✔ Radius란?
- Remote Authentication Dial-In User Service의 약자로 AAA 기능을 구현하기 위한 인증 프로토콜
◾ AAA
1. Authentication (인증)
- 시스템이나 장비로 접근을 허용하기 전 사용자에 대한 신원 검증
2. Authorization (인가)
- 인증된 사용자에게 권한과 사용 가능한 서비스 할당
3. Account (과금, 계정 관리)
- 인증된 사용자에 대한 감사
- 접속 시간 및 접속 해지 시간, 날짜, 서비스 접근 내역, 사용 내역 등
◾ RADIUS 시스템 구성 요소
- 사용자
- Radius 클라이언트 (인증 에이전트) : 원격 접속, NAS, 802.1x, AP
- radius 서버
◾ 일반적인 동작
1. 사용자가 클라이언트 접속 시도
2. 클라이언트는 UDP를 통해 IP/PASS를 Radius 서버로 전달(Access-Request)
3. Radius 서버는 받아들인 정보를 확인
- User-name Attribute와 자신의 DB 내용 일치 여부 확인
→ 일치하면 Access-Accept 메세지 전달
→ 일치하지 않으면 Access-Reject 메세지 전달
◾ FreeRadius 서버
- 오픈 소스 Radius 서버로 확장이 가능하며, 수정이 쉬움
- 대부분의 보안 시스템에 적용 가능
- ubuntu 18.04 버전 (IP 181)에 구축하기
▫ 패키지 설치
# apt-get install -y freeradius
▫ 패키지 설치 확인
# dpkg -l | grep radius (rpm -qa | grep radius 와 같은 패키지 설치 확인 명령어)
▫ 버전 확인
# freeradius -v
▫ 장비 등록
# vim /etc/freeradius/3.0/cilents.conf
client [등록할 장비 이름] {
ipaddr = [등록할 장비의 IP 주소]
secret = [시크릿 키]
}
▫ 계정 등록
# vim /etc/freeradius/3.0/users
# 일반계정
user Cleartext-Password := "user"
# 관리자계정
admin Cleartext-Password := "admin"
Service-Type = NAS-Prompt-User,
Cisco-AVpair = "shell:priv-lvl=15"
▫ 설정 확인
# freeradius -CX
◾ 네트워크 장비에서 설정
Router(config)# username [유저] password [패스워드]
Router(config)# enable password [패스워드]
Router(config)# ip domain-name [도메인 명]
Router(config)# crypto key gen rsa
Router(config)# ip ssh version 2
Router(config)# line vty 0 4
Router(config-line)# transport input ssh
Router(config)# aaa new-model // AAA 인증 활성화
Router(config)# aaa authentication login default group radius local
// Radius 서버를 통해 인증, 인증 실패하면 로컬 계정으로 접속
Router(config)# radius-server host [Radius 서버 주소] auth-port 1812 key [키]
// 서버 주소, 포트, 시크릿 키 지정
Router(config)# ip radius source-interface f0/0
// 서버에 등록된 IP가 있는 인터페이스
Router(config)# line vty 0 4
Router(config-line)# login authentication default
Router# test aaa group radius [아이디] [패스워드] legacy
Router(config)# aaa authorization exec default group radius if-authenticated※ 인가(Authorization)를 하기전에는 admin 계정으로 접속해도 관리자가 아니라 일반 계정으로 접속 된다
'Linux' 카테고리의 다른 글
| SNMP Server (0) | 2024.10.07 |
|---|---|
| NGINX (0) | 2024.09.30 |
| LOG-Server (0) | 2024.09.25 |
| NTP Server (0) | 2024.09.11 |
| untangle (0) | 2024.08.21 |