RADIUS 프로바이더

원격 인증 다이얼인 사용자 서비스(RADIUS). 제한 사항은 아래를 참조하십시오.

RADIUS 제한 사항

모든 비밀번호 변경은 RADIUS 서버에서 이루어져야 합니다. 외부 공급자를 활성화한 후에는 Apstra에서 사용자 비밀번호를 변경할 수 없습니다.
RADIUS 인증은 SSH를 통한 Linux 사용자 로그인을 제어하지 않습니다.
RADIUS 서버에서 사용자 그룹이 변경되면 그에 따라 Apstra에서 역할 매핑을 변경해야 합니다.
중첩된 그룹은 허용되지 않습니다. 각 그룹을 역할에 명시적으로 할당해야 합니다.
사용자가 로그인할 때 원격 RADIUS 서버에 대해 인증하는 데 사용자 이름과 비밀번호만 필요합니다. 로그인 자격 증명은 캐시되지 않습니다. 따라서 사용자가 로그인할 때 Apstra와 원격 RADIUS 서버 간의 연결이 필요합니다.

RADIUS 공급자 생성

왼쪽 탐색 메뉴에서 외부 시스템 > 공급자로 이동하고 공급자 만들기를 클릭합니다.
이름(64자 이하)을 입력하고 RADIUS를 선택한 다음 RADIUS를 활성 공급자로 지정하려면 Active?를 켭니다.
Connection Settings(연결 설정)에서 다음을 입력/선택합니다.
- Port - 서버에서 사용하는 TCP 포트로, RFC 2865에 지정된 대로 기본값은 1812 입니다.
- 호스트 이름 FQDN IP - RADIUS 서버의 FQDN(정규화된 도메인 이름) 또는 IP 주소입니다. 고가용성(HA) 환경의 경우 동일한 설정을 사용하여 여러 RADIUS 서버를 지정합니다. 첫 번째 서버에 연결할 수 없는 경우 후속 서버에 대한 연결이 순서대로 시도됩니다.
Provider-specific Parameters(공급자별 매개 변수)에 다음을 적절하게 입력/선택합니다.
- 공유 키 (64자 이하) - 서버에 구성된 공유 키
  
  주의:
  
  구성된 RADIUS 프로바이더를 편집할 때 공유 키가 표시되지 않습니다. 변경하지 않으면 이전에 구성된 공유 키가 유지됩니다. 공급자를 테스트하고 공유 키를 다시 입력하지 않은 경우 null 공유 키가 테스트에 사용되며 작동하지 않을 수 있습니다.
  
  Apstra 소프트웨어에서 성공적으로 테스트한 사전 공유 키 구성의 예는 Ubuntu FreeRADIUS(오픈 소스 RADIUS 서버)입니다. RADIUS 서버 구성에 지정된 공유 키는 Apstra에서 제공되어야 합니다.
- 고급 구성
  - Group Name Attribute Name(그룹 이름 속성 이름 ) - 사용자가 속한 역할을 지정하려면 RADIUS 서버에서 사용자 그룹을 지정해야 합니다. 사용자 그룹 정보는 Framed-Filter-ID 를 속성으로 사용하여 지정해야 합니다. 다른 RADIUS 그룹에 사용자를 할당하는 데 사용됩니다.
    
    예를 들어, 아래 FreeRADIUS 컨피그레이션은 Framed-Filter-ID 속성을 freerad로 지정합니다. 이 경우 나중에 매핑할 때 공급자 그룹에 대해 freerad 를 입력합니다.
  사용자가 Apstra 환경의 기존 그룹에 매핑될 수 있으려면 RADIUS 서버가 인증 응답의 일부로 Apstra 그룹 이름을 반환해야 합니다.
  
  주의:
  
  그룹이 매핑되지 않은 경우 사용자는 로그인할 수 없습니다.
- 시간 초과 (초) - 시간 초과를 기본 30초 이상으로 늘리면(Apstra 버전 4.2.1 기준) 모든 사용자의 API 응답성에 영향을 미칠 수 있습니다. MFA 지원을 위해 더 긴 제한 시간이 필요한 경우 제한 시간을 최대 60초까지 늘릴 수 있습니다. 60초를 초과하는 시간 초과가 필요한 경우 주니퍼 기술 지원에 문의하십시오.

공급자를 구성하고 활성화한 후에는 해당 공급자를 하나 이상의 사용자 역할에 매핑 하여 해당 역할을 가진 사용자에게 권한을 부여해야 합니다.