(→개요) |
(→시작하기) |
||
| 51번째 줄: | 51번째 줄: | ||
=== RADIUS 설정 === | === RADIUS 설정 === | ||
===== 시작하기 ===== | ===== 시작하기 ===== | ||
| − | RADIUS를 통한 인증을 | + | RADIUS를 통한 인증을 처리하기 위한 가장 기본적인 단계는 다음 2가지 과정과 같습니다. |
# [[NAS]] 장비에 imRAD 장비 IP 주소와 Shared secret key를 등록합니다. | # [[NAS]] 장비에 imRAD 장비 IP 주소와 Shared secret key를 등록합니다. | ||
| 58번째 줄: | 58번째 줄: | ||
위 두가지 과정이 완료되면 RADIUS는 등록된 NAS에서 요청하는 ACCESS-REQUEST를 처리합니다.<br> | 위 두가지 과정이 완료되면 RADIUS는 등록된 NAS에서 요청하는 ACCESS-REQUEST를 처리합니다.<br> | ||
실제 단말(스마트폰, 테블릿 또는 노트북 등)로부터 인증을 시험하려면 [[RADIUS 인증 시험]] 문서와 같이 진행 할 수 있습니다. | 실제 단말(스마트폰, 테블릿 또는 노트북 등)로부터 인증을 시험하려면 [[RADIUS 인증 시험]] 문서와 같이 진행 할 수 있습니다. | ||
| + | |||
===== [[RADIUS 사용자|사용자]]===== | ===== [[RADIUS 사용자|사용자]]===== | ||
===== [[RADIUS 그룹|그룹]]===== | ===== [[RADIUS 그룹|그룹]]===== | ||
2021년 5월 20일 (목) 16:35 판
개요
RADIUS(Remote Authentication Dial-In User Service)는 1812와 1823포트에서 운영되는 네트워크 프로토콜이며 네트워크를 사용하려는 사용자를 위한 인증(Authentication), 허가(Authorization), 그리고 회계(Accounting) 기능을 수행합니다.[1][2]
RADIUS은 응용 프로그램 계층(application layer)에서 실행되는 clinet/server 기반 프로그램으로 Network Access Server(NAS)나 RADIUS 클라이언트와 직접 통신을 수행하며 802.1X[3] 인증을 위한 수단으로 이용됩니다.[2]
무선랜의 WPA-Enterprise(또는 WPA-802.1X) 환경에서는 네트워크 서비스를 사용하려는 사용자를 위해 RADIUS 인증 서버가 반드시 필요합니다. 본 시스템은 WPA, WPA2, 그리고 WPA2 Enterprise[4] 환경에서 운영될 수 있으며EAP-TTLS[5]와 EAP-PEAP[6]를 지원하며 EAP-TTLS가 기본으로 설정되어 있습니다.
이러한 RADIUS 인증은 supplicant(사용자 단말) - NAS(Network Access Server) - RADIUS 서버로 구성되며 RADIUS 클라이언트의 인증 요청을 NAS가 RADIUS를 통해 확인 후 그 결과를 사용자 단말에 전달합니다.
imRAD는 FreeRADIUS 3.x를 기반으로 재생성된 시스템입니다.
FreeRADIUS에대한 자세한 정보는 https://wiki.freeradius.org/Home 를 참고하시기 바랍니다.
imRAD에서 제공하는 RADIUS 서비스는 다음과 같은 기능을 제공합니다.
- 로컬 데이터베이스 사용자 인증
- 그룹 정책따른 Authorization
- 외부 데이터베이스 혹은 LDAP 실시간 연동을 통한 사용자 인증
- 연동 가능한 DBMS 또는 LDAP
- MariaDB
- MySql
- Oracle 11g ~ 19c
- Microsoft SQL Server 2014 ~ 2019
- Tibero 6
- PostgreSQL 12
- SYBASE
- OpenLDAP
- Microsoft Active Directory Domain service
- Microsoft Active Directory Lightweight directory service
- 연동 가능한 DBMS 또는 LDAP
- 외부 데이터베이스 인증 정보 캐시
- Proxy / Eduroam 또는 에듀롬 인증
- NAS-ID 기반 인증
- 동시 접속 제한(Accouting이 제공된는 환경에서만 가능)
- TLS 1.2 이상
- 이력
- Accounting
- 인증처리(Post-Authentication)
본 시스템은 외부 데이터베이스 연동 인증(Pass-Through Authentication)을 수행 할 수 있는데 고객사의 데이터베이스에 연결해 클라이언트의 username과 password를 직접 확인 후 네트워크 인증을 처리 할 수 있습니다. 이러한 구성을 사용할 경우 사용자 정보를 imRAD 시스템의 데이터베이스와 동기화할 필요는 없지만 고객사 데이터베이스에 다소 부하가 증가 될 수 있습니다.
따라서 이러한 문제점을 해결하고자 imRAD는 " 외부 데이터베이스 사용자 캐시" 기능을 이용해 고객사 데이터베이스를 통해 인증 된 사용자 정보(Username과 Password)를 imRAD 로컬 데이터베이스에 일정 기간 저장합니다. Password는 혹호와할 수 있는 형태로 안전하게 암호화되어 저장되므로 본 시스템에 저장된 Username의 원본 Pasword는 관리자가 확인 할 수 없습니다.
TLS(Transport Layer Security) 버전은 1.0에서 1.3까지 모두 지원합니다. 일부 운영체제에서는 여전히 1.0 버전을 사용합니다.
에듀롬(Eduroam[7])과 같은 로밍 서비스를 위해 Proxy 기능도 제공됩니다.
RADIUS 설정
시작하기
RADIUS를 통한 인증을 처리하기 위한 가장 기본적인 단계는 다음 2가지 과정과 같습니다.
- NAS 장비에 imRAD 장비 IP 주소와 Shared secret key를 등록합니다.
- imRAD에 NAS 장비의 IP 주소와 위와 동일한 Shared secret key를 입력합니다. 등록하는 방법은 NAS 등록을 참고하세요.
위 두가지 과정이 완료되면 RADIUS는 등록된 NAS에서 요청하는 ACCESS-REQUEST를 처리합니다.
실제 단말(스마트폰, 테블릿 또는 노트북 등)로부터 인증을 시험하려면 RADIUS 인증 시험 문서와 같이 진행 할 수 있습니다.
사용자
그룹
속성(Attributes)
Accounting, 인증 처리
설정
일반
NAS
Realm/Proxy
외부 데이터베이스 인증
LDAP 인증
NAS-ID
RADIUS 인증 시험
References
- ↑ 본 시스템의 한글 환경에서는 "회계" 대신 "Accounting" 용어를 그대로 사용합니다.
- ↑ 2.0 2.1 https://en.wikipedia.org/wiki/RADIUS
- ↑ https://en.wikipedia.org/wiki/IEEE_802.1X
- ↑ https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access#WPA2
- ↑ https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP_Tunneled_Transport_Layer_Security_(EAP-TTLS)
- ↑ https://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol
- ↑ https://ko.wikipedia.org/wiki/%EC%97%90%EB%93%80%EB%A1%AC