PAP 인증 구성

이 절의 작업에서는 PAP(암호 인증 프로토콜)를 사용하여 PPP 링크에 대해 인증을 구현하는 방법에 대해 설명합니다. 작업에는 다이얼 업 링크에 맞는 PAP 시나리오를 보여주기 위해 PPP 인증 구성의 예에 나와 있는 예가 사용됩니다. 지침을 기반으로 사용자 사이트에서 PAP 인증을 구현해 보십시오.

다음 절차를 수행하려면 먼저 다음 작업을 완료해야 합니다.

다이얼 인 서버와 신뢰할 수 있는 호출자에 속하는 다이얼 아웃 시스템 간에 다이얼 업 링크를 설정하고 테스트
다이얼 인 서버 인증의 경우 네트워크 암호 데이터베이스가 관리되는 시스템(예: LDAP, NIS 또는 로컬 파일)에 대한 수퍼 유저 사용 권한 획득(이상적인 상황)
로컬 시스템(다이얼 인 서버 또는 다이얼 아웃 시스템)에 대한 수퍼 유저 권한 획득

PAP 인증 설정(작업 맵)

다음 작업 맵을 사용하면 다이얼 인 서버 및 다이얼 아웃 시스템의 신뢰할 수 있는 호출자에 대한 PAP 관련 작업에 빠르게 액세스할 수 있습니다.

표 5-2 PAP 인증 작업 맵(다이얼 인 서버)

작업	설명	수행 방법
1. 미리 구성 정보 수집	인증에 필요한 사용자 이름 및 기타 데이터를 수집합니다.	링크에서 인증 계획
2. 필요한 경우 암호 데이터베이스 업데이트	모든 잠재적 호출자가 서버의 암호 데이터베이스에 있는지 확인합니다.	PAP 자격 증명 데이터베이스를 만드는 방법(다이얼 인 서버)
3. PAP 데이터베이스 만들기	`/etc/ppp/pap-secrets`에서 모든 잠재적 호출자에 대한 보안 자격 증명을 만듭니다.	PAP 자격 증명 데이터베이스를 만드는 방법(다이얼 인 서버)
4. PPP 구성 파일 수정	`/etc/ppp/options` 및 `/etc/ppp/peers/peer-name` 파일에 PAP 관련 옵션을 추가합니다.	PPP 구성 파일에 PAP 지원을 추가하는 방법(다이얼 인 서버)

표 5-3 PAP 인증 작업 맵(다이얼 아웃 시스템)

작업	설명	수행 방법
1. 미리 구성 정보 수집	인증에 필요한 사용자 이름 및 기타 데이터를 수집합니다.	링크에서 인증 계획
2. 신뢰할 수 있는 호출자의 시스템에 대한 PAP 데이터베이스 만들기	`/etc/ppp/pap-secrets`에서 신뢰할 수 있는 호출자에 대한 보안 자격 증명을 만들고 필요한 경우 다이얼 아웃 시스템을 호출하는 다른 사용자에 대한 보안 자격 증명을 만듭니다.	신뢰할 수 있는 호출자에 대해 PAP 인증 자격 증명을 구성하는 방법
3. PPP 구성 파일 수정	`/etc/ppp/options` 및 `/etc/ppp/peers/peer-name` 파일에 PAP 관련 옵션을 추가합니다.	PPP 구성 파일에 PAP 지원을 추가하는 방법(다이얼 아웃 시스템)

다이얼 인 서버에서 PAP 인증 구성

PAP 인증을 설정하려면 다음 작업을 수행해야 합니다.

PAP 자격 증명 데이터베이스 만들기
PAP 지원을 위해 PPP 구성 파일 수정

PAP 자격 증명 데이터베이스를 만드는 방법(다이얼 인 서버)

이 절차에서는 링크의 호출자를 인증하는 데 사용되는 PAP 보안 자격 증명이 포함된 /etc/ppp/pap-secrets 파일을 수정합니다. /etc/ppp/pap-secrets는 PPP 링크의 두 시스템 모두에 있어야 합니다.

그림 2-3에 소개된 샘플 PAP 구성에는 PAP의 login 옵션이 사용됩니다. 이 옵션을 사용하려면 네트워크의 암호 데이터베이스를 업데이트해야 할 수도 있습니다. login 옵션에 대한 자세한 내용은 /etc/ppp/pap-secrets에 login 옵션 사용을 참조하십시오.

신뢰할 수 있는 모든 잠재적 호출자의 목록을 어셈블합니다. 신뢰할 수 있는 호출자는 자신의 원격 시스템에서 다이얼 인 서버를 호출할 권한을 부여받을 사람입니다.
신뢰할 수 있는 각 호출자가 다이얼 인 서버의 암호 데이터베이스에서 이미 UNIX 사용자 이름 및 암호를 가지고 있는지 확인하십시오.
주 - PAP의 login 옵션을 사용하여 호출자를 인증하는 샘플 PAP 구성의 경우 특히 확인 작업이 중요합니다. PAP의 login을 구현하지 않을 경우 호출자의 PAP 사용자 이름이 UNIX 사용자 이름에 해당하지 않아도 됩니다. 표준 /etc/ppp/pap-secrets에 대한 자세한 내용은 /etc/ppp/pap-secrets 파일을 참조하십시오.

신뢰할 수 있는 잠재적 호출자에게 UNIX 사용자 이름 및 암호가 없는 경우 다음을 수행하십시오.
1. 개인적으로 알고 있지 않은 호출자의 경우 해당 호출자의 관리자에게 이들이 다이얼 인 서버에 대한 액세스 권한을 가지고 있는지 확인합니다.
2. 회사 보안 정책에 명시된 방식으로 이러한 호출자의 UNIX 사용자 이름 및 암호를 만듭니다.
다이얼 인 서버에서 관리자로 전환합니다.
자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
/etc/ppp/pap-secrets 파일을 편집합니다.
이번 릴리스는 pap-secrets 파일(/etc/ppp에 있음)을 제공합니다. 여기에는 PAP 인증을 사용하는 방법에 대한 설명이 포함되어 있지만 옵션은 포함되어 있지 않습니다. 설명 끝에 다음과 같은 옵션을 추가할 수 있습니다.
```
user1      myserver        ""          *
user2      myserver        ""          *
myserver   user2           serverpass  *
```
login 옵션(/etc/ppp/pap-secrets)을 사용하려면 신뢰할 수 있는 각 호출자의 UNIX 사용자 이름을 입력해야 합니다. 세번째 필드에 큰따옴표(““) 세트가 나타날 때마다 서버의 암호 데이터베이스에서 호출자의 암호가 조회됩니다.
myserver * serverpass * 항목에는 다이얼 인 서버의 PAP 사용자 이름 및 암호가 포함되어 있습니다. 그림 2-3에서 신뢰할 수 있는 호출자인 user2에게는 원격 피어로부터의 인증 작업이 필요합니다. 따라서 user2와 링크가 설정된 경우 myserver의 /etc/ppp/pap-secrets 파일에 사용할 PAP 자격 증명이 포함됩니다.

참조

다음 목록에는 관련 정보에 대한 참조가 나와 있습니다.

PAP를 위해 PPP 구성 파일 수정(다이얼 인 서버)
신뢰할 수 있는 호출자에 대해 PAP 인증 구성(다이얼 아웃 시스템)

PAP를 위해 PPP 구성 파일 수정(다이얼 인 서버)

이 절의 작업에서는 다이얼 인 서버에서 PAP 인증을 지원하기 위해 기존 PPP 구성 파일을 업데이트하는 방법에 대해 설명합니다.

PPP 구성 파일에 PAP 지원을 추가하는 방법(다이얼 인 서버)

절차에는 직렬 회선을 통해 통신을 정의하는 방법(다이얼 인 서버)에 소개된 PPP 구성 파일이 예로 사용됩니다.

다이얼 인 서버에서 관리자로 전환합니다.
자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
/etc/ppp/options 파일에 인증 옵션을 추가합니다.
예를 들어 굵게 표시된 옵션을 기존 /etc/ppp/options 파일에 추가하면 PAP 인증이 구현됩니다.
```
lock
auth
login
nodefaultroute
proxyarp
ms-dns 10.0.0.1
idle 120
```
auth

서버에서 링크를 설정하기 전에 호출자를 인증해야 함을 지정합니다.

login

표준 UNIX 사용자 인증 서비스를 사용하여 원격 호출자를 인증해야 함을 지정합니다.

nodefaultroute

로컬 시스템에 있는 어떤 pppd 세션도 root 권한 없이 기본 경로를 설정할 수 없음을 나타냅니다.

proxyarp

피어의 IP 주소 및 시스템의 이더넷 주소를 지정하는 항목을 시스템의 ARP(주소 결정 프로토콜) 테이블에 추가합니다. 이 옵션을 사용하면 다른 시스템에서 피어가 로컬 이더넷에 있는 것처럼 보입니다.

ms-dns 10.0.0.1

pppd를 사용으로 설정하여 DNS(도메인 이름 서버) 주소인 10.0.0.1을 클라이언트에 제공합니다.

idle 120

유휴 사용자가 2분 후에 연결 해제되도록 지정합니다.
/etc/ppp/options.cua.a 파일에서 cua/a 사용자에 대해 다음 주소를 추가합니다.
```
:10.0.0.2
```
/etc/ppp/options.cua.b 파일에서 cua/b 사용자에 대해 다음 주소를 추가합니다.
```
:10.0.0.3
```
/etc/ppp/pap-secrets 파일에서 다음 항목을 추가합니다.
```
*     *         ""     *
```
주 - 앞서 설명한 login 옵션은 필요한 사용자 인증을 제공합니다. /etc/ppp/pap-secrets 파일에 이렇게 입력하는 것이 login 옵션을 사용하여 PAP를 사용으로 설정하는 표준 방법입니다.

참조

다이얼 인 서버의 신뢰할 수 있는 호출자에 대해 PAP 인증 자격 증명을 구성하려면 신뢰할 수 있는 호출자에 대해 PAP 인증 구성(다이얼 아웃 시스템)을 참조하십시오.

신뢰할 수 있는 호출자에 대해 PAP 인증 구성(다이얼 아웃 시스템)

이 절에는 신뢰할 수 있는 호출자의 다이얼 아웃 시스템에서 PAP 인증을 설정하는 작업이 있습니다. 시스템 관리자는 잠재적 호출자에 대한 배포 작업 전에 시스템에서 PAP 인증을 설정할 수 있습니다. 원격 호출자에게 이미 자신의 시스템이 있는 경우에는 이 절의 작업을 해당 호출자에게 할당할 수도 있습니다.

신뢰할 수 있는 호출자에 대해 PAP를 구성하기 위해 수행해야 하는 두 작업은 다음과 같습니다.

호출자의 PAP 보안 자격 증명 구성
PAP 인증을 지원하기 위해 호출자의 다이얼 아웃 시스템 구성

신뢰할 수 있는 호출자에 대해 PAP 인증 자격 증명을 구성하는 방법

이 절차에서는 신뢰할 수 있는 두 호출자에 대해 PAP 자격 증명을 설정하는 방법을 보여줍니다. 둘 중 하나는 원격 피어로부터 인증 자격 증명을 받아야 합니다. 절차 단계에서는 시스템 관리자가 신뢰할 수 있는 호출자의 다이얼 아웃 시스템에서 PAP 자격 증명을 만든다고 가정합니다.

다이얼 아웃 시스템에서 관리자로 전환합니다.
자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
그림 2-3에 소개된 샘플 PAP 구성을 사용하여 다이얼 아웃 시스템이 user1에게 속한다고 가정합니다.
호출자의 pap-secrets 데이터베이스를 수정합니다.
이번 릴리스는 /etc/ppp/pap-secrets 파일을 제공합니다. 여기에는 유용한 설명이 포함되어 있지만 옵션은 포함되어 있지 않습니다. 이 /etc/ppp/pap-secrets 파일에 다음과 같은 옵션을 추가할 수 있습니다.
```
user1    myserver  pass1    *
```
user1의 암호인 pass1은 읽을 수 있는 ASCII 형식으로 링크를 통해 전달됩니다. myserver는 피어를 위한 호출자 user1의 이름입니다.
다이얼 아웃 시스템에서 관리자로 전환합니다.
자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
PAP 인증 예를 사용하여 이 다이얼 아웃 시스템이 호출자 user2에게 속한다고 가정합니다.
호출자의 pap-secrets 데이터베이스를 수정합니다.
기존 /etc/ppp/pap-secrets 파일의 끝에 다음 옵션을 추가할 수 있습니다.
```
user2     myserver   pass2       *
myserver  user2      serverpass  *
```
이 예에서 /etc/ppp/pap-secrets에는 두 항목이 있습니다. 첫번째 항목에는 user2가 인증을 위해 다이얼 인 서버 myserver에 전달하는 PAP 보안 자격 증명이 포함되어 있습니다.
user2에는 링크 협상의 일환으로 다이얼 인 서버에서 가져온 PAP 자격 증명이 필요합니다. 따라서 /etc/ppp/pap-secrets에 myserver의 두번째 행에 있어야 하는 PAP 자격 증명도 포함됩니다.

주 - 대부분의 ISP는 인증 자격 증명을 제공하지 않으므로 ISP와 통신하는 경우 이전 시나리오가 현실적이지 않을 수 있습니다.

참조

다음 목록에는 관련 정보에 대한 참조가 나와 있습니다.

PAP 자격 증명 데이터베이스를 만드는 방법(다이얼 인 서버)
신뢰할 수 있는 호출자에 대해 PAP 인증 자격 증명을 구성하는 방법

PAP를 위해 PPP 구성 파일 수정(다이얼 아웃 시스템)

다음 작업에서는 신뢰할 수 있는 호출자의 다이얼 아웃 시스템에서 PAP 인증을 지원하기 위해 기존 PPP 구성 파일을 업데이트하는 방법에 대해 설명합니다.

절차에서는 다음 매개변수를 사용하여 user2(그림 2-3에 소개됨)에게 속하는 다이얼 아웃 시스템에서 PAP 인증을 구성합니다. user2는 수신 호출자가 다이얼 인 myserver로부터의 호출 등을 인증하도록 요구합니다.

PPP 구성 파일에 PAP 지원을 추가하는 방법(다이얼 아웃 시스템)

이 절차에는 직렬 회선을 통해 통신을 정의하는 방법에 소개된 PPP 구성 파일이 예로 사용됩니다. 이 절차에서는 user2에게 속하는 다이얼 아웃 시스템을 그림 2-3에 나와 있는 대로 구성합니다.

다이얼 아웃 시스템에 수퍼 유저로 로그인합니다.
/etc/ppp/options 파일을 수정합니다.
다음 /etc/ppp/options 파일에는 PAP 지원을 위한 옵션(굵게 표시됨)이 포함되어 있습니다.
```
# cat /etc/ppp/options
lock
name user2
auth
require-pap
```
name user2

user2를 로컬 시스템에 있는 사용자의 PAP 이름으로 설정합니다. login 옵션을 사용할 경우 PAP 이름이 암호 데이터베이스에 있는 UNIX 사용자 이름과 동일해야 합니다.

auth

다이얼 아웃 시스템이 링크를 설정하기 전에 호출자를 인증해야 함을 지정합니다.

주 - 대부분의 다이얼 아웃 시스템은 인증을 요구하지 않지만 이 다이얼 아웃 시스템은 해당 피어로부터 인증을 요구합니다. 둘 모두 허용 가능합니다.

require-pap

피어로부터 PAP 자격 증명을 요구합니다.
/etc/ppp/peers/peer-name 파일을 원격 시스템 myserver에 대해 만듭니다.
다음 예에서는 기존 /etc/ppp/peers/myserver 파일(개별 피어를 사용하여 연결을 정의하는 방법에서 만들어짐)에 PAP 지원을 추가하는 방법을 보여줍니다.
```
# cat /etc/ppp/peers/myserver
/dev/cua/a
57600
noipdefault
defaultroute
idle 120
user user2
remotename myserver
connect "chat -U 'mypassword' -f /etc/ppp/mychat"
```
굵게 표시된 새 옵션은 피어 myserver에 대한 PAP 요구 사항을 추가합니다.
user user2

user2를 로컬 시스템의 사용자 이름으로 정의합니다.

remotename myserver

myserver를 로컬 시스템에서 인증 자격 증명을 가져와야 하는 피어로 정의합니다.

참조

다음 목록에는 관련 정보에 대한 참조가 나와 있습니다.

다이얼 인 서버를 호출하여 PAP 인증 설정을 테스트하려면 다이얼 인 서버를 호출하는 방법을 참조하십시오.
PAP 인증에 대한 자세한 내용은 PAP(암호 인증 프로토콜)를 참조하십시오.

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris 11.1에서 UUCP 및 PPP를 사용하여 직렬 네트워크 관리 Oracle Solaris 11.1 Information Library (한국어)