사용자 디렉터리가 두 개인 이종 RADIUS 환경에서 사용자를 인증하는 방법

목차
casso12kr
목차
각 NAS 장치의 사용자 정보가 개별 사용자 디렉터리에 있는 경우 여러 NAS 장치의 사용자를 인증하도록 정책 서버를 구성할 수도 있습니다. NAS 장치의 공급업체 유형은 서로 다를 수 있습니다.
이 구성을 사용하면 다음과 같은 몇 가지 장점이 있습니다.
  • 단일 정책 도메인에 사용자 디렉터리를 두 개 사용하면 서로 다른 사용자에게 각 디렉터리의 관리를 위임할 수 있습니다.
  • 여러 RADIUS 클라이언트의 사용자를 인증하도록 정책 서버를 구성하여 시간을 절약할 수 있습니다. RADIUS 클라이언트마다 개별 인증 서버를 설치하고 구성할 필요가 없습니다.
  • 기존 사용자 디렉터리를 보다 효율적으로 사용할 수 있습니다. 사용자 정보를 단일 디렉터리에 병합할 필요가 없습니다.
다음 그림에서는 사용자 디렉터리를 두 개 사용하는 이종 구성의 예를 보여 줍니다.
How Authenticating Users in Heterogeneous RADIUSEnvironments with Two User Directories Works
이전 섹션에서 설명한 토폴로지와 달리 이 정책 서버는
두 개
의 사용자 디렉터리를 사용하여 사용자를 인증합니다. Cisco RAS 사용자에 대한 사용자 정보는 사용자 디렉터리 A에 저장됩니다. Checkpoint 방화벽의 사용자 정보는 사용자 디렉터리 B에 저장됩니다. 정책 서버는 이러한 두 디렉터리를 모두 사용하여 사용자를 인증할 수 있습니다.
구성을 두 개의 정책 도메인으로 나누면 영역 힌트가 필요하지 않게 됩니다. 각 RADIUS 에이전트는 개별 정책 도메인에 있으며 한 영역에만 바인딩됩니다.
사용자 디렉터리가 두 개 사용될 때의 인증 프로세스는 다음과 같습니다.
  1. 원격 사용자가 전화 접속 모뎀을 사용하여 연결하면 Cisco RAS는 RADIUS 사용자 프로필을 사용하여 사용자를 인증해야 하는지 확인합니다.
  2. RAS가 정책 서버에 사용자 연결 요청을 보냅니다.
  3. 정책 서버가 RAS에 대해 정의된 정책을 규정하고 RADIUS 에이전트가 에이전트에 대해 구성된 인증 체계를 사용하여 사용자의 이름과 암호를 가져옵니다.
  4. 정책 서버가 정책의 도메인과 연결된 사용자 디렉터리 및 정책 저장소를 기준으로 사용자 정보를 평가합니다.
  5. 정책 서버가 Cisco RAS에 인증 응답을 보내고 다음 중 하나가 발생합니다.
    • 인증에 실패한 경우 RAS가 연결을 거부합니다.
    • 인증에 성공한 경우 RAS가 RADIUS 서버의 데이터베이스에 있는 사용자 프로필에서 특성 목록을 받고 호출자에 대한 네트워크 액세스를 설정합니다.
      RAS가 정책 서버에 세션이 시작되었다는 사실과 세션이 종료되는 시기를 알립니다.
인터넷 사용자가 Checkpoint 방화벽을 사용하여 인터넷 서비스 공급자에 전화 접속을 시도할 경우에도 이와 동일한 인증 프로세스가 발생합니다. 그러나 정책 서버는 다른 사용자 디렉터리를 기준으로 인터넷 사용자의 인증 정보를 평가합니다.
시스템 및 정책 도메인을 구성하는 방법
위에서 설명한 사용자 디렉터리가 두 개 포함된 이종 환경을 구성하려면 다음을 수행해야 합니다.
  1. 시스템을 구성합니다.
    1. 두 개의 디렉터리를 사용하는 이종 환경에 대한 에이전트 정의에 설명된 대로 두 개의 RADIUS 에이전트를 정의합니다.
    2. 사용자 디렉터리 설정에 설명된 대로 사용자 디렉터리를 설정합니다.
    3. 두 개의 정책 도메인 만들기에 설명된 대로 정책 도메인을 두 개 생성합니다.
  2. 정책 도메인을 구성합니다.
    1. 영역 하나를 정의합니다. 이 영역은 RADIUS 에이전트를 RADIUS 인증 체계와 바인딩합니다.
    2. 인증된 사용자가 영역에 액세스할 수 있도록 하는 규칙을 정의합니다. 각 규칙은 영역을 액세스 허용 또는 거부 이벤트와 바인딩합니다.
    3. NAS 장치에 사용자 프로필을 제공하는 응답을 정의하고, 필요한 경우 응답 특성을 사용하여 세션의 특성을 구성합니다.
    4. 규칙을 응답과 바인딩하는 정책을 생성합니다. 또한 이 정책은 규칙 및 응답을 RADIUS 사용자 디렉터리와 바인딩합니다.
두 개의 디렉터리를 사용하는 이종 환경에 대한 에이전트 정의
이 환경의 경우 RADIUS 에이전트를 두 개 구성해야 합니다.
  • 에이전트 하나는 Cisco RAS와 연결해야 합니다.
  • 다른 에이전트는 Checkpoint 방화벽과 연결해야 합니다.
  • 두 RADIUS 에이전트 모두 영역 힌트가 필요하지 않습니다.
사용자 디렉터리 설정
정책 서버에 RADIUS 사용자 정보를 포함하는 각 사용자 디렉터리를 구성해야 합니다. 각 정책 도메인에 대해 개별 관리자가 정의될 수 있도록 각 디렉터리는 개별 정책 도메인과 연결됩니다.
두 개의 정책 도메인 만들기
Cisco RAS에 대한 정책 도메인 하나와 Checkpoint 방화벽에 대한 정책 도메인 하나를 생성해야 합니다. 정책 도메인을 정의할 때 각 도메인을 적절한 사용자 디렉터리와 연결하십시오.