authentication-order (Authenticator)
통사론
authentication-order [dot1x | mac-radius | captive-portal];
계층 수준
[edit logical-systems name protocols dot1x authenticator interface], [edit protocols dot1x authenticator interface interface-name]
묘사
디바이스가 클라이언트 인증을 시도할 때 사용할 인증 방법의 기본 순서를 구성합니다. 단일 인터페이스에 여러 인증 방법이 구성된 경우 한 인증 방법이 실패하면 디바이스가 다른 방법으로 대체됩니다. 명령문을 구성 authentication-order 하여 802.1X 인증 또는 MAC RADIUS 인증이 첫 번째 인증 방법이어야 하는지 여부를 지정할 수 있습니다.
기본적으로 디바이스는 먼저 802.1X 인증을 사용하여 클라이언트 인증을 시도합니다. 클라이언트로부터 응답이 없어 802.1X 인증이 실패하고 인터페이스에서 MAC RADIUS 인증이 구성된 경우, 디바이스는 MAC RADIUS 인증으로 대체됩니다. MAC RADIUS에 장애가 발생하고 디바이스에 캡티브 포털이 구성된 경우 디바이스는 캡티브 포털로 폴백됩니다.
MAC RADIUS 인증을 첫 번째 방법으로 구성하면 802.1X 인증을 지원하지 않는 호스트에 대해 802.1X 인증 시도 후 발생하는 폴백 타임아웃 기간을 방지할 수 있습니다. MAC RADIUS 인증이 인터페이스에서 첫 번째 인증 방법으로 구성된 경우, 해당 인터페이스의 클라이언트로부터 데이터를 수신하면 디바이스는 MAC RADIUS 인증을 사용하여 클라이언트 인증을 시도합니다. MAC RADIUS 인증에 실패하면 디바이스는 802.1X 인증으로 대체됩니다. 802.1X 인증이 실패하고 인터페이스에 캡티브 포털이 구성된 경우, 디바이스는 캡티브 포털로 폴백됩니다.
802.1X 인증은 클라이언트가 다른 방법을 사용하여 인증된 경우에도 항상 가장 높은 우선 순위를 갖습니다. 디바이스가 MAC RADIUS 인증을 사용하여 인증된 클라이언트로부터 EAP 패킷을 수신하는 경우 디바이스는 EAP 패킷을 승인하고 802.1X 인증 자격 증명을 사용하여 인증을 업그레이드합니다. 마찬가지로, 클라이언트가 캡티브 포털로의 폴백을 통해 인증되고 디바이스가 해당 클라이언트로부터 EAP 패킷을 수신하는 경우, 디바이스는 802.1X 인증을 사용하여 클라이언트 인증을 시도합니다.
디바이스는 인터페이스에 구성된 방법만을 사용하여 인증을 시도합니다. 인증 방법이 인증 순서에 포함되어 있지만 인터페이스에 구성되지 않은 경우, 디바이스는 해당 방법을 무시하고 활성화된 순서대로 다음 방법을 사용하여 인증을 시도합니다. 그러나 인터페이스에서 방법이 활성화되었지만 인증 순서에 포함되지 않은 경우 디바이스는 해당 방법을 사용하려고 시도하지 않습니다. 예를 들어, 캡티브 포털이 인터페이스에 대해 활성화되었지만 인증 순서가 로 [mac-radius dot1x]구성된 경우, 해당 인터페이스에 대한 인증 방법은 캡티브 포털로 대체되지 않습니다.
옵션을 사용하여 interface all 모든 인터페이스에 대해 인증 순서를 구성할 수 있습니다. 인증 순서가 개별 인터페이스에 대해 구성되고 모든 인터페이스에 대해 구성된 인증 순서도 있는 경우 개별 인터페이스에 대한 순서를 따릅니다. 개별 인터페이스에 대해 구성된 인증 순서가 없고 모든 인터페이스에 대해 구성된 인증 순서가 있는 경우 모든 인터페이스에 대한 구성을 따릅니다.
명령문을 구성할 때 다음 지침을 사용하십시오.authentication-order
인증 순서에는 두 가지 이상의 인증 방법이 포함되어야 합니다.
802.1X 인증은 인증 순서에 포함된 방법 중 하나여야 합니다.
캡티브 포털(captive portal)이 인증 순서에 포함된 경우 주문의 마지막 방법이어야 합니다.
이 인터페이스에 구성된 경우
mac-radius-restrict인증 순서를 구성할 수 없습니다.
에 유효한 authentication-order 조합은 다음과 같습니다.
[dot1x mac-radius captive-portal][dot1x captive-portal][dot1x mac-radius][mac-radius dot1x captive-portal]
기본값
이(가) 구성되지 않은 경우 authentication-order , 디바이스는 먼저 802.1X 인증을 사용한 다음 MAC RADIUS 인증을 사용한 다음 캡티브 포털을 사용하여 클라이언트 인증을 시도합니다.
802.1X 인증—인터페이스에 802.1X가 구성된 경우 디바이스는 최종 디바이스에 EAPoL 요청을 전송하고 802.1X 인증을 통해 최종 디바이스 인증을 시도합니다. 최종 디바이스가 EAP 요청에 응답하지 않으면 디바이스는 인터페이스에 MAC RADIUS 인증이 구성되었는지 확인합니다.
MAC RADIUS 인증 - 인터페이스에서 MAC RADIUS 인증이 구성된 경우 디바이스는 최종 디바이스의 MAC RADIUS 주소를 인증 서버로 전송합니다. MAC RADIUS 인증이 구성되지 않은 경우, 디바이스는 인터페이스에 캡티브 포털이 구성되어 있는지 확인합니다.
캡티브 포털 인증 - 인터페이스에 캡티브 포털이 구성된 경우 디바이스는 구성된 다른 인증 방법을 시도한 후 이 방법을 사용하여 최종 디바이스 인증을 시도합니다.
옵션
captive-portal- 인터페이스에서 인증 방법의 순서대로 캡티브 포털 인증을 구성합니다.
dot1x- 인터페이스의 인증 방법 순서대로 802.1X 인증을 구성합니다.
mac-radius- 인터페이스의 인증 방법 순서대로 MAC RADIUS 인증을 구성합니다.
필요한 권한 수준
routing - 구성에서 이 명령문을 볼 수 있습니다.routing-control - 구성에 이 명령문을 추가할 수 있습니다.
릴리스 정보
Junos OS 릴리스 15.1R3에 소개된 명령문.