Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

인증 정책 레이블 구성

인증 정책에서 참조할 사용자와 리소스를 식별하는 레이블을 추가하여 네트워크에 대한 액세스를 제어합니다.

네트워크 액세스 제어 정책은 네트워크 연결을 시도하는 디바이스에 보안 액세스를 제공하기 위한 일련의 규칙 및 지침입니다. 정책은 디바이스와 사용자가 네트워크에 액세스하고 네트워크 리소스를 사용하기 위해 충족해야 하는 특정 기준으로 구성됩니다.

인증 정책으로 Juniper Mist Access Assurance를 구성하여 Juniper Mist 매니지드 디바이스가 클라이언트를 네트워크 또는 애플리케이션에 연결하도록 설정할 수 있습니다.

Juniper Mist는 "레이블"을 정책 일치 기준으로 활용하며, 사용 레이블은 권한을 지정하는 관련 정책 작업을 적용합니다. 즉, 인증 정책을 만들 때 레이블을 다음과 같이 사용할 수 있습니다.

  • 일치 기준: 정책 규칙을 적용하기 위해 충족해야 하는 일치 기준 집합입니다.
  • 정책 허용 작업: 추가 속성(VLAN, 역할 및 그룹 기반 정책 태그) 적용과 같이 일치하는 경우 적용할 일련의 작업입니다.

레이블 만들기

다음 페이지에서 라벨을 만들 수 있습니다.

  • 인증 정책
  • 인증 정책 레이블

Authentication Policy Labels(인증 정책 레이블) 페이지에서 레이블을 만들려면:

  1. Juniper Mist 포털의 왼쪽 메뉴에서 조직 > 액세스 > 인증 정책 레이블을 선택합니다.

    기존 레이블 목록(있는 경우)이 나타납니다.

  2. Auth Policy Labels(인증 정책 레이블)에서 Add Labels(레이블 추가 )를 클릭하고 다음 세부 정보를 입력합니다.
    • 레이블 이름 - 레이블의 고유한 이름을 입력합니다. 영숫자 문자와 하나 이상의 특수 문자를 포함하여 최대 32자를 사용할 수 있습니다.
    • 레이블 유형 - 레이블 유형을 지정합니다. 표 1 의 정보를 참조하여 라벨 유형을 선택합니다.
    표 1: 새 레이블에 대한 매개 변수

    레이블 유형

    세부 정보

    인증 정책 규칙에서의 역할

    AAA 속성

    일치 조건으로 작동하고 권한을 지정하는 정책 작업을 결정하는 데 도움이 되는 사용자 특성 그룹입니다.

    옵션:

    • 역할: 할당된 사용자 역할입니다. 역할 기반 정책을 적용하는 데 사용할 수 있습니다.
    • VLAN: VLAN ID 또는 명명된 VLAN입니다. 이는 클라이언트에 VLAN을 할당하는 데 사용할 수 있습니다.
    • 영역: 인증에 사용되는 도메인으로, 사용자 자격 증명이 유효한 위치를 지정하는 경우가 많습니다.
    • 사용자 이름: 개인 또는 장치에 할당된 고유 식별자입니다. 인증 디바이스의 사용자 이름 RADIUS 속성과 일치시키는 데 사용할 수 있습니다.
    • GBP 태그: 그룹 정책 태그) 특정 사용자 또는 장치 그룹을 다른 유형의 네트워크 트래픽 관리에 할당하는 데 사용됩니다.
    • 세션 시간 제한: 사용자 세션이 재설정되기 전에 허용되는 최대 시간을 3600초에서 604800초로 설정합니다.
    • 사용자 지정 공급업체 특정 특성: Access-Accept 메시지에서 반환되도록 구성할 수 있는 사용자 지정 특성입니다. 이러한 특성은 특정 공급업체에 맞게 조정되며 역할 또는 권한을 포함할 수 있습니다. 예제:
      • Cisco:Cisco-AVPair, Cisco-NAS-Port, Cisco-Fax-Account-ID-Origin.
      • 주니퍼: Juniper-local-user-name.
      • Palo Alto Networks: PaloAlto-Admin-Role, PaloAlto-Admin-Access-Domain.

      • 벤더별 속성(VSA)은 해당 설명서 또는 구성 가이드에서 여러 벤더에 대해 확인할 수 있습니다.

    • 사용자 지정 표준 RADIUS 속성( Idle-Timeout=600 또는 Termination-Action=RADIUS-Request와 같은 표준 IETF RADIUS 속성이며 추가 속성으로 수정할 수 있음)
    • 동적 유선 포트 구성(Access Assurance가 Access-Accept 메시지의 RADIUS 속성 Egress-VLAN-Name 에 대해 반환하는 VLAN 이름이며, AP 연결에 트렁크 포트를 자동으로 사용하거나 태그가 지정된 VLAN과 태그 처리되지 않은 VLAN을 구별하는 등 동적 포트 구성에 특히 유용합니다.)
    • 반환된 사용자 이름: 사용자 이름, 사용자가 성공적으로 인증되면 시스템에 들어오는 이메일과 같은 사용자의 식별자입니다.

      옵션:

      • 자동 번역
      • 인증 CN
      • 인증 SAN:UPN
      • 인증서 SAN:Email
      • 인증서 SAN:DNS
    • 구성된 포트 VLAN ID: 인증 성공 후 특정 포트에서 디바이스가 할당된 VLAN ID입니다.
    • NAS IP 주소: 인증 요청이 이루어지고 있는 네트워크 액세스 서버(게이트웨이 장치)의 IP 주소입니다.

    일치 기준 및 정책 허용 작업
    인증서 속성 인증 중에 사용되는 사용자 또는 디바이스 인증서 필드 그룹입니다.

    옵션:

    • 일반 이름(CN)
    • 제목
    • 일련 번호
    • 발급자
    • SAN(주체 대체 이름)

    일치 기준

    클라이언트 목록

    와일드카드 값으로 식별되는 MAC 주소 또는 MAC OUI(Organizationally Unique Identifier) 목록. 예: 1122AA33BB44 또는 11-22-AA-33-BB-44 또는 11-22-AA*

    802.1X를 지원하지 않는 장치의 경우 클라이언트 목록을 사용하여 승인된 장치가 네트워크에 액세스하도록 허용할 수 있습니다.

    일치 기준
    증권 시세 표시기

    수신 착신 스테이션 식별자 특성을 기반으로 사용자 또는 디바이스 인증 중에 사용되는 SSID 이름입니다. 쉼표로 구분된 값을 사용하여 여러 SSID를 하나의 레이블에 결합할 수 있습니다.

    일치 기준
    디렉터리 속성 사용자 그룹 구성원 자격. ID 공급자(IdP)는 사용자 또는 디바이스 권한 부여 중에 사용자 그룹 정보를 제공합니다.

    일치 기준
    MDM 규정 준수 권한 부여 중에 Mobile Device Management 공급자로부터 받은 클라이언트 포스처 규정 준수를 평가하여 정책 규칙의 Match(일치) 섹션에 사용됩니다.
    • 호환
    • 비준수
    • 알려지지 않은

    일치 기준
    클라이언트 레이블 NAC 엔드포인트 데이터베이스에서 MAC 주소에 할당된 레이블 또는 레이블 목록을 일치시키는 데 사용됩니다. 텍스트를 입력합니다. 예: building3, floor2, 프린터.

    일치 기준
  3. Create(만들기)를 클릭하여 새 레이블에 대한 설정을 저장합니다.
    이 작업에서 생성하는 레이블은 인증 정책을 생성할 때 일치 조건 또는 정책 허용 작업으로 선택할 수 있습니다.

참조