Red Hat Summit35장. 파일 시스템에 저장된 인증서와 함께 802.1X 표준을 사용하여 RHEL 클라이언트를 네트워크에 인증
관리자는 IEEE 802.1X 표준을 기반으로 포트 기반 네트워크 액세스 제어(Network Access Control)를 자주 사용하여 무단 LAN 및 Wi-Fi 클라이언트로부터 네트워크를 보호합니다. 네트워크에서 EAP-TLS(Extensible Authentication Protocol Transport Layer Security) 메커니즘을 사용하는 경우 이 네트워크에 대한 클라이언트를 인증하는 인증서가 필요합니다.
35.1. nmcli를 사용하여 기존 이더넷 연결에서 802.1X 네트워크 인증 구성
nmcli 유틸리티를 사용하여 명령줄에서 802.1X 네트워크 인증을 사용하여 이더넷 연결을 구성할 수 있습니다.
사전 요구 사항
- 네트워크는 802.1X 네트워크 인증을 지원합니다.
- 이더넷 연결 프로필은 NetworkManager에 존재하며 유효한 IP 구성이 있습니다.
클라이언트에는 TLS 인증에 필요한 다음 파일이 있습니다.
-
저장된 클라이언트 키는
/etc/pki/tls/private/client.key파일에 있으며 파일은root사용자만 소유하고 읽을 수 있습니다. -
클라이언트 인증서는
/etc/pki/tls/certs/client.crt파일에 저장됩니다. -
CA(인증 기관) 인증서는
/etc/pki/tls/certs/ca.crt파일에 저장됩니다.
-
저장된 클라이언트 키는
-
wpa_supplicant패키지가 설치되어 있어야 합니다.
절차
EAP(Extensible Authentication Protocol)를
tls로 설정하고 클라이언트 인증서 및 키 파일에 대한 경로를 설정합니다.nmcli connection modify enp1s0 802-1x.eap tls 802-1x.client-cert /etc/pki/tls/certs/client.crt 802-1x.private-key /etc/pki/tls/certs/certs/client.key
# nmcli connection modify enp1s0 802-1x.eap tls 802-1x.client-cert /etc/pki/tls/certs/client.crt 802-1x.private-key /etc/pki/tls/certs/certs/client.keyCopy to Clipboard Copied! Toggle word wrap Toggle overflow 단일 명령에
802-1x.eap,802-1x.client-cert,802-1x.private-key매개변수를 설정해야 합니다.CA 인증서의 경로를 설정합니다.
nmcli connection modify enp1s0 802-1x.ca-cert /etc/pki/tls/certs/ca.crt
# nmcli connection modify enp1s0 802-1x.ca-cert /etc/pki/tls/certs/ca.crtCopy to Clipboard Copied! Toggle word wrap Toggle overflow 인증서에 사용된 사용자의 ID를 설정합니다.
nmcli connection modify enp1s0 802-1x.identity user@example.com
# nmcli connection modify enp1s0 802-1x.identity user@example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항: 구성에 암호를 저장합니다.
nmcli connection modify enp1s0 802-1x.private-key-password password
# nmcli connection modify enp1s0 802-1x.private-key-password passwordCopy to Clipboard Copied! Toggle word wrap Toggle overflow 중요기본적으로 NetworkManager는 암호를 디스크의 연결 프로필에 일반 텍스트로 저장하지만
root사용자만 파일을 읽을 수 있습니다. 그러나 구성 파일에서 텍스트 암호를 지우는 것은 보안상의 위험이 될 수 있습니다.보안을 강화하려면
802-1x.password-flags매개변수를에이전트 소유로 설정합니다. 이 설정을 사용하면 인증 키를 잠금 해제한 후 NetworkManager가 이러한 서비스에서 암호를 검색하는 GNOME 데스크탑 환경 또는nm-applet이 있는 서버에서 암호를 검색합니다. 다른 경우에는 NetworkManager가 암호를 묻는 메시지를 표시합니다.연결 프로필을 활성화합니다.
nmcli connection up enp1s0
# nmcli connection up enp1s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
- 네트워크 인증이 필요한 네트워크의 리소스에 액세스합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}