WPA-Enterprise용 EAP-TLS 인증 구성 가이드 (with FreeRADIUS)

정보성 텍스트
설정 가이드
인증
09-27-2022
580

사용자 어플리케이션 시나리오

EAP(Extensible Authentication Protocol)는 네트워크 및 인터넷 연결에 자주 사용되는 인증 프레임워크입니다. WPA-Enterprise 표준은 IEEE 802.1X (다양한 EAP 유형 포함)를 표준 인증 매커니즘으로 채택했습니다. EAP-MD5, EAP-POTP, EAP-GTC, EAP-TLS, EAP-IKEv2 등과 같이 IETF RFC에 의해 정의된 많은 EAP 방법이 있습니다. 본문에서는 EAP-TLS 방식을 사용하여 WPA-Enterprise 인증을 달성하기 위해 RADIUS (Remote Authentication Dial In User Service) 서버를 배포합니다

참고:

이 튜토리얼은 검증 및 테스트를 위한 것입니다. 엔터프라이즈 또는 상업용 시나리오에  RADIUS 서비스를 이용하려면 전문 기관에 문의하세요.

FreeRADIUS는 GPLv2 라이선스에 따른 오픈 소스 RADIUS 서버입니다. 프로젝트 웹사이트: github.com.

 

구성

 

1단계. Linux에서 FreeRADIUS 설치하기

FreeRADIUS의 패키지 설치 가이드는 FreeRADIUS 패키지 | 네트워크RADIUS를 참고하세요.  github.com에서도 소스 코드를 구축할 수 있습니다. 올바르게 설치했는지 확인하세요. 예를 들어 시작할 수 없거나 요청을 처리할 수 없는 등의 절차를 수행하는 동안 RADIUS 서비스에 오류가 발생하면 해당 서비스를 올바르게 설치했는지 확인하세요.

이 가이드의 환경: FreeRADIUS 3.2가 설치된 Ubuntu 22.04 LTS  (apt-installed)

 

2단계. FreeRADIUS 클라이언트 구성 편집

기본적으로 FreeRADIUS 3.2는 /etc/freeradius/에 설치됩니다.

먼저 FreeRADIUS가 AP에서 보낸 인증 요청을 처리하도록 구성 파일에 AP를 추가합니다. 터미널을 열고 다음 명령을 실행합니다:

$ sudo nano /etc/freeradius/clients.conf

파일에 다음 내용을 추가합니다:

client AP1 { #’AP1’은 액세스 포인트의 별칭입니다

ipaddr = 192.168.0.100/24 #AP1의 IP 주소

secret = testing123

#’secret’은 ‘인증 비밀번호’가 됩니다.

#Omada Controller’s RADIUS 프로필 설정

}

참고: WPA-Enterprise 암호화의 경우 컨트롤러가 아닌 EAP 자체가 RADIUS의 클라이언트가 되기 때문에 EAP의 모든 IP가 clients.conf에 포함되어 있는지 확인하세요.

그런 다음 Ctrl+X를 눌러 파일을 저장합니다.

 

3단계. TLS를 활성화하도록 FreeRADIUS EAP 구성 편집

EAP 구성을 편집합니다:

$ sudo nano /etc/freeradius/mods-enabled/eap

eap 필드를 찾아 default_eap_type을 tls.로 변경합니다

예:

eap{

default_eap_type = tls

그런 다음 Ctrl+X를 눌러 파일을 저장합니다.

 

4단계. 인증서 만들기

FreeRADIUS는 OpenSSL을 사용하여 인증서를 만듭니다. 구성 파일 및 CA는 /etc/freeradius/certs에서 찾을 수 있습니다. 먼저 해당 폴더로 전환합니다:

$ sudo -s

$ cd /etc/freeradius/certs

CA를 다시 만들기 전에 매번 모든 CA를 정리해야 합니다. 그렇지 않으면 openssl이 ‘해야 할 작업 없음’을 출력하고 새 CA를 다시 생성하지 않습니다. 다음 명령으로 기존 파일을 삭제합니다:

$ rm -f *csr *key *p12 *pem *crl *crt *der *mk *txt *attr *old serial dh

요구사항에 맞게  *.cnf 파일을 편집할 수 있습니다. 본문에서는 테스트 목적이기 때문에 모두 기본값으로 유지합니다. CA를 정리한 후, make 명령을 실행하여 새 CA를 생성합니다.

$ make

 

5단계. FreeRADIUS 서버 시작

다음 명령을 사용하여 로그가 있는 디버그 모드에서 FreeRADIUS 서버를 실행할 수 있습니다:

$ sudo freeradius -X

출력은 아래와 같아야 합니다. ‘요청 처리 준비’가 표시되면 FreeRADIUS 서버가 올바르게 시작되었음을 의미합니다.

 

 

6단계. 무선 네트워크 인증 설정 구성

이 단계에서는 무선 네트워크 보안을 WPA-Enterprise로 구성하고 RADIUS 프로필을 설정합니다. RADIUS 서버의 인증 비밀번호는 /etc/freeradius/clients.conf에 방금 설정한 'testing123’입니다. 인증 서버 IP는 사용자의 RADIUS 서버 IP입니다. RADIUS 서비스의 경우 기본적으로 인증 포트는 1812입니다.

Omada 컨트롤러를 사용하는 경우, Omada SDN 컨트롤러 사용 설명서 | TP-Link 챕터 4.4.1--> WPA-Enterprise를 참고하세요.

EAP의 독립 실행형 모드를 사용하는 경우, 독립 실행형 eap 구성 (tp-link.com) 챕터 2.2 SSID 구성--> WPA-Enterprise를 참고하세요.

 

7단계. 클라이언트에 인증서 설치 및 인증 확인

생성된 ca.der 및 client.p12 파일(4단계 참고)을 무선 어댑터가 있는 노트북 또는 데스크톱과 같은 클라이언트에 복사합니다. 일부 스마트폰은 호환성이 좋지 않아 CA 설치 시 오류가 발생할 수 있습니다. 다음 테스트를 수행하려면 Windows PC를 사용해야 합니다. 

Windows 10/11에 CA를 설치하려면 더블 클릭하고 다음 단계를 따르세요. Windows7을 사용하는 경우 호환성 문제로 인해 CA를 설치하지 못할 수있습니다.

ca.der 설치:

 

그런 다음 client.p12를 설치합니다. 개인 키의 암호는 기본적으로 ‘whatever’입니다 (/etc/freeradius/certs/*.cnf를 편집해서 구성을 변경하지 않은 경우).

 

8단계. 인증서를 사용하여 SSID에 연결

Windows11:

WLAN 설정 --> SSID 찾기 --> 연결 클릭 --> 인증서를 사용하여 연결합니다. 그런 다음 EAP-TLS 방식으로 무선 네트워크에 연결합니다. RADIUS 서버에서 터미널 출력을 확인하여 로그를 볼 수 있습니다.

 

Windows10:

제어판-->네트워크  및 인터넷-->네트워크 및 공유 센터로 이동-->새로운 연결 또는 네트워크를 설정합니다

무선 네트워크에 수동으로 연결을 선택하고 다음을 클릭합니다.

네트워크 이름 (SSID)을 입력하고, 보안 유형을 WPA2-Enterprise로 선택하여 다음을 클릭합니다.

연결 설정 변경을 클릭합니다.

보안 항목 --> 네트워크 인증 방식을 선택하고 Microsoft를 선택합니다: 스마트 카드 또는 기타 인증서를 선택한 다음 설정을 클릭합니다.

인증서의 유효성을 검사하여 서버 ID 확인’ 체크박스 선택을 해제하고, 모든 팝업창에서 확인을 클릭합니다.

이제 WLAN 설정에서 인증서를 사용하여 SSID 연결할 수 있습니다.

 

각 기능 및 구성에 대한 자세한 정보를 확인하려면 다운로드 센터에서 제품 설명서를 다운로드하세요.

이 문서를 평가해 주세요

관련 문서