RADIUS 정책 도메인의 응답

목차
casso127kkr
목차
2
Single Sign-On
응답은 사용자가 인증된 경우 RADIUS 특성을 NAS 장치에 반환하는 데 사용될 수 있습니다. 특성은 사용자가 인증된 후 세션의 특성을 구성하고 인증된 사용자의 사용자 프로필을 정의합니다. 사용자 프로필은 NAS 장치에서 사용될 수 있습니다. 예를 들어 응답에 특성을 사용하면 RADIUS 사용자 세션에 대한 제한 시간을 정의할 수 있습니다.
응답을 사용하여 사용자에게 권한을 할당하는 사용자 프로필 정보를 NAS 장치에 제공할 수 있습니다. 예를 들어 한 사용자에게 리소스에 대한 무제한 액세스를 허용하고 다른 사용자에게는 동일한 리소스에 대한 액세스를 제한할 수 있습니다. 이때 응답을 사용하면 주로 RADIUS가 유일한 인증 메커니즘인 경우에도 사용자에게 권한을 부여할 수 있습니다.
참고:
NAS가 인증만 지정하는 경우에는
Single Sign-On
은 기본적으로 RADIUS 특성을 반환하지 않습니다. NAS가 인증만 지정하는 경우 RADIUS 특성을 반환하려면 항상 RADIUS 특성을 반환하도록 정책 서버 구성의 지침을 따르십시오.
응답 작동 방식
RADIUS 응답은 인증하는 규칙과 쌍으로 연결됩니다. 규칙이 사용자를 성공적으로 인증하면 RADIUS 응답이 트리거됩니다. 규칙이 사용자를 인증하지 않는 경우에는 응답이 트리거되지 않습니다.
응답이 트리거되면 정책 서버는 응답에 포함된 특성을 NAS 장치로 보냅니다. 이 정보는 사용자의 세션을 사용자 지정하는 데 사용됩니다.
특성 유형
응답에는 다음 특성을 사용할 수 있습니다.
  • 사용자 특성
  • DN 특성
  • 활성 응답 특성
  • Radius 특성
사용자 특성
이 특성은 LDAP, WinNT 또는 ODBC 사용자 디렉터리의 사용자와 연결된 정보를 반환합니다. 사용자 특성은 사용자 디렉터리에서 검색되며 RADIUS 장치의 동작을 수정하는 데 사용될 수 있습니다.
DN 특성
이 특성은 사용자와 관련된 LDAP 디렉터리 개체에 연결된 프로필 정보를 반환합니다. 예를 들어 DN 특성은 사용자의 그룹 또는 OU(조직 단위)와 같은 LDAP 개체에 대한 정보를 반환할 수 있습니다.
활성 응답 특성
이 특성은
Single Sign-On
권한 부여 API를 사용하여 개발된 사용자 지정 라이브러리의 값을 반환합니다. 활성 응답은
Single Sign-On
이 사용자 지정 라이브러리의 함수를 호출할 때 생성됩니다.
Radius 특성
이 특성은 다음과 같은 에이전트 유형 특성으로 정의된 값을 반환합니다.
  • RADIUS
    RADIUS 프로토콜 사양인
    RFC(Request for Comment) 2138에 정의된 일반 Radius 특성입니다.
    이러한 특성의 식별자에는 1-25 및 27-63이 포함됩니다. 이러한 특성 중 일부는 동일한 응답에서 여러 번 사용될 수도 있습니다.
    RADIUS 에이전트 유형은 일반 RADIUS 특성이 포함된 응답을 반환할 수 있습니다.
  • RADIUS 확장
    NAS 장치의 사전 파일에 정의된 특성입니다. 이러한 특성은 일반 Radius 특성으로 정의되지 않는 값을 정의하며 사용 중인 NAS 장치 유형과 관련됩니다. 이러한 특성의 고유 식별자는 일반 Radius 특성에 예약된 범위를 벗어나 64부터 시작합니다. 예를 들어 Lucent는 식별자 195를 사용하는
    Ascend-Disconnect-Cause
    라는 확장 RADIUS 특성을 제공합니다.
    확장 RADIUS 특성의 공급업체 유형과 일치하는 에이전트 유형만 이 특성을 사용할 수 있습니다. 예를 들어 Shiva 에이전트 유형은 Shiva에 대해 정의된 확장 RADIUS 특성을 사용할 수 있지만 Cisco 에이전트 유형은 응답에 Shiva 확장 특성을 사용할 수 없습니다. 응답에 사용되는 확장 특성은 RADIUS 클라이언트의 사전 파일에 정의된 특성과 일치해야 합니다.
    기본적으로
    Single Sign-On
    은 이러한 특성을 사용하는 Ascend(Lucent) 등의 일부 에이전트 유형에 대한 미리 정의된 RADIUS 확장 특성을 제공합니다. 필요한 경우 RADIUS 에이전트 유형에 대한 추가 RADIUS 확장 특성을 정의할 수도 있습니다.
  • 공급업체 관련
    NAS 장치의 사전 파일에 정의된 특성으로, 식별자로 26을 사용합니다. 공급업체 관련 특성을 사용하여 일반 Radius 특성이 제공하지 않는 값의 특성을 정의할 수 있습니다. 일부 공급업체에서는 RADIUS 확장 특성 대신 또는 RADIUS 확장 특성에 추가적으로 공급업체 관련 특성을 사용합니다. 예를 들어 Cisco는 RADIUS 확장 특성을 사용하지 않지만 이 NAS 장치는
    Cisco AV-pair
    Account-Info
    같은 여러 공급업체 관련 특성을 지원합니다.
    공급업체 관련 특성을 사용하여 다른 프로토콜에 정보를 전달할 수 있습니다. 예를 들어 Cisco AV-pair 특성에 대한 공급업체 관련 특성을 정의하여 TACACS+ 서버에 TACACS+ 정보를 전달할 수 있습니다.
    공급업체 관련 특성은 RADIUS 클라이언트의 공급업체 유형과 일치하는 응답에서만 정의할 수 있습니다.
    기본적으로
    Single Sign-On
    은 Network Associates의 Sniffer 에이전트 유형과 같이 이러한 특성을 사용하는 일부 에이전트 유형에 대한 미리 정의된 공급업체 관련 특성을 제공합니다. 필요한 경우 RADIUS 에이전트 유형에 대한 추가 RADIUS 확장 특성을 정의할 수도 있습니다.
    참고:
    RADIUS 특성에 대한 자세한 내용은
    Request for Comment (RFC) RADIUS Protocol 2138
    (RFC(Request for Comment) RADIUS 프로토콜 2138)을 참조하십시오.
항상 RADIUS 특성을 반환하도록 정책 서버 구성
일부 NAS 장치에는 NAS가 인증만 지정하는 경우에도 Access-Accept에 포함된 RADIUS 응답이 필요합니다. NAS가 인증만 지정하는 경우
Single Sign-On
은 기본적으로 RADIUS 특성을 반환하지 않습니다.
NAS 장치에 항상 RADIUS 특성을 반환하려면 다음 매개 변수로 새 레지스트리 값을 생성하십시오.
  • 값 종류 - DWORD
  • 값 이름 - HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\Authentication\AlwaysReturnRadiusAttrs
  • 값 데이터 - 0보다 큰 숫자 값
참고:
설치 프로그램은 AlwaysReturnRadiusAttrs에 대한 레지스트리 항목을 생성하지 않습니다. 사용자가 이 항목을 생성하고 설정할 때까지
Single Sign-On
은 기본값 0을 사용합니다.
AlwaysReturnRadiusAttrs를 0보다 큰 값으로 설정한 후에는 인증 서버의 디버그 로그에 다음 메시지가 표시됩니다.
Radius Attributes will be returned regardless of RA_SERVICE_TYPE_AUTHENTICATE_ONLY(RA_SERVICE_TYPE_AUTHENTICATE_ONLY에 관계없이 항상 Radius 특성이 반환됨)
에이전트 유형에 대한 특성 만들기
응답에 특성을 사용하려면 응답을 반환하는 에이전트 유형이 해당 특성을 사용할 수 있어야 합니다. 에이전트 유형에 특성을 정의하면 에이전트 유형에서 특성을 사용할 수 있도록 합니다. 대부분의 에이전트 유형에는 공급업체 관련 특성과 RADIUS 확장 특성이 미리 구성되어 있지만 추가적인 확장 RADIUS 특성, 일반 RADIUS 특성 및 공급업체 관련 특성을 필요한 대로 에이전트 유형에 추가할 수 있습니다.
특성의 여러 인스턴스 정의
동일한 에이전트 유형에 대해 공급업체 관련 특성의 인스턴스를 여러 개 정의할 수 있습니다. 공급업체 관련 특성의 인스턴스를 여러 개 정의하는 경우 각 특성 인스턴스마다 서로 다른 값을 NAS 장치로 전송할 수 있습니다. 예를 들어 Cisco 에이전트의 경우 모두 동일한 식별자(26)를 사용하여 다음의 공급업체 관련 특성을 정의할 수 있습니다.
  • Cisco-AVpair
  • Account-Info
  • Command-Code
응답 내에서 특성을 사용할 수 있는 횟수를 정의하는 설정은 관리 UI의 "에이전트 유형 특성 수정" 페이지에 있습니다.
여러 번 사용할 특성을 구성하려면 "액세스 수락" 값을 "0 또는 많음"으로 설정해야 합니다.
정의하는 특성의 유형은 응답을 반환하는 에이전트의 공급업체 유형과 일치해야 합니다. 예를 들어 공급업체 관련 Cisco 특성은 Cisco 에이전트에서만 반환할 수 있습니다.
에이전트가 응답을 반환할 경우 응답의 패킷 구조는 응답을 전송한 RADIUS 에이전트의 유형을 반영합니다. 예를 들어 Cisco 에이전트가 반환한 응답의 패킷 구조에는 공급업체 ID와 문자열 길이가 포함됩니다.
에이전트 유형에 대한 특성을 정의하려면
  1. "인프라", "에이전트"를 차례로 클릭합니다.
  2. "에이전트 유형"을 클릭합니다.
    "에이전트 유형" 페이지가 표시됩니다.
  3. 검색 조건을 지정하고 "검색"을 클릭합니다.
    검색 조건과 일치하는 에이전트 유형의 목록이 표시됩니다.
  4. 에이전트 유형의 이름을 클릭합니다.
    "에이전트 유형 보기" 페이지가 표시됩니다.
  5. "수정"을 클릭합니다.
    설정과 컨트롤이 활성화됩니다.
  6. "에이전트 유형 특성 만들기"를 클릭합니다.
    "Create a new object of type Agent Type Attribute"(에이전트 유형 특성 유형의 새 개체 만들기) 옵션이 선택되어 있는지 확인합니다.
  7. "확인"을 클릭합니다.
    "에이전트 유형 특성 만들기" 페이지가 표시됩니다.
  8. 에이전트 유형의 이름과 설명을 입력합니다.
  9. "RADIUS 유형" 목록에서 "RADIUS", "RADIUS 확장" 또는 "공급업체 관련"을 선택합니다.
  10. "데이터 형식" 목록에서 특성에 포함된 데이터 형식을 선택합니다.
  11. "식별자" 필드에 다음 특성 식별자 중 하나를 입력합니다.
    • 일반 Radius
      특성 식별자는 RADIUS 프로토콜 사양에서 정의됩니다. 일반 RADIUS 특성의 식별자를 덮어쓸 수는 있지만 일반적으로 RADIUS 사양(
      RFC 2138
      )과 일치하는 미리 정의된 일반 RADIUS 특성 정의를 유지해야 합니다.
      예:
      Callback-Id 변수의 특성을 생성하려면 "식별자" 필드에 20을 입력합니다.
    • RADIUS 확장
      이 특성의 식별자는 공급업체 설명서에 정의되어 있습니다.
      예:
      Ascend-Callback 특성의 특성을 생성하려면 "식별자" 필드에 246을 입력합니다.
    • 공급업체 관련
      이 특성의 식별자는 26입니다.
      예:
      에이전트가 TACACS+를 사용할 수 있도록 Cisco 에이전트용 특성을 생성하려면 "식별자" 필드에 26을 입력합니다.
    참고:
    특성 식별자에 대한 자세한 내용은 RADIUS 공급업체 설명서를 참조하십시오.
  12. "RADIUS 동작"에서 각 필드에 대한 RADIUS 코드를 선택합니다. RADIUS 코드는 다음과 같습니다.
    • 허용되지 않음
      응답에 특성을 사용할 수 없습니다.
    • 0 또는 1
      같은 응답에서 특성의 인스턴스 한 개 또는 0개가 반환될 수 있습니다. 이 값을 선택하고 응답에 특성을 사용하는 경우 응답에 특성을 사용하고 나면 "특성" 목록에서 특성이 제거됩니다.
    • 0 또는 많음
      같은 응답에서 특성의 인스턴스 여러 개 또는 0개가 반환될 수 있습니다.
    • 1개만
      특성의 인스턴스 1개가 응답에서 반환되어야 합니다. 이 값을 선택하고 응답에 특성을 사용하는 경우 응답에 특성을 사용하고 나면 "특성" 목록에서 특성이 제거됩니다.
    RADIUS 특정 필드는 다음과 같습니다.
    • 액세스 요청
      특정 NAS에 대한 사용자의 액세스가 허용되는지 여부를 확인하는 데 사용되는 정보를 제공합니다. "액세스 요청" 패킷은 해당 사용자에 대해 요청된 모든 특별한 서비스에 대한 정보도 제공합니다.
    • 액세스 수락
      사용자에게 서비스 제공을 시작하는 데 필요한 특정 구성 정보를 제공합니다.
      참고:
      응답에 특성을 사용하려면 "액세스 수락" 값을 "0 또는 1", "0 또는 많음" 또는 "1개만"으로 설정해야 합니다.
    • 액세스 거부
      수신된 특성의 값 중 허용되지 않는 값이 있는 경우에 정보를 보냅니다. 이 코드는 주로 회신 메시지에 사용됩니다.
    • 액세스 챌린지
      NAS 장치가 챌린지/응답을 사용하도록 구성된 경우에 정보를 보냅니다.
    • 계정 설정 요청
      전송되는 서비스의 유형과 이를 전송 중인 사용자를 설명합니다.
    • 계정 응답
      "계정 설정 요청"이 성공적으로 기록된 경우에 정보를 보냅니다. RADIUS Accounting-Response에는 특성이 없어도 됩니다.
  13. 데이터 형식이 숫자인 경우 "만들기"를 클릭합니다.
  14. 특성의 심볼 이름과 숫자 값을 해당 필드에 입력하고 "확인"을 클릭합니다.
    "에이전트 유형 특성 수정" 페이지가 다시 나타나고 특성 이름-값 쌍이 추가됩니다.
    참고:
    여러 개의 특성 이름-값 쌍을 생성하려면 11 단계와 12 단계를 반복합니다. 심볼 이름을 값에 매핑하면 이름만 기억하면 됩니다.
  15. 제출을 클릭합니다.
    "에이전트 유형 수정" 페이지가 다시 나타나고 에이전트 유형 특성이 추가됩니다.
  16. 제출을 클릭합니다.
    선택된 에이전트 유형에 대해 특성이 정의됩니다.
    참고:
    태스크가 완료되면 이 에이전트 유형에 대한 응답을 생성할 때 방금 에이전트 유형에 추가한 에이전트 유형 특성을 특성 목록에서 선택할 수 있습니다.
기존 특성 수정
생성한 특성 및 RADIUS 에이전트에 대해 미리 정의된 특성을 수정할 수 있습니다. 예를 들어 Ascend 에이전트 유형의 미리 정의된 Ascend-PPP-Address 특성을 수정할 수 있습니다.
참고:
기존 특성을 수정할 경우 특성을 이미 사용하는 응답에서 해당 특성은 동적으로 업데이트되지 않습니다. 응답에 특성이 사용되는 경우 업데이트된 특성을 사용하여 응답을 다시 생성해야 합니다.
모든 RADIUS 에이전트 유형은
RFC 2138
에 정의된 대로 일반 RADIUS 특성을 사용하도록 미리 구성되어 있습니다. 이러한 특성은 각 RADIUS 에이전트 유형에서 사용할 수 있습니다.
중요!
일반 RADIUS 에이전트에서 새 특성을 정의하거나 일반 특성을 덮어쓰면 변경 내용은
모든
RADIUS 에이전트에 적용됩니다. 예를 들어 일반 RADIUS 에이전트에서 필터 ID 특성을 수정하면 Cisco, Shiva, Livingston, Ascend 및 Checkpoint와 같은 다른 모든 RADIUS 에이전트 유형에도 수정 사항이 적용됩니다.
에이전트 유형 특성을 수정하려면
  1. 관리 UI에 로그인합니다.
  2. "인프라" 탭에서 "에이전트"를 선택합니다.
  3. "에이전트 유형 수정"을 클릭합니다.
  4. "검색"을 클릭합니다.
  5. 에이전트 유형을 선택하고 "선택"을 클릭합니다.
    "에이전트 유형 수정" 창이 열립니다.
  6. 특성 왼쪽의 "편집" 단추를 클릭하여 에이전트 유형 값을 수정합니다.
  7. "제출"을 클릭하여 변경 내용을 저장합니다.