09사용자 관리 — 인증·역할·서버사용자 관리 — 인증·역할·서버

기본은 사용자 이름·암호 로그인이지만, Gaia는 보안을 한 단계 높이는 2FA(Two-Factor Authentication)를 지원합니다. 시간 기반 인증 앱(TOTP)을 이용해 Gaia 로그인 흐름에 인증 요소를 하나 더 추가 하는 방식입니다. 2FA를 켜면 Gaia Portal은 물론, SSH·Telnet 원격 로그인과 콘솔·LOM 카드를 통한 로컬 로그인까지 모든 CLI 셸 접속 이 보호됩니다. 특정 사용자에게만 켜거나 전체에 적용할 수 있고, 키 재발급·해제도 사용자 단위로 관리합니다.

즉 각 역할(Role)에 기능별로 읽기/쓰기·읽기 전용·접근 불가를 조합해 담고, 그 역할을 사용자에게 할당 합니다. 역할에는 접근 수단(Gaia Portal인지 Gaia Clish인지)도 지정할 수 있고, 확장 명령을 역할에 넣어 특정 사용자만 그 명령을 쓰게 만들 수도 있습니다. 사용자가 Portal에 로그인하면 자기가 접근 권한을 가진 기능만 보이며, 읽기 전용이면 설정 페이지는 보되 바꾸지는 못 합니다. 기본 제공 역할로는 모든 기능에 읽기/쓰기를 주는 adminRole, 읽기 전용을 주는 monitorRole 이 있으며 이 둘은 삭제·변경할 수 없습니다. 한 가지 주의할 점은, 외부 인증 서버에 정의된 사용자(external user)는 로컬에 새 사용자로 정의하지 말 라는 것입니다.

Password Policy 는 강한 암호 생성을 강제하고, 이미 쓴 암호의 재사용을 막고, 정기적으로 암호를 바꾸게 하는 보안의 핵심 장치입니다. 암호 강도(Password Strength), 이력(History), 의무적 변경 주기, 미사용 계정 잠금, 로그인 실패 시 접근 거부, 해싱 알고리즘 까지 세밀하게 조정합니다. 다만 이 정책은 RADIUS 같은 외부 서버가 관리하는 비로컬 사용자나, SSH 공개 키 같은 비암호 인증에는 적용되지 않 습니다.

여러 게이트웨이의 계정을 일일이 로컬에 두는 대신, Gaia를 인증 서버의 클라이언트로 만들어, 로컬에 없는 사용자도 중앙에서 인증 할 수 있습니다. 이것이 자격 증명을 중앙 관리하는 좋은 방법입니다. Gaia는 두 종류를 지원합니다.

RADIUS 는 사용자 프로필을 중앙 DB에 두는 클라이언트/서버 인증 시스템 으로, 여러 서버를 우선순위로 등록해 첫 서버가 죽으면 다음 서버로 넘어가게 할 수 있습니다. TACACS+ 는 모든 정보를 암호화해 원격 서버로 보내는 인증 프로토콜 로, 서비스별(예: Gaia Portal = HTTP 서비스)로 따로 설정합니다. TACACS+가 켜지면 암호를 확인할 때마다 서버에 접속하고, 서버가 실패하거나 닿지 않으면 로컬 암호로 인증을 대신 합니다.

여러 방법을 함께 쓰면 인증 순서는 RADIUS → TACACS+ → Local 입니다. 즉 외부 서버부터 시도하고, 안 되면 로컬로 떨어집니다.

System Groups 로는 사용자를 시스템 그룹으로 묶어 관리하고, GUI Clients 로는 (관리 서버인 경우) 어떤 컴퓨터가 SmartConsole로 이 관리 서버에 접속할 수 있는지(신뢰 호스트) 를 제한합니다. 특정 IP만 허용하거나 모든 IP를 허용하는 식으로 정하며, 이는 관리 접근을 좁히는 또 하나의 안전장치입니다.