Authorization 설정

인증요청에 포함된 AD/LDAP 그룹 멤버십 또는 RADIUS 속성을 기준으로 초기인증을 완료할 수 있습니다. 또한 RADIUS CoA(Change of Authorization)는 노드그룹, 정책 미준수, 상태 변경 등과 같은 다른 기준에 따라 인증이 완료된 후 권한이 서로 다르게 부여합니다.

초기 Authorization 설정

Genian ZTNA는 네트워크에 연결할 때 장치의 속성을 지정할 수 있는 기능이 제공합니다. 사용자 이름과 같은 노드 인증 특성을 기반으로 VLAN, ACL 또는 기타 속성을 할당하는 데 사용할 수 있습니다. 추가로 이기능을 사용하여 인증 요청을 선택적으로 거부할 수 있습니다.

  1. 상단 항목의 정책 으로 이동합니다.

  2. 왼쪽 메뉴의 정책 > RADIUS 정책 으로 이동합니다.

  3. 작업선택 > 생성 을 선택합니다.

  4. 기본 설정인 이름, 우선순위, 적용모드 를 입력합니다.

  5. 조건설정 에서 속성 을 선택합니다.

  6. 조건설정 에서 조건과 값 을 입력합니다.

  7. 조건설정추가 합니다.

  8. 정책설정 에서 정책 대상자에 대한 접근정책 을 선택합니다.

  9. 생성 을 클릭합니다.

Note

User-Name, Calling-Station-Id, Called-Station-Id, Framed-IP-Address, NAS-IP-Address, NAS-Port, Service-Type, Filter-Id, Login-IP-Host, Class, Vendor-Specific, NAS-Port-Type, Connect-Infox, NAS-Port-ID, Aruba-User-Rolex, Aruba-Essid-Name 등의 RADIUS 속성을 사용 할 수 있습니다.

Attention

RADIUS 클라이언트 장치는 클라이언트 인증에 RFC2868 IEEE 802.1X 표준을 지원해야합니다.

CoA (Change of Authorization) 사용

네트워크 사용 중에 단말이 정책을 위반하는 등 네트워크에 인증된 후 상태가 변경되면 다양한 RADIUS 속성을 사용하여 장치에 대한 네트워크 접근을 제한 하거나 거부할 수 있습니다. 이것은 CoA(Change of Authorization, RFC 5176 - RADIUS 표준에 대한 동적 인증 확장)라는 표준을 통해 제공 됩니다.

CoA는 제어 정책이 변경된 단말에 대한 현재 연결을 끊습니다. 연결이 끊어진 단말은 다시 연결을 시도한 다음 VLAN 할당을 통해 격리 된 VLAN으로 이동합니다.

  1. 상단 항목에서 정책 으로 이동합니다.

  2. 왼쪽 항목에서 정책 > 제어정책 으로 이동합니다.

  3. 연결을 끊을 제어 정책의 이름을 클릭합니다.

  4. 제어 옵션 > RADIUS 제어 에서 옵션을 선택합니다.

  5. RADIUS CoA 에 옵션에 대해 On 을 선택합니다.

  6. CoA Command 의 경우 표준 속성에 대해 Terminate-Session 을 선택하거나 다른 Generic-CoA를 선택하여 VSA(Vendor Specific Attribute)를 입력합니다.

  7. Vendor-Specific-Attribute 에 VSA 값(예: Nas-filter-Rule='permit in tcp from any to any 23' )을 입력합니다.

  8. 수정 을 클릭합니다.

  9. 오른쪽 상단에 있는 변경정책적용 을 클릭합니다.