문서 편집 권한이 없습니다. 다음 이유를 확인해주세요: 요청한 명령은 다음 권한을 가진 사용자에게 제한됩니다: 사용자. 문서의 원본을 보거나 복사할 수 있습니다. === RADIUS > 설정 > 일반 === <br> ==== 데이터 유지==== {| class="wikitable" ! 항목 !! 설명 |- | 외부 데이터베이스 사용자 캐시|| 외부 데이터베이스를 통해 승인된 username과 password를 로컬 데이터베이스에 지정된 기간동안 저장합니다.<br> 이 기능을 사용하면 매번 외부 데이터베이스를 통해 사용자 확인을 하지 않으므로 외부 데이터베이스로에<br> 발생하는 트래픽을 줄일 수 있습니다.<br> password는 해시 알고리즘(SHA256 등)을 이용해 로컬 데이터베이스에 안전하게 저장됩니다. <br> 이렇게 저장된 user 정보는 등록된 시간을 기준으로 지정된 유지 기간이 초과되면 로컬 데이터베이스에서<br> 삭제됩니다. 이 기능을 사용하지 않으려면 선택을 해제 하세요. |- | 로컬 데이터베이스 사용자 || 사용되지 않는 로컬 데이터베이스 사용자 정보를 삭제할 수 있습니다.<br>이 기능을 사용하지 않으려면 선택을 해제 하세요. |- | NAS-ID 캐시|| NAS-ID는 자동으로 수집되어 저장되는데 지정된 기간 이상 발견되지 않는 NAS-ID를 자동으로 삭제합니다. |- |} ==== 로컬 데이터베이스 사용자 비밀번호 정책 ==== RADIUS 사용자의 비밀번호 길이 및 복잡도를 설정할 수 있습니다. 새로운 RADIUS 사용자를 생성할때 이 정책이 적용됩니다. ==== 비밀번호 초기화 ==== 비밀번호 초기화는 로컬 데이터베이스에 생성되어있는 사용자의 비밀번호를 초기화하는 것으로 PASSWORD 방식과 OTP 방식이 존재합니다.<br> 비밀번호가 초기화되면 해당 사용자의 무선랜 인증은 일시적으로 거부되며 무선랜 사용자는 "비밀번호 변경"페이지를 통해 초기화된 비밀번호를 이용하여 새로운 비밀번호를 설정해야 무선랜 인증이 허용됩니다. 무선랜 사용자가 자신의 비밀번호를 변경 할 수 있는 기능은 [[사용자 신청]]의 "비밀번호 변경" 기능이 활성화되어있어야 합니다. * PASSWORD: 비밀번호 초기화 후 비밀번호가 지정된 비밀번호로 저장(모든 사용자에 동일한 비밀번호 설정) * OTP: 비밀번호 초기화 후 비밀번호가 무작위 6자리의 숫자로 생성(사용자마다 다른 비밀번호 생성) 다음은 비밀번호 초기화 과정에 대한 기본 흐름입니다. # 무선랜 사용자가 비밀번호 초기화 요청 # 관리자가 비밀번호 초기화 후 초기화된 비밀번호 통보 # 무선랜 사용자는 Captive Portal 또는 기타 방법으로 비밀번호 변경 페이지 접속 # 무선랜 사용자가 초기화된 비밀번호를 이전 비밀번호로 입력 후 새로운 비밀번호 생성 후 저장 # said 변경 후 새로운 비밀번호로 무선랜 접속 ==== 사용자 추가 인증 ==== [[추가 인증|추가 인증]]을 참고하세요. ==== EAP(Extensible Authentication Protocol) ==== 기본 EAP 유형은 TTLS(Tunneled Transport Layer Security)와 PEAP(protected extensible authentication protocol)가 있으면 어떠한것을 선택해도 무관합니다. <br> 2단계 인증 PAP(Password Authentication Protocol)은 사용하지 않을 경우 Windows 10 또는 11의 경우 인증이 거불될 수 있습니다. 이러한 환경에서 사용자 또는 그룹 단위로 PAP 사용을 허용하려면 사용자 또는 그룹 인증 속성에 PAP-Auth-Allow := 1 attribute를 사용하면됩니다. 반대로 2단계 PAP 인증을 허용한 상태에서 특정 사용자 혹은 그룹에 대해 PAP 사용을 제한하려면 PAP-Auth-Deny :=1 attribute를 추가하면됩니다.<br> 나머지 설정은 기본으로 사용하시면 되며 지원 가능한 TLS 버전은 고급을 클릭하시면 설정할 수 있습니다.<br> Windows 10의 경우 TLS 1.0을 사용하므로 TLS 1.0 ~ 1.2을 사용하세요. ==== RADIUS 구성 ==== 쓰레드(Thread) 관련 설정은 수신되는 요청을 처리 할 수 있는 쓰레드의 개수를 정의하며 적당한 크기의 쓰레드 풀은 많은 요청에 대해 빠른 속도로 응답을 송신 할 수 있습니다. {{note|쓰레드 관련 설정은 기본 값 사용을 권장합니다.}} ===== Reject Delay ===== 이 설정을 통해 Access-Reject를 일정 시간(초) 지연 후 전송 할 수 있습니다. 이 기능은 Dos 공격 도는 Brute-force 공격으로 인한 취약성을 보완할 수 있습니다. 값을 0으로 설정하면 Access-Reject를 즉시 전송합니다. 설정가능 범위는 0~5초 이며 권장 값은 1입니다. ===== 고급 ===== radius 서비스 인증(Authentication) 및 Accounting을 수신 할 포트를 지정 할 수 있습니다. RFCs 2865와 2866에서 정의한 표준 포트는 각각 1812 와 1813입니다. 포트 번호를 0으로 설정하면 표준 포트번호를 사용한다는 의미입니다. ==== Reject2ban ==== [[Reject2ban|Reject2ban]]을 참고하세요. 이 문서에서 사용한 틀: 틀:Note (원본 보기) RADIUS 일반 설정 문서로 돌아갑니다.