CHAP 인증 구성

이 절의 작업에서는 CHAP(Challenge-Handshake 인증 프로토콜)를 사용하여 PPP 링크에 대해 인증을 구현하는 방법에 대해 설명합니다. 작업에는 개인 네트워크에 대한 다이얼 업에 맞는 CHAP 시나리오를 보여주기 위해 그림 2-4에 나와 있는 예가 사용됩니다. 지침을 기반으로 사용자 사이트에서 CHAP 인증을 구현해 보십시오.

후속 절차를 수행하려면 다음 작업을 완료해야 합니다.

다이얼 인 서버와 신뢰할 수 있는 호출자에 속하는 다이얼 아웃 시스템 간에 다이얼 업 링크를 설정하고 테스트
로컬 시스템(다이얼 인 서버 또는 다이얼 아웃 시스템)에 대한 수퍼 유저 사용 권한 획득

CHAP 인증 설정(작업 맵)

표 5-4 CHAP 인증 작업 맵(다이얼 인 서버)

작업	설명	수행 방법
1. 신뢰할 수 있는 모든 호출자에게 CHAP 암호 지정	CHAP 암호를 만들거나 호출자가 CHAP 암호를 만들게 합니다.	CHAP 자격 증명 데이터베이스를 만드는 방법(다이얼 인 서버)
2. chap-secrets 데이터베이스 만들기	신뢰할 수 있는 모든 호출자에 대한 보안 자격 증명을 `/etc/ppp/chap-secrets` 파일에 추가합니다.	CHAP 자격 증명 데이터베이스를 만드는 방법(다이얼 인 서버)
3. PPP 구성 파일 수정	`/etc/ppp/options` 및 `/etc/ppp/peers/peer-name` 파일에 CHAP 관련 옵션을 추가합니다.	PPP 구성 파일에 CHAP 지원을 추가하는 방법(다이얼 인 서버)

표 5-5 CHAP 인증 작업 맵(다이얼 아웃 시스템)

작업	설명	수행 방법
1. 신뢰할 수 있는 호출자의 시스템에 대한 CHAP 데이터베이스 만들기	`/etc/ppp/chap-secrets`에서 신뢰할 수 있는 호출자에 대한 보안 자격 증명을 만들고 필요한 경우 다이얼 아웃 시스템을 호출하는 다른 사용자에 대한 보안 자격 증명을 만듭니다.	CHAP 자격 증명 데이터베이스를 만드는 방법(다이얼 인 서버)
2. PPP 구성 파일 수정	`/etc/ppp/options` 파일에 CHAP 관련 옵션을 추가합니다.	PPP 구성 파일에 CHAP 지원을 추가하는 방법(다이얼 아웃 시스템)

다이얼 인 서버에서 CHAP 인증 구성

CHAP 인증을 설정하는 첫번째 작업은 /etc/ppp/chap-secrets 파일을 수정하는 것입니다. 이 파일에는 링크의 호출자를 인증하는 데 사용되는 CHAP 보안 자격 증명(CHAP 암호 포함)이 포함되어 있습니다.

주 - UNIX 또는 PAM 인증 방식은 CHAP와 함께 작동하지 않습니다. 예를 들어 PPP login 옵션을 PAP 자격 증명 데이터베이스를 만드는 방법(다이얼 인 서버)에 설명된 대로 사용할 수 없습니다. 인증 시나리오에 PAM 또는 UNIX 스타일의 인증이 필요한 경우에는 대신 PAP를 선택하십시오.

다음 절차에서는 개인 네트워크에 있는 다이얼 인 서버에 대해 CHAP 인증을 구현합니다. PPP 링크가 외부 세계에 대한 유일한 연결입니다. 네트워크 관리자가 네트워크에 액세스할 수 있는 호출자에게만 사용 권한을 부여했습니다(시스템 관리자 포함).

CHAP 자격 증명 데이터베이스를 만드는 방법(다이얼 인 서버)

신뢰할 수 있는 모든 호출자의 사용자 이름이 포함된 목록을 어셈블합니다.
신뢰할 수 있는 호출자에는 개인 네트워크를 호출할 수 있는 권한을 부여받은 모든 사람이 포함됩니다.
각 사용자에게 CHAP 암호를 지정합니다.
주 - 쉽게 추측할 수 없는 CHAP 암호를 선택하십시오. CHAP 암호 내용에 이 이외에 다른 제한은 없습니다.

CHAP 암호 지정 방법은 사이트 보안 정책에 따라 달라집니다. 즉, 관리자가 암호를 만들거나 호출자가 자신의 암호를 만들어야 합니다. 관리자가 CHAP 암호를 지정하지 않는 경우 신뢰할 수 있는 각 호출자가 만들었거나 이러한 호출자를 위해 만들어진 CHAP 암호를 받으십시오.
다이얼 인 서버에서 관리자로 전환합니다.
자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
/etc/ppp/chap-secrets 파일을 수정합니다.
이번 릴리스에는 /etc/ppp/chap-secrets 파일이 포함되어 있습니다. 여기에는 유용한 설명이 포함되어 있지만 옵션은 포함되어 있지 않습니다. 다음과 같은 CallServe 서버 옵션을 기존 /etc/ppp/chap-secrets 파일의 끝에 추가할 수 있습니다.
```
account1  CallServe   key123   *
account2  CallServe   key456   *
```
key123 - 신뢰할 수 있는 호출자 account1의 CHAP 암호
key456 - 신뢰할 수 있는 호출자 account2의 CHAP 암호

참조

다음 목록에는 관련 정보에 대한 참조가 나와 있습니다.

CHAP 자격 증명 데이터베이스를 만드는 방법(다이얼 인 서버)
PPP 구성 파일에 CHAP 지원을 추가하는 방법(다이얼 인 서버)
신뢰할 수 있는 호출자에 대해 CHAP 인증 구성(다이얼 아웃 시스템)

CHAP를 위해 PPP 구성 파일 수정(다이얼 인 서버)

이 절의 작업에서는 기존 PPP 구성 파일을 업데이트하여 다이얼 인 서버에서 CHAP 인증을 지원하는 방법에 대해 설명합니다.

PPP 구성 파일에 CHAP 지원을 추가하는 방법(다이얼 인 서버)

다이얼 인 서버에 수퍼 유저로 로그인합니다.
/etc/ppp/options 파일을 수정합니다.
CHAP 지원을 위해 굵게 표시된 옵션을 추가합니다.
```
# cat /etc/ppp/options
lock
nodefaultroute
name CallServe
auth
```
name CallServe

이 다이얼 인 서버 인스턴스에서 CallServe를 로컬 시스템에 있는 사용자의 CHAP 이름으로 정의합니다.

auth

로컬 시스템에서 링크를 설정하기 전에 호출자를 인증하게 만듭니다.
신뢰할 수 있는 호출자를 지원하기 위해 나머지 PPP 구성 파일을 만듭니다.
다이얼 인 서버의 사용자를 구성하는 방법 및 직렬 회선을 통해 통신을 정의하는 방법(다이얼 인 서버)을 참조하십시오.

참조

신뢰할 수 있는 호출자를 위한 CHAP 인증 자격 증명을 구성하려면 CHAP 자격 증명 데이터베이스를 만드는 방법(다이얼 인 서버)을 참조하십시오.

신뢰할 수 있는 호출자에 대해 CHAP 인증 구성(다이얼 아웃 시스템)

이 절에는 신뢰할 수 있는 호출자의 다이얼 아웃 시스템에서 CHAP 인증을 설정하는 작업이 있습니다. 사이트 보안 정책에 따라 관리자나 신뢰할 수 있는 호출자가 CHAP 인증을 설정해야 할 수 있습니다.

CHAP를 구성하는 원격 호출자의 경우 호출자의 로컬 CHAP 암호가 다이얼 인 서버의 /etc/ppp/chap-secrets 파일에 있는 호출자의 해당 CHAP 암호와 일치해야 합니다. 그런 다음 호출자에게 이 절에 나와 있는 CHAP 구성 작업을 할당합니다.

신뢰할 수 있는 호출자에 대해 CHAP를 구성하기 위해 수행해야 하는 두 작업은 다음과 같습니다.

호출자의 CHAP 보안 자격 증명 만들기
CHAP 인증을 지원하기 위해 호출자의 다이얼 아웃 시스템 구성

신뢰할 수 있는 호출자에 대해 CHAP 인증 자격 증명을 구성하는 방법

이 절차에서는 신뢰할 수 있는 두 호출자에 대해 CHAP 자격 증명을 설정하는 방법을 보여줍니다. 절차 단계에서는 시스템 관리자가 신뢰할 수 있는 호출자의 다이얼 아웃 시스템에서 CHAP 자격 증명을 만든다고 가정합니다.

다이얼 아웃 시스템에서 관리자로 전환합니다.
자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
CHAP 인증을 사용한 구성의 예의 샘플 CHAP 구성을 사용하여 다이얼 아웃 시스템이 신뢰할 수 있는 호출자 account1에 속한다고 가정합니다.
호출자 account1의 chap-secrets 데이터베이스를 수정합니다.
이번 릴리스에는 /etc/ppp/chap-secrets 파일이 포함되어 있습니다. 여기에는 유용한 설명이 포함되어 있지만 옵션은 포함되어 있지 않습니다. 다음과 같은 옵션을 기존 /etc/ppp/chap-secrets 파일에 추가할 수 있습니다.
```
account1  CallServe   key123   *
```
CallServe는 account1이 연결하려고 하는 피어의 이름입니다. key123은 account1과 CallServer 간의 링크에 사용될 CHAP 암호입니다.
다이얼 아웃 시스템에서 관리자로 전환합니다.
자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
이 시스템이 호출자 account2에게 속한다고 가정합니다.
호출자 account2에 대한 /etc/ppp/chap-secrets 데이터베이스를 수정합니다.
```
account2  CallServe   key456   *
```
이제 account2에 암호 key456이 해당 CHAP 자격 증명으로 설정되었습니다. 이를 피어 CallServe에 대한 링크에 사용할 수 있습니다.

참조

다음 목록에는 관련 정보에 대한 참조가 나와 있습니다.

CHAP 자격 증명 데이터베이스를 만드는 방법(다이얼 인 서버)
신뢰할 수 있는 호출자에 대해 CHAP 인증 자격 증명을 구성하는 방법

구성 파일에 CHAP 추가(다이얼 아웃 시스템)

CHAP 인증에 대한 자세한 내용은 CHAP(Challenge-Handshake 인증 프로토콜)를 참조하십시오. 다음 작업에서는 호출자 account1에 속하는 다이얼 아웃 시스템을 구성합니다. 이는 CHAP 인증을 사용한 구성의 예에 소개되어 있습니다.

PPP 구성 파일에 CHAP 지원을 추가하는 방법(다이얼 아웃 시스템)

다이얼 아웃 시스템에 수퍼 유저로 로그인합니다.
/etc/ppp/options 파일에 다음과 같은 옵션이 있는지 확인합니다.
```
# cat /etc/ppp/options
lock
nodefaultroute
```
/etc/ppp/peers/peer-name 파일을 원격 시스템 CallServe에 대해 만듭니다.
```
# cat /etc/ppp/peers/CallServe
/dev/cua/a
57600
noipdefault
defaultroute
idle 120
user account1
connect "chat -U 'mypassword' -f /etc/ppp/mychat"
```
user account1 옵션은 account1을 CallServe에 제공할 CHAP 사용자 이름으로 설정합니다. 이전 파일의 기타 옵션에 대한 자세한 내용은 유사한 /etc/ppp/peers/myserver 파일(개별 피어를 사용하여 연결을 정의하는 방법)을 참조하십시오.

참조

다이얼 인 서버를 호출하여 CHAP 인증을 테스트하려면 다이얼 인 서버를 호출하는 방법을 참조하십시오.

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris 11.1에서 UUCP 및 PPP를 사용하여 직렬 네트워크 관리 Oracle Solaris 11.1 Information Library (한국어)