속성(Attributes)

RADIUS > 속성(Attributes)

Remote Authentication Dial-In User Service (RADIUS) attributes는 특정 AAA(authentication, authorization, and accounting)를 정의하기 위해 사용되며 RADIUS 프로그램에 저장됩니다. 이 정보를 이용해 클라이언트와 서버가 AAA 정보를 주고 받습니다.^[1]

이 메뉴를 통해 사용자는 RADIUS에서 사용되는 Attribute를 조회 할 수 있습니다.

유용한 사용자 및 그룹 인증 속성

사용자 및 그룹에 설정 가능한 주요 인증 속성 입니다.

attribute	연산자	값	설명
PAP-Auth-Allow	:=	1	2 단계 인증 PAP 을 사용하지 않을때 이 속성을 사용하면 특정 사용자 혹은 그룹에 포함된 사용자는 2 단계 PAP 인증이 허용됩니다.
PAP-Auth-Deny	:=	1	2 단계 인증 PAP 을 사용할때 이 속성을 사용하면 특정 사용자 혹은 그룹에 포함된 사용자는 2 단계 PAP 인증이 거부됩니다.
Login-Time	+=	참고	지정된 요일/시간에 로그인 인증이 허용되며 무선랜이 이미 연결중인 상태에서 종료시간이 경과되면 연결이 자동 해제됩니다. 다만, 무선랜에 이미 연결된 상태에서 이 속성을 나중에 추가하면 무선랜 연결 자동 해제는 되지 않을 수 있습니다. 자동 연결 해제는 무선랜 장비에서 Session-Timeout을 지원해야만 기능을 수행 할 수 있습니다. 특정 사용자에 이 속성이 포함되어 있고 그 사용자가 포함된 그룹에도 또 다른 값으로 존재하는 경우 모든 시간이 같이 적용됩니다. 값은 "요일%H%M-%H%M" 형식으로 정의할 수 있습니다. 요일은 Mo, Tu, We, Th, Fr, Sa, 또는 Su를 사용하며 주중(월~금)은 Wk를, 그리고 모든 요일은 Any를 사용하면 됩니다.^[2] "%H"는 00시부터 23시를 의미하고 "%M"은 00분부터 59분까지로 정의할 수 있습니다. 만일 "%H"와 "%M"을 모두 제외하면 모든 시간을 의미합니다. 2개 이상의 시간대를 지정 하려면 여러개의 Login-Time attribute를 생성하지 말고 하나의 Login-Time attribute에 ","로 구분하여 저장하세요. 예시) Wk0900-1800 // 월 ~ 금 09:00 ~ 18:00 인증 가능 Wk0900-1800, Sa0900-1200 // 월 ~ 금 09:00 ~ 18:00 인증 가능, 토요일 09:00 ~ 12:00 인증 가능 Any0900-1800 // 항상 09:00 ~ 18:00 인증 가능 Any0900-1800, We2000-2100 //항상 09:00 ~ 18:00 인증 가능, 수요일은 20:00 ~ 21:00 인증 가능 Sa // 토요일 모든 시간대에 인증 허용 Any // 모든 요일 모든 시간대에 인증 허용(기본 값)
User-Login-Time	:=	참고	Login-Time 속성과 동일하나 사용자가 특정 그룹에 포함되어 있고 그 그룹에 Login-Time 속성이 있는 경우 그것에 영향을 받지 않는 배타적(Exclusive) 속성입니다. 값 정의 예시는 Login-Time을 참고하세요. 이 속성은 사용자에만 적용됩니다.
Group-Login-Time	:=	참고	Login-Time 속성과 동일하나 그룹에 포함된 사용자에 Login-Time 속성이 있어도 무시하고 Group-Login-Time 속성을 우선적으로 적용하는 배타적(Exclusive) 속성입니다. 다만, 사용자에 User-Login-Time이 있는 경우는 Group-Login-Time은 적용되지 않습니다.(User-Login-Time의 우선순위가 가장 높습니다.) 값 정의 예시는 Login-Time을 참고하세요. 이 속성은 그룹에만 적용됩니다.
Login-Time-Nas-Identifier	:=	ssid	이 속성은 사용자가 특정 SSID를 통해 연결된 경우에만 시간 인증을 적용한다는 의미이며 Login-Time, User-Login-Time, 또는 Group-Login-Time과 같이 정의할 수 있습니다. 복수개의 ssid를 정의하려면 "\|"를 사용하세요. 예시) my-ssid-A my-ssid-A \| my-ssid-B
Calling-Station-Id	=~	mac 주소1 \| mac 주소2 ...	사용자 인증시 사용자 단말의 MAC 주소를 사용자 식별에 같이 포함시킬때 사용됩니다. 만일 이 속성이 포함되어 있으면 사용자 인증은 Username, User-Password, 그리고 MAC 주소가 모두 일치해야 합니다. 여러개의 MAC 주소를 정의하려면 "\|"를 이용하면 됩니다. MAC 주소를 입력할때는 구분자 없이 소문자로 입력하세요. 예시) 0000aaaa2222 // mac 주소 한개를 정의한 경우 0000aaaa2222 \| 0000aaaa3333 // mac 주소 2개를 정의한 경우 ^bbbb22 // mac 주소가 bbbb22로 시작하는 모든 주소를 허용 0000bbbb2222 \| 0000bbbb3333 \| ^bbbb22 \| 0000bbbb3333 // 복수개의 mac 주소를 정의하는 경우 MAC 주소는 16진수이며 a~f는 소문자로 구분자 없이 입력하세요. MAC 주소를 여러개 포함할 경우에는 반드시 하나의 Calling-Station-Id에 "\|"로 구분하여 MAC 주소를 여러개를 입력하세요. 여러개의 MAC 주소가 정의된 경우 하나의 MAC 주소만 일치하면 인증됩니다.
Nas-Identifier	=~	ssid	개별 사용자 및 그룹에 포함된 사용자를 인증할때 ssid를 지정할 수 있습니다. 즉, 사용자가 특정 ssid를 통해 접속한 경우만 인증을 진행할 수 있습니다. 복수개의 ssid를 정의하려면 "\|"를 사용하세요. 예시) my-ssid-A my-ssid-A \| my-ssid-B
Expiration	:=	datetime	사용자 및 그룹 속성에 설정할 수 있으며 무선랜 인증 만료 시간을 의미합니다. 이 속성의 시간이 만료되면 이 속성을 가지는 사용자 또는 이 속성이 포함된 그룹에 속한 사용자의 무선랜 인증은 거부됩니다. 만료 시간은 "%b %d %Y %H:%M:%S %Z" 형식으로 정의되어야 합니다. 예시) Oct 20 2023 14:00:00 KST 개별 사용자에 만료 시간을 설정 하려면 RADIUS 사용자 페이지의 상세 정보에서 "사용만료"를 지정하면 자동으로 이 attribute가 추가되므로 해당 인터페이스를 이용하세요.

유용한 사용자 및 그룹 응답 속성

사용자 및 그룹에 설정 가능한 주요 응답 속성 입니다.

attribute	연산자	값	설명
Session-Timeout	:=	3600~86400(초)	무선랜에 연결된 사용자의 Session-Timeout을 의미하며 이 시간이 지나면 무선랜 암호화키를 새로 생성하여 안전한 무선랜 연결을 유지합니다. 일반적으로 무선랜 인증 서버를 통한 WPA-Enterprise 환경에서는 안전하게 키를 생성하여 암호화 채널을 유지하도록 지원하나 보다 안전한 암호화 채널을 유지하려면 이 속성을 이용하세요.
Tunnel-Medium-Type	:=	6	802 (includes all 802 media plus Ethernet “canonical format”)를 나타내며 VLAN 지정에 사용하려면 반드시 6을 사용하세요.
Tunnel-Private-Group-Id	:=	VLAN ID or VLAN Name	VLAN ID 또는 VLAN 이름을 사용할 수 있으며 이름일 경우 최대 253 문자만 허용됩니다. VLAN Name은 일부 장비에서 올바르게 인식하지 않을 수 있으므로 VLAN ID 사용을 권장합니다.
Tunnel-Type	:=	13	Virtual LANs (VLAN)을 나타내며 LAN 지정에 사용하려면 반드시 13을 사용하세요.

사용자 또는 그룹에 포함된 사용자에 특정 VLAN을 지정하려면 Tunnel-Medium-Type, Tunnel-Private-Group-Id, 그리고 Tunnel-Type를 응답속성에 포함시키면됩니다.

[1] ttps://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_radatt/configuration/xe-16/sec-usr-radatt-xe-16-book/sec-rad-ov-ietf-attr.html

[2] ttps://networkradius.com/doc/current/raddb/mods-available/logintime.html

[1]

[2]