편집토론문서 역사

RADIUS 일반 설정

RADIUS > 설정 > 일반


데이터 유지

항목 설명
외부 데이터베이스 사용자 캐시 외부 데이터베이스를 통해 승인된 username과 password를 로컬 데이터베이스에 지정된 기간동안 저장합니다.

이 기능을 사용하면 매번 외부 데이터베이스를 통해 사용자 확인을 하지 않으므로 외부 데이터베이스로에
발생하는 트래픽을 줄일 수 있습니다.
password는 해시 알고리즘(SHA256 with salt 등)을 이용해 로컬 데이터베이스에 안전하게 저장됩니다.
이렇게 저장된 user 정보는 최근 인증 시간 또는 등록된 시간을 기준으로 지정된 유지 기간이 초과되면 로컬 데이터베이스에서
삭제됩니다. 이 기능을 사용하지 않으려면 선택을 해제 하세요.

로컬 데이터베이스 사용자 사용되지 않는 로컬 데이터베이스 사용자 정보를 삭제할 수 있습니다.
이 기능을 사용하지 않으려면 선택을 해제 하세요.
NAS-ID 캐시 NAS-ID는 자동으로 수집되어 저장되는데 지정된 기간 이상 발견되지 않는 NAS-ID를 자동으로 삭제합니다.

로컬 RADIUS 사용자 비밀번호 정책

RADIUS 사용자의 비밀번호 길이 및 복잡도를 설정할 수 있습니다. 새로운 RADIUS 사용자를 생성할때 이 정책이 적용됩니다.
비밀번호 복잡도 외 비밀번호 초기화 사용에 대한 설정을 할 수 있습니다.


비밀번호 초기화

비밀번호 초기화는 로컬 데이터베이스에 생성되어있는 사용자의 비밀번호를 초기화하는 것으로 PASSWORD 방식과 OTP 방식이 존재합니다.
비밀번호가 초기화되면 임시 비밀번호가 발급되고 해당 사용자의 무선랜 인증은 일시적으로 거부됩니다. 무선랜 사용자는 "비밀번호 변경"페이지를 통해 초기화를 통해 생성된 임시 비밀번호를 이용하여 새로운 비밀번호를 설정해야 무선랜 인증이 허용됩니다. 무선랜 사용자가 자신의 비밀번호를 변경 할 수 있는 페이지는 Captive portal 메뉴에서 구성할 수 있습니다.

  • PASSWORD: 비밀번호 초기화 후 임시 비밀번호가 지정된 비밀번호로 저장(모든 사용자에 동일한 비밀번호 설정)
  • OTP: 비밀번호 초기화 후 임시 비밀번호가 무작위 6자리의 숫자로 생성(사용자마다 다른 비밀번호 생성)

다음은 비밀번호 초기화 과정에 대한 기본 흐름입니다.

  1. 무선랜 사용자가 비밀번호 초기화 요청
  2. 관리자가 비밀번호 초기화 후 생성된 임시 비밀번호 통보
  3. 무선랜 사용자는 Captive Portal 또는 기타 방법으로 비밀번호 변경 페이지 접속
  4. 무선랜 사용자가 임시 비밀번호를 이전 비밀번호로 입력 후 새로운 비밀번호 생성 후 저장
  5. ssid 변경 후 새로운 비밀번호로 무선랜 접속
NT-Password 사용

사용자 저장 시 설정된 비밀번호 유형 외 Windows NT hashed passwords 유형의 인증 요청 시에도 인증이 가능하도록 설정합니다.



EAP(Extensible Authentication Protocol)

기본 EAP 유형은 TTLS(Tunneled Transport Layer Security)와 PEAP(protected extensible authentication protocol)가 있으며 어떠한 것을 선택해도 무관합니다.

2단계 인증 PAP(Password Authentication Protocol)은 사용하지 않을 경우 Windows 10 또는 11 단말은 인증이 거부될 수 있습니다.
이러한 환경에서 사용자 또는 그룹 단위로 PAP 사용을 허용하려면 인증 속성에 PAP-Auth-Allow := 1 attribute를 사용하면 됩니다.
반대로 2단계 PAP 인증을 허용한 상태에서 특정 사용자 혹은 그룹에 대해 PAP 사용을 제한하려면 PAP-Auth-Deny :=1 attribute를 추가하면 됩니다.

나머지 설정은 기본으로 사용하시면 되며 지원 가능한 TLS 버전은 고급을 클릭하시면 설정할 수 있습니다.
Windows 10의 경우 TLS 1.0을 사용하므로 TLS 1.0 ~ 1.2을 사용을 권장합니다.

EAP TLS 인증 사용(인증 프로토콜 TLS 인증서)

EAP 인증 시 고객사에서 보유중인 인증용 TLS 인증서가 존재하는 경우 인증서를 서버로 등록 및 설정할 수 있습니다.
시스템 출고 시 초기 Self Signed Certificate로 기본값 데이터가 존재하며, 이 데이터에는 인증서를 등록할 수 없습니다.
고객사의 TLS 인증서 등록 시 Server Certificate 외 필요에 따라 Private Key 파일 또는 Private Key Password, CA Certificate 파일을 함께 저장하시면 됩니다.
인증서 등록 후 목록에서 TLS 인증 사용 항목 선택 변경 후 저장 버튼을 통해 TLS 설정을 최종 변경할 수 있습니다.
등록된 인증서의 상세 정보는 목록의 인증서 아이콘(Cert.PNG)을 통해 확인 할 수 있습니다.



RADIUS 구성

쓰레드(Thread) 관련 설정은 수신되는 요청을 처리 할 수 있는 쓰레드의 개수를 정의하며 적당한 크기의 쓰레드 풀은 많은 요청에 대해 빠른 속도로 응답을 송신 할 수 있습니다.

쓰레드 관련 설정은 기본 값 사용을 권장합니다.

쓰레드 설정 항목으로는 시작 쓰레드 개수, 총 쓰레드 수, 최소 예비 쓰레드, 최대 예비 쓰레드, Reject Delay가 있습니다.

Reject Delay

이 설정은 RADIUS 구성 항목에서 설정할 수 있으며 이 설정을 통해 Access-Reject를 일정 시간(초) 지연 후 전송 할 수 있습니다. 이 기능은 Dos 공격 도는 Brute-force 공격으로 인한 취약성을 보완할 수 있습니다. 값을 0으로 설정하면 Access-Reject를 즉시 전송합니다. 설정가능 범위는 0~5초 이며 권장 값은 1입니다.

전역 추가 속성

등록된 RADIUS 사용자에게 전체 적용 가능한 인증 속성과 응답 속성을 설정할 수 있습니다. 기본 제공 항목으로 Reject2ban, Login-Time, Session-Timeout가 있으며, 그 외 관리자가 직접 추가하여 설정할 수 있습니다. 인증 속성에 대한 자세한 내용은 속성(Attributes) 메뉴를 참고하세요.

기본 제공 항목

  • Reject2ban : 지정된 시간 내 지정된 회수 이상 인증 실패 시 일정 시간 동안 인증을 거부하는 기능으로 자세한 내용은 Reject2ban을 참고하세요.
  • Login-Time : 지정된 시간에만 로그인을 허용하는 기능으로 자세한 내용은 속성(Attributes) > 인증 속성의 Login-Time 항목을 참고하세요.
  • Session-Timeout : 무선랜에 연결된 사용자의 Session Timeout 시간으로 자세한 내용은 속성(Attributes) > 응답 속성의 Session-Timeout 항목을 참고하세요.