.. _configure-authorization:

Authorization 설정
===========================

인증요청에 포함된 AD/LDAP 그룹 멤버십 또는 RADIUS  속성을 기준으로 초기인증을 완료할 수 있습니다. 
또한 RADIUS CoA(Change of Authorization)는 노드그룹, 정책 미준수, 상태 변경 등과 같은 다른 기준에 따라 인증이 완료된 후 권한이 서로 다르게 부여합니다.

초기 Authorization 설정
--------------------------

Genian NAC는 네트워크에 연결할 때 장치의 속성을 지정할 수 있는 기능이 제공합니다. 
사용자 이름과 같은 노드 인증 특성을 기반으로 VLAN, ACL 또는 기타 속성을 할당하는 데 사용할 수 있습니다.
추가로 이기능을 사용하여 인증 요청을 선택적으로 거부할 수 있습니다.

#. 상단 항목의 **정책** 으로 이동합니다.
#. 왼쪽 메뉴의 **정책 > RADIUS 정책** 으로 이동합니다.
#. **작업선택 > 생성** 을 선택합니다. 
#. 기본 설정인 **이름, 우선순위, 적용모드** 를 입력합니다. 
#. **조건설정** 에서 **속성** 을 선택합니다.
#. **조건설정** 에서 **조건과 값** 을 입력합니다. 
#. **조건설정** 을 **추가** 합니다. 
#. **정책설정** 에서 정책 대상자에 대한 **접근정책** 을 선택합니다.
#. **생성** 을 클릭합니다.

.. note:: `User-Name, Calling-Station-Id, Called-Station-Id, Framed-IP-Address, NAS-IP-Address, NAS-Port, Service-Type, Filter-Id, Login-IP-Host, Class, Vendor-Specific, NAS-Port-Type, Connect-Infox, NAS-Port-ID, Aruba-User-Rolex, Aruba-Essid-Name` 등의 RADIUS 속성을 사용 할 수 있습니다.

.. attention:: RADIUS 클라이언트 장치는 클라이언트 인증에 `RFC2868`_ IEEE 802.1X 표준을 지원해야합니다.


.. _RFC2868: https://www.ietf.org/rfc/rfc2868.txt

CoA (Change of Authorization) 사용
-----------------------------------

네트워크 사용 중에 단말이 정책을 위반하는 등 네트워크에 인증된 후 상태가 변경되면 다양한 RADIUS 속성을 사용하여 장치에 대한 네트워크 접근을 제한 하거나 거부할 수 있습니다.
이것은 CoA(Change of Authorization, RFC 5176 - RADIUS 표준에 대한 동적 인증 확장)라는 표준을 통해 제공 됩니다.

CoA는 제어 정책이 변경된 단말에 대한 현재 연결을 끊습니다.
연결이 끊어진 단말은 다시 연결을 시도한 다음 VLAN 할당을 통해 격리 된 VLAN으로 이동합니다.

#. 상단 항목에서 **정책** 으로 이동합니다.
#. 왼쪽 항목에서 **정책 > 제어정책** 으로 이동합니다.
#. 연결을 끊을 제어 정책의 이름을 클릭합니다.
#. **제어 옵션 > RADIUS 제어** 에서 옵션을 선택합니다.
#. **RADIUS CoA** 에 옵션에 대해 **On** 을 선택합니다.
#. **CoA Command** 의 경우 표준 속성에 대해 **Terminate-Session** 을 선택하거나 다른 Generic-CoA를 선택하여 VSA(Vendor Specific Attribute)를 입력합니다.
#. **Vendor-Specific-Attribute** 에 VSA 값(예: ``Nas-filter-Rule='permit in tcp from any to any 23'`` )을 입력합니다.
#. **수정** 을 클릭합니다.
#. 오른쪽 상단에 있는 **변경정책적용** 을 클릭합니다.