네트워킹

오늘:
1,280
어제:
1,849
전체:
2,916,690

고객센타 : 070-7752-2000
팩스 : 070-7752-2001
휴대폰 : 010-9513-0019
email : voipkorea@yahoo.co.kr

국민은행
(주)제이에스솔루션
047101-04-155519

Flag Counter
■ 무료 : 유선 집전화 휴대폰 ( 한국 미국 중국 카나다) ↔ (국내 해외 여행자 상사 주재원 유학생) / 가입무 무제한무료■
마이크로소프트 윈도우환경에서는 Active Directory라는 기술을 통해 기업 IT 환경에서 사용자 관리를 집중화할 수 있다. 그렇다면 유닉스 환경에서는 집중화된 사용자 관리를 어떻게 구현할 수 있을까? 더 나아가 유닉스, MS 윈도우를 같이 사용하는 환경에서 사용자 관리를 집중화할 수 있는 방법은 없을까? 이를 해결하기 위해 NIS/NIS+, LDAP, Kerberos 등 여러가지 솔루션이 존재한다. 본 포스트에서는 RADIUS를 이용한 리눅스 인증 서버 구현하는 방법을 소개하도록 한다. 참고로 이곳을 방문하면 freeRadius가 동작하는 것으로 확인된 리눅스 배포판을 확인할 수 있을 것이다.

1. RADIUS?
RADIUS를 풀어쓰면 Remote Authentication Dial In User Service이며 집중화된 Authentication, Authorization, Accounting (AAA) 관리를 위한 프로토콜이다. RADIUS는 IETF 표준으로서 광범위하게 사용되고 있으며 다양한 어플리케이션에 통합되어 사용될 수 있다. VPN, 방화벽, 무선 AP, RDBMS 등의 많은 어플리케이션들이 RADIUS 인증 방식을 지원하기 때문에 사용자 인증의 집중화가 가능하다. 때문에 IT 관리자로서 다양한 장비와 서비스를 관리할 때 하나의 계정와 비밀번호로 이들 장비들의 관리를 가능케한다.

단순 텍스트 교환방식을 사용하는 텔넷과 달리 암호화된 통신을 사용하는 ssh이 더 안전하다는 사실은 웬만한 IT 관리자에게 더이상 새롭지 않을 것이다. 이 ssh는 PAM이라는 인증 방식을 통해 사용자 인증을 한다. 사실 현대 유닉스는 사용자 인증을 위해 PAM을 이용하기 때문에 인증 방식을 변경하더라도 시스템 내의 인증 방식을 서버스 개별적으로 변경할 필요가 없다.

일반적으로 리눅스에서는 /etc/passwd에 기반한 사용자 데이터베이스를 관리한다. 본 포스트에서 사용하는 인증 모델도 각 클라이언트에 저장되어 있는 /etc/passwd의 id를 기초로하여 사용자가 입력한 비밀번호가 RADIUS 서버에 저장되어 있는 사용자 비밀번호와 동일한지 비교하여 인증하는 방식이다. 때문에 각 클라이언트마다 uid, gid, 홈디렉토리가 다르다. 이를 극복하기 위해서는 LDAP을 이용한 인증 방식을 사용하여야 한다.

또한 각 클라이언트에 RADIUS 인증 모듈인 pam_radius_auth 라이브러리를 설치하고 인증서버의 정보를 설정하여야 한다.

2. FreeRadius를 사용하여 ssh 사용자 인증하기
2.1 FreeRadius 설치하기
FreeRadius는 리눅스뿐 아니라 여러 플랫폼에서 실행되는 GNU GPL v2 라이센스로 배포되며 BSD 라이센스인 PAM 라이브러리와 함께 동작한다. 본 포스트에서 ssh 사용자 인증을 위해 FreeRadius를 이용하는 방법을 알아보도록 한다. 본 포스트에서 사용된 네트워크 환경은 아래와 같다.

우선 RADIUS 서버로 사용할 리눅스 서버를 준비하도록 한다. 본 포스트에서는 우분투 10.04 Lucid Lynx를 사용하였다. RADIUS 서버인 FreeRadius를 설치하도록 하자.

 #apt-get install freeradius

Reading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
  freeradius-common freeradius-utils libdbi-perl libfreeradius2 libltdl7
  libnet-daemon-perl libperl5.10 libplrpc-perl perl perl-base perl-modules
Suggested packages:
  freeradius-ldap freeradius-postgresql freeradius-mysql freeradius-krb5
  dbishell perl-doc libterm-readline-gnu-perl libterm-readline-perl-perl
The following NEW packages will be installed:
  freeradius freeradius-common freeradius-utils libdbi-perl libfreeradius2
  libltdl7 libnet-daemon-perl libperl5.10 libplrpc-perl
The following packages will be upgraded:
  perl perl-base perl-modules
3 upgraded, 9 newly installed, 0 to remove and 34 not upgraded.
Need to get 11.0MB of archives.
After this operation, 8,290kB of additional disk space will be used.
Do you want to continue [Y/n]?

(생략)

Updating default SSL certificate settings, if any...
Adding user freerad to group ssl-cert
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
...............................+.......................+.......+...................+........................................................+............+................+.......+...+...........................................+..................................................................................................................................................+....+.+............+.........+.+.................................+.....+..............+.......+.................................................+.............................................+...................+..............+.............................+..............................................................................................+....................................................................................................................................+........................................................................+........................+....................................+....................+.....................+................................................................................................................................+......................................++*++*++*
 * Starting FreeRADIUS daemon freeradius                                 [ OK ]

Setting up freeradius-utils (2.1.8+dfsg-1ubuntu1) ...
Setting up perl-modules (5.10.1-8ubuntu2) ...
Setting up perl (5.10.1-8ubuntu2) ...

Setting up libnet-daemon-perl (0.43-1) ...
Setting up libplrpc-perl (0.2020-2) ...
Setting up libdbi-perl (1.609-1build1) ...
Processing triggers for libc-bin ...
ldconfig deferred processing now taking place
root@UAT:/home/iprize#
 
 
 의존성 검사 후 필요한 패키지들을 내려 받아 설치가 완료되면 자신의 네트워크 환경에 맞게 설정을 수정하여야 한다.

2.2 FreeRadius 설정 수정하기
FreeRadius version 2는 사용이 용이하도록 만들어졌다고 하지만 처음 접하는 이들에게는 그다지 쉽지않다. 문서나 관련 자료들이 많이 부족하기 때문이다.

FreeRadius 서버에서 수정할 사항은 RADIUS 인증을 받으려는 클라이언트에 대한 네트워크 대역과 공유키(secret)를  지정하는 것으로 마무리된다. /etc/freeradius/ 디렉토리의 clients.conf를 열어 아래 설정을 추가하도록 하자.

client 192.168.111.0/24 {

        secret          = radius_auth
        shortname       = private-network
}
 

위 공유키(secret)을 기억하도록 하자. 서버와 클라이언트의 공유키가 일치하지 않을 경우 인증이 실패하니 주의하도록 하자.

3 클라이언트 설정
3.1 pam-radius-auth 라이브러리 설치
리눅스에서는 사용자 인증을 위해 PAM (Pluggable Authentication Modules)을 통해 사용자 인증을 한다. 우분투 설치후 기본적으로 사용자 인증을 /etc/passwd /etc/shadow의 데이터베이스를 이용한다. 하지만 RADIUS를 설정하게 되면 /etc/passwd에서 사용자 ID만을 취하고 사용자 비밀번호는 인증서버에서 받아와 비교한 후 로긴을 하게 된다. 이를 위해서는 PAM 설정을 변경하여 인증을 RADIUS를 통하도록 해야 한다. 이에 필요한 라이브러리는 libpam-radius-auth이며 RADIUS 인증을 사용하려는 모든 클라이언트에 설치하도록 한다.

 # apt-get install libpam-radius-auth

 
/etc/pam_radius_auth.conf 파일을 수정하여 PAM에게 RADIUS 서버 정보를 알려주도록 한다. 이때 공유키(shared secret)은 clients.conf 설정 파일에 지정하였던 키와 동일한 것을 적어주어야 한다.

 # server[:port] shared_secret      timeout (s)

192.168.111.111 radius_auth       1
 

3.2 ssh 설정 변경하기
위에서 언급했듯이 ssh는 PAM을 이용해 인증을 한다. RADIUS를 이용해 사용자 인증을 하도록/etc/pam.d/sshd에 아래 설정을 추가한다. 단 추가할 때 @include common-auth보다 위쪽에 추가하여야 한다. 아래쪽에 추가할 경우 common-auth의 설정이 먼저 적용이 되어 로컬 사용자 정보를 이용하기 때문이다.

 auth sufficient pam_radius_auth.so

 

3.3 사용자 추가하기
클라이언트 머신에 사용할 계정을 추가하도록 한다. 이때 비밀번호를 지정할 필요는 없다.

#adduser -home /home/iprize iprize

 
 
4. Troubleshooting
 -X옵션을 사용하면 FreeRadius를 사용하면서 문제가 발생할 경우 어디가 잘못되었는지 확인할 수 있도록 디버그 모드로 실행된다. freeradius 서버가 실행되고 있으면 멈추고 -X 옵션을 주고 실행하도록 한다. service 명령어를 이용하여 RADIUS 서버를 실행할 경우 -X옵션을 줄 수 없을 것이다. freeradius 실행 파일은 /usr/sbin/디렉토리 아래에 있으니 해당 디렉토리로 이동하여 -X 옵션을 주어 사용하도록 하자. 아래 메시지는 인증이 성공하여 정상적으로 로긴하였을 때 나타나는 것이다.
 

  rad_recv: Access-Request packet from host 192.168.111.131 port 6767, id=147, length=91

        User-Name = "iprize"
        User-Password = "testing123"
        NAS-IP-Address = 127.0.1.1
        NAS-Identifier = "sshd"
        NAS-Port = 5742
        NAS-Port-Type = Virtual
        Service-Type = Authenticate-Only
        Calling-Station-Id = "192.168.111.1"
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
[suffix] No '@' in User-Name = "iprize", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[unix] returns updated
++[files] returns noop
++[expiration] returns noop
++[logintime] returns noop
++[pap] returns updated
Found Auth-Type = PAP
+- entering group PAP {...}
[pap] login attempt with password "testing123"
[pap] Using CRYPT encryption.
[pap] User authenticated successfully
++[pap] returns ok
+- entering group post-auth {...}
++[exec] returns noop
Sending Access-Accept of id 147 to 192.168.111.131 port 6767
Finished request 0.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 0 ID 147 with timestamp +25
Ready to process requests.
 
참고자료
1. freeRADIUS - http://freeradius.org/


출처 : iprize.tistory.com
조회 수 :
12163
등록일 :
2013.04.19
16:53:59 (*.160.42.88)
엮인글 :
http://webs.co.kr/index.php?document_srl=19898&act=trackback&key=3af
게시글 주소 :
http://webs.co.kr/index.php?document_srl=19898
List of Articles
번호 제목 글쓴이 날짜 조회 수
100 Lnux export how to new admin 2017-12-17  
99 What's the difference between “adduser” and “useradd”? admin 2017-12-15  
98 useradd Command 리눅스 admin 2017-12-15  
97 How To Install Java with Apt-Get on Ubuntu 16.04 oracle java admin 2017-10-13 865
96 우분투 Linux(Ubuntu)에 Java설치 및 환경 설정하는 방법 admin 2017-10-13 871
95 우분투 다운로드 사이트 주소 ubuntu download 16.04.3 17.04 site link admin 2017-10-13 871
94 How to install Java on linux with no Internet connectivity (using local repository) admin 2017-10-01 947
93 윈도우 ssh 접속 프로그램 admin 2017-09-29 964
92 openvpn Easy Windows Guide admin 2017-09-20 1010
91 OpenVPN - Getting started How-To admin 2017-09-20 1041
90 openssl 을 이용한 인증서 생성 절차를 정리한다. 개인키 CSR SSL 인증서 파일 생성 admin 2017-09-14 1121
89 How to Manually Unblock / Unban IP Address in fail2ban 차단풀기 admin 2017-09-12 1073
88 How To Protect SSH with fail2ban on Debian 7 데비안 ssh 방어 무작위 로그인 admin 2017-09-12 1090
87 SSH 무작위 로그인 시도 막기(With Fail2Ban on CentOS 6/7 + selinux) admin 2017-09-12 1148
86 리눅스 데비안 네트워크 설정 유선랜 무선랜 linux debian network setting 설정 admin 2017-09-07 1228
85 linux debian 계열 network 설정 테트워크 데비안 admin 2017-09-07 1135
84 PUTTY DOWNLOAD - FREE SSH & TELNET CLIENT admin 2017-09-03 1566
83 debian 8.8 download cd1 cd2 cd3 etc admin 2017-09-03 1195
82 Debian Download 데비안 리눅스 다운로드 admin 2017-09-02 1548
81 데비안 리눅스 부팅시에 방화벽 서버에 자동실행 되게 설정 해보자 admin 2017-08-30 1219
80 리눅스 시작시에 부팅시 프로세스 프로그램 자동 실행 설정 admin 2017-08-30 1298
79 리눅스 시작시 부팅 시, 프로그램 자동실행 등록하기 admin 2017-08-30 1490
78 리눅스 부팅시 시작시 프로그램 명령어 실행하기 (Linux Init script) admin 2017-08-30 1337
77 리눅스 부팅시 자동 실행 명령스크립트 실행하기 만들기 이해 linux booting admin 2017-08-30 1332
76 부팅시 자동실행 명령어 스크립트, rc.local admin 2017-08-30 1430
75 the world’s most widely deployed RADIUS server document admin 2017-08-29 1315
74 네트워크 디바이스명 변경 리눅스 eth0 eth1 admin 2017-08-29 1495
73 Cloned VMware CentOS6 Server "device eth0 does not seem to be present, admin 2017-08-29 1281
72 VMWARE VM Error boot loader install grub - install /dev/sda or /dev/hda MBR linux admin 2016-01-27 1854
71 Linux and Unix touch command admin 2015-11-15 2174
70 Configuration of Red Hat 5.4 Xen for SR-IOV Support admin 2015-08-02 2419
69 apt-get install linux-image-2.6.26-2-686-bigmem admin 2015-06-27 2525
68 intel i210 driver install and compile debian admin 2015-06-27 3557
67 Debian / Ubuntu Linux Install Kernel Headers Package admin 2015-06-27 2500
66 mount -t auto /dev/sdb1 /mnt && ls /mnt admin 2015-06-27 2475
65 kali linux 해킹 hacking attack DDOS etc tools admin 2015-06-24 2939
64 sources.list lenny admin 2015-02-03 3280
63 Ubuntu 14.04 원격 접속(xrdp) 설정 admin 2014-12-21 9308
62 Remote Desktop Connection from Windows 7/8 to Ubuntu 14.04 admin 2014-12-21 3867
61 Using Windows RDP to Access your Ubuntu Instance admin 2014-12-21 3516
60 Install GUI on Ubuntu Server admin 2014-12-21 3727
59 How to start GUI from command line? admin 2014-12-21 3718
58 Download all files in a directory using WGET admin 2014-12-16 3729
57 문서 편집기 vi vim command 명령어 정리 admin 2014-10-29 5140
56 find 명령 사용 예제들 admin 2014-10-29 4258
55 특정 IP 엑세스 못하게 하는방법 admin 2014-10-29 4420
54 scp 명령어를 이용한 파일 복사 및 전송 admin 2014-10-29 5190
53 [리눅스] 소프트웨어 레이드의 리빌딩 및 리싱킹 속도를 높이는 5가지 방법 admin 2014-10-17 4678
52 /bin/false, /sbin/nologin 의 차이점 admin 2014-10-13 5541
51 리눅스 시스템 유저 추가 명령어 useradd 사용하기 admin 2014-08-09 4833
50 리눅스 시스템 시작시에 자동 실행할 파일 등록하기 admin 2014-03-22 22921
49 linux 에티터 명령어 정리 포그라운드 전환 : ctrl + z 다시 vi 모드로 돌아오려면 fg admin 2014-03-05 7481
48 Linux Memory Management – Virtual Memory and Demand Paging admin 2014-03-03 6635
47 iptables rules tcp drop all port except tcp 22 admin 2014-02-26 7977
46 seagate HD 시게이트 하드 디스크 A/S 에이에스 기간 조회 및 받는 3가지 방법 admin 2013-12-09 8382
45 SSH Without Authentication Using Key Files (CentOS 5.6) admin 2013-11-22 7390
44 Getting started with SSH public key cryptography admin 2013-09-05 11937
43 암호 없이 SSH 접속하기 admin 2013-09-05 7722
42 Linux Date Command Examples to Display and Set System Date Time admin 2013-07-11 9348
41 FreeRADIUS 설치(freeradius-sever-2.1.8) admin 2013-04-19 16379
» Radius를 이용한 ssh 인증 서버 구축하기 admin 2013-04-19 12163
39 CentOS 5.4에서 RADIUS 서버 설치하기 admin 2013-04-19 20454
38 Event IP 20187 admin 2013-04-08 7650
37 리눅스에서 자바(JDK) 설치하기 admin 2013-04-08 8660
36 리눅스 네트워크 설정 멸령어 Linux admin 2013-04-08 8733
35 [linux]리눅스 버전및 CPU등 환경정보 확인하기 admin 2013-04-08 26621
34 Linux 시스템 백업과 복원 admin 2013-04-04 8008
33 tar로 전체시스템 백업 LINUX Backup admin 2013-04-04 18275
32 다운된 리눅스서버 응급복구 admin 2013-03-28 11334
31 Build a RADIUS server on Linux admin 2013-03-23 10381
30 Deploying FreeRADIUS with the MySQL Cluster Database file admin 2013-03-22 8274
29 FREE RADIUS 활용및 응용 admin 2013-02-23 18813
28 리눅스에 RADIUS 서버 구현하기 admin 2012-09-01 40514
27 Debian CD DVD 다운로드 링크 헤메지말고 바로 다운로드하지요 admin 2012-08-18 8907
26 Site builder shootout: Drupal vs. Joomla vs. WordPress admin 2012-07-15 28435
25 WinXP 부팅안되는 현상 NTLDR is missing 메세지 admin 2012-07-12 9531
24 윈도우XP 알면 정말 편한 숨겨진 기능 60가지 admin 2012-05-11 12111
23 한국인/국내기업은 얼마나 Linux Kernel에 기여할까? admin 2012-04-29 10313
22 scp, ssh, rsync등을 사용할때에 SSH 비밀번호 묻는것 피하기 admin 2012-04-15 10095
21 [Linux/SSL] 리눅스 서버에 Apache 2 설치 및 SSL 설정하기(mod_ssl, openssl) admin 2012-04-15 10899
20 리눅스의 막강한 네트워크 필터 iptables admin 2012-04-15 9257
19 Centos net install web http admin 2012-03-02 12883
18 Linux 시스템 백업과 복원 admin 2012-02-28 10215
17 검색 파일리스트 만든 다음 여러파일 한방에 압축하기 admin 2012-02-14 11016
16 linux 파티션 디렉토리 용량 확인방법 전체 폴더 크기 사이즈 admin 2012-01-05 11378
15 How to disable IPv6 in Debian Lenny and Squeeze admin 2011-12-29 9468
14 리눅스 네트워크 설정 LINUX admin 2011-12-19 10294
13 다양한 사운드 파일있는곳 admin 2011-12-19 8586
12 모든 CPU 벤치마크 수치 admin 2011-12-16 10459
11 Wireshark admin 2011-12-16 8832
10 스트리밍서버 / 윈도우서버 admin 2011-12-16 10078
9 무료백신 여러가지 분류해놓은곳 admin 2011-12-16 9081
8 윈도우 2003 작업 스케줄러 설정 admin 2011-12-16 13707
7 파이썬 설치 및 사용하기 admin 2011-12-16 11514
6 How to disable IPv6 in Debian , 리눅스 아이피설정 admin 2011-12-16 13800
5 리눅스 서버 이전시 고려할 사항들 admin 2011-12-16 12354
4 ftp 파일전송 여러파일을 한번에 통째로 전송 admin 2011-12-16 12033
3 리눅스 tar 압축 백업복원시 소유자 문제해결 admin 2011-12-16 11177
2 서버이전시 고려할 사항들 admin 2011-12-13 11880
1 Name Server 설정및 이해 admin 2011-12-13 8200