System

Server

RADIUS/TACACS

🔐 RADIUS & TACACS+ 서버 구축 및 설정 가이드 🚀

1️⃣ RADIUS & TACACS+란?

**RADIUS (Remote Authentication Dial-In User Service)**와 **TACACS+ (Terminal Access Controller Access-Control System Plus)**는 네트워크 장비 및 시스템에 **사용자 인증, 권한 부여 및 계정 관리(AAA: Authentication, Authorization, Accounting)**를 제공하는 프로토콜입니다.

✅ RADIUS와 TACACS+의 차이점

프로토콜	보안성	포트	암호화 방식	사용처
RADIUS	✅ 사용자 비밀번호만 암호화	UDP 1812, 1813	PAP, CHAP, EAP	VPN, Wi-Fi 인증
TACACS+	✅ 전체 패킷 암호화	TCP 49	SSH, Telnet 인증	네트워크 장비 (Cisco 등)

2️⃣ RADIUS 서버 설치 (Linux 기반)

🔹 Ubuntu/Debian에서 FreeRADIUS 설치

sudo apt update
sudo apt install freeradius -y

🔹 CentOS/RHEL에서 FreeRADIUS 설치

sudo yum install freeradius freeradius-utils -y

설치 후, 서비스 활성화 및 상태 확인

sudo systemctl enable freeradius
sudo systemctl start freeradius
sudo systemctl status freeradius

3️⃣ RADIUS 서버 설정

RADIUS 주요 설정 파일은 /etc/freeradius/3.0/ 디렉토리에 있습니다.

📌 1. 클라이언트(네트워크 장비) 추가

sudo nano /etc/freeradius/3.0/clients.conf

다음 내용을 추가하여 RADIUS 클라이언트(네트워크 장비)를 등록합니다.

client router1 {
    ipaddr = 192.168.1.1
    secret = myradiussecret
}

📌 2. 사용자 계정 추가

sudo nano /etc/freeradius/3.0/users

testuser Cleartext-Password := "password123"
    Service-Type = Framed-User,
    Framed-Protocol = PPP

설정을 저장한 후 RADIUS 서비스를 재시작합니다.

sudo systemctl restart freeradius

4️⃣ TACACS+ 서버 설치

🔹 Ubuntu/Debian에서 TACACS+ 설치

sudo apt install tacacs+ -y

🔹 CentOS/RHEL에서 TACACS+ 설치

sudo yum install tacacs+ -y

설치 후, 서비스 활성화 및 상태 확인

sudo systemctl enable tacacs+
sudo systemctl start tacacs+
sudo systemctl status tacacs+

5️⃣ TACACS+ 서버 설정

TACACS+ 주요 설정 파일은 /etc/tacacs+/tacacs.conf 입니다.

sudo nano /etc/tacacs+/tacacs.conf

📌 1. 공유 키(Shared Secret) 설정

key = "tacacs_secret"

📌 2. 사용자 계정 추가

user = admin {
    login = cleartext "adminpassword"
    service = exec {
        priv-lvl = 15
    }
}

설정을 저장한 후 TACACS+ 서비스를 재시작합니다.

sudo systemctl restart tacacs+

6️⃣ 방화벽 설정 (필요한 경우)

✅ RADIUS (UDP 1812, 1813) & TACACS+ (TCP 49) 포트 허용

🔹 UFW (Ubuntu/Debian)

sudo ufw allow 1812/udp
sudo ufw allow 1813/udp
sudo ufw allow 49/tcp
sudo ufw reload

🔹 firewalld (CentOS/RHEL)

sudo firewall-cmd --permanent --add-port=1812/udp
sudo firewall-cmd --permanent --add-port=1813/udp
sudo firewall-cmd --permanent --add-port=49/tcp
sudo firewall-cmd --reload

7️⃣ RADIUS & TACACS+ 클라이언트 설정

📌 1. RADIUS 클라이언트(네트워크 장비) 설정 예시

Cisco 라우터에서 RADIUS 인증 활성화

configure terminal
radius-server host 192.168.1.100 key myradiussecret
aaa new-model
aaa authentication login default group radius local
aaa authorization exec default group radius local
exit

📌 2. TACACS+ 클라이언트(네트워크 장비) 설정 예시

Cisco 라우터에서 TACACS+ 인증 활성화

configure terminal
tacacs-server host 192.168.1.100 key tacacs_secret
aaa new-model
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
exit

8️⃣ 로그 확인 및 문제 해결

📌 1. RADIUS 로그 확인

sudo journalctl -u freeradius -f

📌 2. TACACS+ 로그 확인

sudo tail -f /var/log/tacacs.log

📌 3. 인증 테스트 (RADIUS)

radtest testuser password123 127.0.0.1 0 myradiussecret

📌 4. 인증 테스트 (TACACS+)

echo "adminpassword" | tac_pwd

9️⃣ 결론 🚀

✅ RADIUS와 TACACS+는 네트워크 및 시스템 인증을 강화하는 중요한 프로토콜입니다.
✅ RADIUS는 VPN, Wi-Fi 인증에 주로 사용, TACACS+는 Cisco 네트워크 장비 인증에 최적화되어 있습니다.
✅ 보안이 중요한 환경에서는 TACACS+를, 일반적인 네트워크 인증 환경에서는 RADIUS를 사용하는 것이 좋습니다.

📚 추가 자료
1️⃣ FreeRADIUS 공식 문서
2️⃣ TACACS+ 공식 문서
3️⃣ Cisco RADIUS & TACACS+ 설정 가이드

이제 RADIUS & TACACS+ 서버도 완벽하게 설정할 수 있어요! 🔥
추가적으로 원하는 기능이 있다면 언제든지 요청해 주세요. 😃

RSS Feed

마지막 수정일자 April 21, 2025

LDAP