Authentication
AAA 인증
Creathink
2010. 8. 1. 17:59
AAA는 Authentication Authorization Accounting 의 약어다.
인증(Authentication) 은 사용자가 어떤 장비에 접속해도 될 것인지를 결정하기 위해서 사용자의 신원을 검증 하는 과정이다.
인가(Authorization)는 사용자의 신원이 확인된 다음에 해당 장비 안에서 특정 기능에 대한 접근을 제한하거나 허용하는 행위다.
계정(Accounting) 은 인장가 인가가 이루어진 다음에 이루어진 사용자의 행위를 기록하는 것이다.
AAA 인증을 사용하기 위해서는
1. aaa new-model 명령어를 입력해서 AAA 를 활성화 한다.
2. 보안 서버를 사용할 경우에 보안 서버 정보를 설정한다. 이 단계에서 TACACS+ 와 RADIUS를 설정한다.
3. aaa authentication 명령어를 사용해서 매소드 리스트를 생성한다.
4. 필요할 때 인터페이스나 라인에 매소드 리스트를 적용한다.
AAA 활성화
Router(config)# aaa new-model 명령어를 사용한다.
보안 서버 정보 설정은 pass ~
매소드 리스트 생성
라우터는 여러 가지 다양한 방법으로 사용자를 인증할 수 있으며 , 그 방법들은 다음과 같다.
login
login 인증은 사용자가 라우터의 CLI 에 접근하기 위해서 대답을 요구하는 수단이다.
PPP
PPP 인증은 PPP 연결을 위한 것으로서 시리얼 링크나 모뎀 연결 등을 통해서 이루어진다.
ARAP
ARAP(AppleTalk Remote Access Protocol)는 애플토크 사용자를 위한 원격 접속 프로토콜이다.
NSAI
NSAI(NetWare Asynchronous Service Interface)는 노벨 넷웨어 사용자를 위한 원격 접속 프로토콜이다.
로그인 인증
네트워크 장비에 로그인 할때 다양한 방법으로 대답을 요구할 수 있다. 기본 방법은 인터페이스나 라인 자체의 설정에 입력되어 있는 패스워드를 넣도록 하는 것이다.
예) line console 0
password Secret1
이를 line authentication 이라고 하며 , 인증에 사용될 수 있는 많은 메소드 중 하나다.
enable
인증 패스워드로서 설정되어 있는 enable 패스워드를 사용한다.
krb5
Kerberos 5 인증 서버에서 인증 정보를 질의한다.
krb5-telnet
네트워크 장비에 연결하기 위해 텔넷을 사용할 때 Kerberos 5 텔넷 인증 프로토콜을 사용한다.
이 메소드가 리스트에 먼저 올라가야 한다.
line
이미 설정되어 있는 라인 패스워드를 인증 패스워드로 사용한다.
local
로컬에 설정되어 있는 사용자 이름과 패스워드를 사용한다.
local-case
로컬과 동일 , 그러나 사용자 이름이 대소문자를 구분한다.
none
인증을 제거 한다. none이 유일한 메소드로 들어 있다면 대답 요구 없이 접근이 허용된다.
group radius
RADIUS 서버 목록에 인증 정보를 질의한다.
group racacs+
TACACS+ 서버 목록에 인증 정보를 질의한다.
사용자 정의 (group group-name)
로컬 설정에 정의된 대로 사용자 정의 그룹을 질의한다.
예) aaa authentication login default PPPOE local
login(메소드리스트) PPPOE (이름 ) local(사용되는 메소드)
이를 line authentication 이라고 하며 , 인증에 사용될 수 있는 많은 메소드 중 하나다.
enable
인증 패스워드로서 설정되어 있는 enable 패스워드를 사용한다.
krb5
Kerberos 5 인증 서버에서 인증 정보를 질의한다.
krb5-telnet
네트워크 장비에 연결하기 위해 텔넷을 사용할 때 Kerberos 5 텔넷 인증 프로토콜을 사용한다.
이 메소드가 리스트에 먼저 올라가야 한다.
line
이미 설정되어 있는 라인 패스워드를 인증 패스워드로 사용한다.
local
로컬에 설정되어 있는 사용자 이름과 패스워드를 사용한다.
local-case
로컬과 동일 , 그러나 사용자 이름이 대소문자를 구분한다.
none
인증을 제거 한다. none이 유일한 메소드로 들어 있다면 대답 요구 없이 접근이 허용된다.
group radius
RADIUS 서버 목록에 인증 정보를 질의한다.
group racacs+
TACACS+ 서버 목록에 인증 정보를 질의한다.
사용자 정의 (group group-name)
로컬 설정에 정의된 대로 사용자 정의 그룹을 질의한다.
예) aaa authentication login default PPPOE local
login(메소드리스트) PPPOE (이름 ) local(사용되는 메소드)
default 는 모든 인터페이스에 자동으로 적용되게 하는 메소드이다.
PPP 인증
라우터에 PPP (point-to-point protocol) 연결이 이루어질 때 PPP 인증이 사용된다.
시리얼 인터페이스로 모뎀을 연결하는 경우나 T1 과 같은 고속 시리얼 링크를 연결하는 경우일 수 있다.
PPP 인증으로는 ..
if-needed
사용자가 이미 VTY 라인에서 인증햇다면 인증하지 않는다.
krb5
Kerberos 5 인증 서버에 인증 정보를 질의한다.(PAP 에만 해당 )
local
로컬에 설정되어 있는 사용자 이름과 패스워드를 사용한다.
local-case
로컬과 동일 , 그러나 사용자 이름이 대소문자를 구분한다.
none
인증을 제거 한다. none이 유일한 메소드로 들어 있다면 대답 요구 없이 접근이 허용된다.
group radius
RADIUS 서버 목록에 인증 정보를 질의한다.
group racacs+
TACACS+ 서버 목록에 인증 정보를 질의한다.
매소드 리스트 적용
로그인 인증의 경우에 인증 메소드 리스트를 적용하기 위해서 login 명령어를 사용하면 된다.
아래의 예는 앞에서 만든 PPPOE 라는 메소드 리스트를 VTY 에 적용한다
line vty 0 4
login authentication PPPOE
PPP 인증 메소드 리스트를 적용하기 위해서 인터페이스에는 PPP 캡슐화가 설정되어야 한다.
인증활성화 하기 위해 ppp authentication 명령어를 사용할 수 있다. 그와 함께 인증 프로토콜이 명시되어야 한다.( 예에서는 chap 을 명시했다.)
interface serial0/0
no ip address
encapsulation ppp
ppp authentication chap PPPOE
확장성 면에서 볼대 로컬에서 설정된 사용자 이름과 패스워드를 사용하는 것보다 PAP 나 CHAP 과 함께
AAA 인증을 사용하는 것이 더 좋다.
PPP 인증
라우터에 PPP (point-to-point protocol) 연결이 이루어질 때 PPP 인증이 사용된다.
시리얼 인터페이스로 모뎀을 연결하는 경우나 T1 과 같은 고속 시리얼 링크를 연결하는 경우일 수 있다.
PPP 인증으로는 ..
if-needed
사용자가 이미 VTY 라인에서 인증햇다면 인증하지 않는다.
krb5
Kerberos 5 인증 서버에 인증 정보를 질의한다.(PAP 에만 해당 )
local
로컬에 설정되어 있는 사용자 이름과 패스워드를 사용한다.
local-case
로컬과 동일 , 그러나 사용자 이름이 대소문자를 구분한다.
none
인증을 제거 한다. none이 유일한 메소드로 들어 있다면 대답 요구 없이 접근이 허용된다.
group radius
RADIUS 서버 목록에 인증 정보를 질의한다.
group racacs+
TACACS+ 서버 목록에 인증 정보를 질의한다.
매소드 리스트 적용
로그인 인증의 경우에 인증 메소드 리스트를 적용하기 위해서 login 명령어를 사용하면 된다.
아래의 예는 앞에서 만든 PPPOE 라는 메소드 리스트를 VTY 에 적용한다
line vty 0 4
login authentication PPPOE
PPP 인증 메소드 리스트를 적용하기 위해서 인터페이스에는 PPP 캡슐화가 설정되어야 한다.
인증활성화 하기 위해 ppp authentication 명령어를 사용할 수 있다. 그와 함께 인증 프로토콜이 명시되어야 한다.( 예에서는 chap 을 명시했다.)
interface serial0/0
no ip address
encapsulation ppp
ppp authentication chap PPPOE
확장성 면에서 볼대 로컬에서 설정된 사용자 이름과 패스워드를 사용하는 것보다 PAP 나 CHAP 과 함께
AAA 인증을 사용하는 것이 더 좋다.