WPA-Enterprise용 EAP-TLS 인증 구성 가이드 (with FreeRADIUS)

설정 가이드
수정일12-23-2022 00:41:25 AM 72118
본 내용은 다음 항목에 적용됩니다: 

사용자 어플리케이션 시나리오

EAP(Extensible Authentication Protocol)는 네트워크 및 인터넷 연결에 자주 사용되는 인증 프레임워크입니다. WPA-Enterprise 표준은 IEEE 802.1X (다양한 EAP 유형 포함)를 표준 인증 매커니즘으로 채택했습니다. EAP-MD5, EAP-POTP, EAP-GTC, EAP-TLS, EAP-IKEv2 등과 같이 IETF RFC에 의해 정의된 많은 EAP 방법이 있습니다. 본문에서는 EAP-TLS 방식을 사용하여 WPA-Enterprise 인증을 달성하기 위해 RADIUS (Remote Authentication Dial In User Service) 서버를 배포합니다

참고:

이 튜토리얼은 검증 및 테스트를 위한 것입니다. 엔터프라이즈 또는 상업용 시나리오에  RADIUS 서비스를 이용하려면 전문 기관에 문의하세요.

FreeRADIUS는 GPLv2 라이선스에 따른 오픈 소스 RADIUS 서버입니다. 프로젝트 웹사이트: github.com.

 

구성

 

1단계. Linux에서 FreeRADIUS 설치하기

FreeRADIUS의 패키지 설치 가이드는 FreeRADIUS 패키지 | 네트워크RADIUS를 참고하세요.  github.com에서도 소스 코드를 구축할 수 있습니다. 올바르게 설치했는지 확인하세요. 예를 들어 시작할 수 없거나 요청을 처리할 수 없는 등의 절차를 수행하는 동안 RADIUS 서비스에 오류가 발생하면 해당 서비스를 올바르게 설치했는지 확인하세요.

이 가이드의 환경: FreeRADIUS 3.2가 설치된 Ubuntu 22.04 LTS  (apt-installed)

 

2단계. FreeRADIUS 클라이언트 구성 편집

기본적으로 FreeRADIUS 3.2는 /etc/freeradius/에 설치됩니다.

먼저 FreeRADIUS가 AP에서 보낸 인증 요청을 처리하도록 구성 파일에 AP를 추가합니다. 터미널을 열고 다음 명령을 실행합니다:

$ sudo nano /etc/freeradius/clients.conf

파일에 다음 내용을 추가합니다:

client AP1 { #’AP1’은 액세스 포인트의 별칭입니다

ipaddr = 192.168.0.100/24 #AP1의 IP 주소

secret = testing123

#’secret’은 ‘인증 비밀번호’가 됩니다.

#Omada Controller’s RADIUS 프로필 설정

}

참고: WPA-Enterprise 암호화의 경우 컨트롤러가 아닌 EAP 자체가 RADIUS의 클라이언트가 되기 때문에 EAP의 모든 IP가 clients.conf에 포함되어 있는지 확인하세요.

그런 다음 Ctrl+X를 눌러 파일을 저장합니다.

 

3단계. TLS를 활성화하도록 FreeRADIUS EAP 구성 편집

EAP 구성을 편집합니다:

$ sudo nano /etc/freeradius/mods-enabled/eap

eap 필드를 찾아 default_eap_type을 tls.로 변경합니다

예:

eap{

default_eap_type = tls

그런 다음 Ctrl+X를 눌러 파일을 저장합니다.

 

4단계. 인증서 만들기

FreeRADIUS는 OpenSSL을 사용하여 인증서를 만듭니다. 구성 파일 및 CA는 /etc/freeradius/certs에서 찾을 수 있습니다. 먼저 해당 폴더로 전환합니다:

$ sudo -s

$ cd /etc/freeradius/certs

CA를 다시 만들기 전에 매번 모든 CA를 정리해야 합니다. 그렇지 않으면 openssl이 ‘해야 할 작업 없음’을 출력하고 새 CA를 다시 생성하지 않습니다. 다음 명령으로 기존 파일을 삭제합니다:

$ rm -f *csr *key *p12 *pem *crl *crt *der *mk *txt *attr *old serial dh

요구사항에 맞게  *.cnf 파일을 편집할 수 있습니다. 본문에서는 테스트 목적이기 때문에 모두 기본값으로 유지합니다. CA를 정리한 후, make 명령을 실행하여 새 CA를 생성합니다.

$ make

 

5단계. FreeRADIUS 서버 시작

다음 명령을 사용하여 로그가 있는 디버그 모드에서 FreeRADIUS 서버를 실행할 수 있습니다:

$ sudo freeradius -X

출력은 아래와 같아야 합니다. ‘요청 처리 준비’가 표시되면 FreeRADIUS 서버가 올바르게 시작되었음을 의미합니다.

 

 

6단계. 무선 네트워크 인증 설정 구성

이 단계에서는 무선 네트워크 보안을 WPA-Enterprise로 구성하고 RADIUS 프로필을 설정합니다. RADIUS 서버의 인증 비밀번호는 /etc/freeradius/clients.conf에 방금 설정한 'testing123’입니다. 인증 서버 IP는 사용자의 RADIUS 서버 IP입니다. RADIUS 서비스의 경우 기본적으로 인증 포트는 1812입니다.

Omada 컨트롤러를 사용하는 경우, Omada SDN 컨트롤러 사용 설명서 | TP-Link 챕터 4.4.1--> WPA-Enterprise를 참고하세요.

EAP의 독립 실행형 모드를 사용하는 경우, 독립 실행형 eap 구성 (tp-link.com) 챕터 2.2 SSID 구성--> WPA-Enterprise를 참고하세요.

 

7단계. 클라이언트에 인증서 설치 및 인증 확인

생성된 ca.der 및 client.p12 파일(4단계 참고)을 무선 어댑터가 있는 노트북 또는 데스크톱과 같은 클라이언트에 복사합니다. 일부 스마트폰은 호환성이 좋지 않아 CA 설치 시 오류가 발생할 수 있습니다. 다음 테스트를 수행하려면 Windows PC를 사용해야 합니다. 

Windows 10/11에 CA를 설치하려면 더블 클릭하고 다음 단계를 따르세요. Windows7을 사용하는 경우 호환성 문제로 인해 CA를 설치하지 못할 수있습니다.

ca.der 설치:

 

그런 다음 client.p12를 설치합니다. 개인 키의 암호는 기본적으로 ‘whatever’입니다 (/etc/freeradius/certs/*.cnf를 편집해서 구성을 변경하지 않은 경우).

 

8단계. 인증서를 사용하여 SSID에 연결

Windows11:

WLAN 설정 --> SSID 찾기 --> 연결 클릭 --> 인증서를 사용하여 연결합니다. 그런 다음 EAP-TLS 방식으로 무선 네트워크에 연결합니다. RADIUS 서버에서 터미널 출력을 확인하여 로그를 볼 수 있습니다.

 

Windows10:

제어판-->네트워크  및 인터넷-->네트워크 및 공유 센터로 이동-->새로운 연결 또는 네트워크를 설정합니다

무선 네트워크에 수동으로 연결을 선택하고 다음을 클릭합니다.

네트워크 이름 (SSID)을 입력하고, 보안 유형을 WPA2-Enterprise로 선택하여 다음을 클릭합니다.

연결 설정 변경을 클릭합니다.

보안 항목 --> 네트워크 인증 방식을 선택하고 Microsoft를 선택합니다: 스마트 카드 또는 기타 인증서를 선택한 다음 설정을 클릭합니다.

인증서의 유효성을 검사하여 서버 ID 확인’ 체크박스 선택을 해제하고, 모든 팝업창에서 확인을 클릭합니다.

이제 WLAN 설정에서 인증서를 사용하여 SSID 연결할 수 있습니다.

 

각 기능 및 구성에 대한 자세한 정보를 확인하려면 다운로드 센터에서 제품 설명서를 다운로드하세요.

Related FAQs

해당 FAQ가 유용했나요?

여러분의 의견은 사이트 개선을 위해 소중하게 사용됩니다.

관련 제품

From United States?

해당 지역의 제품, 이벤트 및 서비스를 받아보세요.