Cisco Wireless(Mobility Express) Radius 연동

무선 WIFI를 운영할 때 패스워드 인증만으로 내부의 공통 리소스(인트라넷, 공유폴더 등)에 쉽게 접근할 수 있도록 설계를 하는 경우가 많다. 공통으로 사용하는 패스워드라면 노출이 되기도 쉽고 외부인이 쉽게 접근할 수 있는 환경이 되어버린다. 이 포스팅은 Radius(NPS) 연동을 통해 LDAP 계정(Active Directory)으로 인증된 사용자만 무선 WIFI에 로그인하고 Cisco Wireless 장비의 어드민 계정 또한 LDAP 계정으로 사용하는 방법을 설명한다.

네트워크 정책 서버(NPS)

  • ActiveDirectory와 NPS 서버 구축의 내용은 생략하며 NPS는 AD에 join되어 있어야 한다.

1. RADIUS 클라이언트

[속성]
1.’이 RADIUS 클라이언트 사용’ 체크
2. 이름 및 주소
 2-1. 이름: 클라이언트 이름
 2-2. 주소: 인증을 요청하는 클라이언트 IP – CIDR 형식 사용 가능
3. 공유 암호
 -수동: 인증에 사용할 암호키를 직접 입력
 -자동: 인증에 사용할 암호키를 복합성을 충족하여 자동 생성

[고급]
 -공급업체: Cisco

2. 연결 요청 정책

[개요]
 1.정책 이름: 연결요청정책 이름
 2.정책 상태: ‘정책 사용’ 체크

[조건]
 1.환경에 따라 요청을 허용할 조건을 추가
 2.클라이언트 이름, NAS 식별자, NAS 포트번호, 호출된 스테이션 식별자 등등 다양하게 활용 가능

3. 네트워크 정책

[개요]
 1.정책 이름: 네트워크 정책의 이름
 2.정책 상태: ‘정책 사용’ 체크
 3.액세스 권한: ‘액세스 허용’ 체크

[조건]
 1.환경에 따라 요청을 허용할 조건을 추가
 2.사용자 또는 그룹, IP주소, 인증 유형, NAS 식별자 또는 포트 종류 등 여러가지 활용 가능

[제약 조건 – 인증 방법]
 1.EAP 종류: Microsoft: PEAP
 2.보안 수준이 낮은 인증 방법: ‘Microsoft 암호화 인증 버전2’, ‘Microsoft 암호화 인증’, ‘암호화 안 된 인증’ 체크

[제약 조건 – NAS 포트 종류]
 1.일반 802.1X 연결 터널 종류: ‘무선 – IEEE 802.11’ 체크

[설정 – 표준]
 1.이름: Service-Type
 2.값: Login

Cisco Mobility Express Controller

1. RADIUS

[관리 – 관리자 계정]
관리자 계정 메뉴에는 기본적으로 ‘로컬 관리자 어카운트’만 보여지는데 우측 상단에 [전문가 보기]를 클릭하여 전환하면 메뉴들이 추가된다. 전문가 보기 변경 후 ‘관리 사용자 우선순위’, ‘TACACS+’, ‘RAIDUS’, ‘인증 캐시된 사용자’ 메뉴가 추가된 것을 확인할 수 있다.

* [전문가 보기] 변경 전

* [전문가 보기] 변경 후

[관리 – 관리자 계정 – RADIUS]
 ‘RADIUS 인증 서버 추가’, ‘RADIUS 계정 관리 서버 추가’를 눌러 각각 서버 설정을 추가한다.
 설정 내용에는 RADIUS(NPS) 서버 IP주소와 서버에서 설정했던 RADIUS 인증 암호 값이 필요하다.

2. WLAN (SSID)

[일반]
 1.프로필 이름, SSID 기재
 2.관리자 상태: 사용됨
 3.SSID 브로드 캐스트: SSID 공개 여부 _ 보안을 고려하면 사용 안하는 것을 권장

[WLAN 보안]
 1.보안 유형: WPA2Enterprise
 2.인증 서버: 외부 RADIUS
 3.RADIUS 인증 서버 추가
 4.RADIUS 계정 관리 서버 추가

[VLAN 및 방화벽]
 1.기본 VLAN ID: AP 장비가 manage 통신을 하는 VLAN
 2.VLAN 태깅 사용: 예
 3.DHCP 범위: AP에서 DHCP를 설정 했다면 사용, 아니라면 없음
 4.VALN ID: DHCP에서 할당하는 네트워크 범위의 VLAN

그 외 추가 옵션이나 [트래픽 셰이핑], [일정 예약] 등은 환경에 따라 자유롭게 설정하면 된다.

설정을 모두 완료하면 생성한 SSID로 연결 시도 시 로그인 창이 나타나며 RADIUS 인증을 통해 Active Directory 계정으로 로그인이 가능해진다.

3. 관리자 로그인

WLAN 설정처럼 NPS 서버에서 관리자 로그인 인증 설정이 필요하다.

[정책 – 연결 요청 정책] 
개요
  1.정책 이름 기입
  2.’정책 사용’ 체크
조건 
  1.환경에 따라 요청을 허용할 조건을 추가

  2.클라이언트 이름, NAS 식별자, NAS 포트번호, 호출된 스테이션 식별자 등등 다양하게 활용 가능
설정 – 표준
  1.이름: Service -Type
  2.값: Administrative

[정책 – 네트워크 정책]
개요
  1.정책 이름 기입
  2.’정책 사용’ 체크
  3.’액세스 허용’ 체크
조건
  1.환경에 따라 요청을 허용할 조건을 추가
  2.관리자 계정 또는 관리자 그룹 등등 다양하게 활용 가능
설정 – 표준
  1.이름: Service-Type
  2.값: Administrative

Mobility Express Controller 설정

[관리 – 관리자 계정 – 관리 사용자 우선 순위]
마우스로 드래그하여 RADIUS를 우선 순위 1번으로 설정한다. 설정하는 즉시 로컬 관리자의 계정으로 로그인 할 수 없으니 주의해야 한다. 장비가 RADIUS 연결이 끊길 때만 다시 로컬 관리자 계정으로 로그인이 가능해진다.

여기까지 모두 설정이 완료되면 Cisco Mobility Express 관리자 계정도 RADIUS 인증을 통해 Active Directory 계정으로 로그인이 가능해진다.

References

참고자료 네이밍 및 URL
참고자료 네이밍 및 URL