사용자 디렉터리가 한 개인 이종 RADIUS 환경에서 사용자 인증

목차
casso126kkr
목차
2
RADIUS 환경에서 보다 강력하고 복잡한 정책 서버 배포는 여러 NAS 장치에서 관리되는 여러 영역을 포함하는 배포입니다. 이 시나리오에서는 정책 서버가 동시에 여러 RADIUS 클라이언트에 대해 RADIUS 인증 서버의 역할을 할 수 있습니다.
이종 구성을 사용하면 각 RADIUS 클라이언트에 대해 동일한 RADIUS 인증 서버(즉, 정책 서버)를 사용하여 시간을 절약할 수 있다는 장점이 있습니다.
단일 디렉터리를 사용하는 이종 환경에서 사용자가 인증되는 방식
다음 그림에서는 이종 구성의 예를 보여 줍니다.
Authentication of users in heterogeneous and single directory environments
위 다이어그램에 표시된 네트워크 토폴로지에서는 정책 서버가 두 NAS 장치(Cisco RAS 및 Checkpoint 방화벽)의 사용자를 인증합니다. 정책 서버는 사용자 디렉터리 하나를 사용하여 사용자를 인증합니다.
각 NAS 장치에는 영역 힌트로 구성된 고유한 RADIUS 에이전트가 있습니다. 정책 서버는 사용자 인증 요청을 받으면 RADIUS 에이전트의 영역 힌트를 사용하여 인증된 사용자가 액세스할 수 있는 리소스(도메인)를 확인합니다.
사용자 디렉터리가 한 개 사용될 때의 인증 프로세스는 다음과 같습니다.
  1. 원격 사용자가 전화 접속 모뎀을 사용하여 연결하면 Cisco RAS는 RADIUS 사용자 프로필을 사용하여 사용자를 인증해야 하는지 확인합니다.
  2. RAS가 정책 서버에 사용자 연결 요청을 보냅니다.
  3. 정책 서버가 RAS에 대해 정의된 정책을 규정하고 Cisco RAS와 연결된 RADIUS 에이전트가 다음을 수행합니다.
    1. 영역 힌트를 사용하여 사용자의 도메인을 확인합니다.
    2. 에이전트에 대해 구성된 인증 체계를 사용하여 사용자의 이름과 암호를 가져옵니다.
  4. 정책 서버가 사용자 디렉터리 및 정책 저장소를 기준으로 사용자 정보를 평가합니다.
  5. 정책 서버가 Cisco RAS에 인증 응답을 보내고 다음 중 하나가 발생합니다.
    • 인증에 실패한 경우 RAS가 연결을 거부합니다.
    • 인증에 성공한 경우 RAS가 RADIUS 서버의 데이터베이스에 있는 사용자 프로필에서 특성 목록을 받고 호출자에 대한 네트워크 액세스를 설정합니다.
      RAS가 정책 서버에 세션이 시작되었다는 사실과 세션이 종료되는 시기를 알립니다.
인터넷 사용자가 Checkpoint 방화벽을 통해 인터넷 서비스 공급자에 전화 접속을 시도할 경우에도 유사한 인증 프로세스가 발생합니다. Checkpoint 방화벽에 대해 정의된 RADIUS 에이전트는 영역 힌트를 사용하여 인터넷 사용자가 액세스할 수 있는 도메인을 확인합니다. 사용자가 인증된 경우 정책 서버는 방화벽에 올바른 특성을 전달하여 세션을 설정합니다.
두 NAS 장치에 대한 사용자 정보는 모두 동일한 사용자 디렉터리에 저장됩니다. 정책 서버는 인증 요청을 받을 때마다 동일한 데이터 디렉터리를 사용하여 사용자를 인증합니다.
시스템 및 정책 도메인 구성
이 시스템 구성은 동종 환경과 다릅니다. 즉, 이제는 에이전트를 두 개 생성해야 합니다.
정책 도메인 내에는 Cisco 에이전트 및 Checkpoint 에이전트에 대한 규칙과 응답이 포함된 정책 하나가 있습니다.
위에서 설명한 단일 디렉터리를 사용하는 이종 환경에서
Single Sign-On
을 설정하려면 다음을 수행해야 합니다.
  1. 시스템을 구성합니다.
    1. 단일 디렉터리를 사용하는 이종 환경에 대한 에이전트 정의에 설명된 대로 두 개의 RADIUS 에이전트를 정의합니다.
    2. 사용자 디렉터리 구성에 설명된 대로 RADIUS 사용자를 인증할 사용자 디렉터리를 설정합니다.
    3. 정책 도메인 만들기에 설명된 대로 정책 도메인을 하나 생성합니다.
    4. 인증 체계 만들기에 설명된 대로 인증 체계를 생성합니다.
  2. 정책 도메인을 구성합니다.
    1. 영역을 두 개 정의합니다. 영역 하나는 Cisco RAS용이고 다른 하나는 Checkpoint 방화벽용입니다. 각 영역은 RADIUS 에이전트를 RADIUS 인증 체계와 바인딩합니다.
    2. 인증된 사용자가 적절한 영역에 액세스할 수 있도록 하는 규칙을 두 개 정의합니다. 각 규칙은 영역을 액세스 허용 또는 거부 이벤트와 바인딩합니다.
    3. NAS 장치에 사용자 프로필을 제공하는 응답을 두 개 정의하고 응답 특성을 사용하여 세션의 특성을 구성합니다. 각 장치는 서로 다른 사전 파일을 사용하므로 각 NAS 장치에 대해 개별 응답을 정의해야 합니다.
    4. Cisco 규칙을 Cisco 응답과 바인딩하고 Checkpoint 규칙을 Checkpoint 응답과 바인딩하는 정책을 하나 생성합니다. 또한 이 정책은 정책 도메인의 구성 요소(규칙 및 응답 그룹)를 RADIUS 사용자 디렉터리와 바인딩합니다.
단일 디렉터리를 사용하는 이종 환경에 대한 에이전트 정의
이 환경의 경우 RADIUS 에이전트를 두 개 구성해야 합니다.
  • 에이전트 하나는 Cisco RAS와 연결해야 합니다.
  • 다른 하나는 Checkpoint 방화벽과 연결해야 합니다.
  • 두 RADIUS 에이전트 모두 영역 힌트로 1을 사용하여 각 에이전트가 보호할 올바른 도메인을 식별할 수 있도록 해야 합니다.
사용자 디렉터리 구성
정책 서버는 두 NAS 장치 모두에 대해 동일한 사용자 디렉터리를 사용하여 사용자를 인증할 수 있습니다.
정책 도메인 만들기
정책 도메인은 RADIUS 사용자의 이름, 도메인을 수정할 수 있는 관리자의 이름, 그리고 RADIUS 에이전트가 보호 중인 영역이 포함된 사용자 디렉터리를 식별해야 합니다. 사용자 디렉터리를 하나만 사용하는 RADIUS 환경에는 정책 도메인도 하나만 필요합니다.