RADIUS TACACS+ 인증 순서 및 로컬 암호
Junos OS는 로컬 비밀번호 인증, RADIUS 및 TACACS+를 비롯한 다양한 인증 방법을 지원하여 네트워크에 대한 액세스를 제어합니다.
여러 인증 방법을 지원하도록 디바이스를 구성할 때 디바이스가 다른 방법을 시도하는 순서의 우선 순위를 지정할 수 있습니다. 이 주제에서는 인증 순서의 작동 방식과 디바이스에서 인증 순서를 구성하는 방법에 대해 설명합니다.
인증 순서 개요
네트워크 관리자는 라우터 또는 스위치에 authentication-order
대한 사용자 액세스를 확인하기 위해 다양한 인증 방법을 시도하는 Junos OS 순서에 우선 순위를 지정하도록 문을 구성할 수 있습니다. 인증 순서를 설정하지 않으면 기본적으로 은( Junos OS 는) 구성된 로컬 암호를 기반으로 사용자를 확인합니다.
인증 순서에 RADIUS 또는 TACACS+ 서버가 포함되어 있지만 서버가 요청에 Junos OS 응답하지 않는 경우 항상 최후의 수단으로 로컬 암호 인증을 시도하는 것이 기본값입니다.
인증 순서에 RADIUS 또는 TACACS+ 서버가 포함되어 있지만 서버가 요청을 거부하는 경우 요청 처리가 더 복잡해집니다.
-
인증 순서 끝에 (로컬 비밀번호 인증)이 포함되어 있고 원격 인증 서버가 인증 요청을 거부하는 경우
password
, 디바이스는 로컬 비밀번호 인증을 시도합니다. -
인증 순서에 (로컬 비밀번호 인증)이 포함되어 있지 않고 원격 인증 서버가 인증 요청을 거부하는 경우
password
요청은 거부로 종료됩니다.
따라서 원격 인증 서버가 요청을 거부하는 경우 장치가 로컬 암호 인증을 시도할 수 있도록 장치는 최종 인증 순서 옵션으로 포함해야 password
합니다.
인증 순서가 로 설정된 authentication-order password
경우 디바이스는 로컬 비밀번호 인증만 사용합니다.
원격 인증 사용
Junos OS를 RADIUS 또는 TACACS+ 인증 클라이언트(또는 조합)로 구성할 수 있습니다.
문에 authentication-order
포함된 인증 방법을 사용할 수 없는 경우 또는 인증 방법을 사용할 수 있지만 해당 인증 서버가 거부 응답을 Junos OS 반환하는 경우 문에 authentication-order
포함된 다음 인증 방법을 시도합니다.
RADIUS 또는 TACACS+ 서버 인증은 다음 이유 중 하나 이상으로 인해 실패할 수 있습니다.
-
인증 방법이 구성되었지만 해당 인증 서버가 구성되지 않았습니다. 예를 들어, RADIUS 및 TACACS+ 인증 방법은 문에
authentication-order
포함되지만 해당 RADIUS 또는 TACACS+ 서버는 해당[edit system radius-server]
및[edit system tacplus-server]
계층 수준에서 구성되지 않습니다. -
인증 서버는 해당 서버에 대해 구성된 시간 초과 값 전에 또는 시간 초과가 구성되지 않은 경우 기본 시간 초과 전에 응답하지 않습니다.
-
네트워크 문제로 인해 인증 서버에 연결할 수 없습니다.
인증 서버는 다음 이유 중 하나 또는 둘 다에 대해 거부 응답을 반환할 수 있습니다.
-
라우터 또는 스위치에 액세스하는 사용자의 사용자 프로필이 인증 서버에 구성되어 있지 않습니다.
-
사용자가 잘못된 로그온 자격 증명을 입력합니다.
로컬 암호 인증을 사용하는 방법
문에서 password
authentication-order
인증 방법을 명시적으로 구성하거나 원격 인증 서버에 장애가 발생할 때 이 방법을 폴백 메커니즘으로 사용할 수 있습니다. 인증 방법은 password
계층 수준에서 구성된 로컬 사용자 프로필을 참조합니다 [edit system login]
. 사용자는 다음 시나리오에서 로컬 사용자 이름과 비밀번호를 사용하여 라우터 또는 스위치에 로그인할 수 있습니다.
-
암호 인증 방법(
password
)은 명령문에서authentication-order
인증 방법 중 하나로 명시적으로 구성됩니다.이 경우 장치는 이전 인증 방법이 로그온 자격 증명을 수락하지 않는 경우 로컬 암호 인증을 시도합니다. 이는 이전 인증 방법이 응답하지 않거나 잘못된 사용자 이름 또는 암호로 인해 거부 응답을 반환하는지 여부에 관계없이 적용됩니다.
-
암호 인증 방법은 문에서
authentication-order
인증 방법 중 하나로 명시적으로 구성되지 않습니다.이 경우 운영 체제는 구성된 모든 인증 방법이 응답하지 않는 경우에만 로컬 암호 인증을 시도합니다. 운영 체제는 구성된 인증 방법이 잘못된 사용자 이름 또는 비밀번호로 인해 거부 응답을 반환하는 경우 로컬 비밀번호 인증을 사용하지 않습니다.
인증 시도 순서
표 1에서는 계층 수준의 명령문이 [edit system]
Junos OS가 디바이스 액세스를 위해 사용자를 인증하는 데 사용하는 절차를 어떻게 결정하는지 authentication-order
설명합니다.
구문 |
인증 시도 순서 |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SSH 공개 키가 구성된 경우 SSH 사용자 인증은 문에 authentication-order
구성된 인증 방법을 사용하기 전에 먼저 공개 키 인증을 수행하려고 시도합니다. SSH 로그인이 공개 키 인증을 먼저 시도하지 않고 문에 authentication-order
구성된 인증 방법을 사용하도록 하려면 SSH 공개 키를 구성하지 마십시오.
RADIUS, TACACS+ 및 로컬 비밀번호 인증을 위한 인증 순서 구성
authentication-order
문을 사용하면 라우터 또는 스위치에 대한 사용자 액세스를 확인할 때 다른 인증 방법을 시도하는 Junos OS 순서의 우선 순위를 지정할 수 있습니다. 인증 순서를 설정하지 않으면 기본적으로 로컬에서 구성된 암호를 기반으로 사용자가 확인됩니다.
일반 텍스트를 사용하여 암호를 구성하고 암호화 Junos OS 에 의존하는 경우에도 인터넷을 통해 암호를 일반 텍스트로 보냅니다. 미리 암호화된 암호를 사용하면 암호의 일반 텍스트를 인터넷을 통해 보낼 필요가 없기 때문에 더 안전합니다. 또한 암호를 사용하면 한 번에 한 명의 사용자만 암호에 할당할 수 있습니다.
반면 RADIUS 및 TACACS+는 암호를 암호화합니다. 이러한 인증 방법을 사용하면 사용자를 하나씩 할당하는 대신 한 번에 사용자 집합을 할당할 수 있습니다. 그러나 이러한 인증 시스템의 차이점은 다음과 같습니다.
-
RADIUS는 UDP를 사용합니다. TACACS+ 는 TCP를 사용합니다.
-
RADIUS는 전송 중에 암호만 암호화하는 반면, TACACS+ 는 전체 세션을 암호화합니다.
-
RADIUS 는 인증(디바이스)과 권한 부여(사용자)를 결합하는 반면, TACACS+는 인증, 권한 부여 및 책임을 분리합니다.
즉, TACACS+는 RADIUS보다 더 안전합니다. 그러나 RADIUS는 더 나은 성능을 가지며 더 상호 운용 가능합니다. RADIUS는 광범위하게 지원되는 반면, TACACS+는 Cisco 독점 제품이며 Cisco 외부에서는 널리 지원되지 않습니다.
시스템, 제한 사항, IT 정책 및 운영 기본 설정에 따라 인증 순서를 구성할 수 있습니다.
인증 순서를 구성하려면 계층 수준에서 문을 [edit system]
포함합니다authentication-order
.
[edit system] user@host# set authentication-order [authentication-methods ]
이 명령문을 포함할 수 있는 계층 수준의 목록은 이 명령문에 대한 요약 섹션을 참조하십시오.
가능한 인증 순서 입력 옵션은 다음과 같습니다.
-
radius
- RADIUS 인증 서버를 사용하여 사용자를 확인합니다. -
tacplus
- TACACS+ 인증 서버를 사용하여 사용자를 확인합니다. -
password
- 계층 수준의 인증 문[edit system login user]
에 로컬로 구성된 사용자 이름과 비밀번호를 사용하여 사용자를 확인합니다.
챌린지 핸드셰이크 인증 프로토콜(CHAP) 인증 시퀀스는 30초 이상 걸릴 수 없습니다. 클라이언트를 인증하는 데 30초 이상 걸리면 인증이 중단되고 새 시퀀스가 시작됩니다.
예를 들어 라우터 또는 스위치가 각 서버에 세 번 연결을 시도하도록 세 개의 RADIUS 서버를 구성한다고 가정합니다. 또한 다시 시도할 때마다 서버가 3초 후에 시간 초과된다고 가정합니다. 이 시나리오에서 CHAP가 실패로 간주하기 전에 RADIUS 인증 방법에 지정된 최대 시간은 27초입니다. 이 구성에 RADIUS 서버를 더 추가하는 경우 이러한 서버를 시도하기 전에 인증 프로세스가 중단될 수 있으므로 해당 서버에 연결하지 못할 수 있습니다.
Junos OS 에서는 CHAP 인증이 한 번에 보유할 수 있는 고정 인증 서버 요청 수를 제한합니다. 따라서 인증 서버 방법(예: RADIUS)은 이 제한을 초과할 때 클라이언트 인증에 실패할 수 있습니다. 인증에 실패하면 인증이 성공하고 링크가 설정될 때까지 라우터 또는 스위치에서 인증 시퀀스를 다시 시작합니다. 그러나 RADIUS 서버를 사용할 수 없고 또는 와 password
같은 tacplus
추가 인증 방법도 구성된 경우 다음 인증 방법이 시도됩니다.
다음 예는 및 radius
password
인증 구성 방법을 보여줍니다.
[edit system] user@switch# set authentication-order [ radius password ]
다음 예는 문 뒤에 문을 삽입 tacplus
하는 방법을 보여줍니다.radius
[edit system] user@switch# insert authentication-order tacplus after radius
다음 예는 인증 순서에서 문을 삭제하는 radius
방법을 보여줍니다.
[edit system] user@switch# delete authentication-order radius
예: 인증 순서 구성
이 예에서는 사용자 로그인에 대한 인증 순서를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 초기 디바이스 구성을 수행하십시오. 해당 디바이스용 시작하기 가이드를 참조합니다.
개요
디바이스가 디바이스에 대한 사용자 액세스를 확인하는 데 사용하는 인증 방법 순서를 구성할 수 있습니다. 각 로그인 시도에 대해 디바이스는 암호가 일치하거나 모든 인증 방법이 시도될 때까지 구성된 순서대로 인증 방법을 시도합니다. 원격 인증을 구성하지 않으면 사용자는 구성된 로컬 암호를 기반으로 확인됩니다.
이 예에서는 먼저 RADIUS 인증 서비스, TACACS+ 인증 서비스, 마지막으로 로컬 비밀번호 인증을 사용하여 사용자 인증을 시도하도록 디바이스를 구성합니다.
로컬 암호 인증을 사용하는 경우 시스템에 액세스하려는 모든 사용자에 대해 로컬 사용자 계정을 만들어야 합니다. 그러나 원격 인증 서버를 사용하는 경우 사용자 집합이 공유하는 템플릿 계정(권한 부여 목적)을 만들 수 있습니다. 사용자가 템플릿 계정에 할당되면 명령줄 인터페이스(CLI) 사용자 이름은 로그인 이름입니다. 그러나 사용자는 템플릿 계정에서 권한, 파일 소유권 및 유효 사용자 ID를 상속합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit
을(를) 입력합니다.
delete system authentication-order set system authentication-order radius insert system authentication-order tacplus after radius insert system authentication-order password after tacplus
GUI 빠른 구성
단계별 절차
인증 순서 구성하기:
-
J-Web 사용자 인터페이스에서
Configure>System Properties>User Management
을(를) 선택합니다. -
Edit
을(를) 클릭합니다. 사용자 관리 편집(Edit User Management) 대화 상자가 열립니다. -
Authentication Method and Order
탭을 선택합니다. -
사용 가능한 방법에서 디바이스가 사용자를 인증하는 데 사용해야 하는 인증 방법을 선택합니다. 화살표 단추를 사용하여 항목을 선택한 메서드 목록으로 이동합니다. 사용 가능한 방법은 다음과 같습니다.
-
반지름
-
TACACS+
-
로컬 비밀번호
여러 방법을 사용하여 사용자를 인증하려면 이 단계를 반복하여 선택한 방법 목록에 다른 방법을 추가합니다.
-
-
Selected Methods(선택한 방법)에서 위쪽 화살표 및 아래쪽 화살표를 사용하여 디바이스가 인증 방법을 실행해야 하는 순서를 지정합니다.
-
OK
을(를) 클릭하여 구성을 확인하고 후보 구성으로 저장합니다. -
디바이스를 구성한 후
Commit Options>Commit
을(를) 클릭합니다.
단계별 절차
인증 순서 구성하기:
-
기존
authentication-order
문을 삭제합니다.[edit] user@host# delete system authentication-order
-
인증 순서에 RADIUS 인증을 추가합니다.
[edit] user@host# set system authentication-order radius
-
인증 순서에 TACACS+ 인증을 추가합니다.
[edit] user@host# insert system authentication-order tacplus after radius
-
인증 순서에 로컬 암호 인증을 추가합니다.
[edit] user@host# insert system authentication-order password after tacplus
결과
구성 모드에서 show system authentication-order
명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show system authentication-order authentication-order [ radius tacplus password ];
디바이스를 구성한 후 구성 모드에서 commit
을(를) 입력하십시오.
RADIUS 또는 TACACS+ 인증을 완전히 설정하려면 하나 이상의 RADIUS 또는 TACACS+ 서버를 구성하고 사용자 계정 또는 사용자 템플릿 계정을 만들어야 합니다.
-
RADIUS 서버를 구성합니다. 예: 시스템 인증을 위한 RADIUS 서버 구성을(를) 참조하세요.
-
TACACS+ 서버를 구성합니다. 예: 시스템 인증을 위한 TACACS+ 서버 구성을(를) 참조하세요.
-
사용자를 구성합니다. 예: 새 사용자 계정 구성을(를) 참조하세요.
-
템플릿 계정을 구성합니다. 예: 템플릿 계정 만들기을(를) 참조하세요.
검증
구성이 올바르게 작동하고 있는지 확인합니다.
인증 순서 구성 확인
목적
디바이스가 구성된 순서대로 인증 방법을 사용하는지 확인합니다.
작업
각 인증 방법에 대해 다른 암호를 가진 테스트 사용자를 만듭니다. 다른 암호를 사용하여 디바이스에 로그인합니다. 이전 방법이 암호를 거부하거나 응답하지 않을 때 디바이스가 후속 인증 방법을 쿼리하는지 확인합니다.
또는 테스트 환경에서 인증 서버 구성이나 로컬 사용자 계정 구성(또는 둘 다)을 비활성화하여 각 인증 방법을 테스트할 수 있습니다. 예를 들어 TACACS+ 서버를 테스트하기 위해 RADIUS 서버 구성과 사용자의 로컬 계정을 비활성화할 수 있습니다. 그러나 사용자의 로컬 계정을 비활성화하는 경우 사용자가 여전히 사용자 템플릿과 같은 remote
로컬 사용자 템플릿 계정에 매핑되는지 확인해야 합니다.
예: RADIUS, TACACS+ 및 암호 인증을 위한 시스템 인증 구성
다음 예는 Junos OS를 실행하는 디바이스에서 RADIUS, TACACS+ 및 암호 인증을 위한 시스템 인증을 구성하는 방법을 보여줍니다.
이 예에서는 사용자 Philip과 RADIUS 서버에서 인증된 사용자만 로그인할 수 있습니다. 사용자가 로그인하고 RADIUS 서버에 의해 인증되지 않은 경우, 사용자는 라우터 또는 스위치에 대한 액세스가 거부됩니다. RADIUS 서버를 사용할 수 없는 경우 사용자는 인증 방법을 사용하여 password
인증되고 라우터 또는 스위치에 대한 액세스가 허용됩니다. 암호 인증 방법에 대한 자세한 내용은 을 참조하십시오 인증 순서 개요.
Philip이 시스템에 로그인하려고 할 때 RADIUS 서버가 그를 인증하면 클래스에 대한 super-user
액세스 및 권한이 부여됩니다. 로컬 계정은 다른 사용자에 대해 구성되지 않습니다. 시스템에 로그인하고 RADIUS 서버가 인증하면 동일한 사용자 ID(UID) 9999 및 클래스와 operator
관련된 권한을 사용하여 액세스 권한이 부여됩니다.
[edit] system { authentication-order radius; login { user philip { full-name "Philip"; uid 1001; class super-user; } user remote { full-name "All remote users"; uid 9999; class operator; } } }
권한 부여를 위해 템플릿 계정을 사용하여 사용자 집합이 동시에 공유할 수 있는 단일 계정을 만들 수 있습니다. 예를 들어 원격 템플릿 계정을 만들 때 원격 사용자 집합이 단일 UID를 동시에 공유할 수 있습니다. 템플릿 계정에 대한 자세한 내용은 을 참조하십시오 예: 인증 순서 구성.
사용자가 디바이스에 로그인하면 RADIUS 또는 TACACS+ 서버는 인증에 사용자의 로그인 이름을 사용합니다. 인증 서버가 사용자를 성공적으로 인증하고 사용자가 계층 수준에서 구성 [edit system login user]
되지 않은 경우 결과는 다음과 같습니다. 원격 템플릿 계정이 계층 수준에서 구성된 edit system login user remote
경우 디바이스는 사용자의 기본 원격 템플릿 사용자 계정을 사용합니다. 원격 템플릿 계정은 인증 서버에서 인증되지만 디바이스에 로컬로 구성된 사용자 계정이 없는 모든 사용자에 대한 기본 템플릿 사용자 계정 역할을 합니다. 이러한 사용자는 동일한 로그인 클래스와 UID를 공유합니다.
대체 템플릿 사용자를 구성하려면 RADIUS 인증 응답 패킷에 반환된 user-name
매개 변수를 지정합니다. 모든 RADIUS 서버에서 이 매개 변수를 변경할 수 있는 것은 아닙니다. 다음은 Junos OS 구성의 예입니다.
[edit] system { authentication-order radius; login { user philip { full-name "Philip"; uid 1001; class super-user; } user operator { full-name "All operators"; uid 9990; class operator; } user remote { full-name "All remote users"; uid 9999; class read-only; } } }
RADIUS 서버가 다음 정보로 구성되어 있다고 가정합니다 .
사용자 Philip (암호 "olympia")
사용자 Alexander(암호 "bucephalus" 및 사용자 이름 "operator")가 있습니다.
사용자 Darius(암호 "redhead" 및 사용자 이름 "operator")
사용자 Roxane(암호 "athena")
Philip은 고유한 로컬 사용자 계정을 가지고 있기 때문에 슈퍼 사용자(super-user
)로 액세스 권한이 부여됩니다. Alexander와 Darius는 UID 9990을 공유하며 오퍼레이터로 액세스할 수 있습니다. Roxane은 템플릿-사용자 재정의가 없으므로 다른 모든 원격 사용자와 액세스 권한을 공유하여 읽기 전용 액세스 권한을 얻습니다.