33장. 파일 시스템에 저장된 인증서와 함께 802.1X 표준을 사용하여 RHEL 클라이언트를 네트워크에 인증

관리자는 IEEE 802.1X 표준을 기반으로 포트 기반 네트워크 액세스 제어(Network Access Control)를 자주 사용하여 무단 LAN 및 Wi-Fi 클라이언트로부터 네트워크를 보호합니다. 클라이언트가 이러한 네트워크에 연결할 수 있도록 하려면 이 클라이언트에서 802.1X 인증을 구성해야 합니다.

33.1. nmcli를 사용하여 기존 이더넷 연결에 802.1X 네트워크 인증 구성

nmcli 유틸리티를 사용하여 명령줄에서 802.1X 네트워크 인증을 사용하여 이더넷 연결을 구성할 수 있습니다.

사전 요구 사항

  • 네트워크는 802.1X 네트워크 인증을 지원합니다.
  • 이더넷 연결 프로필은 NetworkManager에 존재하며 유효한 IP 구성이 있습니다.

  • 클라이언트에는 TLS 인증에 필요한 다음 파일이 있습니다.

    • 저장된 클라이언트 키는 /etc/pki/tls/private/client.key 파일에 있으며 파일은 root 사용자만 소유하고 읽을 수 있습니다.
    • 클라이언트 인증서는 /etc/pki/tls/certs/client.crt 파일에 저장됩니다.
    • CA(인증 기관) 인증서는 /etc/pki/tls/certs/ca.crt 파일에 저장됩니다.
  • wpa_supplicant 패키지가 설치되어 있어야 합니다.

절차

  1. EAP(Extensible Authentication Protocol)를 tls 로 설정하고 클라이언트 인증서 및 키 파일에 대한 경로를 설정합니다. 

    # nmcli connection modify enp1s0 802-1x.eap tls 802-1x.client-cert /etc/pki/tls/certs/client.crt 802-1x.private-key /etc/pki/tls/certs/certs/client.key

    단일 명령에 802-1x.eap,802-1x.client-cert, 802-1x.private-key 매개변수를 설정해야 합니다.

  2. CA 인증서의 경로를 설정합니다. 

    # nmcli connection modify enp1s0 802-1x.ca-cert /etc/pki/tls/certs/ca.crt

  3. 인증서에 사용된 사용자의 ID를 설정합니다. 

    # nmcli connection modify enp1s0 802-1x.identity user@example.com

  4. 선택적으로 구성에 암호를 저장합니다. 

    # nmcli connection modify enp1s0 802-1x.private-key-password password
    중요

    기본적으로 NetworkManager는 root 사용자만 읽을 수 있는 /etc/sysconfig/network-scripts/keys-connection_name 파일에 암호를 일반 텍스트로 저장합니다. 그러나 구성 파일에서 텍스트 암호를 지우는 것은 보안상의 위험이 될 수 있습니다.

    보안을 늘리려면 802-1x.password-flags 매개변수를 0x1 로 설정합니다. 이 설정을 사용하여 GNOME 데스크탑 환경 또는 nm-ECDHEt 가 실행 중인 서버에서 NetworkManager는 이러한 서비스에서 암호를 검색합니다. 다른 경우에는 NetworkManager가 암호를 묻는 메시지를 표시합니다.

  5. 연결 프로필을 활성화합니다. 

    # nmcli connection up enp1s0

검증

  • 네트워크 인증이 필요한 네트워크의 리소스에 액세스합니다.

추가 리소스