2023-10-24T06:30:18Z

Shin:

__FORCETOC__
=== RADIUS > 사용자 ===
RADIUS 인증을 위한 사용자 계정을 등록하는 메뉴입니다.

==== 새로운 사용자 등록 ====
RADIUS > 사용자 페이지의 우측 상단 "새로운 사용자 생성"을 클릭하여 사용자 계정을 등록 할 수 있습니다.
<ref>사용자 계정에는 User-Name과 User-Password attribute만 정의하며 나머지 attribute는 정의 할 수 없습니다.</ref>

{| class="wikitable"
|+ 사용자 이름 인증
|-
! 항목 !! 필수 !! 설명
|-
| 사용자이름 || 예 || 한글과 같은 멀티바이트(Multibyte) 문자는 허용되지 않으며 영어 대/소문자, 숫자, hypen(-), underscore(_), 그리고 Period(.)만 사용할 수 있습니다.
|-
| 상태 || 예 || 승인을 선택하세요.
|-
| 사용자유형 || 예 || 생성할 사용자가 로컬 사용자인지 외부 사용자인지 선택하세요.
|-
| 비밀번호 유형 || 예 || 데이터베이스에 저장될 비밀번호 유형을 의미하며 클라이언트가 Windows 10 환경일때는 Windows NT hashed passwords(권장)나 clear-text passwords를 선택하세요.
|-
| 비밀번호 비밀번호 확인|| 예 || 계정의 비밀번호를 입력하세요.
|-
| 사용만료 || 예 || 사용자 인증 만료일을 설정합니다.
|-
| 사용자 정보 || Optional || 이 항목은 환경 설정 > [[환경설정|사용자 정보]]에 지정된 속성을 따릅니다.
|-
| 그룹 || 아니오 || 사용자 계정이 포함될 그룹을 선택 할 수 있습니다. 그룹에 대한 설명은 [[그룹]]을 참고하세요.
|-
| 추가 속성 || 아니오 || attribute를 사용하여 사용자별 인증 속성과 응답 속성을 설정할 수 있습니다.
|-
|}

{| class="wikitable"
|+ MAC 주소 인증
|-
! 항목 !! 필수 !! 설명
|-
| MAC 주소 || 예 || 사용자 단말의 [[MAC 주소]]를 입력하세요. MAC 주소는 구분자와 대/소문자를 구분하므로 반드시 동일하게 입력해야하며 자세한 MAC 주소 형식은 [[RADIUS 이력|RADIUS > 이력]] > [[Accounting 용어|인증 처리]]를 통해 확인하세요.
|-
| 상태 || 예 || 승인을 선택하세요.
|-
| 사용만료 || 예 || 사용자 인증 만료일을 설정합니다.
|-
| 사용자 정보 || Optional || 이 항목은 환경 설정 > [[환경설정|사용자 정보]]에 지정된 속성을 따릅니다.
|-
| 그룹 || 아니오 || 사용자 계정이 포함될 그룹을 선택 할 수 있습니다. 그룹에 대한 설명은 [[그룹]]을 참고하세요.
|-
| 추가 속성 || 아니오 || attribute를 사용하여 사용자별 인증 속성과 응답 속성을 설정할 수 있습니다.
|-
|}

==== 미승인 사용자 승인, 정보 변경 및 삭제 ====
NAS 장비에서 설정된 RADIUS 사용자 계정 신청 양식에서 등록된 사용자는 "미승인" 상태로 등록되며 RADIUS > 사용자 목록의 맨 앞에있는 [[File:popup.png|23x]] 아이콘을 클릭하면 사용자 계정을 변경 할 수 있는데 상태의 "미승인"을 클릭하면 "승인"상태로 변경 할 수 있습니다. 
또한 같은 화면에서 비밀번호, 사용자 정보 및 그룹도 수정 할 수 있으며 사용자 계정을 삭제 할 수 있습니다.
 

==== 추가 속성 ====
===== 인증 속성 =====
인증 속성이란 RADIUS 인증이 진행될때 기본 정보(User-Name, User-Password)이외에 추가적으로 사용되는 정보이며 유용한 인증 속성은 [[속성(Attributes)]]를 참고하세요.

===== 응답 속성 =====
응답 속성이란 RADIUS 인증 이후 사용자에 응답해주는 속성을 의미합니다. 유용한 응답 속성은 [[속성(Attributes)]]를 참고하세요.

==== 비밀번호 초기화 ====
등록된 사용자의 비밀번호를 초기화 할 수 있습니다.

사용자 비밀번호가 초기화되면 기존 비밀번호는 사용할 수 없으며 임시 비밀번호가 발급됩니다. 이러한 임시 비밀번호와 초기화 기능 사용여부는 RADIUS > 설정 > 일반> [[RADIUS 일반 설정 | 로컬 RADIUS 사용자 비밀번호 정책]]에서 설정할 수 있습니다. 비밀번호 초기화 기능 사용이 비활성(기본) 상태에서는 사용자 비밀번호 초기화 기능을 사용 할 수 없습니다.

비밀번호가 초기화되면 사용자가 직접 비밀번호 변경 페이지에서 임시 비밀번호를 이용하여 새로운 비밀번호를 생성해야합니다. 자세한 내용은 RADIUS > 설정 > 일반> [[RADIUS 일반 설정 | 로컬 RADIUS 사용자 비밀번호 정책]]를 참고하세요

{{note|MAC 주소 기반 인증 또는 [[RADIUS 일반 설정 | 외부 데이터베이스 사용자 캐시]]에 의해 저장된 사용자 정보의 비밀번호는 초기화 할 수 없습니다.}}

==== 사용 만료 ====
사용 만료 시간이 지정되어있고 그 시간이 지난 사용자 정보는 무선랜 인증이 허가되지 않습니다.(Access-Reject) 또한 해당 정보는 자동으로 삭제 되지 않습니다.

<hr>

2023-10-17T07:14:04Z

Shin: /*   일반 */

__FORCETOC__
=== 개요 ===
RADIUS(Remote Authentication Dial-In User Service)는 1812와 1823포트에서 운영되는 네트워크 프로토콜이며 네트워크를 사용하려는 사용자를 위한 인증(Authentication), 허가(Authorization), 그리고 회계(Accounting) 기능을 수행합니다.<ref>본 시스템의 한글 환경에서는 "회계" 대신 "Accounting" 용어를 그대로 사용합니다.</ref><ref name='radius-wiki'>https://en.wikipedia.org/wiki/RADIUS</ref>

RADIUS은 응용 프로그램 계층(application layer)에서 실행되는 clinet/server 기반 프로그램으로 Network Access Server(NAS)나 RADIUS 클라이언트와 직접 통신을 수행하며 802.1X<ref>https://en.wikipedia.org/wiki/IEEE_802.1X</ref> 인증을 위한 수단으로 이용됩니다.<ref name='radius-wiki' />

무선랜의 WPA-Enterprise(또는 WPA-802.1X) 환경에서는 네트워크 서비스를 사용하려는 사용자를 위해 RADIUS 인증 서버가 반드시 필요합니다. 본 시스템은 WPA, WPA2, 그리고 WPA2 Enterprise<ref>https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access#WPA2</ref> 환경에서 운영될 수 있으며EAP-TTLS<ref>https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP_Tunneled_Transport_Layer_Security_(EAP-TTLS)</ref>와 EAP-PEAP<ref>https://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol</ref>를 지원하며 EAP-TTLS가 기본으로 설정되어 있습니다.

이러한 RADIUS 인증은 supplicant(사용자 단말) - NAS(Network Access Server) - RADIUS 서버로 구성되며 RADIUS 클라이언트의 인증 요청을 NAS가 RADIUS를 통해 확인 후 그 결과를 사용자 단말에 전달합니다.

[[File:Drawing_RADIUS_1812.svg.png|400px]]

imRAD는 '''FreeRADIUS 3.x'''를 기반으로 재생성된 시스템입니다. 
FreeRADIUS에대한 자세한 정보는 https://wiki.freeradius.org/Home 를 참고하시기 바랍니다.

imRAD에서 제공하는 RADIUS 서비스는 다음과 같은 기능을 제공합니다.
* 로컬 데이터베이스 사용자 인증
* 그룹 정책따른 Authorization
* 외부 데이터베이스 혹은 LDAP 실시간 연동을 통한 사용자 인증
** 연동 가능한 DBMS 또는 LDAP
*** MariaDB
*** MySql
*** Oracle 11g ~ 19c
*** Microsoft SQL Server 2014 ~ 2019
*** Tibero 6
*** PostgreSQL 12
*** SYBASE
*** OpenLDAP
*** Microsoft Active Directory Domain service
*** Microsoft Active Directory Lightweight directory service
* 외부 데이터베이스 인증 정보 캐시
* Proxy / Eduroam 또는 에듀롬 인증
* NAS-ID 기반 인증
* 동시 접속 제한(Accouting이 제공된는 환경에서만 가능)
* TLS 1.2 이상
* 이력
** Accounting
** 인증처리(Post-Authentication)

본 시스템은 외부 데이터베이스 연동 인증(Pass-Through Authentication)을 수행 할 수 있는데 고객사의 데이터베이스에 연결해 클라이언트의 username과 password를 직접 확인 후 네트워크 인증을 처리 할 수 있습니다. 이러한 구성을 사용할 경우 사용자 정보를 imRAD 시스템의 데이터베이스와 동기화할 필요는 없지만 고객사 데이터베이스에 다소 부하가 증가 될 수 있습니다.

따라서 이러한 문제점을 해결하고자 imRAD는 "[[RADIUS_일반_설정 | 외부 데이터베이스 사용자 캐시]]" 기능을 이용해 고객사 데이터베이스를 통해 인증 된 사용자 정보(Username과 Password)를 imRAD 로컬 데이터베이스에 일정 기간 저장합니다.
Password는 혹호와할 수 있는 형태로 안전하게 암호화되어 저장되므로 본 시스템에 저장된 Username의 원본 Pasword는 관리자가 확인 할 수 없습니다.

[[File:pta.png|400px]]

TLS(Transport Layer Security) 버전은 1.0에서 1.3까지 모두 지원합니다. 일부 운영체제에서는 여전히 1.0 버전을 사용합니다.

에듀롬(Eduroam<ref>https://ko.wikipedia.org/wiki/%EC%97%90%EB%93%80%EB%A1%AC</ref>)과 같은 로밍 서비스를 위해 Proxy 기능도 제공됩니다.

=== RADIUS 설정 ===
===== 시작하기 =====
RADIUS를 통한 인증을 처리하기 위한 가장 기본적인 단계는 다음 2가지 과정과 같습니다.

# [[NAS]] 장비에 imRAD 장비 IP 주소와 Shared secret key를 등록합니다.
# imRAD에 [[NAS]] 장비의 IP 주소와 위와 동일한 Shared secret key를 입력합니다. 등록하는 방법은 [[NAS 등록]]을 참고하세요.

위 두가지 과정이 완료되면 RADIUS는 등록된 NAS에서 요청하는 ACCESS-REQUEST를 처리합니다. 
실제 단말(스마트폰, 테블릿 또는 노트북 등)로부터 인증을 시험하려면 [[RADIUS 인증 시험]] 문서와 같이 진행 할 수 있습니다.

===== [[RADIUS 사용자|사용자]]=====
유무선랜 802.1x 사용자를 관리합니다.

===== [[Reject2ban|Reject2ban Jail]] =====
악성 클라이언트의 무작위 요청으로부터 데이터베이스의 부하를 감소시키기 위한 기능입니다.

===== [[그룹]]=====
사용자 그룹을 의미하며 각 그룹에 인증 속성과 응답 속성을 적용할 수 있습니다.

===== [[속성(Attributes)]]=====
RADIUS에서 사용하는 속성들을 조회할 수 있습니다.

===== RADIUS 이력=====
* [[RADIUS 이력 | Accounting]]: 인증된 사용자의 Accounting 정보를 표시합니다.
* [[RADIUS 이력 | 인증처리]]: 인증 시도 후 Accept/Reject 로그를 표시합니다.
* [[Reject2ban | Reject2ban]]: Reject2ban 이력을 표시합니다.

===== 설정=====
RADIUS에 대한 모든 구성은 이 메뉴에서 구성할 수 있습니다. 새로운 값을 저장하면 관리자가 수동으로 radiusd 서비스를 재시작하지 않아도 radiusd 서비스는 변경된 구성을 몇 초 만에 자동으로 적용합니다.

만일 수동으로 값을 즉시 적용하려면 메뉴 하단의 "radius 서비스 재시작> 적용" 버튼을 클릭하세요.

======  [[RADIUS 일반 설정|일반]]======
데이터 유지, 사용자 비밀번호 정책, EAP, RADIUS 구성, 그리고 Reject2ban을 설정합니다.

======  [[NAS 등록|NAS]]======
Network Access Server를 관리하기 위한 기능으로 무선랜 컨트롤러 혹은 AP(Access Point)를 추가/삭제 할 수 있습니다.

======  [[Realm and proxy|Realm/Proxy]]======
Proxy 인증을 위한 Proxy 서버 및 Realm을 관리합니다.

======  [[인증 데이터베이스]]======
인증 데이터베이스는 로컬 데이터베이스와 외부 데이터베이스가 존재하며 데이터베이스 연결을 위한 속성을 관리합니다.

======  [[LDAP 인증]]======
외부 LDAP 또는 AD 서버를 관리합니다.

======  [[NAS Identifier|NAS-ID]]======
자동으로 수집된 NAS-ID(SSID)를 관리합니다.

======  [[사용자 신청]]======
무선랜 사용자를 Captive Portal<ref>https://en.wikipedia.org/wiki/Captive_portal</ref>에 의해 Redirection 웹 페이지를 통해 등록하려할때 관련 페이지를 디자인할 수 있는 메뉴입니다.

======  [[RADIUS 인증 시험]]======
운영체제별 인증 시험을 위한 EAP Method 입니다.

=== References ===