Windows IAS를 이용한 스위치 및 무선 AP 802.1x RADIUS 인증
[802.1x 인증과정]
[PEAP 과정]
PEAP는 TLS를 사용하여 인증 PEAP 클라이언트(예: 무선 컴퓨터)와 PEAP 인증자(예: NPS 서버 또는 다른
RADIUS(Remote Authentication Dial-In User Service) 서버) 간에 암호화된 채널을 만듭니다.PEAP는 인증 방법을
지정하지 않지만 PEAP에서 제공하는 TLS 암호화된 채널을 통해 작동할 수 있는 다른 EAP 인증 프로토콜(예:
EAP-MSCHAP v2)에 대해 추가 보앆을 제공합니다
인증에 사용할 계정 설정 (ACCOUNTING SERVER)
우선 Active Directory 서비스를 위해 서버를 도메인 컨트롤러로 구성한다.
AD구성 후 도메인 수준을 Windows 2003으로 올릮다. (그룹범위를 ‘유니버설’로 사용하기 위함)
인증받을 그룹과 사용자계정을 생성한다. OU를 먼저 생성하고 해당 OU앆에 생성.
그룹생성 (유니버설 선택)
사용자생성
사용자 암호를 간단하게 설정가능하게 하려면 도메인 보앆설정 -> 계정 정책 -> 암호 정책에서
아래와 같이 암호정책을 변경한다.
사용자 속성 편집
생성된 계정에 대하여 원격 엑세스 권한을 허용으로 변경한다. RADIUS-Users 그룹에 해당 계정을 포함시킨다.
무선 PEAP 인증을 위하여 인증서 설치
1) Self-Signed 인증서 생성
Self-Signed 인증서를 간편하게 생성하기 위하여 Microsoft IIS 6.0 Resource Kit을 이용한다.
[다운로드]
http://www.microsoft.com/downloads/details.aspx?FamilyID=56fc92ee-a71a-4c73-b628ade629c89499&DisplayLang=en
전체설치를 하지말고 선택설치를 하여서 SelfSSL 1.0만 설치한다.
설치 후 도스창을 열고 C:\Program Files\IIS Resources\SelfSSL 경로로 이동한다.
그리고 아래 명령어를 입력한다.
selfssl /N:CN=ServerName.YourDomain.com /K:1024 /V:1825 /S:1 /P:443
CN=에는 현재 서버의 이름을 정확히 입력한다.
설치중에 Error opening metabase: 0x80040154 와 같은 에러 메시지가 나오는데 그냥 무시한다.
2) 루트 인증서 생성
시작 -> 실행 -> mmc 입력하여 콘솔창을 연다.
스냅인 추가/제거 선택
추가 클릭
인증서 선택..
컴퓨터 계정 선택
로컬 컴퓨터
개인 인증서를 내보내기 한다.
개인 키를 내보내지 않습니다. 선택
DER 인코딩 선택 (윈도우와 호홖되기 떄문)
저장할 인증서 이름을 설정한다.
마침
생성된 인증서 확인
IAS 설치
IAS를 AD에 등록한다.
IAS의 이벤트로그 및 포트 설정을 확인한다.
클라이언트(Authenticator)를 추가한다. 스위치 및 AP가 클라이언트가 된다.
스위치의 IP입력, 스위치에서 설정한 Key String과 동일하게 암호 설정.
AP도 같은 방법으로 추가.
원격 엑세스 정책을 추가한다. (유선먼저 생성 후 나중에 무선에 대한 옵션추가 예정)
마법사 혹은 사용자 지정으로 수동 추가할 수도 있음.
본 메뉴얼에서는 마법사를 이용하여 ‘이더넷’을 선택하고, 차후에 무선도 추가함
이전에 생성해 놓은 그룹선택.
MD5 선택. (스위치인증을 위함). 차후에 무선인증 PEAP를 추가
정책이 생성된 후 속성 선택 (무선 옵션 추가)
NAS-Port-Type 편집 -> 무선-기타 와 무선 – IEEE 802.11 추가
원격 엑세스 권한 허용 선택. -> 프로필 편집 클릭 후 아래와 같이 설정
EAP 방법 클릭-> 추가 -> MD5외에 PEAP도 추가 (무선인증을 위함)
PEAP 편집 클릭
인증서 발급대상 및 EAP 종류 확인.
암호화 및 고급탭 -> Service Type -> Login으로 변경
원격 엑세스 로깅 -> 그설정에 모두 체크
AUTHENTICATOR 설정
1) 스위치 설정
본 테스트에서는 GS108T V 1 모델을 이용하였다.
IAS서버의 IP주소로 설정 Key string은 IAS 설정과 동일하게 구성.
인증방법을 RADIUS로 선택. 인증을 받게 할 포트를 ENABLE 로 변경.
1) AP 설정
WNDAP330의 설정페이지 화면. 스위치와 설정방법은 비슷하다.
CLIENT 설정 (SUPPLICANT)
CLIENT
구성을 하기전에 IAS서버설정이 올바르게 작동하는지 RADIUS TEST 툴을 이용하여 테스트 해본다.
인증테스트
ACCOUNTING 테스트
1) 유선 NIC 구성 – 스위치 포트 인증
PC에서 802.1 X 인증 요청을 할 수 있도록 구성한다.
로컬영역연결 속성에 인증탭이 나타나지 않는다면 아래와 같이 한다.
로컬영역연결 속성 -> MD5 선택
말풍선을 클릭하면 로그인 창이 나오게 되고, AD에서 설정한 계정을 입력한다.
인증받은 후 스위치 포트 상태 확인
해당포트에 인증받은 사용자계정과 현재상태 등을 확인할 수 있다.
2) 무선 NIC 구성
무선구성은 별도 벤더에서 제공하는 무선유틸리티를 이용하여도 되고, WZC를 이용하여도 된다.
WZC를 이용한 방법에 대하여 설명한다.
WZC서비스를 시작하려면 아래와 같이 한다.
무선 네트워크 연결 속성을 연 후 추가 클릭
무선 SSID 를 입력 후 WPA2/AES 선택
인증탭으로 이동하여 위와 같이 설정 -> 속성 클릭
위와 같이 선택 후 구성 클릭 -> 체크해제 -> 확인 후 종료
계정 입력 후 연결 완료
트러블 슈팅
IAS서버에서 이벤트 뷰어를 통해 어느정도 문제원인를 파악할 수 있다.
[유선연결 정상 이벤트 로그]
testuser 사용자 액세스가 허가되었습니다.
Fully-Qualified-User-Name = horim.adserver/IAS/testuser
NAS-IP-Address = 192.168.1.239
NAS-Identifier = <없음>
Client-Friendly-Name = GS108Tv1
Client-IP-Address = 192.168.1.239
Calling-Station-Identifier = <없음>
NAS-Port-Type = Ethernet
NAS-Port = 7
Proxy-Policy-Name = test
Authentication-Provider = Windows
Authentication-Server = <결정되지 않음>
Policy-Name = test
Authentication-Type = EAP
EAP-Type = MD5-Challenge
[무선연결 정상 이벤트 로그]
testuser 사용자 액세스가 허가되었습니다.
Fully-Qualified-User-Name = horim.adserver/IAS/testuser
NAS-IP-Address = 192.168.1.232
NAS-Identifier = netgear130c2a
Client-Friendly-Name = WAG102
Client-IP-Address = 192.168.1.232
Calling-Station-Identifier = 001E2A3A397D
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 1
Proxy-Policy-Name = GS108Tv1_802.1x
Authentication-Provider = Windows
Authentication-Server = <결정되지 않음>
Policy-Name = GS108Tv1_802.1x
Authentication-Type = PEAP
EAP-Type = 보안된 암호(EAP-MSCHAP v2)
[연결실패 로그]
인증실패 :
testuser 사용자 액세스가 거부되었습니다.
Fully-Qualified-User-Name = HORIMSERVER\testuser
NAS-IP-Address = <없음>
NAS-Identifier = <없음>
Called-Station-Identifier = <없음>
Calling-Station-Identifier = <없음>
Client-Friendly-Name = 192.168.1.10
Client-IP-Address = 192.168.1.10
NAS-Port-Type = <없음>
NAS-Port = <없음>
Proxy-Policy-Name = test
Authentication-Provider = Windows
Authentication-Server = <결정되지 않음>
Policy-Name = <결정되지 않음>
Authentication-Type = PAP
EAP-Type = <결정되지 않음>
Reason-Code = 48
Reason = 연결 시도가 원격 액세스 정책에 일치
하지 않습니다.
By HR Lee 2010.12