NPS(네트워크 정책 서버)를 사용하면 RADIUS(Remote Authentication Dial-In User Service) 서버, RADIUS 프록시 및 NAP(네트워크 액세스 보호) 정책 서버와 같은 세 가지 기능을 통해 중앙에서 네트워크 정책을 구성하고 관리할 수 있습니다.

RADIUS 서버 및 프록시

NPS는 RADIUS 서버나 RADIUS 프록시 또는 둘 다로 사용할 수 있습니다.

RADIUS 서버

NPS는 IETF(Internet Engineering Task Force)에서 RFC 2865 및 2866에 지정된 RADIUS 표준의 Microsoft 구현입니다. RADIUS 서버로 작동하는 NPS는 무선, 인증 스위치, 전화 접속 및 VPN(가상 사설망) 원격 액세스 및 라우터 간 연결을 비롯한 다양한 종류의 네트워크 액세스에 대해 중앙 집중화된 연결 인증, 권한 부여 및 계정 작업을 수행합니다.

NPS에서는 유형이 다른 무선, 스위치, 원격 액세스 또는 VPN 장치의 집합을 사용할 수 있습니다. NPS는 Microsoft Windows 2000, Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition 및 Windows Server 2003, Datacenter Edition에서 사용할 수 있는 라우팅 및 원격 액세스 서비스와 함께 사용할 수 있습니다.

NPS를 실행하는 서버가 AD DS(Active Directory® 도메인 서비스) 도메인의 구성원이면 NPS는 디렉터리 서비스를 사용자 계정 데이터베이스로 사용하며 Single Sign-On 솔루션의 일부가 됩니다. 또한 네트워크 액세스 제어(네트워크 액세스 인증 및 권한 부여) 및 AD DS 도메인에 로그온하는 데 동일한 자격 증명 집합이 사용됩니다.

네트워크 액세스를 유지 관리하는 ISP(인터넷 서비스 공급자)와 조직에서는 사용하는 네트워크 액세스 장치의 종류에 관계없이 한 곳의 관리 지점에서 모든 종류의 네트워크 액세스를 관리할 필요성이 증가하고 있습니다. RADIUS 표준은 유형이 같은 환경과 다른 환경에서 모두 이 기능을 지원합니다. RADIUS는 RADIUS 클라이언트로 사용되는 네트워크 액세스 장치에서 인증 및 계정 요청을 RADIUS 서버에 제출할 수 있도록 해 주는 클라이언트-서버 프로토콜입니다.

RADIUS 서버는 사용자 계정 정보에 액세스하고 네트워크 액세스 인증 자격 증명을 확인할 수 있습니다. 사용자 자격 증명이 인증되고 연결 시도에 권한이 부여되면 RADIUS 서버는 지정된 조건에 따라 사용자 액세스에 권한을 부여하고 계정 로그에 네트워크 액세스 연결을 기록합니다. RADIUS를 사용하면 네트워크 액세스 사용자 인증, 권한 부여 및 계정 데이터를 각 액세스 서버가 아닌 중앙 위치에서 수집하고 유지 관리할 수 있습니다.

자세한 내용은 RADIUS 서버를 참조하십시오.

RADIUS 프록시

RADIUS 프록시로 작동하는 NPS는 인증 및 계정 메시지를 다른 RADIUS 서버로 전달합니다.

NPS를 사용하면 조직에서 사용자 인증, 권한 부여 및 계정에 대한 제어를 유지하면서 원격 액세스 인프라를 서비스 공급자에게 외부 위탁할 수 있습니다.

다음과 같은 시나리오에 대해 NPS 구성을 만들 수 있습니다.

  • 무선 액세스

  • 조직 전화 접속 또는 VPN(가상 사설망) 원격 액세스

  • 외부 위탁한 전화 접속 또는 무선 액세스

  • 인터넷 액세스

  • 비즈니스 파트너의 엑스트라넷 리소스에 대한 인증된 액세스

자세한 내용은 RADIUS 프록시를 참조하십시오.

RADIUS 서버 및 RADIUS 프록시 구성 예

다음 구성 예에서는 NPS를 RADIUS 서버와 RADIUS 프록시로 구성하는 방법을 설명합니다.

NPS as a RADIUS server. 이 예에서는 NPS가 RADIUS 서버로 구성되고 기본 연결 요청 정책이 구성된 유일한 정책이며 로컬 NPS 서버에서 모든 연결 요청을 처리합니다. NPS 서버는 NPS 서버의 도메인 및 트러스트된 도메인에 계정이 있는 사용자를 인증하고 권한을 부여할 수 있습니다.

NPS as a RADIUS proxy. 이 예에서 NPS 서버는 트러스트되지 않은 두 도메인에 있는 원격 RADIUS 서버 그룹으로 연결 요청을 전달하는 RADIUS 프록시로 구성됩니다. 기본 연결 요청 정책이 삭제되고 트러스트되지 않은 두 도메인으로 각각 요청을 전달할 수 있도록 두 개의 연결 요청 정책이 새로 만들어집니다. 이 예에서 NPS는 로컬 서버에서 연결 요청을 처리하지 않습니다.

NPS as both RADIUS server and RADIUS proxy. 연결 요청을 로컬로 처리하도록 지정하는 기본 연결 요청 정책 이외에 트러스트되지 않은 도메인의 NPS나 다른 RADIUS 서버로 연결 요청을 전달하는 새 연결 요청 정책이 만들어집니다. 이 두 번째 정책을 프록시 정책이라고 합니다. 이 예에서는 정렬된 정책 목록에서 프록시 정책이 가장 먼저 나타납니다. 연결 요청이 프록시 정책과 일치하면 연결 요청은 원격 RADIUS 서버 그룹의 RADIUS 서버로 전달됩니다. 연결 요청이 프록시 정책과는 일치하지 않지만 기본 연결 요청 정책과 일치하면 NPS가 로컬 서버에서 연결 요청을 처리합니다. 연결 요청이 어떤 정책과도 일치하지 않으면 요청이 삭제됩니다.

NPS as a RADIUS server with remote accounting servers. 이 예에서 로컬 NPS 서버는 계정 작업을 수행하도록 구성되지 않으며 RADIUS 계정 메시지를 원격 RADIUS 서버 그룹의 NPS 서버나 다른 RADIUS 서버로 전달하도록 기본 연결 요청 정책이 수정됩니다. 계정 메시지는 전달되지만 인증 및 권한 부여 메시지는 전달되지 않으며 로컬 도메인 및 모든 트러스트된 도메인에 대해 로컬 NPS 서버가 이러한 기능을 수행합니다.

NPS with remote RADIUS to Windows user mapping. 이 예에서 NPS는 각 개별 연결 요청에 대해 RADIUS 서버와 RADIUS 프록시로서 모두 작동하며 인증 요청을 원격 RADIUS 서버로 전달하는 동시에 권한 부여에 로컬 Windows 사용자 계정을 사용합니다. 이 구성을 구현하려면 원격 RADIUS의 Windows 사용자 매핑 특성을 연결 요청 정책의 조건으로 구성합니다. 또한 원격 RADIUS 서버에서 인증을 수행하는 원격 사용자 계정과 같은 이름을 갖는 사용자 계정을 RADIUS 서버에서 로컬로 만들어야 합니다.

NAP 정책 서버

NAP는 Windows Vista®, Windows® 7, Windows Server® 2008 및 Windows Server® 2008 R2에 포함되어 있으며 클라이언트 컴퓨터가 조직 네트워크 상태 정책에 따라 구성되어야만 네트워크 리소스에 연결할 수 있도록 하여 사설망에 대한 액세스를 보호합니다. 또한 클라이언트 컴퓨터가 네트워크에 연결되어 있는 동안 상태 정책을 준수하는지 여부를 NAP에서 모니터링합니다. NAP 자동 업데이트 관리를 사용하면 비규격 컴퓨터가 상태 정책을 준수하여 네트워크에 연결할 수 있도록 자동으로 업데이트할 수 있습니다.

시스템 관리자는 네트워크 상태 정책을 정의하고 NPS에서 제공되는 NAP 구성 요소와 NAP 배포에 따라 다른 회사에서 제공하는 NAP 구성 요소를 사용하여 이러한 정책을 만듭니다.

상태 정책에는 소프트웨어 요구 사항, 보안 업데이트 요구 사항, 필수 구성 설정 등이 포함될 수 있습니다. NAP는 클라이언트 컴퓨터의 상태를 검사 및 평가하고, 클라이언트 컴퓨터가 비규격으로 여겨지는 경우 네트워크 액세스를 제한하며, 전체 네트워크 액세스 권한을 가질 수 있도록 비규격 클라이언트 컴퓨터의 업데이트를 관리하는 방법으로 상태 정책을 적용합니다.

자세한 내용은 NPS의 네트워크 액세스 보호를 참조하십시오.

참고 항목


목차