"속성(Attributes)"의 두 판 사이의 차이

2023년 10월 16일 (월) 16:57 판

RADIUS > 속성(Attributes)

Remote Authentication Dial-In User Service (RADIUS) attributes는 특정 AAA(authentication, authorization, and accounting)를 정의하기 위해 사용되며 RADIUS 프로그램에 저장됩니다. 이 정보를 이용해 클라이언트와 서버가 AAA 정보를 주고 받습니다.^[1]

이 메뉴를 통해 사용자는 RADIUS에서 사용되는 Attribute를 조회 할 수 있습니다.

유용한 사용자 및 그룹 인증 속성

attribute	연산자	값	설명
PAP-Auth-Allow	:=	1	2 단계 인증 PAP 을 사용하지 않을때 특정 사용자 혹은 그룹에 포함 사용사는 2 단계 PAP 인증이 허용됩니다.
PAP-Auth-Deny	:=	1	2 단계 인증 PAP 을 사용할때 특정 사용자 혹은 그룹에 포함 사용사는 2 단계 PAP 인증이 거부됩니다.
Login-Time	:=	참고	지정된 요일/시간에 로그인 인증이 거부되며 무선랜이 이미 연결중인 상태에서 종료시간이되면 연결이 자동 해제됩니다. 다만, 무선랜에 이미 연결된 상태에서 이 속성을 나중에 추가하면 무선랜 연결 자동 해제는 되지 않을 수 있습니다.
User-Login-Time	:=	참고	Login-Time 속셩과 동일하나 사용자가 특정 그룹에 포함되어 있고 그 그룹에 Login-Time 속성이 있는 경우 그것에 영향을 받지 않는 배타적(Exclusive) 속성입니다. 이 속성은 사용자에만 적용됩니다.
Group-Login-Time	:=	참고	Login-Time 속셩과 동일하나 그룹에 포함된 사용자에 Login-Time 속성이 있어도 무시하고 Group-Login-Time 속성을 우선적으로 적용하는 배타적(Exclusive) 속성입니다. 다만, 사용자에 User-Login-Time이 있는 경우는 Group-Login-Time은 적용되지 않습니다.(User-Login-Time의 우선순위가 가장 높습니다.) 이 속성은 그룹에만 적용됩니다.
Calling-Station-Id	=~	mac 주소1 \| mac 주소2 ...	사용자 인증시 사용자 단말의 MAC 주소를 사용자 식별에 같이 포함시킬때 사용됩니다. 만일 이 속성이 포함되어 있으면 사용자 인증은 Username, User-Password, 그리고 MAC 주소가 모두 일치해야 합니다. 여러개의 MAC 주소를 정의하려면 "\|"를 이용하면 됩니다. MAC 주소를 입력할때는 구분자 없이 소문자로 입력하세요. 예) 0000aaaa2222 // mac 주소 한개를 정의한 경우 0000aaaa2222 \| 0000aaaa3333 // mac 주소 2개를 정의한 경우 ^bbbb22 // mac 주소가 bbbb22로 시작하는 모든 주소를 허용 0000bbbb2222 \| 0000bbbb3333 \| ^bbbb22 \| 0000bbbb3333 // 복수개의 mac 주소를 정의하는 경우 MAC 주소는 16진수이며 a~f는 소문자로 구분자 없이 입력하세요. MAC 주소를 여러개 포함할 경우에는 반드시 하나의 Calling-Station-Id에 "\|"로 구분하여 MAC 주소를 여러개를 입력하세요.
Nas-Identifier	=~	ssid	개별 사용자 및 그룹에 포함된 사용자를 인증할때 ssid를 지정할 수 있습니다. 즉, 사용자가 특정 ssid를 통해 접속한 경우만 인증을 진행할 수 있습니다. 복수개의 ssid를 정의하려면 "\|"를 사용하세요. 예) my-ssid-A my-ssid-A \| myssid-B

유용한 사용자 및 그룹 응답 속성

attribute	연산자	값	설명
Session-Timeout	:=	3600~86400	무선랜에 연결된 사용자의 Session-Timeout으로 이 시간이 지나면 무선랜 암호화키를 새로 생성하여 안전한 무선랜 연결을 유지합니다. 일반적으로 무선랜 서버는 안전하게 키를 생성하여 암호화 채널을 유지하도록 지원하나 보다 안전한 암호화 채넑을 유지하려면 이 속성을 이용하세요.

↑ https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_radatt/configuration/xe-16/sec-usr-radatt-xe-16-book/sec-rad-ov-ietf-attr.html

[1] ttps://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_radatt/configuration/xe-16/sec-usr-radatt-xe-16-book/sec-rad-ov-ietf-attr.html

[1]

@@ 23번째 줄: / 23번째 줄: @@
 이 속성은 그룹에만 적용됩니다.
 |-
+| Calling-Station-Id || =~ || mac 주소1 <nowiki>|</nowiki> mac 주소2 ... || 사용자 인증시 사용자 단말의 MAC 주소를 사용자 식별에 같이 포함시킬때 사용됩니다. 만일 이 속성이 포함되어 있으면 사용자 인증은 Username, User-Password, 그리고 MAC 주소가 모두 일치해야 합니다. 여러개의 MAC 주소를 정의하려면 <nowiki>"|"</nowiki>를 이용하면 됩니다. MAC 주소를 입력할때는 구분자 없이 소문자로 입력하세요.
+예)<br>
+* 0000aaaa2222 // mac 주소 한개를 정의한 경우 <br>
+* 0000aaaa2222 <nowiki>|</nowiki> 0000aaaa3333 // mac 주소 2개를 정의한 경우<br>
+* ^bbbb22 // mac 주소가 bbbb22로 시작하는 모든 주소를 허용<br>
+* 0000bbbb2222 <nowiki>|</nowiki> 0000bbbb3333 <nowiki>|</nowiki> ^bbbb22 <nowiki>|</nowiki> 0000bbbb3333 // 복수개의 mac 주소를 정의하는 경우 <br>
+{{note|MAC 주소는 16진수이며 a~f는 소문자로 구분자 없이 입력하세요. MAC 주소를 여러개 포함할 경우에는 반드시 하나의 Calling-Station-Id에 <nowiki>"|"</nowiki>로 구분하여 MAC 주소를 여러개를 입력하세요.}}
+|-
+| Nas-Identifier || =~ || ssid || 개별 사용자 및 그룹에 포함된 사용자를 인증할때 ssid를 지정할 수 있습니다. 즉, 사용자가 특정 ssid를 통해 접속한 경우만 인증을 진행할 수 있습니다. 복수개의 ssid를 정의하려면 <nowiki>"|"</nowiki>를 사용하세요.<br>
+예) <br>
+* my-ssid-A <br>
+* my-ssid-A <nowiki>|</nowiki> myssid-B
 |}