콘텐츠
- 왜 pfSense를 Radius 서버로 사용합니까?
- 패키지 설치
- 인터페이스 구성
- 클라이언트 추가
- 사용자 계정 생성
- 장치 추가
- 문제 해결
- 서비스 상태 확인
- 로그 확인
- Radius Syslog 메시지
- Radtest로 서비스 테스트
- 테스트 실행 단계
- 새로운 Radius 서버를 사용하는 좋은 방법
Sam은 알고리즘 트레이딩 회사의 네트워크 분석가로 일하고 있습니다. 그는 UMKC에서 정보 기술 학사 학위를 받았습니다.
이 기사에서는 pfSense에서 반경 서버를 설정하는 과정을 살펴 보겠습니다.
Radius는 다양한 네트워크 장치 및 서비스에 대한 중앙 인증 소스를 제공합니다. 반경 인증의 몇 가지 일반적인 용도는 VPN, 종속 포털, 스위치, 라우터 및 방화벽입니다.
중앙 인증은 네트워크의 개별 장치에서 다양한 로컬 계정을 추적하는 것보다 관리하기가 훨씬 쉽습니다.
왜 pfSense를 Radius 서버로 사용합니까?
PfSense는 서비스가 많은 시스템 리소스를 필요로하지 않기 때문에 Radius 서버를위한 훌륭한 호스트를 만듭니다. 이 서비스는 성능에 영향을주지 않고 수백 개의 클라이언트에 대한 인증을 쉽게 처리 할 수 있습니다.
적절한 하드웨어를 사용하면 수천 개의 클라이언트를 지원하도록 쉽게 확장 할 수 있습니다. 실제로 pfSense를 사용하면 전용 네트워크 인터페이스에서 반경을 실행할 수도 있습니다.
네트워크에서 이미 pfSense를 실행하고 있다면 Radius만을위한 별도의 서버를 구축 할 필요가 없습니다.
패키지 설치
pfSense 2.X 패키지 관리자는 설치 옵션으로 FreeRadius 및 FreeRadius2를 모두 포함합니다. 이 예에서는 이전 버전에서 찾을 수없는 몇 가지 추가 기능이 있으므로 FreeRadius2를 사용하겠습니다.
한 번에 하나의 Radius 버전 만 pfSense에 설치할 수 있습니다. 이전에 Radius 패키지를 설치 한 경우 먼저 제거하십시오.
패키지 설치는 서비스가 시작될 때 라우터를 통과하는 트래픽을 잠시 중단하므로 프로덕션 시스템에서 설치를 실행할 때주의하십시오.
- 웹 인터페이스의 시스템 메뉴에서 패키지 관리자를 엽니 다.
- FreeRadius2 옆에있는 더하기 기호를 클릭하여 설치를 시작합니다.
- 패키지 설치를 확인하려면 '확인'을 클릭하십시오.
설치 프로세스는 모든 종속성과 함께 radius 패키지를 자동으로 다운로드하고 설치합니다. 설치는 일반적으로 완료하는 데 몇 분 정도 걸립니다.
완료되면 서비스 메뉴에 패키지에 대한 새 메뉴 항목이 있습니다.
인터페이스 구성
가장 먼저해야 할 일은 Radius 서버가 수신 할 인터페이스를 하나 이상 지정하는 것입니다. FreeRadius에 대한 구성 설정은 서비스 메뉴에서 찾을 수 있습니다.
대부분의 경우 서비스를 LAN 인터페이스에 바인딩 할 수 있습니다.
- 설정 페이지의 인터페이스 탭을 클릭합니다.
- 더하기 기호 아이콘을 클릭하여 새 인터페이스를 추가하십시오.
- 인터페이스 IP 주소 필드에 LAN IP 주소를 입력합니다.
- 저장을 클릭하십시오.
나머지 설정은 기본 설정으로 유지 될 수 있습니다.
클라이언트 추가
인증 서버 구성의 다음 단계는 클라이언트 항목을 추가하는 것입니다. 인증을 위해 Radius 서버를 사용할 각 장치에는 설정에 구성된 클라이언트 항목이 있어야합니다.
- NAS / 클라이언트 탭을 클릭합니다.
- 클라이언트 IP 필드에 인증 요청이 들어올 장치의 IP 주소를 입력합니다.
- 클라이언트 공유 암호 필드에 보안 암호를 입력하십시오. 이것은 클라이언트 장치에도 입력해야합니다.
기타 구성 섹션의 드롭 다운 상자에서 클라이언트 유형을 선택해야합니다. 나열된 유형이 적합하지 않은 경우 다른 유형을 선택할 수 있습니다.
사용자 계정 생성
마지막 단계는 사용자 계정을 만드는 것입니다. 계정을 생성하려면 패키지 설정의 사용자 탭으로 이동하고 더하기 기호를 클릭하여 새 사용자 생성 페이지를 엽니 다.
이 페이지에는 사용자 이름과 비밀번호라는 두 개의 필수 필드 만 있습니다. 다른 모든 설정은 선택 사항이며 대부분 종속 포털 사용자에게 적용됩니다.
장치 추가
이 시점에서 이제 Radius 서버가 실행 중이며 인증을위한 수신 요청을 수락 할 준비가되었습니다. 이제 서버를 가리키는 장치를 시작할 수 있습니다.
장치는 다음 항목으로 구성되어야합니다.
- pfSense 시스템의 LAN IP 주소 또는 radius 서버를 바인딩하기 위해 선택한 인터페이스입니다.
- 클라이언트 탭에서 지정한 반경 키입니다.
- 인증 포트는 1812 또는 인터페이스 탭에서 지정한 포트로 설정되어야합니다.
문제 해결
서비스 상태 확인
문제가있는 경우 가장 먼저해야 할 일은 반경 서비스가 실행 중인지 확인하는 것입니다.
실행 중이 아니면 radiusd 옆의 재생 아이콘을 클릭하여 시작해보십시오.
서비스가 시작되지 않는 것 같으면 계속해서 패키지 재설치 문제를 해결합니다.
다시 설치할 때 구성을 잃어 버려서는 안되지만 백업 후 모든 것이 제대로 보이는지 확인하십시오.
재설치를 수행 할 때 때때로 클라이언트 구성이 사라지는 것을 발견했습니다.
로그 확인
시스템 로그는 문제가 발생하는 이유에 대한 단서를 제공 할 수 있습니다. 로그를 보려면 상태 메뉴에서 시스템 로그를 클릭하십시오.
시스템 탭에서 하단의 상자에 따옴표없이 "root : freeRADIUS"를 입력 한 다음 필터를 클릭합니다. 그러면 서비스에 대한 시작 및 종료 로그 메시지가 표시됩니다.
인증 성공 및 실패 메시지는 시스템 로그에 표시되지 않으므로이를 보려면 다음을 구성해야합니다. 원격 syslog 서버.
Radius Syslog 메시지
Radtest로 서비스 테스트
radius 패키지에는 서비스가 올바르게 작동하는지 확인하기 위해 서비스를 테스트하는 데 사용할 수있는 Radtest라는 유틸리티가 포함되어 있습니다.
Radtest는 네트워크에서 장치를 재구성하기 전에 인증이 작동하는지 확인할 수 있기 때문에 편리합니다.
테스트 실행 단계
- IP 주소가 127.0.0.1 인 인터페이스를 추가합니다.
- 인터페이스 유형을 'Auth'로 설정하고 기본 포트 (1812)를 사용합니다.
- IP가 127.0.0.1이고 공유 암호 'test'를 사용하여 클라이언트 / NAS를 추가합니다.
- 사용자 탭에서 테스트 사용자 계정을 만듭니다.
- SSH를 통해 pfSense에 로그인하거나 진단 메뉴의 명령 프롬프트 기능을 사용합니다.
- 아래 명령을 실행하여 username> 및 password>를 할당 한 자격 증명으로 바꿉니다.
radtest 사용자 이름> 암호> 127.0.0.1:1812 0 테스트
테스트가 성공하면 "rad_recv : Access-Accept"메시지가 표시됩니다.
새로운 Radius 서버를 사용하는 좋은 방법
중앙 반경 인증 사용을 시작한 후에는 로컬 사용자 계정으로 돌아가고 싶지 않을 것입니다. 아래에 새로운 반경 서버를 활용하는 몇 가지 좋은 방법 목록을 만들었습니다.
- 캡 티브 포털 인증 : 가정 또는 회사에 무선 핫스팟을 설정하고 Radius를 캡 티브 포털의 인증 소스로 사용하십시오.
- 원격 액세스 VPN : VPN 서버로 작동하도록 pfSense를 구성하고 사용자 계정에 대해 중앙 집중식 인증을 사용합니다.
- 네트워크 스위치 : 로컬 사용자 계정을 사용하는 대신 관리되는 스위치를 pfSense로 지정하십시오.
이 기사는 저자가 아는 한 정확하고 사실입니다. 콘텐츠는 정보 제공 또는 오락 목적으로 만 제공되며 비즈니스, 재정, 법률 또는 기술 문제에 대한 개인 상담이나 전문적인 조언을 대체하지 않습니다.