.. _radius-intro:

RADIUS 제어 설정
======================

Genian ZTNA에는 무선 및 유선 802.1x 인증(인증서 또는 클라이언트 인증서)에 사용할 수 있는 RADIUS 서버가 내장되어 있습니다. 

Genian ZTNA RADIUS 서버가 RADIUS 클라이언트/인증자(스위치, 컨트롤러, 엑세스포인트 등)의 인증 요청을 승인하기 위해서는 RADIUS 서버에 RADIUS 클라이언트로 추가해야 합니다. 
RADIUS 서버에 RADIUS 클라이언트를 추가하려면 하단 지침을 참조하시기 바랍니다.

또한 RADIUS 서버는 장비 정보를 정책서버 데이터베이스에 등록할 수 있으며 IP주소 및 기타 정보를 인증하는 RADIUS 계정을 통해 수집할 수 있습니다. 

자체 RADIUS 서버 활성화
-----------------------------

#. 상단 항목의 **설정** 으로 이동합니다.
#. 왼쪽 항목의 **서비스 > RADIUS 서버** 로 이동합니다.

**RADIUS Secret** 설정

#. **추가** 를 클릭하고 RADIUS 클라이언트(인증자)를 추가합니다.
#. **이름** 은 RADIUS 클라이언트(인증자)를 대표할 이름을 입력합니다.
#. **IP/Subnet** 은 허용할 RADIUS 클라이언트(인증자) 의 IP 주소를 입력합니다(여러 개일 경우 줄 바꿈을 통해 입력).
#. **CoA 포트번호** 는 CoA패킷을 수신할 RADIUS 클라이언트(인증자) 의 포트번호를 입력합니다(CoA 사용 참조).
#. **인증키** 의 경우, RADIUS 인증자(스위치, 컨트롤러, 엑세스포인트 등)를 인증하기 위해 미리 공유된 비밀키를 입력합니다.

**RADIUS Authentication Server 설정**

#. **포트번호** 에 RADIUS 인증 포트 번호(*Default is 1812*)를 입력합니다.
#. **인증대체** 의 경우 RADIUS 계정 패킷을 통해 자동으로 ZTNA 사용자에 대해 인증처리를 하려면 **On** 을 선택합니다.
#. **패킷타입** 의 경우 **Start** 및 **Stop** 체크박스를 선택합니다.
#. **노드검색방법** 의 경우 **MAC 또는 IP** 를 선택하고 노드와 일치시킬 속성을 선택합니다.
#. **적용대상** 에 대해 **모든 노드** 를 선택합니다.
#. **수정** 을 클릭합니다.

외부 RADIUS서버의 RADIUS Accounting 정보는 :ref:`sso-radius` 를 참조합니다.

.. note::RADIUS 클라이언트가 Accounting 패킷생성을 지원하지 않는다면 **Accounting 생성** 항목을 **On** 으로 설정하여 노드의 정보를 수집합니다.

802.1X 인증
--------------


IEEE 802.1X는 포트 기반의 네트워크 접근제어(*PNAC: port-based Network Access Control*)를 위한 IEEE 표준입니다.
LAN 또는 Wireless LAN 에 연결하려는 단말에 인증 메커니즘을 제공합니다.

802.1X 인증에 필요한 구성요소는 아래와 같습니다.
- supplicant (요청자)
- authenticator (인증자)
- authentication server (인증 서버)

요청자는 LAN / WLAN에 연결하려는 클라이언트 장치(예 : 노트북)입니다.
'요청자'라는 용어는 인증자에게, 자격 증명을 제공하는 단말에서 실행되는 소프트웨어를 나타내기 위해 서로 바꿔서도 사용합니다.

인증자는 이더넷 스위치 또는 무선 AP와 같은 네트워크 장비입니다. 인증자는 보호된 네트워크에 대한 보안 감시 역할을 합니다.
요청자는 신원이 확인되고 승인될 때까지 네트워크에 접근할 수 없습니다.

802.1X 포트 기반 인증을 사용하면 요청자는 사용자 이름 / 암호 또는 디지털 인증서와 같은 자격증명을 인증자에게 제공하고 인증자는 인증을 위해 자격증명을 인증 서버에 전달합니다.
인증 서버가 자격 증명이 유효하다고 판단하면 요청자(사용자 단말)는 네트워크의 보호된 쪽에 있는 리소스에 액세스 할 수 있습니다.

.. toctree::
    :maxdepth: 1

    radius/configure-802.1x

MAC Authentication Bypass (MAB)
---------------------------------
 
일부 장치는 802.1X 인증을 지원하지 않습니다. 예를 들어 네트워크 프린터, 환경 센서, 카메라 및 무선 전화와 같은 이더넷 기반 전자 장치가 있습니다.
이러한 장치가 보호된 네트워크 환경에서 사용 되려면 해당 장치를 인증하기 위한 대체 메커니즘이 제공되어야합니다.

포트에 MAB가 구성되어 있으면 해당 포트는 먼저 연결된 디바이스가 802.1X를 준수하는지 확인하고 연결된 디바이스에서 응답이 없으면 연결된 디바이스의 MAC 주소를 사용자 이름 및 암호로 사용하여 RADIUS 서버에서 인증을 시도합니다.
MAC 인증만 수행하도록 스위치 포트를 설정 할 수 있고 인증 순서 변경 옵션도 사용할 수 있습니다. 이것들은 스위치 제조사에 따라 다를 수 있습니다. 

무선 네트워크의 경우 인증 방법은 일반적으로 SSID 단위로 설정되며 802.1X/WPA2E 또는 MAC 인증이지만 이 두가지가 아닌 경우도 있습니다. 

.. toctree::
    :maxdepth: 1

    radius/enable-mab

Authorization
-------------------

AAA는 Authentication, Authorization, Accounting 을 의미합니다.
단말이 네트워크에 인증(authenticate)되면 수행하는 권한 허가(Authorization)는 선택적 사항입니다.

권한 허가는 한정된 접근 수준(VLAN or ACL)이나 장비의 연결 측면(QoS 속성 등)을 제어하는 장비 속성을 적용하는 방법입니다. 

Genian ZTNA RADIUS 서버는 인증 후 VLAN을 할당합니다.
RADIUS 서버 외부의 Genian ZTNA에서도 추가적인 접근제어가 가능합니다.(ACLs, ARP Enforcement, etc)

.. toctree::
    :maxdepth: 1

    radius/configure-authorization