NAS(네트워크 액세스 서버)는 대규모 네트워크에 대한 일정 수준의 액세스를 제공하는 장치입니다. RADIUS 인프라를 사용하는 NAS는 인증, 권한 부여 및 계정을 위해 연결 요청과 계정 메시지를 RADIUS 서버에 보내는 RADIUS 클라이언트이기도 합니다.

중요

무선 휴대용 컴퓨터 및 클라이언트 운영 체제를 실행 중인 기타 컴퓨터와 같은 클라이언트 컴퓨터는 RADIUS 클라이언트가 아닙니다. RADIUS 클라이언트는 RADIUS 프로토콜을 사용하여 NPS(Network Policy Server) 서버와 같은 RADIUS 서버와 통신하기 때문에 무선 액세스 지점, 802.1X 호환 스위치, VPN(가상 사설망) 서버 및 전화 접속 서버와 같은 네트워크 액세스 서버입니다.

NPS를 RADIUS 서버, RADIUS 프록시 또는 NAP(네트워크 액세스 보호) 정책 서버로 배포하려면 NPS에서 RADIUS 클라이언트를 구성해야 합니다.

RADIUS 클라이언트 예

네트워크 액세스 서버의 예는 다음과 같습니다.

  • 조직 네트워크나 인터넷에 대한 원격 액세스 연결을 제공하는 네트워크 액세스 서버. 여기에 해당하는 예는 Windows Server® 2008 운영 체제와 라우팅 및 원격 액세스 서비스를 실행하고 일반적인 전화 접속 또는 VPN(가상 사설망) 원격 액세스 서비스를 조직의 인트라넷에 제공하는 컴퓨터입니다.

  • 무선 기반 전송과 수신 기술을 사용하여 조직의 네트워크에 대한 물리 계층 액세스를 제공하는 무선 액세스 지점

  • 이더넷과 같은 일반적인 LAN 기술을 사용하여 조직의 네트워크에 대한 물리 계층 액세스를 제공하는 스위치

  • RADIUS 프록시에 구성된 원격 RADIUS 서버 그룹의 구성원인 RADIUS 서버에 연결 요청을 전달하는 RADIUS 프록시

RADIUS 액세스 요청 메시지

RADIUS 클라이언트는 RADIUS 액세스 요청 메시지를 만들어 RADIUS 프록시나 RADIUS 서버에 전달하거나, 다른 RADIUS 클라이언트에서 받았지만 스스로 만들지 않은 액세스 요청 메시지를 RADIUS 서버에 전달합니다.

RADIUS 클라이언트는 인증, 권한 부여 및 계정을 수행하여 액세스 요청 메시지를 처리하지 않습니다. RADIUS 서버만 이러한 기능을 수행합니다.

그러나 NPS는 RADIUS 프록시와 RADIUS 서버로 동시에 구성되어 일부 액세스 요청 메시지를 처리하고 다른 메시지를 전달할 수 있습니다.

RADIUS 클라이언트로 NPS 구성

액세스 요청 메시지를 다른 RADIUS 서버에 처리를 위해 전달하도록 RADIUS 프록시로 NPS를 구성하면 NPS가 RADIUS 클라이언트 역할을 수행합니다. NPS를 RADIUS 프록시로 사용하는 경우 다음과 같은 일반 구성 단계가 필요합니다.

  1. 무선 액세스 지점 및 VPN 서버와 같은 네트워크 액세스 서버가 NPS 프록시의 IP 주소를 사용하여 지정된 RADIUS 서버나 인증 서버로 구성됩니다. 이에 따라 액세스 클라이언트에서 받는 정보를 기반으로 액세스 요청 메시지를 만드는 네트워크 액세스 서버가 NPS 프록시에 메시지를 전달할 수 있습니다.

  2. NPS 프록시는 각 네트워크 액세스 서버를 RADIUS 클라이언트로 추가하여 구성됩니다. 이 구성 단계에 따라 NPS 프록시가 네트워크 액세스 서버에서 메시지를 받고 인증 전반에서 이러한 메시지를 사용하여 통신할 수 있습니다. 또한 NPS 프록시의 연결 요청 정책이 하나 이상의 RADIUS 서버에 전달할 액세스 요청 메시지를 지정하도록 구성됩니다. 또한 이러한 정책은 네트워크 액세스 서버에서 받는 메시지를 보낼 위치를 NPS에 알려주는 원격 RADIUS 서버 그룹을 사용하여 구성됩니다.

  3. NPS 프록시에서 원격 RADIUS 서버 그룹의 구성원인 NPS나 다른 RADIUS 서버는 NPS 프록시에서 메시지를 받도록 구성됩니다. 이렇게 구성하려면 NPS 프록시를 RADIUS 클라이언트로 구성하면 됩니다.

RADIUS 클라이언트 속성

NPS 스냅인을 통해서나 NPS에 대한 netsh 명령을 사용하여 RADIUS 클라이언트를 NPS 구성에 추가하는 경우 네트워크 액세스 서버나 RADIUS 프록시에서 RADIUS 액세스 요청 메시지를 받도록 NPS를 구성하는 것입니다.

NPS에서 RADIUS 클라이언트를 구성하는 경우 다음 속성을 지정할 수 있습니다.

  • 클라이언트 이름

    NPS 스냅인이나 NPS에 대한 netsh 명령을 사용할 때 식별하기 쉬운 RADIUS 클라이언트의 이름입니다.

  • IP 주소

    RADIUS 클라이언트의 IPv4(인터넷 프로토콜 버전 4) 주소 또는 DNS(Domain Name System) 이름입니다.

  • 클라이언트 - 공급업체

    RADIUS 클라이언트의 공급업체입니다. 또는 클라이언트 - 공급업체에 대한 RADIUS 표준 값을 사용할 수 있습니다.

  • 공유 암호

    RADIUS 클라이언트, RADIUS 서버 및 RADIUS 프록시 간의 암호로 사용되는 텍스트 문자열입니다. 메시지 인증자 특성이 사용되면 공유 암호도 RADIUS 메시지를 암호화하기 위한 키로 사용됩니다. 이 문자열은 RADIUS 클라이언트와 NPS 스냅인에서 구성되어야 합니다.

  • 메시지 인증자 특성

    RFC 2869, "RADIUS 확장"에서 설명하는 전체 RADIUS 메시지의 MD5(Message Digest 5) 해시입니다. RADIUS 메시지 인증자 특성이 있으면 확인됩니다. 확인에 실패하면 RADIUS 메시지가 삭제됩니다. 클라이언트 설정에 따라 메시지 인증자 특성이 필요한 경우 메시지 인증자 특성이 없으면 RADIUS 메시지가 삭제됩니다. 메시지 인증자 특성은 사용하는 것이 좋습니다.

    참고

    메시지 인증자 특성은 EAP 인증을 사용할 때 필요하며 기본적으로 사용하도록 설정됩니다.

  • 클라이언트가 NAP를 사용할 수 있음

    RADIUS 클라이언트가 NAP(네트워크 액세스 보호)와 호환됨을 지정합니다. NPS에서 액세스 허용 메시지로 NAP 특성을 RADIUS 클라이언트에 보냅니다.

목차