RADIUS 환경의 정책
RADIUS 정책은 RADIUS 에이전트에 의해 적용되며, 다음 요소를 함께 바인딩함으로써 생성됩니다.
sm1252sp1kkr
RADIUS 정책은 RADIUS 에이전트에 의해 적용되며, 다음 요소를 함께 바인딩함으로써 생성됩니다.
- 인증 규칙
- 응답
- 사용자 또는 사용자 그룹
- IP 주소, 시간 및 활성 정책(선택 사항)
RADIUS 정책은
Single Sign-On
에이전트가 사용하는 정책에 포함된 것과 동일한 요소로 구성되지만 RADIUS 에이전트가 이러한 구성 요소를 해석하는 방식에는 차이가 있습니다. 규칙, 영역 및 응답은 다음 표에서 보여 주는 것과 같이 각기 다른 기능을 수행합니다.정책 구성 요소
| RADIUS 정책에서의 기능
| 에이전트 정책에서의 기능
|
영역 | 에이전트를 식별합니다. 인증 체계를 식별합니다. 세션 만료 시간을 정의합니다. | 리소스 필터(에이전트가 제어할 도메인 내의 디렉터리)를 정의합니다. 에이전트를 식별합니다. 인증 체계를 식별합니다. 리소스의 상태(보호됨 또는 보호 안 함)를 정의합니다. 처리할 이벤트(인증 또는 권한 부여)를 식별합니다. 세션 만료 시간을 정의합니다. |
규칙 | 인증만 수행합니다. 액세스를 허용하거나 거부합니다. 시간 또는 활성 규칙 제한을 정의합니다. | 리소스 필터를 정의합니다. 작업(웹 에이전트 작업, 권한 부여 이벤트 또는 인증 이벤트)을 정의합니다. 액세스를 허용하거나 거부합니다. 권한 부여 및 인증을 수행합니다. 시간 또는 활성 규칙 제한을 정의합니다. |
응답 | 인증 이벤트에 대해 반환할 값을 정의합니다. | 권한 부여 이벤트에 대해 반환할 값을 정의합니다. 인증 이벤트에 대해 반환할 값을 정의합니다. 권한 부여 거부 이벤트에 대해 반환할 값을 정의합니다. 인증 거부 이벤트에 대해 반환할 값을 정의합니다. |
RADIUS와 비 RADIUS 리소스 비교
RADIUS 환경에서는 리소스 식별 방식으로 인해 RADIUS 정책의 요소가 부분적으로 다르게 처리됩니다.
웹 에이전트 환경에서는 특정 리소스가 영역 정의의 리소스 필터를 사용하여 식별됩니다. 리소스 필터는 리소스의 디렉터리 위치를 식별합니다. 또한 영역 정의는 다음 다이어그램에 표시된 것과 같이 웹 에이전트와 인증 체계를 식별합니다.

RADIUS 환경에서 보호된 리소스는 다른 위치에 있습니다. 필터를 사용하여 리소스를 식별하는 영역 대신 RADIUS 에이전트는
영역 힌트
를 사용하여 리소스를 식별합니다. 영역 힌트는 정책 서버가 사용자를 인증할 도메인을 설정할 수 있게 해 주는 특성입니다. 영역 힌트는 에이전트가 보호하는 특정 영역을 식별하거나 에이전트가 전체 NAS 장치를 보호해야 함을 나타냅니다.
영역 힌트 사용
도메인 A 및 도메인 B와 같이 서로 다른 도메인의 사용자를 인증해야 하는 NAS 장치를 RADIUS 에이전트에서는 어떤 방법으로 보호할까요? 영역 힌트는
Single Sign-On
이 사용자를 인증할 올바른 도메인을 결정할 수 있게 해 주는 RADIUS 특성입니다. RADIUS 에이전트에 다음과 같은 영역 힌트 값 중 하나를 제공해야 합니다.- 0 - (기본값) 정책 도메인에 영역이 하나만 있으므로 힌트가 필요하지 않음을 나타냅니다. 영역은 NAS 장치에 직접 바인딩됩니다.
- 1 - (RADIUS User-Name 특성) 아래에 설명된 바와 같이Single Sign-On이 이 특성의 사용자 이름에서 영역 이름을 구문 분석한 다음, 연결된 도메인을 찾습니다.
- 도메인의 실제 이름이 포함된 특성. 일부 NAS 장치에서는 이 특성을 사용할 수 없습니다. 자세한 내용은 사용 중인 NAS 장치의 제품 설명서를 참조하십시오.
영역 힌트가 1로 설정된 경우 영역 이름은 사용자 이름 특성에서 구문 분석됩니다. 사용자 이름과 영역 이름의 구분 기호는 "@" 또는 "/"여야 합니다.
- 구분 기호가 "@"인 경우 "@" 뒤의 요소가 영역 이름입니다. 예를 들어 [email protected]에서 영역은 realmA.com입니다.
- 구분 기호가 "/"인 경우 "/" 앞의 요소가 영역 이름입니다. 예를 들어 x5/jack에서 영역은 x5입니다.
다음 다이어그램 및 설명에서는 프록시 서버가 사용자를 인증할 올바른
Single Sign-On
도메인을 결정하는 방법을 보여 줍니다.
- RADIUS 에이전트 하나가 두Single Sign-On도메인을 모두 보호합니다. RADIUS 에이전트는 영역 힌트 값 1로 구성되어 있습니다.
- Jill이 ISP의 프록시 서버에 액세스하려고 하면 RADIUS 에이전트는 해당 요청을 가로채어 Jill의 사용자 이름 특성 [email protected]을 정책 서버에 전달합니다.
- 정책 서버가 사용자 이름 특성에서 사용자 이름과 영역 이름을 구문 분석합니다.예: [email protected]의 경우, jill은 사용자 이름이고 realmB.com은 영역 이름입니다.정책 서버가 영역 이름과 연결된 도메인을 식별합니다. realmB.com과 연결된 도메인은 도메인 B입니다.
- 정책 서버가 적절한 디렉터리에서 사용자 이름을 인증합니다. 사용자 이름 jill이 정책 B: realmB.com: 도메인 B에 대해 정의된 NT 사용자 도메인에서 인증됩니다.