RADIUS 인증

이 예에서는 RADIUS 서버를 통해 시스템 인증을 구성합니다.

Junos OS Evolved는 RADIUS 서버에서 주니퍼 네트웍스 RADIUS VSA(벤더별 특성) 구성을 지원합니다. 이러한 VSA는 벤더 ID가 주니퍼 네트웍스 ID 번호 2636으로 설정된 RADIUS 벤더별 속성에 캡슐화됩니다.

표 1 에는 구성할 수 있는 주니퍼 네트웍스 VSA가 나와 있습니다.

일부 속성은 POSIX 1003.2에 정의된 대로 확장 정규 표현식을 허용합니다. 정규 표현식에 공백, 연산자 또는 와일드카드 문자가 포함되어 있으면 따옴표로 묶습니다. 자세한 내용은 다음을 참조하세요.

• 작동 모드 명령, 구성 명령문 및 계층을 허용하거나 거부하는 정규 표현식

• RADIUS 또는 TACACS+ 서버에서 정규식을 사용하여 명령 허용 또는 거부

표 1: 주니퍼 네트웍스 벤더별 RADIUS 속성

이름	설명	형식	길이	문자열
주니퍼 로컬 사용자 이름	사용자가 디바이스에 로그인할 때 이 사용자에게 할당된 사용자 템플릿의 이름을 나타냅니다. 이 특성은 Access-Accept 패킷에만 사용됩니다.	1	≥3	인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.
주니퍼 허용 명령	사용자의 로그인 클래스 권한 비트에 의해 승인된 명령 외에 사용자가 명령을 실행할 수 있도록 하는 확장 정규 표현식을 포함합니다. 이 특성은 Access-Accept 패킷에만 사용됩니다.	2	≥3	확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟입니다.
주니퍼-거부-명령	사용자의 로그인 클래스 권한 비트에 의해 승인된 명령을 실행할 수 있는 사용자 권한을 거부하는 확장 정규 표현식을 포함합니다. 이 특성은 Access-Accept 패킷에만 사용됩니다.	3	≥3	확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟입니다.
Juniper-Allow-Configuration	사용자의 로그인 클래스 권한 비트에 의해 권한이 부여된 문 외에 사용자가 구성 문을 보고 수정할 수 있는 확장 정규 표현을 포함합니다. 이 특성은 Access-Accept 패킷에만 사용됩니다.	4	≥3	확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟입니다.
주니퍼-거부-구성	사용자의 로그인 클래스 권한 비트에 의해 승인된 구성 문을 보거나 수정할 수 있는 사용자 권한을 거부하는 확장 정규 표현을 포함합니다. 이 특성은 Access-Accept 패킷에만 사용됩니다.	5	≥3	확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟입니다.
Juniper-Interactive-Command	사용자가 입력한 대화형 명령을 나타냅니다. 이 특성은 Accounting-Request 패킷에만 사용됩니다.	8	≥3	인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.
주니퍼 구성 변경	구성(데이터베이스)이 변경되는 대화형 명령을 나타냅니다. 이 특성은 Accounting-Request 패킷에만 사용됩니다.	9	≥3	인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.
Juniper-User-Permissions	서버에서 사용자 권한을 지정하는 데 사용하는 정보를 포함합니다. 이 특성은 Access-Accept 패킷에만 사용됩니다. 참고: RADIUS 서버가 사용자에게 권한 또는 all 권한을 부여 maintenance 하기 위해 속성을 정의할 Juniper-User-Permissions 때 사용자의 그룹 멤버십 목록에 UNIX 휠 그룹이 자동으로 포함되지는 않습니다. 로컬 쉘에서 명령을 실행하는 su root 것과 같은 일부 작업에는 휠 그룹 회원 권한이 필요합니다. 그러나 네트워크 디바이스가 권한 maintenance 또는 all을 사용하여 로컬 사용자 계정을 정의하면 해당 사용자에게 자동으로 UNIX 휠 그룹 멤버십이 부여됩니다. 따라서 필요한 권한이 있는 사용자 템플릿 계정을 만들고 개별 사용자 계정을 사용자 템플릿 계정과 연결하는 것이 좋습니다.	10	≥3	인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟. 문자열은 공백으로 구분된 권한 플래그 목록입니다. 각 플래그의 정확한 이름은 전체적으로 지정되어야 합니다. Access Privilege Levels Overview(액세스 권한 수준 개요)를 참조하십시오.
주니퍼 인증 유형	사용자를 인증하는 데 사용되는 인증 방법(로컬 데이터베이스 또는 RADIUS 서버)을 나타냅니다. 로컬 데이터베이스를 사용하여 사용자가 인증되면 속성 값은 '로컬'로 표시됩니다. 사용자가 RADIUS 또는 LDAP 서버를 사용하여 인증된 경우 속성 값은 '원격'으로 표시됩니다.	11	≥5	인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.
주니퍼 세션 포트	설정된 세션의 소스 포트 번호를 나타냅니다.	12	정수 크기	정수
Juniper-Allow-Configuration-Regexps (RADIUS만 해당)	사용자의 로그인 클래스 권한 비트에 의해 권한이 부여된 문 외에 사용자가 구성 문을 보고 수정할 수 있는 확장 정규 표현을 포함합니다. 이 특성은 Access-Accept 패킷에만 사용됩니다.	13	≥3	확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟입니다.
Juniper-Deny-Configuration-Regexps (RADIUS만 해당)	사용자의 로그인 클래스 권한 비트에 의해 승인된 구성 문을 보거나 수정할 수 있는 사용자 권한을 거부하는 확장 정규 표현을 포함합니다. 이 특성은 Access-Accept 패킷에만 사용됩니다.	14	≥3	확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟입니다.

VSA에 대한 자세한 내용은 RFC 2138, RADIUS(Remote Authentication Dial In User Service)를 참조하십시오.

Junos OS Evolved 는 RADIUS 및 TACACS+ 인증 사용자를 사용자의 액세스 권한을 정의하는 로컬 정의 사용자 계정 또는 사용자 템플릿 계정에 매핑할 수 있습니다. 선택적으로 각 인증 서버에서 주니퍼 네트웍스 RADIUS 및 TACACS+ VSA(Vendor-Specific Attribute)를 정의하여 사용자의 액세스 권한을 구성할 수도 있습니다.

사용자의 로그인 클래스는 사용자에게 실행 권한이 부여된 작동 모드 및 구성 모드 명령과 사용자가 보고 수정할 수 있는 구성 영역을 결정하는 권한 집합을 정의합니다. 또한 로그인 클래스는 사용자가 특정 명령을 실행하거나 구성의 특정 영역을 보고 수정하는 기능을 허용하거나 거부하는 정규식을 정의할 수 있습니다. 로그인 클래스에는 사용자 권한을 정의하는 다음 문이 포함될 수 있습니다.

• permissions

• allow-commands

• allow-commands-regexps

• allow-configuration

• allow-configuration-regexps

• deny-commands

• deny-commands-regexps

• deny-configuration

• deny-configuration-regexps

마찬가지로 RADIUS 또는 TACACS+ 서버 구성은 주니퍼 네트웍스 VSA를 사용하여 사용자의 액세스 권한을 결정하는 특정 사용 권한 또는 정규식을 정의할 수 있습니다. 지원되는 RADIUS 및 TACACS+ VSA 목록은 다음을 참조하십시오.

• 주니퍼 네트웍스 벤더별 RADIUS 속성
• 주니퍼 네트웍스 벤더별 TACACS+ 속성

RADIUS 또는 TACACS+ 서버에 대한 사용자 권한을 공백으로 구분된 값 목록으로 정의할 수 있습니다.

• RADIUS 서버는 다음 속성과 구문을 사용합니다.

  예를 들어:

• TACACS+ 서버는 다음 속성과 구문을 사용합니다.

  예를 들어:

RADIUS 또는 TACACS+ 서버는 단일 확장 정규식(POSIX 1003.2에 정의됨)을 사용하여 사용자가 특정 명령을 실행하거나 구성 영역을 보고 수정하는 기능을 허용하거나 거부하는 주니퍼 네트웍스 VSA를 정의할 수도 있습니다. 여러 명령 또는 구성 계층을 괄호 안에 묶고 파이프 기호를 사용하여 구분합니다. 정규 표현식에 공백, 연산자 또는 와일드카드 문자가 포함되어 있으면 따옴표로 묶습니다. 로컬 및 원격으로 권한 부여 매개 변수를 구성하면 디바이스는 TACACS+ 또는 RADIUS 권한 부여 중에 수신된 정규식을 로컬 디바이스에 정의된 정규식과 병합합니다.

• RADIUS 서버는 다음 속성과 구문을 사용합니다.

  예를 들어:

• TACACS+ 서버는 다음 속성과 구문을 사용합니다.

  예를 들어:

또한 RADIUS 및 TACACS+ 서버는 로컬 디바이스에서 구성할 수 있는 동일한 *-regexps 문에 해당하는 속성 구성을 지원합니다. *-regexps TACACS+ 특성 및 *-Regexps RADIUS 속성은 이전 속성과 동일한 정규식 구문을 사용하지만 변수를 사용하여 정규식을 구성할 수 있습니다.

• RADIUS 서버는 다음 속성과 구문을 사용합니다.

• TACACS+ 서버는 다음 속성과 구문을 사용합니다.

  예를 들어 TACACS+ 서버 구성은 다음 속성을 정의할 수 있습니다.

RADIUS 또는 TACACS+ 서버에서는 각 개별 식을 별도의 줄에 지정하는 단순화된 구문을 사용하여 속성을 정의할 수도 있습니다.

RADIUS 서버의 경우 다음 구문을 사용하여 개별 정규식을 지정합니다.

TACACS+ 서버의 경우 다음 구문을 사용하여 개별 정규식을 지정합니다.

참고:

• TACACS+ 서버 구문에서 숫자 값 1은 n 고유해야 하지만 순차적일 필요는 없습니다. 예를 들어, 다음 구문이 유효합니다.

• RADIUS 또는 TACACS+ 서버는 개별 정규식 줄 수에 제한을 가합니다.

• 명령을 실행하면 각 개별 표현식을 show cli authorization 별도의 행에 지정하더라도 명령 출력에 정규식이 한 줄로 표시됩니다.

사용자는 작동 모드 명령을 실행하여 클래스, 권한, 명령 및 구성 권한을 확인할 수 있습니다 show cli authorization .

참고:

네트워크 디바이스에서 로컬로 권한 부여 매개 변수를 구성하고 RADIUS 또는 TACACS+ 서버에서 원격으로 권한 부여 매개 변수를 구성하면 디바이스는 TACACS+ 또는 RADIUS 권한 부여 중에 수신된 정규 표현식을 로컬로 구성된 정규 표현식과 병합합니다. 최종 표현식에 구문 오류가 포함된 경우 전체 결과는 잘못된 정규 표현식입니다.

디바이스와 RADIUS 서버 간의 RADIUS 계정 프로세스는 다음과 같이 작동합니다.

1. RADIUS 계정 서버는 특정 포트에서 UDP(User Datagram Protocol) 패킷을 수신합니다. RADIUS 어카운팅을 위한 기본 포트는 1813입니다.

2. 디바이스는 이벤트 레코드가 포함된 Accounting-Request 패킷을 계정 서버로 전달합니다. 이 요청자와 연관된 이벤트 레코드에는 이 요청자에 대한 사용자 서비스의 시작을 나타내는 값을 나타내는 Acct-Status-Type 속성이 포함되어 있습니다. 요청자의 세션이 종료되면 계정 요청에는 사용자 서비스 종료를 나타내는 Acct-Status-Type 속성 값이 포함됩니다. RADIUS 계정 서버는 이를 세션 정보 및 세션 길이를 포함하는 계정 종료 레코드로 기록합니다.

3. RADIUS 계정 서버는 이러한 이벤트를 계정 시작 또는 계정 종료 기록으로 파일에 기록합니다. FreeRADIUS에서 파일 이름은 192.0.2.0과 같은 서버 주소입니다.

4. 계정 서버는 계정 요청을 수신했음을 확인하는 계정 응답 패킷을 디바이스로 보냅니다.

5. 디바이스가 서버로부터 계정 응답 패킷을 수신하지 않은 경우 서버가 응답을 반환할 때까지 계속 계정 요청을 보냅니다.

RADIUS 서버에서 이 프로세스를 통해 수집된 통계를 볼 수 있습니다. 이러한 통계를 보려면 통계를 수신하도록 구성된 로그 파일에 액세스하십시오.