RADIUS 환경의 정책

RADIUS 정책은 RADIUS 에이전트에 의해 적용되며, 다음 요소를 함께 바인딩함으로써 생성됩니다.
sm1252sp1kkr
RADIUS 정책은 RADIUS 에이전트에 의해 적용되며, 다음 요소를 함께 바인딩함으로써 생성됩니다.
  • 인증 규칙
  • 응답
  • 사용자 또는 사용자 그룹
  • IP 주소, 시간 및 활성 정책(선택 사항)
RADIUS 정책은
Single Sign-On
에이전트가 사용하는 정책에 포함된 것과 동일한 요소로 구성되지만 RADIUS 에이전트가 이러한 구성 요소를 해석하는 방식에는 차이가 있습니다. 규칙, 영역 및 응답은 다음 표에서 보여 주는 것과 같이 각기 다른 기능을 수행합니다.
정책 구성 요소
RADIUS 정책에서의 기능
에이전트 정책에서의 기능
영역
에이전트를 식별합니다.
인증 체계를 식별합니다.
세션 만료 시간을 정의합니다.
리소스 필터(에이전트가 제어할 도메인 내의 디렉터리)를 정의합니다.
에이전트를 식별합니다.
인증 체계를 식별합니다.
리소스의 상태(보호됨 또는 보호 안 함)를 정의합니다.
처리할 이벤트(인증 또는 권한 부여)를 식별합니다.
세션 만료 시간을 정의합니다.
규칙
인증만 수행합니다.
액세스를 허용하거나 거부합니다.
시간 또는 활성 규칙 제한을 정의합니다.
리소스 필터를 정의합니다.
작업(웹 에이전트 작업, 권한 부여 이벤트 또는 인증 이벤트)을 정의합니다.
액세스를 허용하거나 거부합니다.
권한 부여 및 인증을 수행합니다.
시간 또는 활성 규칙 제한을 정의합니다.
응답
인증 이벤트에 대해 반환할 값을 정의합니다.
권한 부여 이벤트에 대해 반환할 값을 정의합니다.
인증 이벤트에 대해 반환할 값을 정의합니다.
권한 부여 거부 이벤트에 대해 반환할 값을 정의합니다.
인증 거부 이벤트에 대해 반환할 값을 정의합니다.
 
RADIUS와 비 RADIUS 리소스 비교
RADIUS 환경에서는 리소스 식별 방식으로 인해 RADIUS 정책의 요소가 부분적으로 다르게 처리됩니다.
웹 에이전트 환경에서는 특정 리소스가 영역 정의의 리소스 필터를 사용하여 식별됩니다. 리소스 필터는 리소스의 디렉터리 위치를 식별합니다. 또한 영역 정의는 다음 다이어그램에 표시된 것과 같이 웹 에이전트와 인증 체계를 식별합니다.
Non-RADIUS resources
RADIUS 환경에서 보호된 리소스는 다른 위치에 있습니다. 필터를 사용하여 리소스를 식별하는 영역 대신 RADIUS 에이전트는
영역 힌트
를 사용하여 리소스를 식별합니다. 영역 힌트는 정책 서버가 사용자를 인증할 도메인을 설정할 수 있게 해 주는 특성입니다. 영역 힌트는 에이전트가 보호하는 특정 영역을 식별하거나 에이전트가 전체 NAS 장치를 보호해야 함을 나타냅니다.
Radius Environment
영역 힌트 사용
도메인 A 및 도메인 B와 같이 서로 다른 도메인의 사용자를 인증해야 하는 NAS 장치를 RADIUS 에이전트에서는 어떤 방법으로 보호할까요? 영역 힌트는
Single Sign-On
이 사용자를 인증할 올바른 도메인을 결정할 수 있게 해 주는 RADIUS 특성입니다. RADIUS 에이전트에 다음과 같은 영역 힌트 값 중 하나를 제공해야 합니다.
  • 0 - (기본값) 정책 도메인에 영역이 하나만 있으므로 힌트가 필요하지 않음을 나타냅니다. 영역은 NAS 장치에 직접 바인딩됩니다.
  • 1 - (RADIUS User-Name 특성) 아래에 설명된 바와 같이
    Single Sign-On
    이 이 특성의 사용자 이름에서 영역 이름을 구문 분석한 다음, 연결된 도메인을 찾습니다.
  • 도메인의 실제 이름이 포함된 특성. 일부 NAS 장치에서는 이 특성을 사용할 수 없습니다. 자세한 내용은 사용 중인 NAS 장치의 제품 설명서를 참조하십시오.
영역 힌트가 1로 설정된 경우 영역 이름은 사용자 이름 특성에서 구문 분석됩니다. 사용자 이름과 영역 이름의 구분 기호는 "@" 또는 "/"여야 합니다.
  • 구분 기호가 "@"인 경우 "@" 뒤의 요소가 영역 이름입니다. 예를 들어 [email protected]에서 영역은 realmA.com입니다.
  • 구분 기호가 "/"인 경우 "/" 앞의 요소가 영역 이름입니다. 예를 들어 x5/jack에서 영역은 x5입니다.
다음 다이어그램 및 설명에서는 프록시 서버가 사용자를 인증할 올바른
Single Sign-On
도메인을 결정하는 방법을 보여 줍니다.
Example showing the use of realm hints
  1. RADIUS 에이전트 하나가 두
    Single Sign-On
    도메인을 모두 보호합니다. RADIUS 에이전트는 영역 힌트 값 1로 구성되어 있습니다.
  2. Jill이 ISP의 프록시 서버에 액세스하려고 하면 RADIUS 에이전트는 해당 요청을 가로채어 Jill의 사용자 이름 특성 [email protected]을 정책 서버에 전달합니다.
  3. 정책 서버가 사용자 이름 특성에서 사용자 이름과 영역 이름을 구문 분석합니다.
    예: [email protected]의 경우, jill은 사용자 이름이고 realmB.com은 영역 이름입니다.
    정책 서버가 영역 이름과 연결된 도메인을 식별합니다. realmB.com과 연결된 도메인은 도메인 B입니다.
  4. 정책 서버가 적절한 디렉터리에서 사용자 이름을 인증합니다. 사용자 이름 jill이 정책 B: realmB.com: 도메인 B에 대해 정의된 NT 사용자 도메인에서 인증됩니다.