다.
-
-