사용자 어플리케이션 시나리오
EAP(Extensible Authentication Protocol)는 네트워크 및 인터넷 연결에 자주 사용되는 인증 프레임워크입니다. WPA-Enterprise 표준은 IEEE 802.1X (다양한 EAP 유형 포함)를 표준 인증 매커니즘으로 채택했습니다. EAP-MD5, EAP-POTP, EAP-GTC, EAP-TLS, EAP-IKEv2 등과 같이 IETF RFC에 의해 정의된 많은 EAP 방법이 있습니다. 본문에서는 EAP-TLS 방식을 사용하여 WPA-Enterprise 인증을 달성하기 위해 RADIUS (Remote Authentication Dial In User Service) 서버를 배포합니다
참고:
이 튜토리얼은 검증 및 테스트를 위한 것입니다. 엔터프라이즈 또는 상업용 시나리오에 RADIUS 서비스를 이용하려면 전문 기관에 문의하세요.
FreeRADIUS는 GPLv2 라이선스에 따른 오픈 소스 RADIUS 서버입니다. 프로젝트 웹사이트: github.com.
구성
1단계. Linux에서 FreeRADIUS 설치하기
FreeRADIUS의 패키지 설치 가이드는 FreeRADIUS 패키지 | 네트워크RADIUS를 참고하세요. github.com에서도 소스 코드를 구축할 수 있습니다. 올바르게 설치했는지 확인하세요. 예를 들어 시작할 수 없거나 요청을 처리할 수 없는 등의 절차를 수행하는 동안 RADIUS 서비스에 오류가 발생하면 해당 서비스를 올바르게 설치했는지 확인하세요.
이 가이드의 환경: FreeRADIUS 3.2가 설치된 Ubuntu 22.04 LTS (apt-installed)
2단계. FreeRADIUS 클라이언트 구성 편집
기본적으로 FreeRADIUS 3.2는 /etc/freeradius/에 설치됩니다.
먼저 FreeRADIUS가 AP에서 보낸 인증 요청을 처리하도록 구성 파일에 AP를 추가합니다. 터미널을 열고 다음 명령을 실행합니다:
$ sudo nano /etc/freeradius/clients.conf
파일에 다음 내용을 추가합니다:
client AP1 { #’AP1’은 액세스 포인트의 별칭입니다
ipaddr = 192.168.0.100/24 #AP1의 IP 주소
secret = testing123
#’secret’은 ‘인증 비밀번호’가 됩니다.
#Omada Controller’s RADIUS 프로필 설정
}
참고: WPA-Enterprise 암호화의 경우 컨트롤러가 아닌 EAP 자체가 RADIUS의 클라이언트가 되기 때문에 EAP의 모든 IP가 clients.conf에 포함되어 있는지 확인하세요.
그런 다음 Ctrl+X를 눌러 파일을 저장합니다.
3단계. TLS를 활성화하도록 FreeRADIUS EAP 구성 편집
EAP 구성을 편집합니다:
$ sudo nano /etc/freeradius/mods-enabled/eap
eap 필드를 찾아 default_eap_type을 tls.로 변경합니다
예:
eap{
default_eap_type = tls
…
…
…
그런 다음 Ctrl+X를 눌러 파일을 저장합니다.
4단계. 인증서 만들기
FreeRADIUS는 OpenSSL을 사용하여 인증서를 만듭니다. 구성 파일 및 CA는 /etc/freeradius/certs에서 찾을 수 있습니다. 먼저 해당 폴더로 전환합니다:
$ sudo -s
$ cd /etc/freeradius/certs
CA를 다시 만들기 전에 매번 모든 CA를 정리해야 합니다. 그렇지 않으면 openssl이 ‘해야 할 작업 없음’을 출력하고 새 CA를 다시 생성하지 않습니다. 다음 명령으로 기존 파일을 삭제합니다:
$ rm -f *csr *key *p12 *pem *crl *crt *der *mk *txt *attr *old serial dh
요구사항에 맞게 *.cnf 파일을 편집할 수 있습니다. 본문에서는 테스트 목적이기 때문에 모두 기본값으로 유지합니다. CA를 정리한 후, make 명령을 실행하여 새 CA를 생성합니다.
$ make
5단계. FreeRADIUS 서버 시작
다음 명령을 사용하여 로그가 있는 디버그 모드에서 FreeRADIUS 서버를 실행할 수 있습니다:
$ sudo freeradius -X
출력은 아래와 같아야 합니다. ‘요청 처리 준비’가 표시되면 FreeRADIUS 서버가 올바르게 시작되었음을 의미합니다.
6단계. 무선 네트워크 인증 설정 구성
이 단계에서는 무선 네트워크 보안을 WPA-Enterprise로 구성하고 RADIUS 프로필을 설정합니다. RADIUS 서버의 인증 비밀번호는 /etc/freeradius/clients.conf에 방금 설정한 'testing123’입니다. 인증 서버 IP는 사용자의 RADIUS 서버 IP입니다. RADIUS 서비스의 경우 기본적으로 인증 포트는 1812입니다.
Omada 컨트롤러를 사용하는 경우, Omada SDN 컨트롤러 사용 설명서 | TP-Link 챕터 4.4.1--> WPA-Enterprise를 참고하세요.
EAP의 독립 실행형 모드를 사용하는 경우, 독립 실행형 eap 구성 (tp-link.com) 챕터 2.2 SSID 구성--> WPA-Enterprise를 참고하세요.
7단계. 클라이언트에 인증서 설치 및 인증 확인
생성된 ca.der 및 client.p12 파일(4단계 참고)을 무선 어댑터가 있는 노트북 또는 데스크톱과 같은 클라이언트에 복사합니다. 일부 스마트폰은 호환성이 좋지 않아 CA 설치 시 오류가 발생할 수 있습니다. 다음 테스트를 수행하려면 Windows PC를 사용해야 합니다.
Windows 10/11에 CA를 설치하려면 더블 클릭하고 다음 단계를 따르세요. Windows7을 사용하는 경우 호환성 문제로 인해 CA를 설치하지 못할 수있습니다.
ca.der 설치:
그런 다음 client.p12를 설치합니다. 개인 키의 암호는 기본적으로 ‘whatever’입니다 (/etc/freeradius/certs/*.cnf를 편집해서 구성을 변경하지 않은 경우).
8단계. 인증서를 사용하여 SSID에 연결
Windows11:
WLAN 설정 --> SSID 찾기 --> 연결 클릭 --> 인증서를 사용하여 연결합니다. 그런 다음 EAP-TLS 방식으로 무선 네트워크에 연결합니다. RADIUS 서버에서 터미널 출력을 확인하여 로그를 볼 수 있습니다.
Windows10:
제어판-->네트워크 및 인터넷-->네트워크 및 공유 센터로 이동-->새로운 연결 또는 네트워크를 설정합니다
무선 네트워크에 수동으로 연결을 선택하고 다음을 클릭합니다.
네트워크 이름 (SSID)을 입력하고, 보안 유형을 WPA2-Enterprise로 선택하여 다음을 클릭합니다.
연결 설정 변경을 클릭합니다.
보안 항목 --> 네트워크 인증 방식을 선택하고 Microsoft를 선택합니다: 스마트 카드 또는 기타 인증서를 선택한 다음 설정을 클릭합니다.
‘인증서의 유효성을 검사하여 서버 ID 확인’ 체크박스 선택을 해제하고, 모든 팝업창에서 확인을 클릭합니다.
이제 WLAN 설정에서 인증서를 사용하여 SSID 연결할 수 있습니다.
각 기능 및 구성에 대한 자세한 정보를 확인하려면 다운로드 센터에서 제품 설명서를 다운로드하세요.