(→개요) |
|||
| 5번째 줄: | 5번째 줄: | ||
RADIUS은 응용 프로그램 계층(application layer)에서 실행되는 clinet/server 기반 프로그램으로 Network access server나 RADIUS 클라이언트와 직접 통신을 수행합니다. 따라서 RADIUS는 802.1X 인증을 위한 수단으로 이용됩니다.<ref name='radius-wiki' /> | RADIUS은 응용 프로그램 계층(application layer)에서 실행되는 clinet/server 기반 프로그램으로 Network access server나 RADIUS 클라이언트와 직접 통신을 수행합니다. 따라서 RADIUS는 802.1X 인증을 위한 수단으로 이용됩니다.<ref name='radius-wiki' /> | ||
| − | WPA-Enterprise(또는 WPA-802.1X) 환경에서는 네트워크 서비스를 사용하려는 사용자를 위해 RADIUS 인증 서버가 반드시 필요합니다.<ref>https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access#WPA2</ref> 이러한 RADIUS 인증은 supplicant(사용자 단말) - NAS(Network Access Server) - RADIUS 서버로 구성되며 RADIUS 클라이언트의 인증 요청을 NAS가 RADIUS를 통해 확인 후 그 결과를 사용자 단말에 전달합니다. | + | WPA-Enterprise(또는 WPA-802.1X) 환경에서는 네트워크 서비스를 사용하려는 사용자를 위해 RADIUS 인증 서버가 반드시 필요합니다. |
| + | 본 시스템은 WPA, WPA2, 그리고 WPA2 Enterprise<ref>https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access#WPA2</ref> 환경에서 운영될 수 있으며EAP-TTLS<ref>https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP_Tunneled_Transport_Layer_Security_(EAP-TTLS)</ref>와 EAP-PEAP<ref>https://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol</ref>를 지원하며 EAP-TTLS가 기본으로 설정되어 있습니다. | ||
| + | |||
| + | 이러한 RADIUS 인증은 supplicant(사용자 단말) - NAS(Network Access Server) - RADIUS 서버로 구성되며 RADIUS 클라이언트의 인증 요청을 NAS가 RADIUS를 통해 확인 후 그 결과를 사용자 단말에 전달합니다. | ||
| + | |||
[[File:Drawing_RADIUS_1812.svg.png|400px]] | [[File:Drawing_RADIUS_1812.svg.png|400px]] | ||
| − | |||
imRAD는 '''FreeRADIUS 3.x'''를 기반으로 재생성된 시스템입니다.<br> | imRAD는 '''FreeRADIUS 3.x'''를 기반으로 재생성된 시스템입니다.<br> | ||
| 36번째 줄: | 39번째 줄: | ||
** 인증처리(Post-Authentication) | ** 인증처리(Post-Authentication) | ||
| − | 본 시스템은 | + | 본 시스템은 외부 데이터베이스 연동 인증(Pass-Through Authentication)을 수행 할 수 있는데 고객사의 데이터베이스에 직접 연결해 클라이언트의 username과 password를 직접 확인 해 네트워크 인증을 처리 할 수 있습니다. 이러한 구성을 사용할 경우 사용자 정보를 imRAD 시스템의 데이터베이스와 동기화할 필요는 없지만 고객사 데이터베이스에 다소 부하가 증가 될 수 있습니다. |
| + | |||
| + | 따라서 이러한 문제점을 해결하고자 imRAD는 "[[RADIUS_일반_설정 | 외부 데이터베이스 사용자 캐시]]" 기능을 이용해 고객사 데이터베이스를 통해 인증 된 사용자 정보(Username과 Password)를 imRAD 로컬 데이터베이스에 일정 기간 저장합니다. | ||
| + | |||
| + | |||
| + | [[File:pta.png|400px]] | ||
=== RADIUS 설정 === | === RADIUS 설정 === | ||
2021년 5월 20일 (목) 11:41 판
개요
RADIUS(Remote Authentication Dial-In User Service)는 1812와 1823포트에서 운영되는 네트워크 프로토콜이며 네트워크를 사용하려는 사용자를 위한 인증(Authentication), 허가(Authorization), 그리고 회계(Accounting) 기능을 수행합니다.[1][2]
RADIUS은 응용 프로그램 계층(application layer)에서 실행되는 clinet/server 기반 프로그램으로 Network access server나 RADIUS 클라이언트와 직접 통신을 수행합니다. 따라서 RADIUS는 802.1X 인증을 위한 수단으로 이용됩니다.[2]
WPA-Enterprise(또는 WPA-802.1X) 환경에서는 네트워크 서비스를 사용하려는 사용자를 위해 RADIUS 인증 서버가 반드시 필요합니다. 본 시스템은 WPA, WPA2, 그리고 WPA2 Enterprise[3] 환경에서 운영될 수 있으며EAP-TTLS[4]와 EAP-PEAP[5]를 지원하며 EAP-TTLS가 기본으로 설정되어 있습니다.
이러한 RADIUS 인증은 supplicant(사용자 단말) - NAS(Network Access Server) - RADIUS 서버로 구성되며 RADIUS 클라이언트의 인증 요청을 NAS가 RADIUS를 통해 확인 후 그 결과를 사용자 단말에 전달합니다.
imRAD는 FreeRADIUS 3.x를 기반으로 재생성된 시스템입니다.
FreeRADIUS에대한 자세한 정보는 https://wiki.freeradius.org/Home 를 참고하시기 바랍니다.
imRAD에서 제공하는 RADIUS 서비스는 다음과 같은 기능을 제공합니다.
- 로컬 데이터베이스 사용자 인증
- 그룹 정책따른 Authorization
- 외부 데이터베이스 혹은 LDAP 실시간 연동을 통한 사용자 인증
- 연동 가능한 DBMS 또는 LDAP
- MariaDB
- MySql
- Oracle 11g ~ 19c
- Microsoft SQL Server 2014 ~ 2019
- Tibero 6
- PostgreSQL 12
- SYBASE
- OpenLDAP
- Microsoft Active Directory Domain service
- Microsoft Active Directory Lightweight directory service
- 연동 가능한 DBMS 또는 LDAP
- 외부 데이터베이스 인증 정보 캐시
- Proxy / Eduroam 또는 에듀롬 인증
- NAS-ID 기반 인증
- 동시 접속 제한(Accouting이 제공된는 환경에서만 가능)
- TLS 1.2 이상
- 이력
- Accounting
- 인증처리(Post-Authentication)
본 시스템은 외부 데이터베이스 연동 인증(Pass-Through Authentication)을 수행 할 수 있는데 고객사의 데이터베이스에 직접 연결해 클라이언트의 username과 password를 직접 확인 해 네트워크 인증을 처리 할 수 있습니다. 이러한 구성을 사용할 경우 사용자 정보를 imRAD 시스템의 데이터베이스와 동기화할 필요는 없지만 고객사 데이터베이스에 다소 부하가 증가 될 수 있습니다.
따라서 이러한 문제점을 해결하고자 imRAD는 " 외부 데이터베이스 사용자 캐시" 기능을 이용해 고객사 데이터베이스를 통해 인증 된 사용자 정보(Username과 Password)를 imRAD 로컬 데이터베이스에 일정 기간 저장합니다.
RADIUS 설정
시작하기
RADIUS를 통한 인증을 처리하기위해서는 다음과 같이 2가지 과정이 필요합니다.
- NAS 장비에 imRAD 장비 IP 주소와 Shared secret key를 등록합니다.
- imRAD에 NAS 장비의 IP 주소와 위와 동일한 Shared secret key를 입력합니다. 등록하는 방법은 NAS 등록을 참고하세요.
위 두가지 과정이 완료되면 RADIUS는 등록된 NAS에서 요청하는 ACCESS-REQUEST를 처리합니다.
실제 단말(스마트폰, 테블릿 또는 노트북 등)로부터 인증을 시험하려면 RADIUS 인증 시험 문서와 같이 진행 할 수 있습니다.
사용자
그룹
속성(Attributes)
Accounting, 인증 처리
설정
일반
NAS
Realm/Proxy
외부 데이터베이스 인증
LDAP 인증
NAS-ID
RADIUS 인증 시험
References
- ↑ 본 시스템의 한글 환경에서는 "회계" 대신 "Accounting" 용어를 그대로 사용합니다.
- ↑ 2.0 2.1 https://en.wikipedia.org/wiki/RADIUS
- ↑ https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access#WPA2
- ↑ https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP_Tunneled_Transport_Layer_Security_(EAP-TTLS)
- ↑ https://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol