PANEL_radiusProps
SonicOS Enhanced의 RADIUS 인증에 대한 소개는 인증 시 RADIUS 사용을 참조하십시오. 사용자 > 설정 페이지의 로그인을 위한 인증 방법 드롭다운 목록에서 RADIUS 또는 RADIUS + 로컬 사용자를 선택한 경우 구성 단추를 사용할 수 있습니다.
SSO(Single-sign-on) 방법 드롭다운 목록에서 브라우저 NTLM 인증만을 선택한 경우 RADIUS용 별도 구성 단추도 사용할 수 있으며 여러 경우에 RADIUS를 사용할 것을 요구하는 구성도 있습니다. 두 경우의 구성 프로세스는 동일합니다.
RADIUS를 사용할 때 실제 인증 방법이 자동으로 선택되므로 RADIUS 구성 창에는 인증 방법을 위한 구성 옵션이 없습니다. RADIUS는 표준 모드(종종 PAP 모드라고 잘못 표현되기도 함1)는 물론 CHAP, MSCHAP, MSCHAPv2를 포함한 모든 모드에서 완벽하게 보호되므로 일반적으로 RADIUS CHAP 모드와 표준 RADIUS 모드를 강제로 비교할 이유가 없습니다. MSCHAP/MSCHAPv2를 선택하는 유일한 이유는 이러한 모드가 제공하는 암호 업데이트 기능을 이용하기 위한 것이며 이 기능은 어디서나 구성할 수 있습니다.
아래에서는 RADIUS를 사용할 때 인증 방법을 선택하는 방법을 설명합니다.
• L2TP를 사용하면 사용 중인 PPP 프로토콜에 따라 관련 RADIUS 프로토콜이 자동으로 선택됩니다.
• 글로벌 VPN 클라이언트를 포함하여 VPN과 함께 RADIUS MSCHAP/MSCHAPv2 모드는 암호 업데이트를 강제로 적용할 수 있습니다. 이 기능은 VPN > 고급 페이지 및 SSL VPN > 서버 설정 페이지에서 선택할 수 있습니다.
• 다른 모든 시나리오는 내부 사용자 인증을 포함하며 암호 업데이트를 위한 메커니즘을 제공할 필요가 없습니다(해당 PC에서 로컬로 실행 가능). 이 경우 표준 RADIUS 모드가 사용됩니다.
• 사용자 > 설정 페이지의 RADIUS CHAP 모드를 이용한 HTTP 로그인 허용 옵션을 사용하면 RADIUS를 사용하여 사용자를 인증할 때 HTTPS 대신 HTTP를 통해 로그인할 수 있습니다. CHAP 모드는 브라우저가 HTTP를 통해 사용자 암호를 일반 텍스트로 전송하지 않도록 인증을 위한 챌린지 프로토콜을 제공합니다.
RADIUS 설정을 구성하려면:
1. Dell SonicWALL에서 RADIUS 서버 설정을 지정하려면 RADIUS 구성을 클릭합니다. RADIUS 구성 창이 표시됩니다.
전역 RADIUS 설정에서 RADIUS 서버 시간 초과(초)의 값을 입력합니다. 허용되는 범위는 1~60초이고 기본값은 5초입니다.
3. 재시도 횟수 필드에 Dell SonicWALL이 RADIUS 서버 연결을 시도하는 횟수를 입력합니다. RADIUS 서버가 지정한 재시도 횟수 이내에 응답하지 않으면 연결이 끊어집니다. 이 필드에는 0에서 10 사이의 값을 입력할 수 있지만 권장되는 RADIUS 서버 재시도 횟수 설정은 3입니다.
RADIUS 서버
RADIUS 서버 섹션에서는 기본 RADIUS 서버와 보조 RADIUS 서버(옵션)를 지정할 수 있습니다. 보조 RADIUS 서버(옵션)는 네트워크에 백업 RADIUS 서버가 있는 경우 정의할 수 있습니다.
1. 기본 서버 섹션의 이름 또는 IP 주소 필드에 RADIUS 서버의 호스트 이름 또는 IP 주소를 입력합니다.
2. 공유 비밀 필드에 RADIUS 서버 관리 암호 또는 "공유 비밀"을 입력합니다. 영숫자 공유 비밀키는 1~31자까지 입력할 수 있습니다. 공유 비밀은 대/소문자를 구분합니다.
3. Dell SonicWALL과 통신하는 데 사용할 RADIUS 서버의 포트 번호를 입력합니다. 기본값은 1812입니다.
4. 필요에 따라 보조 서버 섹션의 이름 또는 IP 주소 필드에 보조 RADIUS 서버의 호스트 이름이나 IP 주소를 입력합니다.
5. 공유 비밀 필드에 RADIUS 서버 관리 암호 또는 "공유 비밀"을 입력합니다. 영숫자 공유 비밀키는 1~31자까지 입력할 수 있습니다. 공유 비밀은 대/소문자를 구분합니다.
6. Dell SonicWALL과 통신하는 데 사용할 보조 RADIUS 서버의 포트 번호를 입력합니다. 기본값은 1812입니다.
RADIUS 사용자
RADIUS 사용자 탭에서는 RADIUS 인증과 함께 사용할 로컬 또는 LDAP 정보의 유형을 지정할 수 있습니다. RADIUS 사용자의 기본 사용자 그룹을 정의할 수도 있습니다.
RADIUS 사용자 설정
RADIUS 사용자 설정을 구성하려면 다음 단계를 수행합니다.
1. RADIUS 사용자 탭에서 Dell SonicWALL 데이터베이스에 나와 있는 사용자만 RADIUS를 사용하여 인증하려면 로컬 목록의 사용자만 허용을 선택합니다.
2. 다음 선택 항목에서 RADIUS 사용자의 사용자 그룹 멤버 자격을 설정하는 데 사용되는 메커니즘을 선택합니다.
• RADIUS 서버에서 구성된 공급업체별 특성을 적용하려면 RADIUS 서버에서 Dell SonicWALL 공급업체별 특성 사용을 선택합니다. 이 특성은 사용자가 속한 사용자 그룹을 제공해야 합니다.
• RADIUS 서버에서 구성된 필터-ID 특성을 적용하려면 RADIUS 서버에서 RADIUS 필터-ID 특성 사용을 선택합니다. 이 특성은 사용자가 속한 사용자 그룹을 제공해야 합니다.
• LDAP 서버에서 사용자 그룹을 가져오려면 LDAP를 사용한 사용자 그룹 정보 검색을 선택합니다. LDAP를 아직 구성하지 않았거나 변경해야 하는 경우 구성 단추를 클릭하여 LDAP를 설정할 수 있습니다. LDAP를 구성하는 방법에 대한 자세한 내용은 LDAP용 Dell SonicWALL 어플라이언스 구성을 참조하십시오.
• RADIUS 또는 LDAP에서 사용자 그룹 정보를 검색하지 않으려면 로컬 구성만을 선택합니다.
• RADIUS 사용자 그룹을 간편하게 관리하려면 RADIUS 사용자 이름을 복제하여 구성원 자격을 로컬 설정할 수 있음을 선택합니다. 보안 어플라이언스에서 같은 이름의 사용자를 로컬로 만들어 해당 그룹 구성원 자격을 관리하면 RADIUS 데이터베이스의 구성원 자격이 로컬 변경 내용을 미러링하도록 자동 변경됩니다.
3. 이전에 Dell SonicWALL에서 사용자 그룹을 구성한 경우 모든 RADIUS 사용자가 속한 기본 사용자 그룹 드롭다운 목록에서 그룹을 선택합니다.
RADIUS 사용자에 대해 새 사용자 그룹 만들기
RADIUS 사용자 설정 화면의 모든 RADIUS 사용자가 속한 기본 사용자 그룹 드롭다운 목록에서 새 사용자 그룹 만들기...를 선택하면 새 그룹을 만들 수 있습니다.
1. 새 사용자 그룹 만들기...를 선택합니다. 그룹 추가 창이 표시됩니다.
2. 설정 탭에서 그룹의 이름을 입력합니다. 그룹을 설명하는 주석도 입력할 수 있습니다.
구성원 탭에서 그룹의 구성원을 선택합니다. 왼쪽 열에서 추가할 사용자나 그룹을 선택하고 -> 단추를 클릭합니다. 모든 사용자와 그룹을 추가하려면 모두 추가를 클릭합니다.
모두 및 모든 RADIUS 사용자를 제외한 다른 그룹 구성원으로 그룹을 추가할 수 있습니다. 다른 그룹의 구성원으로 추가하는 그룹의 구성원 자격을 확인하십시오.
4. VPN 액세스 탭에서 이 그룹이 기본적으로 VPN 액세스 권한을 보유할 네트워크 리소스를 선택합니다.
Note 그룹 VPN 액세스 설정은 원격 클라이언트 및 SSL VPN Virtual Office 책갈피에 적용됩니다.
보안 어플라이언스에서 CFS(콘텐츠 필터링 서비스)를 사용하는 경우 CFS 정책 탭에서 이 그룹에 대해 콘텐츠 필터링 정책을 구성할 수 있습니다. Dell SonicWALL 콘텐츠 필터링 서비스를 등록하고 관리하는 방법에 대한 지침은 보안 서비스 > 콘텐츠 필터 섹션을 참조하십시오.
사용자 그룹에 대해 RADIUS와 LDAP 함께 사용
사용자 인증 시 RADIUS를 사용하는 경우 RADIUS 구성의 RADIUS 사용자 페이지에는 RADIUS 사용자에 대한 사용자 그룹 구성원 자격을 설정하기 위한 메커니즘으로 LDAP를 선택하는 옵션이 있습니다.
LDAP를 사용한 사용자 그룹 정보 검색을 선택하면 RADIUS를 통해 사용자를 인증한 후 LDAP/AD 서버의 디렉터리에서 LDAP를 통해 사용자 그룹 구성원 자격 정보를 조회합니다.
Note 이 메커니즘을 선택하지 않고 one-time password를 사용하도록 설정하면 RADIUS 사용자가 SSL VPN을 통해 로그온하려고 할 때 one-time password 실패 메시지가 표시됩니다.
구성 단추를 클릭하면 LDAP 구성 창이 시작됩니다.
이 경우 LDAP에서는 사용자 암호를 처리하지 않으며, LDAP가 디렉터리에서 읽을 수 있는 정보는 대개 제한되지 않습니다. 따라서 인증서 서비스가 Active Directory와 함께 설치되어 있지 않은 경우처럼 TLS를 사용할 수 없는 경우에는 경고를 무시하고 TLS를 사용하지 않는 작업을 선택할 수 있습니다. 그러나 Dell SonicWALL에서 LDAP 서버에 일반 텍스트로 로그인해도 보안 성능이 저하되지는 않습니다. 즉 Dell SonicWALL 전용 디렉터리에 대한 읽기 전용 액세스 권한이 있는 사용자 계정을 만들 수 있습니다. 이 경우 관리자 계정은 사용하지 마십시오.
RADIUS 클라이언트 테스트
RADIUS 구성 대화 상자에서 유효한 사용자 이름과 암호를 입력하고 테스트 시 인증 선택 항목 중 하나를 선택하여 RADIUS 클라이언트 사용자 이름, 암호 및 기타 설정을 테스트할 수 있습니다. 테스트를 수행하면 변경한 내용이 모두 적용됩니다.
RADIUS 설정을 테스트하려면 다음 단계를 수행합니다.
1. 사용자 필드에 유효한 RADIUS 로그인 이름을 입력합니다.
2. 암호 필드에 암호를 입력합니다.
3. 테스트에서 다음 중 하나를 선택합니다.
• 암호 인증: 인증에 암호를 사용하려면 이 항목을 선택합니다.
• CHAP: Challenge Handshake 인증 프로토콜을 사용하려면 이 항목을 선택합니다. 처음에 확인하고 나면 CHAP에서 3방향 핸드셰이크를 사용하여 클라이언트 ID를 주기적으로 확인합니다.
• MSCHAP: Microsoft의 CHAP 구현을 사용하려면 이 항목을 선택합니다. MSCHAP는 Windows Vista 이전의 모든 Windows 버전에서 작동합니다.
• MSCHAPv2: Microsoft의 버전 2 CHAP 구현을 사용하려면 이 항목을 선택합니다. MSCHAPv2는 Windows 2000 이상 Windows에서 작동합니다.
4. 테스트 단추를 클릭합니다. 유효성 검사에 성공하면 상태 메시지가 성공으로 변경됩니다. 유효성 검사에 실패하면 상태 메시지가 실패로 변경됩니다.
RADIUS 구성을 완료하려면 확인을 클릭합니다.
Dell SonicWALL을 구성하고 나면 RADIUS 인증을 요구하는 VPN 보안 연결에서 수신 VPN 클라이언트의 사용자 이름과 암호를 대화 상자에 입력하라는 메시지가 표시됩니다.
1.: 표준 모드 RADIUS는 안전하지 않은 PPP PAP 프로토콜을 포함하여 다양한 프런트 엔드에 사용할 수 있는 안전한 백엔드입니다. Dell SonicWALL 네트워크 보안 어플라이언스는 HTTPS/SSL 또는 IPSec에서 안전한 프런트 엔드와 함께 사용하므로 사용자부터 RADIUS 서버까지 전체 인증은 안전합니다(PPP PAP가 L2TP와 함께 사용되는 경우에도 IPSec에서 실행되므로 안전합니다).