EAP(확장할 수 있는 인증 프로토콜)는 임의 길이의 자격 증명 및 정보 교환을 사용하는 임의의 인증 방법을 허용하여 PPP(지점 간 프로토콜)를 확장합니다. EAP는 스마트 카드, 토큰 카드, 암호화 계산기 같은 보안 장치를 사용하는 인증 방법을 제공합니다. EAP는 PPP 내에서 추가 인증 방법을 지원하기 위한 산업 표준 아키텍처를 제공합니다.
EAP와 NPS
EAP를 사용하면 EAP 종류라는 추가 인증 체계를 지원할 수 있습니다. 이러한 인증 체계에는 토큰 카드, 일회용 암호, 스마트 카드를 사용한 공개 키 인증 및 인증서가 포함됩니다. EAP는 강력한 EAP 종류와 함께 보안 VPN(가상 사설망) 연결, 802.1X 유선 연결 및 802.1X 무선 연결에 중요한 기술 구성 요소입니다. 인증이 성공적으로 수행되려면 NPS(네트워크 정책 서버)를 실행하는 서버 같은 인증자와 네트워크 액세스 클라이언트가 모두 같은 EAP 종류를 지원해야 합니다.
중요 | |
인증서를 기반으로 하는 EAP 종류를 비롯하여 강력한 EAP 종류는 무차별 암호 대입(brute-force) 또는 사전 공격(Dictionary Attack)과 암호 추측에 대해 CHAP(Challenge Handshake 인증 프로토콜)나 MS-CHAP(Microsoft Challenge Handshake 인증 프로토콜)와 같은 암호 기반 인증 프로토콜보다 나은 보안을 제공합니다. |
EAP를 사용하면 임의의 인증 메커니즘으로 원격 액세스 연결이 인증됩니다. 사용할 인증 체계는 원격 액세스 클라이언트와 인증자(네트워크 액세스 서버 또는 RADIUS [Remote Authentication Dial-In User Service] 서버) 간에 협상합니다. 라우팅 및 원격 액세스에는 EAP-TLS(확장할 수 있는 인증 프로토콜-전송 계층 보안)와 PEAP-MS-CHAP v2에 대한 지원이 기본적으로 포함됩니다. 라우팅 및 원격 액세스를 실행하는 서버에 다른 EAP 모듈을 연결하여 다른 EAP 방법을 제공할 수 있습니다.
EAP는 원격 액세스 클라이언트와 인증자 간의 개방형 대화를 허용합니다. 이 대화는 인증자의 인증 정보 요청과 원격 액세스 클라이언트의 응답으로 구성됩니다. 예를 들어 EAP를 보안 토큰 카드와 함께 사용하는 경우 인증자는 원격 액세스 클라이언트에 이름, PIN 및 토큰 카드 값을 개별적으로 쿼리할 수 있습니다. 각 쿼리의 요청과 응답이 이루어지면서 원격 액세스 클라이언트는 또 다른 수준의 인증을 거치게 됩니다. 모든 질문에 만족스럽게 응답하면 원격 액세스 클라이언트가 인증됩니다.
Windows Server® 2008에는 EAP 인프라, 두 가지 EAP 종류 및 RADIUS 서버에 EAP 메시지를 전달하는 기능(EAP-RADIUS)이 포함되어 있습니다.
EAP 인프라
EAP는 플러그 인 모듈 형태의 모든 EAP 종류에 대해 아키텍처를 지원하는 내부 구성 요소의 집합입니다. 인증이 성공적으로 이루어지려면 원격 액세스 클라이언트와 인증자에 모두 같은 EAP 인증 모듈이 설치되어 있어야 합니다. 추가 EAP 종류를 설치할 수도 있습니다. EAP 종류에 대한 구성 요소는 모든 네트워크 액세스 클라이언트와 모든 인증자에 설치되어야 합니다.
참고 | |
Windows Server 2003 운영 체제는 MD5-Challenge 및 EAP-TLS의 두 가지 EAP 종류를 제공합니다. MD5-Challenge는 Windows Server 2008에서는 지원되지 않습니다. |
EAP-TLS
EAP-TLS는 인증서 기반 보안 환경에서 사용되는 EAP 종류입니다. 원격 액세스 인증을 위해 스마트 카드를 사용할 경우 EAP-TLS 인증 방법을 사용해야 합니다. EAP-TLS 메시지 교환은 원격 액세스 클라이언트와 인증자 사이에 상호 인증, 암호화 방법 협상 및 암호화된 키 확인을 제공합니다. EAP-TLS는 가장 강력한 인증 및 키 확인 방법을 제공합니다.
참고 | |
EAP-TLS 인증 과정 중에 MPPE(Microsoft 지점 간 암호화)에 대한 공유 암호 암호화 키가 생성됩니다. |
EAP-TLS는 라우팅 및 원격 액세스를 실행하고 Windows 인증 또는 RADIUS(Remote Authentication Dial-In User Service)를 사용하도록 구성되어 있으며 도메인의 구성원인 서버에서만 지원됩니다. 독립 실행형 서버나 작업 그룹의 구성원으로 실행되는 네트워크 액세스 서버에서는 EAP-TLS를 지원하지 않습니다.
EAP 전송으로 RADIUS 사용
EAP 전송으로 RADIUS를 사용한다는 것은 RADIUS 클라이언트가 인증을 위해 모든 EAP 종류의 EAP 메시지를 RADIUS 서버로 전달하는 것을 말합니다. 예를 들어 RADIUS 인증에 대해 구성된 네트워크 액세스 서버의 경우 원격 액세스 클라이언트와 네트워크 액세스 서버 간에 전송된 EAP 메시지는 네트워크 액세스 서버와 RADIUS 서버 사이에서 RADIUS 메시지로 캡슐화되고 형식이 지정됩니다. RADIUS를 통해 EAP를 사용하는 경우 이를 EAP-RADIUS라고 합니다.
EAP-RADIUS는 RADIUS가 인증 공급자로 사용되는 환경에서 사용됩니다. EAP-RADIUS를 사용하면 EAP 종류를 각 네트워크 액세스 서버에 설치할 필요 없이 RADIUS 서버에만 설치하면 된다는 이점이 있습니다. NPS 서버의 경우 NPS 서버에만 EAP 종류를 설치하면 됩니다.
EAP-RADIUS를 사용하는 대표적인 예는 라우팅 및 원격 액세스를 실행하는 서버를 EAP를 사용하도록 구성하고 인증에 NPS 서버를 사용하도록 구성하는 것입니다. 연결이 되면 원격 액세스 클라이언트는 네트워크 액세스 서버와 EAP 사용을 협상합니다. 클라이언트가 네트워크 액세스 서버에 EAP 메시지를 보내면 네트워크 액세스 서버는 EAP 메시지를 RADIUS 메시지로 캡슐화한 다음 이를 구성된 NPS 서버로 보냅니다. NPS 서버는 EAP 메시지를 처리하고 RADIUS로 캡슐화된 EAP 메시지를 다시 네트워크 액세스 서버로 보냅니다. 그러면 네트워크 액세스 서버는 EAP 메시지를 원격 액세스 클라이언트에 전달합니다. 이 구성에서 네트워크 액세스 서버는 단지 메시지를 전달해 주는 장치일 뿐입니다. 모든 EAP 메시지 처리는 원격 액세스 클라이언트와 NPS 서버에서 수행됩니다.
라우팅 및 원격 액세스를 로컬이나 RADIUS 서버에서 인증하도록 구성할 수 있습니다. 라우팅 및 원격 액세스를 로컬로 인증하도록 구성하면 모든 EAP 방법이 로컬로 인증됩니다. 라우팅 및 원격 액세스를 RADIUS 서버에서 인증하도록 구성하면 모든 EAP 메시지가 EAP-RADIUS를 사용하여 RADIUS 서버로 전달됩니다.
EAP 인증을 사용하도록 설정하려면 |
네트워크 액세스 서버에서 EAP를 인증 프로토콜로 사용하도록 설정합니다. 자세한 내용은 네트워크 액세스 서버 설명서를 참조하십시오.
EAP를 사용하도록 설정하고 필요한 경우 해당 네트워크 정책에 대한 제약 조건에서 EAP 종류를 구성합니다.
원격 액세스 클라이언트에서 EAP를 사용하도록 설정하고 구성합니다. 자세한 내용은 액세스 클라이언트 설명서를 참조하십시오.