Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS 사용자 인증 개요

Junos OS 암호 인증, LDAPS, RADIUS 및 TACACS+과 같은 다양한 방법을 지원하여 네트워크에 대한 사용자 액세스를 제어합니다. 주니어는 Junos OS Release 20.2R1 LDAPS 클라이언트(lDAPS 클라이언트에서 실행되는 장비)와 LDAPS 서버 간의 TLS 보안을 Junos OS 로그인 사용자를 위한 LDAP 지원을 제공합니다. 인증 방법은 Telnet을 사용하여 라우터 또는 스위치에 액세스하려고 시도하는 사용자를 검증하기 위해 사용됩니다. 인증을 통해 인증되지 않은 장치와 사용자가 LAN에 액세스할 수 없습니다.

Junos OS 인증 방법

Junos OS 사용자 인증의 네 가지 방법을 지원합니다. 로컬 암호 인증, LDAPS(LDAP over TLS), RADIUS, TACACS+를 사용할 수 있습니다.

로컬 암호 인증을 통해 라우터 또는 스위치에 로그인할 수 있는 각 사용자에 대한 암호를 구성할 수 있습니다.

LDAPS, RADIUS 및 TACACS+는 로그인 방법을 사용하여 라우터 또는 스위치에 액세스하려는 사용자를 검증하기 위한 인증 방식입니다. 이는 LDAPS, RADIUS 및 TACACS+ 클라이언트가 라우터 또는 스위치에서 실행되는 분산 클라이언트 서버 시스템으로, 서버는 원격 네트워크 시스템에서 실행됩니다.

라우터 또는 스위치를 LDAPS, RADIUS 및/또는 TACACS+ 클라이언트로 구성할 수 있으며 Junos OS 구성할 수 있습니다. 소프트웨어가 사용자 액세스를 검증할 때 서로 다른 인증 방법을 사용하는 순서를 구성하는 방법에 우선 순위를 지정할 수 있습니다.

사용자 인증을 위한 로컬 사용자 템플릿 구성

인증을 위해 서로 다른 유형의 템플릿이 필요할 때 로컬 사용자 템플릿 계정을 사용할 수 있습니다. 각 템플릿은 해당 템플릿을 사용하는 사용자 그룹에 적합한 다른 권한 세트를 정의할 수 있습니다. 이러한 템플릿은 라우터 또는 스위치에서 로컬로 정의되고 TACACS+, RADIUS 및 LDAPS 인증 서버에서 참조합니다.

로컬 사용자 템플릿과 사용자 로그인을 구성하면 Junos OS 로그인 이름을 인증하기 위한 요청을 인증 서버에 전송합니다. 사용자가 인증을 받을 경우 서버는 로컬 사용자 Junos OS 반환하여 로그인 juniperLocalUserName 이름(LDAP용, local-username TACACS+에 대해) 로컬 사용자 이름을 지정하는지 여부를 판정합니다. Juniper-Local-User 그런 Junos OS 라우터 또는 스위치에서 로컬로 구성된 적절한 로컬 사용자 템플릿을 선택합니다. 인증된 사용자에 대한 로컬 사용자 템플릿이 없는 경우 라우터 또는 스위치는 템플릿에 기본으로 remote 지정됩니다.

로컬 사용자 템플릿 계정을 공유하는 사용자에 대해 서로 다른 액세스 권한을 구성하려면 인증 서버 구성 파일에 allow-commandsdeny-commands 명령과 명령을 포함합니다.

로컬 사용자 템플릿을 구성하기 위해 LDAP를 위한 juniperLocalUserName와 계층 수준에서 RADIUS 서버에 대한 명령문을 포함하며, 이 템플릿이 적용하는 로컬 사용자에게 부여할 권한을 user local-username[edit system login] 지정합니다.

이 예에서는 LDAP u_ldap(LDIF) 파일에서 LDAP에 대한 로컬 사용자 템플릿을 구성합니다.

사용자 John과 Harry가 인증을 거치면 라우터 또는 스위치가 로컬 사용자 u_ldap 템플릿을 적용합니다. 사용자가 Tom 및 Dave를 인증하면 라우터 또는 스위치가 로컬 사용자 auth 템플릿을 적용합니다.

다음 예제에서는 다음과 같은 구성을 위해 로컬 사용자 salesengineering RADIUS.

로그인 사용자 Simon과 Rob이 인증을 받을 때 라우터 또는 스위치는 로컬 사용자 sales 템플릿을 적용합니다. 로그인 사용자 Harold와 Jim이 인증을 받을 때 라우터 또는 스위치가 로컬 사용자 engineering 템플릿을 적용합니다.

사용자 인증을 위한 원격 템플릿 계정 구성

기본적으로, Junos OS 사용자 인증을 위해 원격 템플릿 어카우를 사용하게 됩니다.

  • 인증된 사용자는 라우터 또는 스위치에 로컬 존재하지 않습니다.

  • 인증 서버의 인증된 사용자 레코드는 로컬 사용자를 지정하거나 지정된 로컬 사용자가 라우터 또는 스위치에 로컬 존재하지 않습니다.

원격 템플릿 계정을 구성하려면 계층 수준에서 명령문을 포함하고 원격 사용자에게 부여할 권한을 user remote[edit system login] 지정합니다.

원격 템플릿 계정을 공유하는 사용자에 대해 서로 다른 액세스 권한을 구성하려면 인증 서버 구성 파일에 allow-commands 명령문과 명령문을 deny-commands 포함합니다.

예를 들면 다음과 같습니다. 템플릿 계정 생성

이 예에서는 템플릿 계정을 만드는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 장비 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

LDAP, RADIUS 또는 TACACS+ 인증을 사용할 때 사용자 세트가 공유하는 템플릿 RADIUS 수 있습니다. 사용자가 템플릿 계정에 의해 인증되는 경우, CLI 사용자 이름은 로그인 이름입니다. 권한, 파일 소유권 및 효과적인 사용자 ID는 템플릿 계정에서 상속됩니다.

기본적으로 다음 Junos OS 템플릿 remote 계정을 사용할 수 있습니다.

  • 인증된 사용자는 장치에 로컬 존재하지 않습니다.

  • LDAP, RADIUS 또는 TACACS+ 서버의 인증된 사용자 레코드는 로컬 사용자를 지정하거나 지정된 로컬 사용자가 장치에 로컬 존재하지 않습니다.

다음 예제에서 원격 템플릿 계정을 생성하고 사용자 이름을 원격으로 설정하고 사용자에 대한 로그인 클래스를 운영업체로 설정할 수 있습니다. 로컬 템플릿 계정에 속하지 않는 LDAP, RADIUS 또는 TACACS+에 의해 인증된 사용자에게 적용되는 원격 템플릿을 만들 수 있습니다.

그런 다음 로컬 템플릿 계정을 생성하고 사용자 이름을 관리자로 설정하고 로그인 클래스를 Superuser로 설정할 수 있습니다. 서로 다른 유형의 템플릿이 필요할 때 로컬 템플릿 계정을 사용하게 됩니다. 각 템플릿은 해당 템플릿을 사용하는 사용자 그룹에 적합한 다른 권한 세트를 정의할 수 있습니다.

구성

원격 템플릿 계정 생성

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

원격 템플릿 계정을 생성하려면 다음을 합니다.

  • 사용자 이름과 로그인 클래스를 사용자에 대해 설정합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show system login 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

로컬 템플릿 계정 생성

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

로컬 템플릿 계정을 생성하려면 다음을 사용하세요.

  1. 사용자 이름과 로그인 클래스를 사용자에 대해 설정합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show system login 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

주:

LDAP, RADIUS 또는 TACACS+ 인증을 완벽하게 설정하려면 하나 이상의 LDAP, RADIUS 또는 TACACS+ 서버를 구성하고 시스템 인증 순서를 지정해야 합니다. 다음 작업 중 하나를 수행합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

Template Accounts 생성 확인

목적

템플릿 계정이 생성된지 확인

실행

작동 모드에서 명령어를 show system login 입력합니다.

원격 인증 서버란?

네트워크에서 이미 원격 인증 서버(또는 서버)를 사용 중일 것입니다. 서버가 네트워크의 모든 장치에 대한 일관된 사용자 계정 세트를 중앙에서 생성할 수 있도록 지원하기 때문에 권장되는 모범 사례입니다. 네트워크에 AAA(Authentication, Authorization, Accountability) 솔루션을 구현해야 하는 많은 이유가 있으며, 그 중 가장 쉬운 방법은 사용자 계정 관리를 보다 용이하게 하는 것이 아닙니다.

오늘날 대부분의 기업들이 사용하는 원격 인증에는 LDAPS, RADIUS, TACACS+RADIUS 있습니다. Junos OS 모든 유형을 지원하며 두 유형의 여러 원격 인증 서버를 쿼리하도록 구성할 수 있습니다. LDAPS, RADIUS 또는 TACACS+ 서버의 핵심 개념은 간단합니다. 이는 라우터, 스위치, 보안 장비 및 심지어 서버가 이러한 시스템에 대한 액세스를 시도할 때 사용자를 인증하는 데 사용할 수 있는 중앙 인증 서버입니다. 중앙 사용자 디렉토리가 클라이언트 서버 모델에서 인증 감사 및 액세스 제어를 가져와서 네트워크 인프라스트럭처에 대한 RADIUS, LDAP 또는 TACACS+에 대한 타당성에 대한 타당성에 대해 생각해 보아야 합니다.

중앙 서버를 사용하는 것은 각 디바이스에서 로컬 사용자를 생성하는 대신 여러 가지 이점을 제공합니다. 많은 시간이 소요되고 오류가 발생하기가 까다로워지기 때문입니다. 또한 중앙 인증 시스템은 누군가 캡처된 암호를 사용하여 시스템 관리자로 포착되는 암호 스니핑 및 암호 재생 공격을 차단하는 SecureID와 같은 일회용 암호 시스템을 쉽게 사용할 수 있도록 지원합니다.

  • RADIUS—우선 순위가 상호 RADIUS 때 이러한 정보를 사용해야 합니다.

    • 상호 연동성—RADIUS TACACS+의 독점적 특성 때문에 TACACS+보다 상호 연동성이 더욱 향상됩니다. TACACS+는 더 많은 프로토콜을 지원하나, RADIUS 지원됩니다.

    • 성능—RADIUS 라우터와 스위치에서 성능이 훨씬 가벼워지기 때문에 네트워크 엔지니어는 일반적으로 TACACS+에서 RADIUS 것을 선호합니다.

  • TACACS+—우선 순위가 보안과 유연성일 때 TACACS+를 사용해야 합니다.

    • 보안—TACACS+는 보안보다 RADIUS. 전체 세션이 암호화될 뿐만 아니라 권한 부여 및 인증은 별도로 수행되어 누군가 자신의 네트워크에 대한 강제 시도를 막을 수 있습니다.

    • 유연성—TCP는 UDP보다 훨씬 유연한 전송 프로토콜입니다. 보다 향상된 네트워크에서 더 많은 작업을 할 수 있습니다. 또한, TACACS+는 NetBios 또는 Appletalk과 같은 많은 엔터프라이즈 프로토콜을 지원하고 있습니다.

    • LDAPS—보안과 확장성의 우선 순위가 될 때 LDAPS를 사용해야 합니다.

      • 보안—보안을 강화하기 위해 LDAPS는 데이터를 암호화하는 데 사용되는 전용 키를 사용; 이는 주니퍼 및 TACACS+에서 사용하는 공유 키와 달리 무단 액세스를 방지하고 효과적으로 RADIUS 보호합니다.

      • 확장성—LDAPS는 안정성 손실 없이 더 높은 확장성을 제공합니다. 사용자들이 자체 인증서를 유지 관리하고 인증서 인증에는 클라이언트와 서버 간의 데이터 교환만 수반되는 등 사용자 수에 제한이 없습니다.

출시 내역 표
릴리스
설명
Junos OS Release 20.2R1
주니어는 Junos OS Release 20.2R1 LDAPS 클라이언트(lDAPS 클라이언트에서 실행되는 장비)와 LDAPS 서버 간의 TLS 보안을 Junos OS 로그인 사용자를 위한 LDAP 지원을 제공합니다.