Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS 인증

Junos OS 네트워크 디바이스에서 사용자의 중앙 인증을 위해 RADIUS를 지원합니다. 장치에서 RADIUS 인증을 사용하려면 사용자(네트워크 관리자)가 네트워크상의 하나 이상의 RADIUS 서버에 대한 정보를 구성해야 합니다. 장비에서 RADIUS 어카운팅을 구성하여 LAN에 로그인하거나 LAN에서 로그아웃하는 사용자에 대한 통계 데이터를 수집하고 데이터를 RADIUS 어카운팅 서버로 전송할 수도 있습니다.

RADIUS 서버 인증 구성

RADIUS 인증은 네트워크 디바이스에 액세스를 시도하는 사용자를 인증하는 방법입니다. 다음 섹션에서는 RADIUS를 사용하는 이유와 구성 방법을 설명합니다.

RADIUS를 사용해야 하는 이유

사용자(네트워크 관리자)는 RADIUS 및 TACACS+를 포함한 네트워크 장치에서 사용자의 중앙 인증을 위해 서로 다른 프로토콜을 사용할 수 있습니다. 주니퍼는 RADIUS가 멀티벤더 IETF 표준이며 그 기능이 TACACS+ 또는 기타 전용 시스템보다 널리 사용되기 때문에 권장합니다. 또한 보안 강화를 위해 일회용 암호 시스템을 사용하는 것이 좋으며 이들 시스템의 모든 벤더는 RADIUS를 지원합니다.

우선 순위가 상호 운영성 및 성능인 경우 RADIUS를 사용해야 합니다.

  • 상호 운용성—RADIUS는 TACACS+보다 상호 운영성이 뛰어나며, 주로 TACACS+의 전용 특성 때문입니다. TACACS+는 더 많은 프로토콜을 지원하지만 RADIUS는 보편적으로 지원됩니다.

  • 성능—RADIUS는 라우터와 스위치에서 훨씬 더 가벼워집니다. 이러한 이유로 네트워크 엔지니어들은 일반적으로 TACACS+보다 RADIUS를 선호합니다.

RADIUS 서버 세부 정보 구성

디바이스에서 RADIUS 인증을 사용하려면 각 RADIUS 서버에 대해 계층 수준에서 하나의 명령문을 [edit system] 포함함으로써 네트워크에서 하나 radius-server 이상의 RADIUS 서버에 대한 정보를 구성합니다. 장비는 구성된 순서대로 RADIUS 서버를 쿼리합니다. 기본 서버(처음 구성된 서버)를 사용할 수 없는 경우, 장비는 응답을 받을 때까지 목록의 각 서버에 연락하려고 시도합니다.

네트워크 디바이스는 RADIUS 인증 사용자를 로컬로 정의된 사용자 계정 또는 사용자 템플릿 계정에 매핑하여 인증을 결정할 수 있습니다. 기본적으로 Junos OS , 구성된 경우, 다음과 같은 경우에 RADIUS 인증 사용자를 사용자 템플릿 계정에 remote할당합니다.

  • 인증된 사용자는 로컬 디바이스에 구성된 사용자 계정이 없습니다.

  • RADIUS 서버는 사용자를 로컬 사용자 템플릿에 할당하지 않거나 서버가 할당하는 템플릿이 로컬 디바이스에서 구성되지 않습니다.

RADIUS 서버는 인증된 사용자를 다른 사용자 템플릿에 할당하여 해당 사용자에게 서로 다른 관리 권한을 부여할 수 있습니다. 사용자는 CLI에서 동일한 로그인 이름을 유지하지만 할당된 템플릿에서 로그인 클래스, 액세스 권한 및 효과적인 사용자 ID를 상속합니다. RADIUS 인증 사용자가 로컬 정의된 사용자 계정이나 사용자 템플릿에 매핑되지 않고 템플릿이 remote 구성되지 않으면 인증에 실패합니다.

주:

사용자 이름은 remote 특별한 경우 Junos OS 이며 항상 소문자여야 합니다. 이는 원격 서버에 의해 인증을 받았지만 장치에 로컬로 구성된 사용자 계정이 없는 사용자를 위한 템플릿 역할을 합니다. Junos OS 로컬에서 정의된 계정 없이 인증된 사용자에게 템플릿의 remote 권한을 적용합니다. 템플릿에 remote 매핑된 모든 사용자는 동일한 로그인 클래스에 있습니다.

여러 디바이스에서 원격 인증을 구성하기 때문에 일반적으로 구성 그룹 내에서 인증을 구성합니다. 여기에 나와 있는 단계는 으로 구성된 global구성 그룹입니다. 구성 그룹 사용은 선택 사항입니다.

RADIUS 서버에 의해 인증을 구성하려면 다음을 수행합니다.

  1. IPv4 주소 또는 RADIUS 인증 서버의 IPv6 주소를 구성합니다.

    예를 들어,

  2. (선택사항) RADIUS 서버로 전송되는 요청에 대해 패킷 소스 주소를 구성합니다.

    예를 들어,

    소스 주소는 라우터 인터페이스 또는 스위치 인터페이스 중 하나에 구성된 유효한 IPv4 주소 또는 IPv6 주소입니다. 네트워크 디바이스에 RADIUS 서버에 도달할 수 있는 여러 인터페이스가 있는 경우 장비가 RADIUS 서버와의 모든 통신에 사용할 수 있는 IP 주소를 할당합니다. 이를 통해 로컬에서 생성된 IP 패킷의 소스 주소로 고정 주소를 설정합니다.

  3. 네트워크 디바이스가 RADIUS 서버에서 인증하기 위해 사용하는 공유 암호 구성

    구성된 암호는 RADIUS 서버에서 구성된 암호와 일치해야 합니다. 암호에 공백이 있는 경우 견적 표시에 동봉합니다. 디바이스는 암호를 구성 데이터베이스에 암호화된 값으로 저장합니다.

    예를 들어,

  4. (선택사항) 기본값과 다른 경우 RADIUS 서버에 연락할 포트를 지정합니다.

    기본 포트는 1812입니다(RFC 2865에 지정됨).

    예를 들어,

    주:

    어카운팅 패킷을 accounting-port 보낼 RADIUS 서버 포트를 지정하도록 명령문을 구성할 수도 있습니다. 기본값은 1813입니다(RFC 2866에 지정됨).

  5. (선택사항) 장비가 RADIUS 서버에 연락하려고 시도하는 횟수와 장비가 서버로부터 응답을 받기 위해 대기하는 시간을 구성합니다.

    기본적으로 장비는 서버에 세 번 연락을 시도하고 3초가 걸립니다. 1~100배의 값과 timeout 1~1000초의 값을 구성할 retry 수 있습니다.

    예를 들어, RADIUS 서버에 2번 연락하고 응답을 위해 10초 정도 기다려야 합니다.

  6. 인증 순서를 지정하고 옵션을 포함합니다 radius .

    다음 예에서는 사용자가 로그인 Junos OS 을 시도할 때마다 먼저 RADIUS 서버에 인증을 쿼리합니다. 실패하면 TACACS+ 서버를 쿼리합니다. 실패하면 로컬로 구성된 사용자 계정으로 인증을 시도합니다.

  7. 로컬 정의 사용자 계정이 없는 RADIUS 인증 사용자에게 로그인 클래스를 할당합니다.

    RADIUS 서버가 사용자를 인증하기 때문에 로컬 인증 암호를 구성하지 않는 것을 제외하고는 로컬 사용자 계정과 동일한 방식으로 사용자 템플릿 계정을 구성합니다.

    • 모든 RADIUS 인증 사용자에 대해 동일한 권한을 사용하려면 사용자 템플릿을 remote 구성합니다.

      예를 들어,

    • 다른 RADIUS 인증 사용자를 위해 서로 다른 로그인 클래스를 사용하려면 서로 다른 권한을 부여합니다.

      1. 구성에서 여러 사용자 템플릿을 만듭니다 Junos OS . 예를 들어,

      2. RADIUS 서버를 구성하여 인증된 사용자를 적합한 사용자 템플릿에 매핑합니다.

        주니퍼-로컬-사용자 이름 Juniper VSA(벤더별 속성)(벤더 2636, 유형 1, 문자열)를 장비에 구성된 사용자 템플릿의 이름으로 설정합니다. 이 이름은 이전 예제에서 RO, OP 또는 SU입니다. RADIUS 서버에는 RADIUS Access-Accept 메시지의 속성이 포함되어 있습니다. 장비가 사용자를 로컬 사용자 계정이나 사용자 템플릿에 할당할 수 없고 사용자 템플릿이 구성되지 않으면 인증에 remote 실패합니다.

관리 인스턴스를 사용하도록 RADIUS 구성

기본적으로 Junos OS 기본 라우팅 인스턴스를 통해 RADIUS에 대한 인증, 권한 부여 및 회계 패킷을 라우팅합니다. 또한 기본 설정이 아닌 VRF 인스턴스의 관리 인터페이스를 통해 RADIUS 패킷을 라우팅할 수도 있습니다.

관리 인스턴스를 통해 RADIUS 패킷을 라우팅하려면 다음을 mgmt_junos 수행합니다.

  1. 관리 인스턴스를 mgmt_junos 활성화합니다.

  2. routing-instance mgmt_junos 구성된 경우 RADIUS 인증 서버 및 RADIUS 어카운팅 서버에 대한 명령문을 구성합니다.

예를 들면 다음과 같습니다. 시스템 인증을 위한 RADIUS 서버 구성

이 예에서는 RADIUS 서버를 통해 시스템 인증을 구성합니다.

요구 사항

시작하기 전:

  • 초기 디바이스 구성을 수행합니다. 디바이스 시작 가이드를 참조하십시오.

  • 네트워크에서 최소 1개의 RADIUS 서버를 설정합니다.

개요

이 예에서는 IP 주소가 172.16.98.1인 새로운 RADIUS 서버를 추가합니다. RADIUS 서버의 공유 암호는 Radiussecret1로 지정합니다. 디바이스는 구성 데이터베이스에 암호화된 값으로 비밀을 저장합니다. 마지막으로, 디바이스가 RADIUS 서버 요청에서 사용하는 소스 주소를 지정합니다. 대부분의 경우 디바이스의 루프백 주소를 사용할 수 있습니다. 이 예에서는 10.0.0.1입니다.

로컬 암호 인증, RADIUS, TACACS+와 같은 여러 사용자 인증 방법에 대한 지원을 네트워크 디바이스에서 구성할 수 있습니다. 여러 인증 방법을 구성하면 디바이스가 다른 방법을 시도하는 순서에 우선 순위를 지정할 수 있습니다. 이 예에서는 디바이스를 먼저 RADIUS 인증 서비스를 사용하도록 구성한 다음, 장애가 발생하면 로컬 암호 인증을 시도합니다.

RADIUS 인증을 받은 사용자는 인증을 결정하는 네트워크 디바이스의 로컬 사용자 계정 또는 로컬 사용자 템플릿 계정에 매핑해야 합니다. 기본적으로 RADIUS 인증 사용자가 로컬 사용자 계정이나 특정 사용자 템플릿에 매핑되지 않는 경우 사용자는 구성된 경우 사용자 템플릿에 remote 할당됩니다. 이 예에서는 사용자 템플릿을 remote 구성합니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사 및 붙여넣은 다음 구성 모드에서 입력 commit 합니다.

단계별 절차

시스템 인증을 위해 RADIUS 서버를 구성하려면 다음을 수행합니다.

  1. 새 RADIUS 서버를 추가하고 IP 주소를 설정합니다.

  2. RADIUS 서버의 공유 암호(암호)를 지정합니다.

  3. 디바이스의 루프백 주소를 소스 주소로 지정합니다.

  4. 장비의 인증 순서를 지정하고 옵션을 포함합니다 radius .

  5. remote 사용자 템플릿과 로그인 클래스를 구성합니다.
결과

구성 모드에서 명령을 입력하여 구성을 show system 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.

다음 출력에는 이 예제와 관련된 구성 계층의 부분만 포함됩니다.

디바이스를 구성한 후 구성 모드로 입력 commit 합니다.

확인

구성이 올바르게 작동하는지 확인합니다.

RADIUS 서버 구성 확인

목적

RADIUS 서버가 사용자를 인증했는지 확인합니다.

실행

네트워크 디바이스에 로그인하여 로그인에 성공했는지 확인합니다. 장비가 인증을 위해 RADIUS 서버를 사용하는지 확인하려면 구성에서 로컬 인증 암호를 정의하지 않는 계정으로 로그인을 시도할 수 있습니다.

RADIUS 인증 구성(QFX 시리즈 또는 OCX 시리즈)

RADIUS 인증은 라우터 또는 스위치에 액세스를 시도하는 사용자를 인증하는 방법입니다. RADIUS 인증을 구성하는 작업은 다음과 같습니다.

주:

명령 source-address 문은 QFabric 시스템의 계층 수준에서 지원 [edit system-radius-server name] 되지 않습니다.

RADIUS 서버 세부 정보 구성

라우터 또는 스위치에서 RADIUS 인증을 사용하려면 각 RADIUS 서버에 대해 계층 수준에서 하나의 명령문을 [edit system] 포함함으로써 네트워크에서 하나 radius-server 이상의 RADIUS 서버에 대한 정보를 구성합니다.

서버 주소 는 RADIUS 서버의 주소입니다.

RADIUS 서버에 연결할 포트를 지정할 수 있습니다. 기본적으로 포트 번호 1812가 사용됩니다(RFC 2865에 지정됨). 어카운팅 포트를 지정하여 어카운팅 패킷을 보낼 수도 있습니다. 기본값은 1813입니다(RFC 2866에 지정됨).

명령문에 secret password 암호를 지정해야 합니다. 암호에 공백이 있는 경우 견적 표시에 동봉합니다. 로컬 라우터 또는 스위치가 사용하는 암호는 서버에서 사용하는 암호와 일치해야 합니다.

선택적으로 로컬 라우터 또는 스위치가 RADIUS 서버로부터 응답을 받기 위해 대기하는 시간( timeout 명령문)과 라우터 또는 스위치가 RADIUS 인증 서버에 연락하려고 시도하는 횟수를 지정할 수 있습니다( retry 명령문). 기본적으로 라우터 또는 스위치는 3초 정도 기다려야 합니다. 이를 1~90초의 값으로 구성할 수 있습니다. 기본적으로 라우터 또는 스위치는 서버에 세 번 다시 연결됩니다. 이를 1~10배의 값으로 구성할 수 있습니다.

이 명령문을 source-address 사용하여 개별 서버 또는 여러 RADIUS 서버에 대한 논리적 주소를 지정할 수 있습니다.

여러 RADIUS 서버를 구성하려면 여러 radius-server 명령문을 포함합니다.

인증을 위해 단일 계정을 공유하는 사용자 집합을 구성하려면 템플릿 사용자를 생성합니다. 이 작업을 수행하려면 에 설명예를 들면 다음과 같습니다. 인증 순서 구성user 대로 계층 수준의 명령 [edit system login] 문을 포함하십시오.

또한 계층 수준에서 RADIUS 인증을 [edit access][edit access profile] 구성할 수도 있습니다. Junos OS는 인증에 사용되는 서버 세트를 결정하기 위해 다음 검색 순서를 사용합니다.

  1. [edit access profile profile-name radius-server server-address]

  2. [edit access radius-server server-address]

  3. [edit system radius-server server-address]

암호 변경 지원을 위해 MS-CHAPv2 구성

암호 변경 지원을 위해 MS-CHAPv2를 구성하기 전에 다음을 확인해야 합니다.

  • RADIUS 서버 인증 매개변수를 구성합니다.

  • authentication-order 초기 암호 시도에 RADIUS 서버를 사용하도록 설정합니다.

라우터 또는 스위치에서 Challenge Handshake Authentication Protocol version 2(MS-CHAPv2)의 Microsoft 구현을 구성하여 암호 변경을 지원할 수 있습니다. 이 기능은 암호가 만료되거나 재설정되거나 다음 로그인 시 변경될 수 있도록 구성될 때 라우터 또는 스위치에 액세스하는 사용자에게 암호 변경 옵션을 제공합니다.

MS-CHAP-v2를 구성하려면 계층 수준에서 다음 명령문을 [edit system radius-options] 포함합니다.

다음 예에서는 MS-CHAPv2 암호 프로토콜, 암호 인증 순서 및 사용자 계정을 구성하기 위한 명령문을 보여줍니다.

외부 RADIUS 서버에 액세스하기 위한 Junos OS의 소스 주소 지정

인증을 위해 외부 RADIUS 서버에 문의하기 위해 네트워크에 액세스할 때 Junos OS가 사용하는 소스 주소를 지정할 수 있습니다. 또한 회계 정보를 전송하기 위해 RADIUS 서버에 연결할 때 Junos OS가 사용하는 소스 주소를 지정할 수도 있습니다.

RADIUS 서버의 소스 주소를 지정하려면 계층 수준에 있는 명령문을 [edit system radius-server server-address] 포함합니다source-address.

소스 주소 는 라우터 인터페이스 또는 스위치 인터페이스 중 하나에 구성된 유효한 IP 주소입니다.

주니퍼 네트웍스 벤더별 RADIUS 및 LDAP 속성

Junos OS는 인증 서버에서 주니퍼 네트웍스 RADIUS 및 LDAP 벤더별 속성(VSA) 구성을 지원합니다. 이러한 VSA는 주니퍼 네트웍스 ID 번호(2636)로 설정된 벤더 ID와 RADIUS 또는 LDAP 벤더별 속성으로 캡슐화됩니다.

표 1 구성할 수 있는 주니퍼 네트웍스 VSA를 나열합니다.

일부 속성은 POSIX 1003.2에 정의된 확장 정규 표현식을 수용합니다. 일반 표현식에 공백, 연산자 또는 와일드카드 문자가 있는 경우 견적 표시로 동봉합니다. 자세한 내용은 다음을 참조하십시오.

표 1: 주니퍼 네트웍스 벤더별 RADIUS 및 LDAP 속성

이름

설명

유형

길이

문자열

주니퍼-로컬-사용자 이름

사용자가 장비에 로그인할 때 이 사용자에게 할당된 사용자 템플릿의 이름을 나타낸다. 이 속성은 Access-Accept 패킷에서만 사용됩니다.

1

≥3

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

주니퍼-Allow-Commands

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령어 외에도 사용자가 명령을 실행할 수 있도록 하는 확장된 정규 표현식을 포함합니다. 이 속성은 Access-Accept 패킷에서만 사용됩니다.

2

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

주니퍼-Deny-Commands

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령을 실행하는 사용자 권한을 거부하는 확장 정규 표현식을 포함합니다. 이 속성은 Access-Accept 패킷에서만 사용됩니다.

3

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

주니퍼-Allow-Configuration

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령문 외에도 사용자가 구성 명령문을 보고 수정할 수 있도록 하는 확장된 정규 표현식을 포함합니다. 이 속성은 Access-Accept 패킷에서만 사용됩니다.

4

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

주니퍼-Deny-Configuration

사용자의 로그인 클래스 권한 비트에 의해 승인된 구성 명령문을 보거나 수정하는 사용자 권한을 거부하는 확장 정규 표현식을 포함합니다. 이 속성은 Access-Accept 패킷에서만 사용됩니다.

5

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

Juniper-Interactive-Command

사용자가 입력한 대화형 명령을 나타낸다. 이 속성은 어카운팅 요청 패킷에서만 사용됩니다.

8

≥3

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

주니퍼 구성 변경

구성(데이터베이스) 변경을 초래하는 대화형 명령을 나타낸다. 이 속성은 어카운팅 요청 패킷에서만 사용됩니다.

9

≥3

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

주니퍼-사용자 권한

서버가 사용자 권한을 지정하는 데 사용하는 정보를 포함합니다. 이 속성은 Access-Accept 패킷에서만 사용됩니다.

주:

RADIUS 또는 LDAP 서버가 사용자에게 권한 또는 all 권한을 부여하는 maintenance 속성을 정의 Juniper-User-Permissions 하면 사용자의 그룹 멤버쉽 목록에 UNIX 휠 그룹이 자동으로 포함되지 않습니다. 로컬 셸에서 명령을 실행하는 su root 것과 같은 일부 작업에는 휠 그룹 멤버쉽 사용 권한이 필요합니다. 그러나 네트워크 장치가 권한을 maintenance 가진 로컬 사용자 계정을 정의하거나 allUNIX 휠 그룹에 대한 멤버쉽이 자동으로 부여됩니다. 따라서 필요한 권한을 가진 사용자 템플릿 계정을 만들고 개별 사용자 계정을 사용자 템플릿 계정과 연결하는 것이 좋습니다.

10

≥3

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

문자열은 공간으로 구분된 권한 플래그 목록입니다. 각 플래그의 정확한 이름을 전체에서 지정해야 합니다.

를 참조하십시오 액세스 권한 수준 개요.

주니퍼 인증 유형

사용자 인증에 사용되는 인증 방법(로컬 데이터베이스, LDAP 또는 RADIUS 서버)을 나타낸다. 로컬 데이터베이스를 사용하여 사용자가 인증을 받으면 속성 값이 '로컬'을 표시합니다. 사용자가 RADIUS 또는 LDAP 서버를 사용하여 인증을 받으면 속성 값이 '원격'을 표시합니다.

11

≥5

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

주니퍼 세션 포트

설정된 세션의 소스 포트 번호를 나타낸다.

12

정수 크기

정수

Juniper-Allow-Configuration-Regexps(RADIUS만 해당)

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령문 외에도 사용자가 구성 명령문을 보고 수정할 수 있도록 하는 확장된 정규 표현식을 포함합니다. 이 속성은 Access-Accept 패킷에서만 사용됩니다.

13

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

Juniper-Deny-Configuration-Regexps(RADIUS만 해당)

사용자의 로그인 클래스 권한 비트에 의해 승인된 구성 명령문을 보거나 수정하는 사용자 권한을 거부하는 확장 정규 표현식을 포함합니다. 이 속성은 Access-Accept 패킷에서만 사용됩니다.

14

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

VSA에 대한 자세한 내용은 RFC 2138, RADIUS(Remote Authentication Dial In User Service)를 참조하십시오.

RADIUS 또는 TACACS+ 서버의 정규 표현식을 사용하여 명령 허용 또는 거부

Junos OS RADIUS 및 TACACS+인증 사용자를 사용자의 액세스 권한을 정의하는 로컬 정의 사용자 계정 또는 사용자 템플릿 계정에 매핑할 수 있습니다. 또한 각 인증 서버에서 주니퍼 네트웍스 RADIUS 및 TACACS+ 벤더별 속성(VSA)을 정의하여 사용자 액세스 권한을 선택적으로 구성할 수 있습니다.

사용자의 로그인 클래스는 사용자가 실행하도록 승인된 운영 모드 및 구성 모드 명령과 사용자가 보고 수정할 수 있는 구성 영역을 결정하는 권한 집합을 정의합니다. 로그인 클래스는 사용자가 특정 명령을 실행하거나 권한 플래그가 승인한 것 외에도 구성의 특정 영역을 보고 수정할 수 있는 기능을 허용하거나 거부하는 정규 표현식을 정의할 수도 있습니다. 로그인 클래스에는 사용자 인증을 정의하기 위한 다음과 같은 명령문이 포함될 수 있습니다.

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

마찬가지로, RADIUS 또는 TACACS+ 서버 구성은 주니퍼 네트웍스 VSA를 사용하여 사용자의 액세스 권한을 결정하는 특정 권한 또는 정규 표현식을 정의할 수 있습니다. 지원되는 RADIUS 및 TACACS+ VSA 목록은 다음을 참조하십시오.

RADIUS 또는 TACACS+ 서버에 대한 사용자 권한을 공간 분리 값 목록으로 정의할 수 있습니다.

  • RADIUS 서버는 다음과 같은 속성과 구문을 사용합니다.

    예를 들어,

  • TACACS+ 서버는 다음과 같은 속성 및 구문을 사용합니다.

    예를 들어,

RADIUS 또는 TACACS+ 서버는 또한 단일 확장 정규 표현식(POSIX 1003.2에서 정의한)을 사용하는 주니퍼 네트웍스 VSA를 정의하여 사용자가 특정 명령을 실행하거나 구성 영역을 보고 수정할 수 있는 기능을 허용하거나 거부할 수 있습니다. 여러 명령 또는 구성 계층을 괄호 안에 동봉하고 파이프 기호를 사용하여 분리합니다. 일반 표현식에 공백, 연산자 또는 와일드카드 문자가 있는 경우 견적 표시로 동봉합니다. 로컬 및 원격으로 인증 매개변수를 구성할 때, 장비는 TACACS+ 또는 RADIUS 인증 중에 수신되는 정규 표현식을 로컬 디바이스에 정의된 정규 표현식과 병합합니다.

  • RADIUS 서버는 다음과 같은 속성과 구문을 사용합니다.

    예를 들어,

  • TACACS+ 서버는 다음과 같은 속성과 구문을 사용합니다.

    예를 들어,

또한 RADIUS 및 TACACS+ 서버는 로컬 디바이스에서 구성할 수 있는 것과 동일한 *-regexps 명령문에 해당하는 속성 구성을 지원합니다. TACACS+ 속성 및 RADIUS 속성은 *-regexps 이전 속성과 *-Regexps 동일한 정규 표현식 구문을 사용하지만 변수를 사용하여 정규 표현식을 구성할 수 있습니다.

  • RADIUS 서버는 다음과 같은 속성과 구문을 사용합니다.

  • TACACS+ 서버는 다음과 같은 속성과 구문을 사용합니다.

    예를 들어, TACACS+ 서버 구성은 다음과 같은 속성을 정의할 수 있습니다.

RADIUS 또는 TACACS+ 서버에서 개별 라인에서 각 개별 표현식을 지정하는 간소화된 구문을 사용하여 속성을 정의할 수도 있습니다.

RADIUS 서버의 경우 다음 구문을 사용하여 개별 정규 표현식을 지정합니다.

TACACS+ 서버의 경우 다음 구문을 사용하여 개별 정규 표현식을 지정합니다.

주:
  • TACACS+ 서버 구문에서 숫자 값 1 ~ n 은 고유해야 하지만 순차적일 필요는 없습니다. 예를 들어, 다음 구문이 유효합니다.

  • RADIUS 또는 TACACS+ 서버는 개별 정규 표현식 라인의 수에 제한을 가합니다.

  • 명령을 실행 show cli authorization 하면 개별 라인에서 각 개별 표현식을 지정한 경우에도 명령 출력이 단일 줄에 정규 표현식을 표시합니다.

사용자는 운영 모드 명령을 실행하여 클래스, 권한, 명령 및 구성 인증을 검증할 show cli authorization 수 있습니다.

주:

네트워크 디바이스에서 로컬로 그리고 RADIUS 또는 TACACS+ 서버에서 원격으로 인증 매개변수를 구성할 때, 장비는 TACACS+ 또는 RADIUS 인증 중에 수신되는 정규 표현식을 로컬에서 구성된 정규 표현식과 병합합니다. 최종 표현식에 구문 오류가 포함되어 있으면 전체 결과가 잘못된 정규 표현식이 됩니다.

Juniper-Switching-Filter VSA 가이드라인, 일치 조건 및 조치

장치는 주니퍼 네트웍스 전용 RADIUS 서버 속성의 구성을 지원합니다. 이러한 속성은 벤더별 속성(VSA)으로 알려져 있으며 RFC 2138, RADIUS( Remote Authentication Dial In User Service)에 설명되어 있습니다. 주니퍼 네트웍스 VSA는 벤더 ID를 2636으로 설정했습니다.

속성은 인증 성공 또는 실패의 결과로 RADIUS 서버에서 장비로 전송되는 cleartext 필드입니다. 인증은 장비가 RADIUS 서버에 의해 인증될 때까지 포트의 서플리컨트를 차단함으로써 인증되지 않은 사용자 액세스를 방지합니다. RADIUS 서버에서 인증을 통해 필터링 속성을 구현하면 신청자에 대한 LAN 액세스를 제어할 수 있는 중앙 위치를 제공합니다.

Juniper-Switching-Filter 속성은 802.1X 인증과 연동하여 네트워크에 대한 서플리컨트 액세스를 중앙에서 제어합니다. 이 속성을 사용하여 RADIUS 서버에서 필터를 구성할 수 있습니다. 이러한 필터는 스위치로 전송되어 802.1X 인증을 사용하여 인증된 사용자에게 적용됩니다.

Juniper-Switching-Filter는 하나 이상의 필터 용어를 포함할 수 있습니다. 필터 조건은 하나 이상의 일치 조건을 사용하여 구성되며, 그 결과 작업이 수행됩니다. 일치 조건은 패킷에 적용하기 위해 구성된 작업을 위해 패킷이 충족해야 하는 기준입니다. 구성된 조치는 패킷이 일치 조건에 지정된 기준을 충족하는 경우 스위치가 취하는 작업입니다. 스위치가 취할 수 있는 조치는 패킷을 허용하거나 거부하는 것입니다.

VSA를 사용하여 필터를 구성하는 것은 물론, 이전에 구성된 포트 방화벽 필터 를 RADIUS 서버에 직접 적용할 수 있습니다. 포트 필터링 속성과 마찬가지로 필터는 인증 프로세스 중에 적용되며 해당 작업은 디바이스 포트에 적용됩니다. 포트 방화벽 필터를 RADIUS 서버에 추가하면 필터를 여러 포트 및 디바이스에 추가할 필요가 없습니다.

VSA 지침

벤더별 RADIUS 속성은 속성당 최대 247자입니다. 더 많은 길이가 필요한 경우 주니퍼는 최대 4,000자까지 동일한 속성의 여러 인스턴스를 지원합니다. 247자 초과 필터를 지원하려면 여러 주니퍼 스위칭 필터 속성을 사용하십시오. 아래의 예는 247자 한도 내에 있는 새 필터 용어를 포함하는 두 가지 속성을 보여줍니다.

주:

4000 자 제한은 RADIUS 서버와 주니퍼 장치 모두에서 지원되는 MTU와 사용된 다른 RADIUS 속성의 수에 따라 달라질 수 있습니다.

VSA 일치 조건 및 작업에는 다음 지침이 적용됩니다.

  • 명령문 matchaction 성명서는 모두 필수입니다.

  • 일치 조건이 지정되지 않으면 모든 패킷이 기본적으로 일치하는 것으로 간주됩니다.

  • 아무 조치도 지정되지 않은 경우, 기본 조치는 패킷을 거부하는 것입니다.

  • 모든 옵션 또는 모든 옵션이 각 match 명령문과 action 문에 포함될 수 있습니다.

  • AND 작업은 쉼표로 구분되는 서로 다른 유형의 필드에서 수행됩니다. 동일한 유형의 필드는 반복할 수 없습니다.

  • forwarding-class 옵션을 적용하려면 스위치에서 포워딩 클래스를 구성해야 합니다. 스위치에서 포워딩 클래스가 구성되지 않은 경우 이 옵션은 무시됩니다.

매치 조건

표 2 RADIUS 서버에서 명령을 사용하여 VSA 속성을 방화벽 필터로 구성할 때 지정할 수 있는 match 일치 조건을 설명합니다. 일치 조건을 정의하는 문자열을 일치 명령문이라고 합니다.

표 2: 매치 조건

옵션

설명

destination-mac mac-address

패킷의 대상 MAC(Media Access Control) 주소

source-dot1q-tag tag

802.1Q 헤더에서 을 통해 4095범위 0 의 태그 값

destination-ip ip-address

최종 대상 노드의 주소.

ip-protocol protocol-id

IPv4 프로토콜 가치. 숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다.

ah, egp (8), , esp (50, icmp (1)gre (47), igmp (2)rsvp (46)ipv6 (41)ipip (4)ospf (89)pim (103), tcp (6)udp (17)

source-port port

TCP 또는 UDP(User Datagram Protocol) 소스 포트 필드 일반적으로 포트에서 어떤 프로토콜이 사용되고 있는지 확인하기 위해 일치 명령문과 ip-protocol 함께 이 일치 선언문을 지정합니다. 숫자 필드 대신 아래에 나열된 destination-port텍스트 옵션 중 하나를 지정할 수 있습니다.

destination-port port

TCP 또는 UDP 대상 포트 필드 일반적으로 포트에서 어떤 프로토콜이 사용되고 있는지 확인하기 위해 일치 명령문과 ip-protocol 함께 이 일치 선언문을 지정합니다. 숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열됨).

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cvspserver (2401), cmd (514), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), telnet (23), tacacs-ds (65), talk (517), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

액션

필터링 기준을 지정하는 하나 이상의 용어를 정의할 때 패킷이 모든 기준과 일치하는 경우 취할 조치를 정의할 수도 있습니다. 표 3 용어로 지정할 수 있는 작업을 보여줍니다.

표 3: VSA를 위한 작업

옵션

설명

(allow | deny)

ICMP(Internet Control Message Protocol) 메시지를 전송하지 않고 패킷을 허용하거나 패킷을 자동으로 폐기합니다.

forwarding-class class-of-service

(선택사항) 다음 포워딩 클래스 중 하나에서 패킷을 분류합니다.

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

loss-priority (low | medium | high)

(선택사항) 패킷 손실 우선 순위(PLP)를 low, 또는 highmedium설정합니다. 포워딩 클래스와 손실 우선순위를 모두 지정합니다.

RADIUS 회계 이해

네트워크 디바이스는 IETF RFC 2866, RADIUS Accounting을 지원합니다. 장비에서 RADIUS 어카운팅을 구성하여 LAN에 로그인하거나 밖으로 로그인하는 사용자에 대한 통계 데이터를 수집하고 데이터를 RADIUS 어카운팅 서버로 보낼 수 있습니다. 이 통계 데이터는 일반적인 네트워크 모니터링, 사용 패턴을 분석 및 추적하거나 액세스한 세션 또는 서비스 유형에 따라 사용자에게 과금을 청구하는 데 사용할 수 있습니다.

RADIUS 어카운팅을 구성하려면 다음을 지정하십시오.

  • 장비에서 통계 데이터를 수신하기 위한 하나 이상의 RADIUS 회계 서버

  • 수집할 회계 데이터 유형

RADIUS 회계 및 인증 모두에 동일한 서버를 사용하거나 별도의 서버를 사용할 수 있습니다. RADIUS 회계 서버 목록을 지정할 수 있습니다. 이 장치는 구성된 순서대로 서버를 쿼리합니다. 기본 서버(처음 구성된 서버)를 사용할 수 없는 경우, 장비는 응답을 받을 때까지 목록의 각 서버에 연락하려고 시도합니다.

디바이스와 RADIUS 서버 간의 RADIUS 어카운팅 프로세스는 다음과 같습니다.

  1. RADIUS 어카운팅 서버가 특정 포트에서 UDP(User Datagram Protocol) 패킷을 수신 대기합니다. RADIUS 어카운팅의 기본 포트는 1813입니다.

  2. 이 장치는 이벤트 레코드가 포함된 회계 요청 패킷을 회계 서버로 전달합니다. 이 서플리컨트와 연관된 이벤트 레코드에는 이 서플리컨트에 대한 사용자 서비스 시작을 나타내는 값이 있는 Acct-Status-Type 속성이 포함되어 있습니다. 서플리컨트의 세션이 끝나면 어카운팅 요청에는 사용자 서비스 끝을 나타내는 Acct-Status-Type 속성 값이 포함됩니다. RADIUS 회계 서버는 이를 세션 정보와 세션 길이가 포함된 정지 회계 레코드로 기록합니다.

  3. RADIUS 회계 서버는 이러한 이벤트를 파일에 시작 회계 또는 중단 회계 레코드로 기록합니다. FreeRADIUS에서 파일 이름은 192.0.2.0과 같은 서버의 주소입니다.

  4. 회계 서버는 회계 요청을 수신했음을 확인하는 회계 응답 패킷을 장비로 보냅니다.

  5. 장비가 서버로부터 Accounting-Response 패킷을 받지 못하는 경우, 서버가 응답을 반환할 때까지 계속해서 회계 요청을 보냅니다.

이 프로세스를 통해 수집된 통계는 RADIUS 서버에서 볼 수 있습니다. 이러한 통계를 확인하려면 해당 통계를 수신하도록 구성된 로그 파일에 액세스합니다.

RADIUS 시스템 어카운팅 구성

RADIUS 어카운팅을 활성화하면 RADIUS 클라이언트 역할을 하는 주니퍼 네트웍스 디바이스가 소프트웨어 로그인, 구성 변경 및 대화형 명령과 같은 사용자 활동에 대해 RADIUS 서버에 알릴 수 있습니다. RADIUS 회계 프레임워크는 RFC 2866, RADIUS Accounting에 설명되어 있습니다.

RADIUS 서버에서 사용자 이벤트 감사 구성

RADIUS 어카운팅을 구성하려면 다음을 수행합니다.

  1. 감사를 위해 이벤트를 구성합니다.

    예를 들어,

    events 다음 중 하나 이상을 포함할 수 있습니다.

    • login—감사 로그인

    • change-log—구성 변경 감사

    • interactive-commands—양방향 명령어 감사(모든 명령행 입력)

  2. RADIUS 회계를 활성화합니다.
  3. 하나 이상의 RADIUS 어카운팅 서버에 대한 주소를 구성합니다.

    예를 들어,

    주:

    계층 수준에서 RADIUS 서버를 [edit system accounting destination radius] 구성하지 않으면 장비가 계층 수준에서 구성된 [edit system radius-server] RADIUS 서버를 사용합니다.

  4. (선택사항) RADIUS 어카운팅 요청에 대한 소스 주소를 구성합니다.

    예를 들어,

    소스 주소는 라우터 인터페이스 또는 스위치 인터페이스 중 하나에 구성된 유효한 IPv4 주소 또는 IPv6 주소입니다. 네트워크 디바이스에 RADIUS 서버에 도달할 수 있는 여러 인터페이스가 있는 경우 장비가 RADIUS 서버와의 모든 통신에 사용할 수 있는 IP 주소를 할당합니다. 이를 통해 로컬에서 생성된 IP 패킷의 소스 주소로 고정 주소를 설정합니다.

  5. 네트워크 디바이스가 RADIUS 어카운팅 서버에서 인증하기 위해 사용하는 공유 암호 구성

    구성된 암호는 RADIUS 서버에서 구성된 암호와 일치해야 합니다. 암호에 공백이 있는 경우 견적 표시에 동봉합니다. 디바이스는 암호를 구성 데이터베이스에 암호화된 값으로 저장합니다.

    예를 들어,

  6. (선택사항) 필요한 경우 기본값과 다른 경우 어카운팅 패킷을 보낼 RADIUS 어카운팅 서버 포트를 지정합니다(1813).
    주:

    계층 수준에서 RADIUS 어카운팅 [edit access profile profile-name accounting-order] 을 활성화하면 명령문에 대한 값을 지정하지 않는 경우에도 1813의 기본 포트에서 어카운팅이 accounting-port 트리거됩니다.

  7. (선택사항) 장비가 RADIUS 어카운팅 서버에 연락하려고 시도하는 횟수와 장비가 서버로부터 응답을 받기 위해 대기하는 시간을 구성합니다.

    기본적으로 장비는 서버에 세 번 연락을 시도하고 3초가 걸립니다. 1~100배의 값과 timeout 1~1000초의 값을 구성할 retry 수 있습니다.

    예를 들어, 서버에 2번 연락하고 응답을 위해 10초 정도 기다려야 합니다.

  8. (선택사항) 기본 라우팅 인스턴스 대신 비 기본 관리 인스턴스를 통해 RADIUS 어카운팅 패킷을 라우팅하려면 명령문을 구성합니다 routing-instance mgmt_junos .
  9. (선택사항) enhanced-accounting 사용자 로그인 이벤트에 대한 액세스 방법, 원격 포트 및 액세스 권한을 비롯한 추가 어카운팅 속성을 포함하도록 계층 수준에서 명령문을 [edit system radius-options] 구성합니다.
    주:

    감사할 속성 값의 수를 제한하려면 계층 수준에서 명령문을 [edit system accounting] 구성 enhanced-avs-max <number> 합니다.

다음 예제에서는 RADIUS 어카운팅을 위해 3개의 서버(10.5.5.5, 10.6.6.6 및 10.7.7)를 구성합니다.

출시 내역 표
릴리스
설명
18.1R1
Junos OS 릴리스 18.1R1에서 시작하여 기본이 아닌 VRF 인스턴스에서 관리 인터페이스를 지원하도록 기존 RADIUS 동작이 향상됩니다.