| (사용자 3명의 중간 판 20개는 보이지 않습니다) | |||
| 7번째 줄: | 7번째 줄: | ||
==== 유용한 사용자 및 그룹 인증 속성 ==== | ==== 유용한 사용자 및 그룹 인증 속성 ==== | ||
| + | 사용자 및 그룹에 설정 가능한 주요 인증 속성 입니다. | ||
{| class="wikitable" | {| class="wikitable" | ||
! width="200" | attribute !! 연산자 !! width="100" | 값 !! 설명 | ! width="200" | attribute !! 연산자 !! width="100" | 값 !! 설명 | ||
|- | |- | ||
| − | | PAP-Auth-Allow || := || 1 || [[RADIUS 일반 설정|2 단계 인증 PAP]] 을 사용하지 않을때 이 속성을 사용하면 특정 사용자 혹은 그룹에 포함된 | + | | PAP-Auth-Allow || ''':=''' || 1 || [[RADIUS 일반 설정|2 단계 인증 PAP]] 을 사용하지 않을때 이 속성을 사용하면 특정 사용자 혹은 그룹에 포함된 사용자는 2 단계 PAP 인증이 허용됩니다. |
|- | |- | ||
| − | | PAP-Auth-Deny || := || 1 || [[RADIUS 일반 설정|2 단계 인증 PAP]] 을 사용할때 이 속성을 사용하면 특정 사용자 혹은 그룹에 포함된 | + | | PAP-Auth-Deny || ''':=''' || 1 || [[RADIUS 일반 설정|2 단계 인증 PAP]] 을 사용할때 이 속성을 사용하면 특정 사용자 혹은 그룹에 포함된 사용자는 2 단계 PAP 인증이 거부됩니다. |
|- | |- | ||
| − | | Login-Time || | + | | Login-Time || '''+=''' || [https://networkradius.com/doc/current/raddb/mods-available/logintime.html 참고] || 지정된 요일/시간에 로그인 인증이 허용되며 무선랜이 이미 연결중인 상태에서 종료시간이 경과되면 연결이 자동 해제됩니다. 다만, 무선랜에 이미 연결된 상태에서 이 속성을 나중에 추가하면 무선랜 연결 자동 해제는 되지 않을 수 있습니다. <br> |
{{note| 자동 연결 해제는 무선랜 장비에서 Session-Timeout을 지원해야만 기능을 수행 할 수 있습니다.}} | {{note| 자동 연결 해제는 무선랜 장비에서 Session-Timeout을 지원해야만 기능을 수행 할 수 있습니다.}} | ||
특정 사용자에 이 속성이 포함되어 있고 그 사용자가 포함된 그룹에도 또 다른 값으로 존재하는 경우 모든 시간이 같이 적용됩니다.<br> | 특정 사용자에 이 속성이 포함되어 있고 그 사용자가 포함된 그룹에도 또 다른 값으로 존재하는 경우 모든 시간이 같이 적용됩니다.<br> | ||
| − | 값은 " | + | 값은 "요일%H%M-%H%M" 형식으로 정의할 수 있습니다. |
| − | 요일은 Mo, Tu, We, Th, Fr, Sa, 또는 Su를 사용하며 주중(월~금)은 Wk를, 그리고 모든 요일은 Any를 사용하면 됩니다.<ref>https://networkradius.com/doc/current/raddb/mods-available/logintime.html</ref> | + | 요일은 Mo, Tu, We, Th, Fr, Sa, 또는 Su를 사용하며 주중(월~금)은 Wk를, 그리고 모든 요일은 Any를 사용하면 됩니다.<ref>https://networkradius.com/doc/current/raddb/mods-available/logintime.html</ref> <br> |
| − | {{note| | + | "%H"는 00시부터 23시를 의미하고 "%M"은 00분부터 59분까지로 정의할 수 있습니다. 만일 "%H"와 "%M"을 모두 제외하면 모든 시간을 의미합니다. |
| + | {{note|2개 이상의 시간대를 지정 하려면 여러개의 Login-Time attribute를 생성하지 말고 하나의 Login-Time attribute에 ","로 구분하여 저장하세요.}} | ||
예시) | 예시) | ||
| − | * Wk0900-1800 // 월 ~ 금 09:00 ~ 18:00 인증 가능 | + | * Wk0900-1800 // 월 ~ 금 09:00 ~ 18:00 인증 가능 |
| − | * Wk0900-1800, Sa0900-1200 // 월 ~ 금 09:00 ~ 18:00 인증 가능, 토요일 09:00 ~ 12:00 인증 가능 | + | * Wk0900-1800, Sa0900-1200 // 월 ~ 금 09:00 ~ 18:00 인증 가능, 토요일 09:00 ~ 12:00 인증 가능 |
* Any0900-1800 // 항상 09:00 ~ 18:00 인증 가능 | * Any0900-1800 // 항상 09:00 ~ 18:00 인증 가능 | ||
| − | * Any0900-1800, We2000-2100 //항상 09:00 ~ 18:00 인증 가능, 수요일은 20:00 ~ 21:00 인증 가능 | + | * Any0900-1800, We2000-2100 //항상 09:00 ~ 18:00 인증 가능, 수요일은 20:00 ~ 21:00 인증 가능 |
| + | * Sa // 토요일 모든 시간대에 인증 허용 | ||
* Any // 모든 요일 모든 시간대에 인증 허용(기본 값) | * Any // 모든 요일 모든 시간대에 인증 허용(기본 값) | ||
| + | |||
|- | |- | ||
| − | | User-Login-Time || := || [https://networkradius.com/doc/current/raddb/mods-available/logintime.html 참고] || Login-Time | + | | User-Login-Time || ''':=''' || [https://networkradius.com/doc/current/raddb/mods-available/logintime.html 참고] || Login-Time 속성과 동일하나 사용자가 특정 그룹에 포함되어 있고 그 그룹에 Login-Time 속성이 있는 경우 그것에 영향을 받지 않는 배타적(Exclusive) 속성입니다. 값 정의 예시는 Login-Time을 참고하세요. <br> |
'''이 속성은 사용자에만 적용됩니다.''' | '''이 속성은 사용자에만 적용됩니다.''' | ||
|- | |- | ||
| − | | Group-Login-Time || := || [https://networkradius.com/doc/current/raddb/mods-available/logintime.html 참고] || Login-Time | + | | Group-Login-Time || ''':=''' || [https://networkradius.com/doc/current/raddb/mods-available/logintime.html 참고] || Login-Time 속성과 동일하나 그룹에 포함된 사용자에 Login-Time 속성이 있어도 무시하고 Group-Login-Time 속성을 우선적으로 적용하는 배타적(Exclusive) 속성입니다. <br> |
다만, 사용자에 User-Login-Time이 있는 경우는 Group-Login-Time은 적용되지 않습니다.(User-Login-Time의 우선순위가 가장 높습니다.) 값 정의 예시는 Login-Time을 참고하세요. | 다만, 사용자에 User-Login-Time이 있는 경우는 Group-Login-Time은 적용되지 않습니다.(User-Login-Time의 우선순위가 가장 높습니다.) 값 정의 예시는 Login-Time을 참고하세요. | ||
'''이 속성은 그룹에만 적용됩니다.''' | '''이 속성은 그룹에만 적용됩니다.''' | ||
|- | |- | ||
| − | | Calling-Station-Id || =~ || mac 주소1 <nowiki>|</nowiki> mac 주소2 ... || 사용자 인증시 사용자 단말의 MAC 주소를 사용자 식별에 같이 포함시킬때 사용됩니다. 만일 이 속성이 포함되어 있으면 사용자 인증은 Username, User-Password, 그리고 MAC 주소가 모두 일치해야 합니다. 여러개의 MAC 주소를 정의하려면 <nowiki>"|"</nowiki>를 이용하면 됩니다. MAC 주소를 입력할때는 구분자 없이 소문자로 입력하세요. | + | | Login-Time-Nas-Identifier || ''':=''' || ssid || 이 속성은 사용자가 특정 SSID를 통해 연결된 경우에만 시간 인증을 적용한다는 의미이며 Login-Time, User-Login-Time, 또는 Group-Login-Time과 같이 정의할 수 있습니다. 복수개의 ssid를 정의하려면 <nowiki>"|"</nowiki>를 사용하세요.<br> |
| + | 예시) | ||
| + | * my-ssid-A <br> | ||
| + | * my-ssid-A <nowiki>|</nowiki> my-ssid-B | ||
| + | |- | ||
| + | | Calling-Station-Id || '''=~''' || mac 주소1 <nowiki>|</nowiki> mac 주소2 ... || 사용자 인증시 사용자 단말의 MAC 주소를 사용자 식별에 같이 포함시킬때 사용됩니다. 만일 이 속성이 포함되어 있으면 사용자 인증은 Username, User-Password, 그리고 MAC 주소가 모두 일치해야 합니다. 여러개의 MAC 주소를 정의하려면 <nowiki>"|"</nowiki>를 이용하면 됩니다. MAC 주소를 입력할때는 구분자 없이 소문자로 입력하세요. | ||
예시) | 예시) | ||
* 0000aaaa2222 // mac 주소 한개를 정의한 경우 <br> | * 0000aaaa2222 // mac 주소 한개를 정의한 경우 <br> | ||
| 43번째 줄: | 52번째 줄: | ||
{{note|MAC 주소는 16진수이며 a~f는 소문자로 구분자 없이 입력하세요. MAC 주소를 여러개 포함할 경우에는 반드시 하나의 Calling-Station-Id에 <nowiki>"|"</nowiki>로 구분하여 MAC 주소를 여러개를 입력하세요. 여러개의 MAC 주소가 정의된 경우 하나의 MAC 주소만 일치하면 인증됩니다.}} | {{note|MAC 주소는 16진수이며 a~f는 소문자로 구분자 없이 입력하세요. MAC 주소를 여러개 포함할 경우에는 반드시 하나의 Calling-Station-Id에 <nowiki>"|"</nowiki>로 구분하여 MAC 주소를 여러개를 입력하세요. 여러개의 MAC 주소가 정의된 경우 하나의 MAC 주소만 일치하면 인증됩니다.}} | ||
|- | |- | ||
| − | | Nas-Identifier || =~ || ssid || 개별 사용자 및 그룹에 포함된 사용자를 인증할때 ssid를 지정할 수 있습니다. 즉, 사용자가 특정 ssid를 통해 접속한 경우만 인증을 진행할 수 있습니다. 복수개의 ssid를 정의하려면 <nowiki>"|"</nowiki>를 사용하세요.<br> | + | | Nas-Identifier || '''=~''' || ssid || 개별 사용자 및 그룹에 포함된 사용자를 인증할때 ssid를 지정할 수 있습니다. 즉, 사용자가 특정 ssid를 통해 접속한 경우만 인증을 진행할 수 있습니다. 복수개의 ssid를 정의하려면 <nowiki>"|"</nowiki>를 사용하세요.<br> |
예시) | 예시) | ||
* my-ssid-A <br> | * my-ssid-A <br> | ||
| − | * my-ssid-A <nowiki>|</nowiki> | + | * my-ssid-A <nowiki>|</nowiki> my-ssid-B |
| + | |- | ||
| + | | Expiration || ''':=''' || datetime || 사용자 및 그룹 속성에 설정할 수 있으며 무선랜 인증 만료 시간을 의미합니다. 이 속성의 시간이 만료되면 이 속성을 가지는 사용자 또는 이 속성이 포함된 그룹에 속한 사용자의 무선랜 인증은 거부됩니다. | ||
| + | |||
| + | 만료 시간은 "%b %d %Y %H:%M:%S %Z" 형식으로 정의되어야 합니다. <br> | ||
| + | 예시) Oct 20 2023 14:00:00 KST | ||
| + | |||
| + | {{note|개별 사용자에 만료 시간을 설정 하려면 [[RADIUS 사용자]] 페이지의 상세 정보에서 "사용만료"를 지정하면 자동으로 이 attribute가 추가되므로 해당 인터페이스를 이용하세요.}} | ||
|- | |- | ||
|} | |} | ||
==== 유용한 사용자 및 그룹 응답 속성 ==== | ==== 유용한 사용자 및 그룹 응답 속성 ==== | ||
| + | 사용자 및 그룹에 설정 가능한 주요 응답 속성 입니다. | ||
| + | |||
{| class="wikitable" | {| class="wikitable" | ||
! width="200" | attribute !! 연산자 !! width="100" | 값 !! 설명 | ! width="200" | attribute !! 연산자 !! width="100" | 값 !! 설명 | ||
|- | |- | ||
| − | | Session-Timeout || := || 3600~86400(초) || 무선랜에 연결된 사용자의 Session- | + | | Session-Timeout || := || 3600~86400(초) || 무선랜에 연결된 사용자의 Session-Timeout을 의미하며 이 시간이 지나면 무선랜 암호화키를 새로 생성하여 안전한 무선랜 연결을 유지합니다. 일반적으로 무선랜 인증 서버를 통한 WPA-Enterprise 환경에서는 안전하게 키를 생성하여 암호화 채널을 유지하도록 지원하나 보다 안전한 암호화 채널을 유지하려면 이 속성을 이용하세요. |
| + | |- | ||
| + | | Tunnel-Medium-Type || := || 6 || 802 (includes all 802 media plus Ethernet “canonical format”)를 나타내며 VLAN 지정에 사용하려면 반드시 6을 사용하세요. | ||
| + | |- | ||
| + | | Tunnel-Private-Group-Id || := || VLAN ID or VLAN Name || VLAN ID 또는 VLAN 이름을 사용할 수 있으며 이름일 경우 최대 253 문자만 허용됩니다.{{note| VLAN Name은 일부 장비에서 올바르게 인식하지 않을 수 있으므로 VLAN ID 사용을 권장합니다.}} | ||
| + | |- | ||
| + | | Tunnel-Type|| := || 13 || Virtual LANs (VLAN)을 나타내며 LAN 지정에 사용하려면 반드시 13을 사용하세요. | ||
|- | |- | ||
|} | |} | ||
| + | 사용자 또는 그룹에 포함된 사용자에 특정 VLAN을 지정하려면 Tunnel-Medium-Type, Tunnel-Private-Group-Id, 그리고 Tunnel-Type를 응답속성에 포함시키면됩니다. | ||
| + | <br><br><br> | ||
2023년 11월 30일 (목) 16:01 기준 최신판
RADIUS > 속성(Attributes)
Remote Authentication Dial-In User Service (RADIUS) attributes는 특정 AAA(authentication, authorization, and accounting)를 정의하기 위해 사용되며 RADIUS 프로그램에 저장됩니다. 이 정보를 이용해 클라이언트와 서버가 AAA 정보를 주고 받습니다.[1]
이 메뉴를 통해 사용자는 RADIUS에서 사용되는 Attribute를 조회 할 수 있습니다.
유용한 사용자 및 그룹 인증 속성
사용자 및 그룹에 설정 가능한 주요 인증 속성 입니다.
| attribute | 연산자 | 값 | 설명 |
|---|---|---|---|
| PAP-Auth-Allow | := | 1 | 2 단계 인증 PAP 을 사용하지 않을때 이 속성을 사용하면 특정 사용자 혹은 그룹에 포함된 사용자는 2 단계 PAP 인증이 허용됩니다. |
| PAP-Auth-Deny | := | 1 | 2 단계 인증 PAP 을 사용할때 이 속성을 사용하면 특정 사용자 혹은 그룹에 포함된 사용자는 2 단계 PAP 인증이 거부됩니다. |
| Login-Time | += | 참고 | 지정된 요일/시간에 로그인 인증이 허용되며 무선랜이 이미 연결중인 상태에서 종료시간이 경과되면 연결이 자동 해제됩니다. 다만, 무선랜에 이미 연결된 상태에서 이 속성을 나중에 추가하면 무선랜 연결 자동 해제는 되지 않을 수 있습니다. 자동 연결 해제는 무선랜 장비에서 Session-Timeout을 지원해야만 기능을 수행 할 수 있습니다. 특정 사용자에 이 속성이 포함되어 있고 그 사용자가 포함된 그룹에도 또 다른 값으로 존재하는 경우 모든 시간이 같이 적용됩니다. 2개 이상의 시간대를 지정 하려면 여러개의 Login-Time attribute를 생성하지 말고 하나의 Login-Time attribute에 ","로 구분하여 저장하세요. 예시)
|
| User-Login-Time | := | 참고 | Login-Time 속성과 동일하나 사용자가 특정 그룹에 포함되어 있고 그 그룹에 Login-Time 속성이 있는 경우 그것에 영향을 받지 않는 배타적(Exclusive) 속성입니다. 값 정의 예시는 Login-Time을 참고하세요. 이 속성은 사용자에만 적용됩니다. |
| Group-Login-Time | := | 참고 | Login-Time 속성과 동일하나 그룹에 포함된 사용자에 Login-Time 속성이 있어도 무시하고 Group-Login-Time 속성을 우선적으로 적용하는 배타적(Exclusive) 속성입니다. 다만, 사용자에 User-Login-Time이 있는 경우는 Group-Login-Time은 적용되지 않습니다.(User-Login-Time의 우선순위가 가장 높습니다.) 값 정의 예시는 Login-Time을 참고하세요. 이 속성은 그룹에만 적용됩니다. |
| Login-Time-Nas-Identifier | := | ssid | 이 속성은 사용자가 특정 SSID를 통해 연결된 경우에만 시간 인증을 적용한다는 의미이며 Login-Time, User-Login-Time, 또는 Group-Login-Time과 같이 정의할 수 있습니다. 복수개의 ssid를 정의하려면 "|"를 사용하세요. 예시)
|
| Calling-Station-Id | =~ | mac 주소1 | mac 주소2 ... | 사용자 인증시 사용자 단말의 MAC 주소를 사용자 식별에 같이 포함시킬때 사용됩니다. 만일 이 속성이 포함되어 있으면 사용자 인증은 Username, User-Password, 그리고 MAC 주소가 모두 일치해야 합니다. 여러개의 MAC 주소를 정의하려면 "|"를 이용하면 됩니다. MAC 주소를 입력할때는 구분자 없이 소문자로 입력하세요.
예시)
MAC 주소는 16진수이며 a~f는 소문자로 구분자 없이 입력하세요. MAC 주소를 여러개 포함할 경우에는 반드시 하나의 Calling-Station-Id에 "|"로 구분하여 MAC 주소를 여러개를 입력하세요. 여러개의 MAC 주소가 정의된 경우 하나의 MAC 주소만 일치하면 인증됩니다. |
| Nas-Identifier | =~ | ssid | 개별 사용자 및 그룹에 포함된 사용자를 인증할때 ssid를 지정할 수 있습니다. 즉, 사용자가 특정 ssid를 통해 접속한 경우만 인증을 진행할 수 있습니다. 복수개의 ssid를 정의하려면 "|"를 사용하세요. 예시)
|
| Expiration | := | datetime | 사용자 및 그룹 속성에 설정할 수 있으며 무선랜 인증 만료 시간을 의미합니다. 이 속성의 시간이 만료되면 이 속성을 가지는 사용자 또는 이 속성이 포함된 그룹에 속한 사용자의 무선랜 인증은 거부됩니다.
만료 시간은 "%b %d %Y %H:%M:%S %Z" 형식으로 정의되어야 합니다. 개별 사용자에 만료 시간을 설정 하려면 RADIUS 사용자 페이지의 상세 정보에서 "사용만료"를 지정하면 자동으로 이 attribute가 추가되므로 해당 인터페이스를 이용하세요. |
유용한 사용자 및 그룹 응답 속성
사용자 및 그룹에 설정 가능한 주요 응답 속성 입니다.
| attribute | 연산자 | 값 | 설명 |
|---|---|---|---|
| Session-Timeout | := | 3600~86400(초) | 무선랜에 연결된 사용자의 Session-Timeout을 의미하며 이 시간이 지나면 무선랜 암호화키를 새로 생성하여 안전한 무선랜 연결을 유지합니다. 일반적으로 무선랜 인증 서버를 통한 WPA-Enterprise 환경에서는 안전하게 키를 생성하여 암호화 채널을 유지하도록 지원하나 보다 안전한 암호화 채널을 유지하려면 이 속성을 이용하세요. |
| Tunnel-Medium-Type | := | 6 | 802 (includes all 802 media plus Ethernet “canonical format”)를 나타내며 VLAN 지정에 사용하려면 반드시 6을 사용하세요. |
| Tunnel-Private-Group-Id | := | VLAN ID or VLAN Name | VLAN ID 또는 VLAN 이름을 사용할 수 있으며 이름일 경우 최대 253 문자만 허용됩니다. VLAN Name은 일부 장비에서 올바르게 인식하지 않을 수 있으므로 VLAN ID 사용을 권장합니다. |
| Tunnel-Type | := | 13 | Virtual LANs (VLAN)을 나타내며 LAN 지정에 사용하려면 반드시 13을 사용하세요. |
사용자 또는 그룹에 포함된 사용자에 특정 VLAN을 지정하려면 Tunnel-Medium-Type, Tunnel-Private-Group-Id, 그리고 Tunnel-Type를 응답속성에 포함시키면됩니다.