탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 네트워크 서비스 Oracle Solaris 11 Information Library (한국어) |
이 절에는 PPP 링크에서 인증을 제공하기 위한 계획 정보가 포함되어 있습니다. 사이트에서 PPP 인증을 구현하는 작업은 19 장PPP 인증 설정(작업)에 있습니다.
PPP는 PAP와 CHAP라는 두 가지 유형의 인증을 제공합니다. PAP는 PAP(암호 인증 프로토콜)에 자세히 설명되어 있고, CHAP는 CHAP(Challenge-Handshake 인증 프로토콜)에 설명되어 있습니다.
링크에서 인증을 설정하기 전에 사이트의 보안 정책에 가장 잘 맞는 인증 프로토콜이 무엇인지 선택해야 합니다. 그런 다음 다이얼 인 시스템 또는 호출자의 다이얼 아웃 시스템이나 두 시스템 유형 모두에 대해 암호 파일 및 PPP 구성 파일을 설정합니다. 사이트에 적합한 인증 프로토콜을 선택하는 방법에 대한 자세한 내용은 PPP 인증을 사용하는 이유를 참조하십시오.
이 절에는 다음과 같은 정보가 포함되어 있습니다.
인증 설정 작업은 19 장PPP 인증 설정(작업)을 참조하십시오.
사이트에서 인증을 설정하는 작업은 전반적인 PPP 전략의 필수 요소가 되어야 합니다. 인증을 구현하기 전에 하드웨어를 조립하고, 소프트웨어를 구성하고, 링크를 테스트해야 합니다.
표 16-5 인증 구성 전의 필수 조건
|
이 절에는 19 장PPP 인증 설정(작업)의 절차에 사용될 인증 시나리오의 예가 포함되어 있습니다.
PAP 인증 구성의 작업에서는 PPP 링크를 통해 PAP 인증을 설정하는 방법을 보여줍니다. 절차에는 다이얼 업 PPP 구성의 예에 나오는 가상 회사 “Big Company”에 대해 만들어진 PAP 시나리오가 예로 사용됩니다.
Big Company는 사용자가 집에서 일할 수 있게 만드는 것을 목표로 하고 있습니다. 시스템 관리자는 다이얼 인 서버에 연결되는 직렬 회선을 위한 보안 솔루션을 구현할 계획을 가지고 있습니다. 과거에는 NIS 암호 데이터베이스를 사용하는 UNIX 스타일의 로그인이 Big Company의 네트워크에서 충분히 그 역할을 했습니다. 시스템 관리자는 PPP 링크를 통해 네트워크로 들어오는 호출에 UNIX 스타일의 인증 체계를 구현하려고 합니다. 이에 따라 관리자는 PAP 인증을 사용하는 다음 시나리오를 구현합니다.
그림 16-3 PAP 인증 시나리오의 예(재택 근무)
시스템 관리자는 나머지 회사 네트워크와 라우터로 분리되는 전용 다이얼 인 DMZ를 만듭니다. DMZ라는 용어는 군사 용어인 "비무장 지대"에서 유래한 것입니다. DMZ는 보안을 위해 설정된 격리 네트워크입니다. 일반적으로 DMZ에는 웹 서버, 익명 FTP 서버, 데이터베이스 및 모뎀 서버와 같이 회사가 공개하는 자원이 포함됩니다. 네트워크 디자이너는 종종 방화벽과 회사의 인터넷 연결 사이에 DMZ를 배치합니다.
그림 16-3에서 볼 수 있는 DMZ 점유자는 다이얼 인 서버 myserver와 라우터뿐입니다. 다이얼 인 서버를 사용하려면 호출자가 링크를 설정할 때 사용자 이름 및 암호를 포함한 PAP 자격 증명을 제공해야 합니다. 또한 다이얼 인 서버에는 PAP의 login 옵션이 사용됩니다. 따라서 호출자의 PAP 사용자 이름 및 암호가 다이얼 인 서버의 암호 데이터베이스에 있는 UNIX 사용자 이름 및 암호와 정확히 일치해야 합니다.
PPP 링크가 설정된 후에는 호출자의 패킷이 라우터로 전달됩니다. 라우터는 회사 네트워크 대상이나 인터넷 대상으로 전송을 전달합니다.
CHAP 인증 구성의 작업에서는 CHAP 인증을 설정하는 방법을 보여줍니다. 절차에는 전용 회선 링크 구성의 예에서 소개된 가상 회사 LocalCorp에 대해 만들어질 CHAP 시나리오가 예로 사용됩니다.
LocalCorp는 ISP에 대한 전용 회선을 통해 인터넷 연결을 제공합니다. LocalCorp의 기술 지원부는 상당한 네트워크 트래픽을 발생시킵니다. 따라서 기술 지원부에는 격리된 자체 개인 네트워크가 필요합니다. 이 부서의 현장 기술자는 광범위한 지역을 다니며, 문제 해결 정보를 얻기 위해 원격 위치에서 기술 지원 네트워크에 액세스해야 합니다. 개인 네트워크의 데이터베이스에 있는 민감한 정보를 보호하기 위해 원격 호출자는 인증을 받아 로그인 권한을 부여받아야 합니다.
이에 따라 시스템 관리자는 다이얼 업 PPP 구성을 위해 다음 CHAP 인증 시나리오를 구현합니다.
그림 16-4 CHAP 인증 시나리오의 예(개인 네트워크 호출)
기술 지원 네트워크에서 외부 세계로 연결되는 링크는 링크의 다이얼 인 서버의 끝에 연결되는 직렬 회선뿐입니다. 시스템 관리자는 각 현장 서비스 담당자의 랩탑 컴퓨터를 CHAP 보안이 적용된 PPP(CHAP 암호 포함)용으로 구성합니다. 다이얼 인 서버에 있는 chap-secrets 데이터베이스에는 기술 지원 네트워크를 호출할 수 있는 모든 시스템의 CHAP 자격 증명이 포함되어 있습니다.
다음 중에서 선택하십시오.
PAP 인증 구성을 참조하십시오.
CHAP 인증 구성을 참조하십시오.
링크에서 호출자 인증 및 pppd(1M) 매뉴얼 페이지를 참조하십시오.