이 페이지의 내용
Juniper Mist RADIUS 속성
요약 이 정보를 사용하여 Juniper Mist™ 액세스 포인트(AP)에서 구현된 RADIUS 속성을 이해할 수 있습니다.
인증 속성
WLAN 사용자 인증을 위해 Mist AP에서 RADIUS 서비스를 활성화할 수 있습니다. IEEE 802.1X 인증을 구현하는 WLAN에는 RADIUS 서비스가 필요합니다 .
인증하는 동안 AP는 Access-Request 메시지를 통해 RADIUS 서버에 사용자 정보를 전송합니다. RADIUS 서버는 다음 응답 중 하나를 반환합니다.
-
Access-Reject - 요청된 네트워크 리소스에 대한 액세스를 무조건 거부합니다. 실패 이유에는 잘못된 자격 증명 또는 비활성 계정이 포함될 수 있습니다.
-
Access-Challenge - 보조 비밀번호, PIN, 토큰 또는 카드와 같은 추가 정보를 사용자에게 요청합니다. Access-Challenge는 EAP(Extensible Authentication Protocol)를 사용한 인증과 같이 사용자와 RADIUS 서버 간에 보안 터널이 설정된 경우 더 복잡한 인증에도 사용됩니다.
-
Access-Accept - 요청된 네트워크 리소스에 대한 액세스를 허용합니다. Access-Request에는 반환 특성을 사용하는 사용자에 대한 추가 구성 정보가 포함되는 경우가 많습니다.
IETF 표준 인증 속성
다음 표는 RFC 2865에 따라 Juniper Mist AP에서 구현된 표준 인증 속성에 대해 설명합니다. RFC 2868 및 RFC 2869의 권장 사항에 따라 추가 확장도 구현되었습니다.
| 속성 이름 | 유형 | RFC | 설명 |
|---|---|---|---|
| 사용자 이름 | 1 | RFC 2865 (영문) | User-Name 속성은 Access-Request에 전달되며 인증할 사용자의 이름을 나타냅니다. |
| 사용자 암호 | 2 | RFC 2865 (영문) | User-Password 특성은 Access-Request에서 전달됩니다. 인증할 사용자의 비밀번호 또는 Access-Challenge 이후의 사용자 입력을 나타냅니다. |
| NAS-IP-주소 | 4 | RFC 2865 (영문) | NAS-IP-Address 속성은 Access-Request에서 전달되며 사용자 인증을 요청하는 AP의 IP 주소를 나타냅니다. WLAN에 대한 RADIUS 설정에서 이 속성을 구성할 수 있습니다. WLAN의 모든 AP는 구성된 값을 전송합니다. |
| 서비스 유형 | 6 | RFC 2865 (영문) | Service-Type 속성은 Access-Request에서 전달되며 사용자가 요청한 서비스 유형 또는 제공할 서비스 유형을 나타냅니다. 속성 값은 항상 802.1X/EAP WLAN의 경우 AP에 의해 Framed-User로 설정되거나 MAC-Auth 지원 WLAN의 경우 Call-Check로 설정됩니다. |
| 프레임 MTU | 12 | RFC 2865 (영문) | Framed-MTU 속성은 Access-Request에서 전달되며 사용자에 대해 구성할 MTU(Maximum Transmission Unit)를 나타냅니다. 속성 값은 AP에 의해 항상 1200으로 설정됩니다. |
| 상태 | 24 | RFC 2865 (영문) | State 속성은 Access-Challenge에서 전달할 수 있습니다. 해당 챌린지에 대한 Access-Request 응답에서 클라이언트에서 서버로 수정되지 않은 상태로 전송되어야 합니다(있는 경우). |
| 호출된 스테이션 ID | 30 | RFC 2865 (영문) | Called-Station-Id 속성은 Access-Request에서 전달되며 인증 사용자가 연결된 BSSID 및 ESSID를 나타냅니다. 액세스 포인트는 XX-XX-XX-XX-XX-XX:ESSID 형식을 사용하여 속성 값을 전달합니다. |
| 호출 스테이션 ID | 31 | RFC 2865 (영문) | Calling-Station-Id 속성은 Access-Request에서 전달되며 인증 사용자의 MAC 주소를 나타냅니다. Access-Request 패킷에만 사용됩니다. 액세스 포인트는 XX-XX-XX-XX-XX-XX 형식을 사용하여 속성 값을 전달합니다. |
| NAS 식별자 | 32 | RFC 2865 (영문) | NAS-Identifier 속성은 Access-Request에서 전달됩니다. WLAN에 대한 RADIUS 설정에서 이 속성을 구성할 수 있습니다. WLAN의 모든 액세스 포인트는 구성된 값을 전송합니다. 변수를 사용하여 디바이스 이름, 모델, MAC 주소 및 사이트 이름을 보낼 수 있습니다. 변수는 다음과 같습니다. {{DEVICE_NAME}} {{DEVICE_MODEL}} {{DEVICE_MAC}} {{SITE_NAME}} |
| 프록시 상태 | 33 | RFC 2865 (영문) | proxy-state 속성은 Access-Requests를 전달할 때 proxy-server에 의해 다른 서버로 전송됩니다. Access-Accept, Access-Reject 또는 Access-Challenge에서 수정되지 않은 상태로 반환되어야 하며 네트워크 액세스 서버에 응답을 보내기 전에 프록시 서버에서 제거해야 합니다 |
| NAS 포트 유형 | 61 | RFC 2865 (영문) | NAS-Port-Type 속성은 Access-Request에서 전달되며 인증 사용자에 대한 물리적 연결 유형을 나타냅니다. 속성 값은 액세스 포인트에 의해 항상 Wireless-802.11로 설정됩니다. |
| 연결 정보 | 77 | RFC 2869 (영문) | Connection-Info 속성은 Access-Request에서 전달되며 인증 사용자의 데이터 속도 및 라디오 유형을 나타냅니다. 액세스 포인트는 CONNECT XXMbps 802.11X 형식을 사용하여 속성 값을 전달합니다. |
| EAP 메시지 | 79 | RFC 2869 (영문) | EAP-Message 속성은 Access-Request, Access-Challenge, Access-Accept 및 Access-Reject에서 전달되며 EAP(Extended Access Protocol) 패킷을 캡슐화합니다. |
| 메시지 인증자 | 80 | RFC 2869 (영문) | Message-Authenticator 특성은 Access-Request에서 전달되며 CHAP, ARAP 또는 EAP Access-Request 패킷의 스푸핑을 방지하는 데 사용할 수 있습니다. |
| 터널 프라이빗 그룹 ID | 81 | RFC 2868 (영문) | Tunnel-Private-Group-ID 속성은 Access-Accept에서 전달되며 인증 사용자에게 할당할 숫자 VLAN ID를 나타냅니다. 속성 값은 1에서 4094 사이의 숫자 값 또는 명명된 VLAN을 나타내는 문자열로 설정해야 합니다. |
| 필터 ID | 11 | RFC 2865 (영문) | Filter-Id 속성은 Access-Accept에서 전달될 수 있으며 사용자 역할 클라이언트가 연결됨을 나타냅니다. 사용자 그룹은 Mist WxLAN 정책 프레임워크에서 네트워크 방화벽 규칙을 할당하는 데 사용됩니다. 형식: Group-Name 예: employee |
지원되는 공급업체별 속성
다음 표에는 RFC 2865에 따라 Juniper Mist 액세스 포인트가 지원하는 VSA(벤더별 속성)가 요약되어 있습니다.
| 속성 이름 | 유형 | 공급업체 ID | 속성 번호 | 형식 | 설명 |
|---|---|---|---|---|---|
| Airespace-인터페이스-이름 | 26 | 14179 | 5 | 문자열 | Airespace-Interface-Name 속성은 Access-Accept에서 전달되어 802.1X 또는 RADIUS MAC 인증 사용자의 동적 VLAN 멤버십을 나타낼 수 있습니다. 반환된 속성 값은 항상 문자열 형식의 VLAN 이름입니다. VLAN ID 또는 변수를 사용하여 WLAN에서 VLAN 이름에서 VLAN ID로의 변환을 구성해야 합니다. 형식: VLAN-Name 예: employee-vlan |
| Airespace-ACL-이름 | 26 | 14179 | 6 | 문자열 |
Airespace-ACL-Name 특성은 Access-Accept에서 전달될 수 있으며 사용자 역할 클라이언트가 연결됨을 나타냅니다. 사용자 그룹은 Mist WxLAN 정책 프레임워크에서 세부적인 네트워크 리소스 제한을 할당하는 데 사용됩니다. 형식: Group-Name 예: employee |
| Aruba-User-Role | 26 | 14823 | 1 | 문자열 | Aruba-User-Role 속성은 Access-Accept에서 전달될 수 있으며 사용자 역할 클라이언트가 연결됨을 나타냅니다. 사용자 그룹은 Mist WxLAN 정책 프레임워크에서 세부적인 네트워크 리소스 제한을 할당하는 데 사용됩니다. 형식: Group-Name 예: employee |
| Cisco-AVPair | 26 | 9 | 1 | 문자열 | Cisco-AVPair 속성은 Access-Accept에서 전달되어 포털 인증을 위해 클라이언트를 리디렉션해야 함을 Mist 액세스 포인트에 나타내고 리디렉션 URL 위치를 지정할 수 있습니다. 이 특성은 일반적으로 Cisco ISE 또는 Aruba Clearpass RADIUS 서버와 게스트 액세스를 통합하거나 802.1X/EAP 사용자에 대해 포스처 리디렉션 기능을 활성화하는 데 사용됩니다. AVPair URL 리디렉션 형식: url-redirect=<URL 값> 예: url-redirect=https://ise28.89mistilbs.org:8443/portal/gateway?sessionId=0a004b1c/Jtf4peiJ5A8nPreloHRRITWvmhDCbnH3qXQ8MngtoA&portal=71984f36-f55e-4439-ba6e-903d9f77c216&action=cwa&token=1f7dca2cc907b1ad56ee4880e1cfa1ae AVPair PSK Cisco-AVPair 속성에는 PSK 속성도 포함될 수 있으며, 이는 특정 클라이언트에 할당된 암호를 Mist 액세스 포인트에 나타냅니다. AP에 PSK 값을 제공하려면 두 개의 Cisco AVPair 속성을 동시에 전송해야 합니다. 하나는 PSK가 ASCII 형식으로 전송됨을 나타내고 다른 하나는 실제 사전 공유 키 값을 제공하는 AVPair입니다. 형식: psk 모드=ASCII & psk=<암호> |
| 일레븐 인증 찾기 키 | 26 | 52970 | 3 | Tlv | Eleven-Authentication-Find-Key 속성은 지원되는 RADIUS 서버에 추가 정보를 제공하여 RADIUS를 통한 무선 클라이언트 PSK 조회를 간소화하는 데 사용되므로 무선 클라이언트 MAC를 특정 PSK와 미리 연결할 필요가 없습니다. 이 속성은 내부에 여러 하위 속성을 포함하는 RFC6929에 따른 TLV입니다. |
| Eleven-EAPOL-Frame-2 (하위 속성) | 1 | 옥텟을 | Eleven-EAPOL-Frame-2 하위 속성에는 4방향 핸드셰이크 중에 무선 클라이언트가 액세스 포인트로 보낸 두 번째 EAPOL 프레임이 포함됩니다 | ||
| Eleven-EAPOL-Anonce (하위 속성) | 2 | 옥텟을 | Eleven-EAPOL-Anonce 하위 속성에는 4방향 핸드셰이크 중에 액세스 포인트에서 무선 클라이언트로 보낸 첫 번째 EAPOL 프레임이 포함됩니다 | ||
| Eleven-EAPOL-SSID (하위 속성) | 3 | 문자열 | Eleven-EAPOL-SSID 하위 속성에는 무선 클라이언트가 연결하려는 현재 SSID 이름이 포함됩니다. | ||
| Eleven-EAPOL-APMAC (하위 속성) | 4 | 옥텟을 | Eleven-EAPOL-APMAC 하위 속성에 xxxxxxxxxxxx 형식의 BSSID가 포함되어 있습니다. | ||
| Eleven-EAPOL-STMAC (하위 속성) | 5 | 옥텟을 | Eleven-EAPOL-STMAC 하위 속성에는 xxxxxxxxxxxx 형식의 무선 클라이언트 MAC 주소가 포함되어 있습니다. |
RADIUS 계정 속성
WLAN 구성에서 RADIUS 계정 서버를 활성화하거나 비활성화할 수 있습니다. RADIUS 계정 정보를 사용하여 청구 목적으로 사용자의 네트워크 사용량을 추적하고 일반 네트워크 모니터링을 위한 데이터를 수집할 수 있습니다.
지원되는 계정 구성은 다음과 같습니다.
-
Start-Stop—Juniper Mist AP는 사용자 세션의 시작과 끝에서 Accounting-Requests를 전달합니다. 이 동작은 WLAN에서 하나 이상의 계정 서버가 구성되자마자 기본적으로 활성화됩니다.
-
Start-Interim-Stop—Juniper Mist AP는 사용자 세션의 시작과 끝에, 그리고 세션 수명 주기 동안 주기적으로 Accounting-Requests를 전달합니다. Framed-IP-Address 속성은 어카운팅 메시지에 포함됩니다.
참고:Interim-Update 간격은 RADIUS 서버에서 Acct-Interim-Interval(85) AVP를 전송하여 동적으로 재정의할 수도 있습니다.
다음 표에는 RFC 2866에 따라 주니퍼 Mist 액세스 포인트에서 구현된 표준 RADIUS 계정 속성이 설명되어 있습니다.
| 속성 이름 | 유형 | RFC | 설명 |
|---|---|---|---|
| 사용자 이름 | 1 | RFC 2865 (영문) | User-Name 속성은 Accounting-Request에 전달되며 사용자의 이름을 나타냅니다. |
| NAS-IP-주소 | 4 | RFC 2865 (영문) | NAS-IP-Address 속성은 Accounting-Request에서 전달되며 액세스 포인트의 IP 주소를 나타냅니다. |
| 프레임 IP 주소 | 8 | RFC 2865 (영문) | Framed-IP-Address 속성은 Accounting-Request 패킷에 전달되며 무선 클라이언트의 현재 또는 마지막으로 알려진 IP 주소를 나타냅니다. WLAN에서 중간 어카운팅이 활성화된 경우에만 전송됩니다. 참고: 첫 번째 클라이언트 연결 중에 클라이언트가 아직 IP 주소를 가져오지 않은 경우 첫 번째 Accounting-Start 패킷에서 Framed-IP-Address AVP가 누락됩니다. 그러나 AP가 클라이언트 IP 주소를 학습하자마자 Framed-IP-Address 정보가 포함된 비동기식(일반적인 Interim-Accounting 업데이트 간격 벗어난) Accounting Interim-Update 메시지를 보냅니다. |
| 클래스 | 25 | RFC 2865 (영문) | Class 특성은 Access-Accept에서 선택적으로 전달되며 accounting이 활성화된 경우 클라이언트가 Accounting-Request 패킷의 일부로 수정하지 않은 상태로 계정 서버로 보내야 합니다. Mist 액세스 포인트는 각 클라이언트에 대해 여러 클래스 속성 전송을 지원합니다. |
| 호출된 스테이션 ID | 30 | RFC 2865 (영문) | Called-Station-Id 속성은 Accounting-Request에서 전달되며 사용자가 연결된 BSSID 및 ESSID를 나타냅니다. 액세스 포인트는 XX-XX-XX-XX-XX-XX:ESSID 형식을 사용하여 속성 값을 전달합니다. |
| 호출 스테이션 ID | 31 | RFC 2865 (영문) | Calling-Station-Id 속성은 Accounting-Request에서 전달되며 사용자의 MAC 주소를 나타냅니다. 액세스 포인트는 XX-XX-XX-XX-XX-XX 형식을 사용하여 속성 값을 전달합니다. |
| NAS 식별자 | 32 | RFC 2865 (영문) | NAS-Identifier 속성은 Accounting-Request에서 전달되며 WLAN 설정에서 구성된 사용자 정의 식별자를 나타냅니다. |
| 계정 상태 유형 | 40 | RFC 2866 (영문) | Acct-Status-Type 속성은 Accounting-Request에서 전달되며 Accounting-Request가 계정 업데이트의 상태를 표시하는지 여부를 나타냅니다. 지원되는 값은 Start, Stop 및 Interim-Update입니다. |
| Acct-Delay-Time | 41 | RFC 2866 (영문) | Acct-Delay-Time 속성은 Accounting-Request에서 전달되며 액세스 포인트가 계정 레코드 전송을 시도한 시간(초)을 나타냅니다. 이 값은 이 Accounting-Request를 생성하는 이벤트의 대략적인 시간을 찾기 위해 서버에 도착한 시간에서 뺍니다. |
| Acct-Input-옥텟 | 42 | RFC 2866 (영문) | Acct-Input-Octets 속성은 Accounting-Request에서 전달되며 연결 과정에서 사용자로부터 수신된 옥텟 수를 나타냅니다. 이 특성은 Acct-Status-Type이 Stop으로 설정된 Accounting-Request 레코드에만 있을 수 있습니다. |
| Acct-Output-옥텟 | 43 | RFC 2866 (영문) | Acct-Output-Octets 속성은 Accounting-Request에서 전달되며 연결 과정에서 사용자에게 전달된 옥텟 수를 나타냅니다. 이 특성은 Acct-Status-Type이 Stop으로 설정된 Accounting-Request 레코드에만 있을 수 있습니다. |
| 액세스 세션 ID | 44 | RFC 2866 (영문) | Acct-Session-Id 속성은 Accounting-Request에서 전달되며 계정 로그 파일의 시작, 중지 및 중간 레코드를 쉽게 일치시킬 수 있도록 고유 식별자를 제공합니다. |
| 계정 정품 | 45 | RFC 2866 (영문) | Account-Authentic 속성은 Accounting-Request에 전달되며 사용자가 인증된 방법을 나타냅니다. RADIUS 어카운팅이 활성화되면 액세스 포인트는 이 값을 RADIUS로 설정합니다. |
| 액세스 세션 시간 | 46 | RFC 2866 (영문) | Acct-Session-Time 속성은 Accounting-Request에서 전달되며 사용자가 서비스를 받은 시간(초)을 나타냅니다. 이 특성은 Acct-Status-Type이 Stop으로 설정된 Accounting-Request 레코드에만 있을 수 있습니다. |
| 액세스 입력 패킷 | 47 | RFC 2866 (영문) | Acct-Input-Packets 속성은 Accounting-Request에서 전달되며 연결 과정에서 사용자로부터 수신된 패킷 수를 나타냅니다. 이 특성은 Acct-Status-Type이 Stop으로 설정된 Accounting-Request 레코드에만 있을 수 있습니다. |
| 액세스 출력 패킷 | 48 | RFC 2866 (영문) | Acct-Output-Packets 속성은 Accounting-Request에서 전달되며 연결 과정에서 사용자에게 전달된 패킷 수를 나타냅니다. 이 특성은 Acct-Status-Type이 Stop으로 설정된 Accounting-Request 레코드에만 있을 수 있습니다. |
| 계정 종료 원인 | 49 | RFC 2866 (영문) | Acct-Terminate-Cause 속성은 Accounting-Request에서 전달되며 세션이 종료된 방법을 나타냅니다. 이 특성은 Acct-Status-Type이 Stop으로 설정된 Accounting-Request 레코드에만 있을 수 있습니다. |
| 이벤트 타임스탬프 | 55 | RFC 2869 (영문) | Event-Timestamp 속성은 Accounting-Request에서 전달되며 액세스 포인트에서 계정 이벤트가 발생한 시간을 나타냅니다. |
| NAS 포트 유형 | 61 | RFC 2865 (영문) | NAS-Port-Type 속성은 Accounting-Request에서 전달되며 사용자의 물리적 연결 유형을 나타냅니다. 이 속성 값은 Mist 액세스 포인트에 의해 항상 Wireless-802.11로 설정됩니다.
|
동적 권한 부여 확장
RADIUS 인증 프로토콜은 원래 RADIUS 서버에서 액세스 포인트로 전송되는 원치 않는 메시지를 지원하지 않았습니다. 그러나 액세스 포인트가 교환을 시작할 필요 없이 세션 특성을 변경하는 것이 바람직한 경우가 많습니다.
이러한 한계를 극복하기 위해 몇몇 벤더는 RADIUS 서버에서 액세스 포인트로 전송되는 원치 않는 메시지를 지원하는 추가 RADIUS 확장을 구현했습니다. 이러한 확장은 활성 사용자 세션을 종료하거나 활성 세션의 특성을 변경하는 데 사용할 수 있는 연결 끊기 및 CoA(권한 변경) 메시지를 지원합니다.
-
Disconnect-Request - 사용자 세션을 종료합니다. Disconnect-Request 패킷은 NAS와 표 3.0에 표시된 식별 속성을 포함하여 종료될 사용자 세션을 식별합니다.
-
CoA-Request - 액세스 포인트에서 세션 정보가 동적으로 업데이트되도록 합니다.
Disconnect-Request 속성
다음 표에서는 연결 끊기 요청에 필요한 동적 권한 부여 속성에 대해 설명합니다.
표에 요약된 최소 특성 집합은 연결 끊기가 작동하기에 충분합니다. RADIUS 서버에서 추가 속성을 전송하는 경우 일부 속성도 평가되지만(예: NAS-IP-Address 값이 Mist AP의 현재 IP 주소와 일치해야 하거나 Acct-Session-Id가 무선 클라이언트 세션 ID와 일치해야 함) 지원되지 않는 다른 속성(예: Acct-Terminate-Cause)은 무시됩니다.
| 속성 이름 | 공급업체 | 속성 번호 | 설명 |
|---|---|---|---|
| 이벤트 타임스탬프 | Ietf | 55 | Disconnect-Request가 실행된 시간입니다. 시간은 Mist AP에서 확인합니다. 클럭 드리프트가 너무 크면 연결 해제 요청이 삭제됩니다. 이벤트-타임스탬프 속성 검증은 WLAN 구성에서 선택적으로 비활성화할 수 있습니다. |
| 호출 스테이션 ID | Ietf | 31 | XX-XX-XX-XX-XX-XX 형식의 사용자 MAC 주소입니다. |
CoA-Request 속성
다음 표에서는 CoA 요청에 필요한 동적 권한 부여 속성을 설명합니다.
표에 요약된 최소 속성 집합은 CoA가 작동하기에 충분합니다. RADIUS 서버에서 전송되고 Juniper Mist가 지원하는 경우 다른 속성도 평가됩니다. 예를 들어, NAS-IP-Address 값은 Juniper Mist AP의 현재 IP 주소와 일치하거나 Acct-Session-Id는 무선 클라이언트의 세션 ID와 일치해야 합니다. 지원되지 않는 속성(예: 추가 Cisco-AVPair 속성)은 무시됩니다.
CoA에 대한 자세한 내용은 을 참조하십시오. CoA(Change of Authorization)
| 속성 이름 | 공급업체 | 속성 번호 | 설명 |
|---|---|---|---|
| 이벤트 타임스탬프 | Ietf | 55 | Disconnect-Request가 실행된 시간입니다. 시간은 Mist AP에서 확인합니다. 클럭 드리프트가 너무 크면 연결 해제 요청이 삭제됩니다. Event-Timestamp 속성 검증은 WLAN 컨피그레이션에서 선택적으로 비활성화할 수 있습니다 |
| 호출 스테이션 ID | Ietf | 31 | XX-XX-XX-XX-XX-XX 형식의 사용자 MAC 주소입니다. |
| Cisco-AVPair | 시스코 (9) | 1 | subscriber-command:재인증 |