(새 문서: realm and proxy) |
잔글 (→realm 등록) |
||
| (사용자 3명의 중간 판 10개는 보이지 않습니다) | |||
| 1번째 줄: | 1번째 줄: | ||
| − | realm | + | === RADIUS > 설정 > Realms/Proxys === |
| + | <br> | ||
| + | [[Realm|Realm 및 Proxy]] 정의는 3가지로 구성됩니다. | ||
| + | {| class="wikitable" | ||
| + | | 홈 서버 풀 || 홈 서버의 그룹을 의미하며 하나의 홈 서버 풀에는 두 개 이상의 홈 서버를 포함 할 수 있습니다.<br> | ||
| + | 만일 두 개의 홈 서버가 포함되어 있다면 로컬 RADIUS는 하나의 서버가 장애로 판단되면 또 다른 서버로 인증을 요청합니다. | ||
| + | |- | ||
| + | | 홈 서버 || 인증을 처리할 외부 인증 서버 정보를 의미합니다. 홈 서버는 반드시 하나의 홈 서버 풀에 포함되어야 합니다. | ||
| + | |- | ||
| + | | Realm(렐름) || User-Name 영역을 지정하며 realm에 따라 특정 홈 서버에서 처리 할 것인지 아니면 로컬 RADIUS에서 처리 할 것인지를 정의합니다. | ||
| + | |- | ||
| + | |} | ||
| + | |||
| + | 새로운 Proxy를 정의하는 단계는 다음과 같습니다.<br> | ||
| + | 1. 홈 서버 풀 생성<br> | ||
| + | 2. 홈 서버 생성<br> | ||
| + | 3. Realm 생성<br> | ||
| + | |||
| + | |||
| + | ==== 홈 서버 풀 ==== | ||
| + | 홈 서버 풀 목록 하단의 "추가" 버튼을 클릭하여 입력 할 수 있습니다. | ||
| + | {| class="wikitable" | ||
| + | ! 항목 || 설명 | ||
| + | |- | ||
| + | | 이름 || 홈 서버 풀을 식별 하기 위한 이름으로 원하는 이름으로 지정하면 되나 영문/숫자만 허용됩니다. | ||
| + | |- | ||
| + | | 유형 || | ||
| + | * fail-over: 첫 번째 live 서버에 인증 요청을 시도하며 그 서버가 장애로 감지되면 두 번째 서버로 인증 요청을 전송합니다(default). | ||
| + | * client-balance: fail-over와 유사하나 인증 요청 패킷의 원본 IP 주소를 기반으로 외부 인증 서버(홈 서버)를 선택합니다.<ref> | ||
| + | 이 외에도 load-balance, client-port-balance, keyed-balance와 같은 유형이 존재하나 imRAD에서는 지원하지 않습니다. | ||
| + | </ref> | ||
| + | |- | ||
| + | |} | ||
| + | |||
| + | ==== 홈 서버 ==== | ||
| + | 모든 정보는 필수 입니다. | ||
| + | {| class="wikitable" | ||
| + | ! 항목 || 설명 | ||
| + | |- | ||
| + | | 이름 || 홈 서버를 식별 하기 위한 이름으로 원하는 이름으로 지정하면 되나 영문/숫자만 허용됩니다. | ||
| + | |- | ||
| + | | 유형 || | ||
| + | * auth: 인증 요청만 전송합니다(default). | ||
| + | * acct: Accounting만 전송합니다. | ||
| + | * auth+acct: 인증 요청 및 Accouting을 전송합니다. | ||
| + | 일반적으로 auth 및 auth+acct를 사용하며 어떠한 것을 사용 할 지는 외부 인증 서버 담당자에게 문의하세요. | ||
| + | |- | ||
| + | | Proxy 서버 IP 주소 || 외부 인증 서버의 IP 주소를 입력하세요. a.b.c.d/bit와 같은 서브넷 형태는 지원하지 않습니다. | ||
| + | |- | ||
| + | | 공유키 || 공유키(shared secret key)를 입력하세요. | ||
| + | |- | ||
| + | | 포트 || 인증 요청 혹은 accounting을 전송 할 외부 서버의 포트를 지정합니다.<br>표준 포트는 유형이 auth인 경우 1812 이며 acct인 경우는 1813 입니다. auth+acct인 경우도 1812를 입력하세요.<br> | ||
| + | 오래된 인증 서버는 1645, 1646를 사용하기도 하나 자세한 정보는 부 인증 서버 담당자에게 문의하세요. | ||
| + | |- | ||
| + | | 프로코콜 || 대부분의 radius 인증 서버는 udp를 사용합니다. | ||
| + | |- | ||
| + | | 홈 서버 풀 || | ||
| + | 이미 생성되어 있는 홈 서버 풀 중 하나를 선택하세요. <ref> | ||
| + | 하나의 홈 서버 풀에 포함되어 있는 모든 홈 서버의 유형은 동일해야 합니다. 즉, 홈 서버의 유형이 auth라면 또 다른 홈서버도 auth 유형으로 지정되어야 합니다. | ||
| + | {| class="wikitable" | ||
| + | |- | ||
| + | ! 홈 서버 풀 !! 홈 서버 !! 홈 서버 유형 | ||
| + | |- | ||
| + | | rowspan="2" | hsp-1<br>(정상) || hs-10 || auth | ||
| + | |- | ||
| + | | hs-11 || auth | ||
| + | |- | ||
| + | | rowspan="2" | hsp-2<br>(잘못된 설정) || hs-20 || auth | ||
| + | |- | ||
| + | | hs-21 || acct | ||
| + | |- | ||
| + | | rowspan="2" | hsp-3<br>(잘못된 설정) || hs-30 || auth | ||
| + | |- | ||
| + | | hs-31 || auth+acct | ||
| + | |- | ||
| + | |} | ||
| + | </ref> | ||
| + | |- | ||
| + | |} | ||
| + | <br> | ||
| + | 그 외 고급 항목을 클릭 시 설정할 수 있는 항목이 있으나 기본값 사용을 추천합니다. | ||
| + | {| class="wikitable" | ||
| + | ! 항목 || 설명 | ||
| + | |- | ||
| + | | Response Window || 서버가 요청에 응답하지 않는 경우 컨트롤러가 좀비 기간을 시작하는 시간(초)을 설정합니다. | ||
| + | |- | ||
| + | | Response Timeouts || 서버가 요청에 대한 응답을 대기하는 시간(초)을 설정합니다. | ||
| + | |- | ||
| + | | Zombie Period || 서버가 좀비 기간 동안 어떤 패킷에도 응답하지 않으면 비활성 또는 연결할 수 없는 것으로 간주되는 시간(초)을 설정합니다. | ||
| + | |- | ||
| + | | Status Check || 정기적인 상태 검사를 수행하여 죽은 홈 서버가 다시 살아났는지 확인합니다.<br> | ||
| + | none:revive_interval 시간이 사용됩니다. | ||
| + | <br> | ||
| + | status-server:Status-Server 패킷이 전송됩니다. | ||
| + | <br> | ||
| + | request:Access-Request 또는 Accounting-Request 패킷이 전송됩니다. | ||
| + | |- | ||
| + | | Revive Interval || 비활성 또는 연결할 수 없는 것으로 표시된 후 서버에 프록시로 전송되는 RADIUS 메시지가 없는 경우 <br>컨트롤러는 서버를 다시 활성으로 표시하고 도달할 수 있게 된 것으로 가정하는 시간(초)을 설정합니다. <br>기본값은 120초입니다. | ||
| + | |- | ||
| + | |} | ||
| + | |||
| + | ==== Realms ==== | ||
| + | realm은 DEFAULT realm과 <my.company.com>와 같은 영역 이름 형태로 지정 할 수 있습니다.<br> | ||
| + | DEFAULT realm은 reaml 포함된 모든 user-name은 지정된 홈 서버를 통해 인증을 처리한다는 의미입니다. | ||
| + | 그렇지 않고 <my.company.com>와 같은 특정 realm에 홈 서버를 지정하면 <my.company.com>이 포함된 user-name은 지정된 홈 서버로 인증 요청을 전송합니다.<br> | ||
| + | |||
| + | 아래 예시는 다음과 같습니다.<br> | ||
| + | kim@sales.basein.net과 같은 user-name은 hsp-2에 포함된 홈 서버에서 인증하며 park@tech.basein.net과 같은 user-name은 로컬 RADIUS를 통해 인증하고 나머지 realm이 포함된 user-name은 로컬 RADIUS에서 인증을 처리합니다.<br> | ||
| + | realm이 포함되지 않은 user-name(에, hong)은 로컬 RADIUS에서 인증 합니다. | ||
| + | {| class="wikitable" | ||
| + | |- | ||
| + | ! realm 이름 !! 홈 서버 풀 | ||
| + | |- | ||
| + | | DEFAULT || LOCAL | ||
| + | |- | ||
| + | | sales.basein.net || hsp-2 | ||
| + | |- | ||
| + | | tech.basein.net || LOCAL | ||
| + | |- | ||
| + | |} | ||
| + | |||
| + | |||
| + | ===== realm 등록 ===== | ||
| + | {| class="wikitable" | ||
| + | |- | ||
| + | ! 항목 !! 필수 !! 설명 | ||
| + | |- | ||
| + | | Realm 이름 || 예 || Realm 이름을 지정하며 realm이 지정되지 않은 나머지 모든 realm은 DEFAULT라고 입력하세요. | ||
| + | |- | ||
| + | | 홈 서버 풀 || 예 || realm이 포함된 User-name에 대한 인증을 처리할 풀을 선택하세요. | ||
| + | |- | ||
| + | | Realm 지정 NAS-ID || 아니오 || 이 값이 선택되면 지정된 NAS-ID를 통해 요청된 인증 정보만 홈 서버에 전송합니다. | ||
| + | |- | ||
| + | | nostrip || 아니오 || User-name과 realm 영역을 분리해 홈 서버에 전송 할 것인지를 나타냅니다.<br> | ||
| + | 일반적으로 홈 서버에 User-Name을 전송 할 때는 원본 형태를 그대로 유지 합니다.<br> | ||
| + | 예)<br> | ||
| + | {| | ||
| + | |- | ||
| + | ! nostrip !! 로컬 radius에 수신된 User-Name !! 홈 서버에 수신된 User-Name | ||
| + | |- | ||
| + | | 선택 함 || hong@sales.baseinet || hong@sales.basinet | ||
| + | |- | ||
| + | | 선택 안 함 || hong@sales.baseinet || hong | ||
| + | |- | ||
| + | |} | ||
| + | |- | ||
| + | | 정규식 || 아니오 || 정규식 형태로 realm 이름을 지정 할 경우 선택하세요.<br> 정규식은 realm이 여러 sub-domain으로 이뤄진 환경에서 사용 하면 하나의 realm으로 여러 sub-domain을<br>포함 할 수 있습니다.<br> | ||
| + | 만일 example.net와 같은 realm을 등록 후 정규식을 선택하면 '''~(.*\.)*example\.net$'''와 같은 정규식으로<br>자동 전환되며 example.net의 모든 sub-domain에 대해서 처리 할 수 있습니다.<ref> | ||
| + | realm은 구분자(delimiter)인 "@,/,%"등으로 User-Name과 realm을 분리하므로 정규식을 선택하지 않으면 모든 sub-doamin에 대해 각각 정의해야 합니다.<br> | ||
| + | 예) | ||
| + | a.example.com, b.example.com, c.example.com, .... | ||
| + | </ref> | ||
| + | |- | ||
| + | |} | ||
| + | <br><br><br> | ||
| + | <hr> | ||
2023년 10월 26일 (목) 17:18 기준 최신판
RADIUS > 설정 > Realms/Proxys
Realm 및 Proxy 정의는 3가지로 구성됩니다.
| 홈 서버 풀 | 홈 서버의 그룹을 의미하며 하나의 홈 서버 풀에는 두 개 이상의 홈 서버를 포함 할 수 있습니다. 만일 두 개의 홈 서버가 포함되어 있다면 로컬 RADIUS는 하나의 서버가 장애로 판단되면 또 다른 서버로 인증을 요청합니다. |
| 홈 서버 | 인증을 처리할 외부 인증 서버 정보를 의미합니다. 홈 서버는 반드시 하나의 홈 서버 풀에 포함되어야 합니다. |
| Realm(렐름) | User-Name 영역을 지정하며 realm에 따라 특정 홈 서버에서 처리 할 것인지 아니면 로컬 RADIUS에서 처리 할 것인지를 정의합니다. |
새로운 Proxy를 정의하는 단계는 다음과 같습니다.
1. 홈 서버 풀 생성
2. 홈 서버 생성
3. Realm 생성
홈 서버 풀
홈 서버 풀 목록 하단의 "추가" 버튼을 클릭하여 입력 할 수 있습니다.
| 항목 | 설명 |
|---|---|
| 이름 | 홈 서버 풀을 식별 하기 위한 이름으로 원하는 이름으로 지정하면 되나 영문/숫자만 허용됩니다. |
| 유형 |
|
홈 서버
모든 정보는 필수 입니다.
| 항목 | 설명 |
|---|---|
| 이름 | 홈 서버를 식별 하기 위한 이름으로 원하는 이름으로 지정하면 되나 영문/숫자만 허용됩니다. |
| 유형 |
일반적으로 auth 및 auth+acct를 사용하며 어떠한 것을 사용 할 지는 외부 인증 서버 담당자에게 문의하세요. |
| Proxy 서버 IP 주소 | 외부 인증 서버의 IP 주소를 입력하세요. a.b.c.d/bit와 같은 서브넷 형태는 지원하지 않습니다. |
| 공유키 | 공유키(shared secret key)를 입력하세요. |
| 포트 | 인증 요청 혹은 accounting을 전송 할 외부 서버의 포트를 지정합니다. 표준 포트는 유형이 auth인 경우 1812 이며 acct인 경우는 1813 입니다. auth+acct인 경우도 1812를 입력하세요. 오래된 인증 서버는 1645, 1646를 사용하기도 하나 자세한 정보는 부 인증 서버 담당자에게 문의하세요. |
| 프로코콜 | 대부분의 radius 인증 서버는 udp를 사용합니다. |
| 홈 서버 풀 |
이미 생성되어 있는 홈 서버 풀 중 하나를 선택하세요. [2] |
그 외 고급 항목을 클릭 시 설정할 수 있는 항목이 있으나 기본값 사용을 추천합니다.
| 항목 | 설명 |
|---|---|
| Response Window | 서버가 요청에 응답하지 않는 경우 컨트롤러가 좀비 기간을 시작하는 시간(초)을 설정합니다. |
| Response Timeouts | 서버가 요청에 대한 응답을 대기하는 시간(초)을 설정합니다. |
| Zombie Period | 서버가 좀비 기간 동안 어떤 패킷에도 응답하지 않으면 비활성 또는 연결할 수 없는 것으로 간주되는 시간(초)을 설정합니다. |
| Status Check | 정기적인 상태 검사를 수행하여 죽은 홈 서버가 다시 살아났는지 확인합니다. none:revive_interval 시간이 사용됩니다.
|
| Revive Interval | 비활성 또는 연결할 수 없는 것으로 표시된 후 서버에 프록시로 전송되는 RADIUS 메시지가 없는 경우 컨트롤러는 서버를 다시 활성으로 표시하고 도달할 수 있게 된 것으로 가정하는 시간(초)을 설정합니다. 기본값은 120초입니다. |
Realms
realm은 DEFAULT realm과 <my.company.com>와 같은 영역 이름 형태로 지정 할 수 있습니다.
DEFAULT realm은 reaml 포함된 모든 user-name은 지정된 홈 서버를 통해 인증을 처리한다는 의미입니다.
그렇지 않고 <my.company.com>와 같은 특정 realm에 홈 서버를 지정하면 <my.company.com>이 포함된 user-name은 지정된 홈 서버로 인증 요청을 전송합니다.
아래 예시는 다음과 같습니다.
kim@sales.basein.net과 같은 user-name은 hsp-2에 포함된 홈 서버에서 인증하며 park@tech.basein.net과 같은 user-name은 로컬 RADIUS를 통해 인증하고 나머지 realm이 포함된 user-name은 로컬 RADIUS에서 인증을 처리합니다.
realm이 포함되지 않은 user-name(에, hong)은 로컬 RADIUS에서 인증 합니다.
| realm 이름 | 홈 서버 풀 |
|---|---|
| DEFAULT | LOCAL |
| sales.basein.net | hsp-2 |
| tech.basein.net | LOCAL |
realm 등록
| 항목 | 필수 | 설명 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Realm 이름 | 예 | Realm 이름을 지정하며 realm이 지정되지 않은 나머지 모든 realm은 DEFAULT라고 입력하세요. | |||||||||
| 홈 서버 풀 | 예 | realm이 포함된 User-name에 대한 인증을 처리할 풀을 선택하세요. | |||||||||
| Realm 지정 NAS-ID | 아니오 | 이 값이 선택되면 지정된 NAS-ID를 통해 요청된 인증 정보만 홈 서버에 전송합니다. | |||||||||
| nostrip | 아니오 | User-name과 realm 영역을 분리해 홈 서버에 전송 할 것인지를 나타냅니다. 일반적으로 홈 서버에 User-Name을 전송 할 때는 원본 형태를 그대로 유지 합니다.
| |||||||||
| 정규식 | 아니오 | 정규식 형태로 realm 이름을 지정 할 경우 선택하세요. 정규식은 realm이 여러 sub-domain으로 이뤄진 환경에서 사용 하면 하나의 realm으로 여러 sub-domain을 포함 할 수 있습니다. 만일 example.net와 같은 realm을 등록 후 정규식을 선택하면 ~(.*\.)*example\.net$와 같은 정규식으로 |
- ↑ 이 외에도 load-balance, client-port-balance, keyed-balance와 같은 유형이 존재하나 imRAD에서는 지원하지 않습니다.
- ↑
하나의 홈 서버 풀에 포함되어 있는 모든 홈 서버의 유형은 동일해야 합니다. 즉, 홈 서버의 유형이 auth라면 또 다른 홈서버도 auth 유형으로 지정되어야 합니다.
홈 서버 풀 홈 서버 홈 서버 유형 hsp-1
(정상)hs-10 auth hs-11 auth hsp-2
(잘못된 설정)hs-20 auth hs-21 acct hsp-3
(잘못된 설정)hs-30 auth hs-31 auth+acct - ↑
realm은 구분자(delimiter)인 "@,/,%"등으로 User-Name과 realm을 분리하므로 정규식을 선택하지 않으면 모든 sub-doamin에 대해 각각 정의해야 합니다.
예) a.example.com, b.example.com, c.example.com, ....