연결 요청 정책은 NPS(네트워크 정책 서버)를 실행하는 서버가 RADIUS(Remote Authentication Dial-In User Service) 클라이언트로부터 받은 연결 요청을 인증하고 권한을 부여할 RADIUS 서버를 지정하기 위해 네트워크 관리자가 사용할 수 있는 조건과 설정의 집합입니다. RADIUS 계정에 사용할 RADIUS 서버를 지정하도록 연결 요청 정책을 구성할 수 있습니다.

중요

PEAP(Protected Extensible Authentication Protocol) 인증과 함께 VPN(가상 사설망) 또는 802.1X 적용 방법을 사용하여 NAP(네트워크 액세스 보호)를 배포할 때는 연결 요청이 로컬로 처리되는 경우에도 연결 요청 정책에 PEAP 인증을 구성해야 합니다.

RADIUS 클라이언트에서 보내는 일부 RADIUS 요청 메시지는 로컬로 처리(NPS가 RADIUS 서버로 사용됨)되고 다른 종류의 메시지는 다른 RADIUS 서버로 전달(NPS가 RADIUS 프록시로 사용됨)되도록 연결 요청 정책을 만들 수 있습니다.

연결 요청 정책을 사용하면 다음과 같은 요소에 따라 NPS를 RADIUS 서버 또는 RADIUS 프록시로 사용할 수 있습니다.

  • 시간 및 요일

  • 연결 요청의 영역 이름

  • 요청된 연결의 종류

  • RADIUS 클라이언트의 IP 주소

들어오는 메시지의 설정이 NPS 서버에 구성된 연결 요청 정책 중 적어도 하나와 일치하는 경우에만 NPS에서 RADIUS 액세스 요청 메시지를 처리하거나 전달합니다. 정책 설정이 일치하고 정책에 NPS 서버가 메시지를 처리하도록 구성되어 있는 경우 NPS는 RADIUS 서버로 작동하여 연결 요청을 인증하고 권한을 부여합니다. 정책 설정이 일치하고 정책에 NPS 서버가 메시지를 전달하도록 구성되어 있는 경우 NPS는 RADIUS 프록시로 작동하여 처리를 위해 연결 요청을 원격 RADIUS 서버로 전달합니다.

들어오는 RADIUS 액세스 요청 메시지의 설정이 최소 하나의 연결 요청 정책과도 일치하지 않으면 액세스 거부 메시지가 RADIUS 클라이언트로 전송되고 네트워크에 연결을 시도한 사용자 또는 컴퓨터는 액세스가 거부됩니다.

구성 예

다음 구성 예에서는 연결 요청 정책을 사용하는 방법을 설명합니다.

  • NPS를 RADIUS 서버로 구성

    기본 연결 요청 정책만 구성되어 있습니다. 이 예에서는 NPS가 RADIUS 서버로 구성되고 로컬 NPS 서버에서 모든 연결 요청을 처리합니다. NPS 서버는 NPS 서버 도메인 및 트러스트된 도메인에 계정이 있는 사용자를 인증하고 권한을 부여할 수 있습니다.

  • NPS를 RADIUS 프록시로 구성

    기본 연결 요청 정책이 삭제되고 두 개의 다른 도메인으로 요청을 전달할 수 있도록 두 개의 연결 요청 정책이 새로 만들어집니다. 이 예에서 NPS는 RADIUS 프록시로 구성됩니다. NPS는 로컬 서버에서 연결 요청을 처리하지 않으며, 대신 원격 RADIUS 서버 그룹의 구성원으로 구성된 NPS나 다른 RADIUS 서버로 연결 요청을 전달합니다.

  • NPS를 RADIUS 서버와 RADIUS 프록시로 구성

    기본 연결 요청 정책 외에 트러스트되지 않은 도메인의 NPS나 다른 RADIUS 서버에 연결 요청을 전달하는 새 연결 요청 정책이 만들어집니다. 이 예에서는 정렬된 정책 목록에서 프록시 정책이 가장 먼저 나타납니다. 연결 요청이 프록시 정책과 일치하면 연결 요청은 원격 RADIUS 서버 그룹의 RADIUS 서버로 전달됩니다. 연결 요청이 프록시 정책과는 일치하지 않지만 기본 연결 요청 정책과 일치하면 NPS가 로컬 서버에서 연결 요청을 처리합니다. 연결 요청이 어떤 정책과도 일치하지 않으면 요청이 삭제됩니다.

  • 원격 계정 서버와 함께 NPS를 RADIUS 서버로 구성

    이 예에서 로컬 NPS 서버는 계정 작업을 수행하도록 구성되지 않으며 RADIUS 계정 메시지를 원격 RADIUS 서버 그룹의 NPS나 다른 RADIUS 서버로 전달하도록 기본 연결 요청 정책이 수정됩니다. 계정 메시지는 전달되지만 인증 및 권한 부여 메시지는 전달되지 않으며 로컬 도메인 및 모든 트러스트된 도메인에 대해 로컬 NPS 서버가 이러한 기능을 수행합니다.

  • 원격 RADIUS의 Windows 사용자 매핑을 통해 NPS 구성

    이 예에서 NPS는 각 개별 연결 요청에 대해 RADIUS 서버와 RADIUS 프록시로서 모두 작동하며 인증 요청을 원격 RADIUS 서버로 전달하는 동시에 권한 부여에 로컬 Windows 사용자 계정을 사용합니다. 이 구성을 구현하려면 원격 RADIUS의 Windows 사용자 매핑 특성을 연결 요청 정책의 조건으로 구성합니다. 또한 원격 RADIUS 서버에서 인증을 수행하는 원격 사용자 계정과 같은 이름을 갖는 사용자 계정을 로컬로 만들어야 합니다.

조건

연결 요청 정책 조건은 들어오는 RADIUS 액세스 요청 메시지의 특성과 비교되는 하나 이상의 RADIUS 특성입니다. 조건이 여러 개인 경우에는 연결 요청 메시지와 연결 요청 정책의 모든 조건이 일치해야 NPS에서 정책을 적용할 수 있습니다.

다음은 연결 요청 정책에 구성할 수 있는 조건 특성입니다.

연결 속성 특성 그룹에는 다음 특성이 포함되어 있습니다.

  • 프레임 프로토콜. 들어오는 패킷의 프레이밍 형식을 지정하는 데 사용됩니다. 예를 들면 PPP(지점 간 프로토콜), SLIP(Serial Line Internet Protocol), 프레임 릴레이 및 X.25가 있습니다.

  • 서비스 종류. 요청되는 서비스의 종류를 지정하는 데 사용됩니다. 예를 들면 프레임(예: PPP 연결) 및 로그인(예: 텔넷 연결)이 있습니다. RADIUS 서비스 종류에 대한 자세한 내용은 RFC 2865, "RADIUS(Remote Authentication Dial-in User Service)"를 참조하십시오.

  • 터널 종류. 요청하는 클라이언트에서 만드는 터널 종류를 지정하는 데 사용됩니다. 터널 종류에는 PPTP(지점 간 터널링 프로토콜)와 L2TP(Layer Two Tunneling Protocol)가 있습니다.

요일 및 시간 제한 특성 그룹에는 요일 및 시간 제한 특성이 포함되어 있습니다. 이 특성을 사용하면 연결 시도의 요일과 시간을 지정할 수 있습니다. 요일과 시간은 NPS 서버의 요일과 시간을 기준으로 합니다.

게이트웨이 특성 그룹에는 다음 특성이 포함되어 있습니다.

  • 호출된 스테이션 ID. 네트워크 액세스 서버의 전화 번호를 지정하는 데 사용됩니다. 이 특성은 문자열입니다. 패턴 일치 구문을 사용하여 지역 번호를 지정할 수 있습니다.

  • NAS 식별자. 네트워크 액세스 서버의 이름을 지정하는 데 사용됩니다. 이 특성은 문자열입니다. 패턴 일치 구문을 사용하여 NAS 식별자를 지정할 수 있습니다.

  • NAS IPv4 주소. 네트워크 액세스 서버(RADIUS 클라이언트)의 IPv4(인터넷 프로토콜 버전 4) 주소를 지정하는 데 사용됩니다. 이 특성은 문자열입니다. 패턴 일치 구문을 사용하여 IP 네트워크를 지정할 수 있습니다.

  • NAS IPv6 주소. 네트워크 액세스 서버(RADIUS 클라이언트)의 IPv6(인터넷 프로토콜 버전 6) 주소를 지정하는 데 사용됩니다. 이 특성은 문자열입니다. 패턴 일치 구문을 사용하여 IP 네트워크를 지정할 수 있습니다.

  • NAS 포트 종류. 액세스 클라이언트에서 사용하는 미디어 유형을 지정하는 데 사용됩니다. 예를 들면 아날로그 전화선(비동기라고 함), ISDN(Integrated Services Digital Network), 터널 또는 VPN(가상 사설망), IEEE 802.11 무선 및 이더넷 스위치 등입니다.

컴퓨터 ID 특성 그룹에는 컴퓨터 ID 특성이 포함되어 있습니다. 이 특성을 사용하면 정책에서 클라이언트를 식별하는 방법을 지정할 수 있습니다.

RADIUS 클라이언트 속성 특성 그룹에는 다음 특성이 포함되어 있습니다.

  • 호출 스테이션 ID. 호출자(액세스 클라이언트)가 사용하는 전화 번호를 지정하는 데 사용됩니다. 이 특성은 문자열입니다. 패턴 일치 구문을 사용하여 지역 번호를 지정할 수 있습니다.

  • 클라이언트 이름. 인증을 요청하는 RADIUS 클라이언트 컴퓨터의 이름을 지정하는 데 사용됩니다. 이 특성은 문자열입니다. 패턴 일치 구문을 사용하여 클라이언트 이름을 지정할 수 있습니다.

  • 클라이언트 IPv4 주소. 네트워크 액세스 서버(RADIUS 클라이언트)의 IPv4 주소를 지정하는 데 사용됩니다. 이 특성은 문자열입니다. 패턴 일치 구문을 사용하여 IP 네트워크를 지정할 수 있습니다.

  • 클라이언트 IPv6 주소. 네트워크 액세스 서버(RADIUS 클라이언트)의 IPv6 주소를 지정하는 데 사용됩니다. 이 특성은 문자열입니다. 패턴 일치 구문을 사용하여 IP 네트워크를 지정할 수 있습니다.

  • 클라이언트 공급업체. 인증을 요청하는 네트워크 액세스 서버의 공급업체를 지정하는 데 사용됩니다. 라우팅 및 원격 액세스 서비스를 실행하는 컴퓨터는 Microsoft NAS 제조업체입니다. 이 특성을 사용하면 NAS 제조업체마다 별도의 정책을 구성할 수 있습니다. 이 특성은 문자열입니다. 패턴 일치 구문을 사용할 수 있습니다.

사용자 이름 특성 그룹에는 사용자 이름 특성이 포함되어 있습니다. 이 특성을 사용하면 RADIUS 메시지에서 액세스 클라이언트가 제공한 사용자 이름과 일치해야 하는 사용자 이름 또는 사용자 이름의 일부분을 지정할 수 있습니다. 이 특성은 일반적으로 영역 이름과 사용자 계정 이름이 포함된 문자열입니다. 패턴 일치 구문을 사용하여 사용자 이름을 지정할 수 있습니다.

설정

연결 요청 정책 설정은 들어오는 RADIUS 메시지에 적용되는 속성의 집합입니다. 설정은 다음과 같은 속성 그룹으로 구성됩니다.

  • 인증

  • 계정

  • 특성 조작

  • 고급

인증

이 설정을 사용하여 모든 네트워크 정책에서 구성된 인증 설정을 무시할 수 있으며 네트워크에 연결하는 데 필요한 인증 방법과 유형을 지정할 수 있습니다.

중요

네트워크 정책에서 구성한 인증 방법보다 보안 수준이 낮은 인증 방법을 연결 요청 정책에 구성하면 네트워크 정책에서 구성한 더 높은 보안 수준의 인증 방법이 무시됩니다. 예를 들어 보안 무선의 암호 기반 인증 방법인 PEAP-MS-CHAP v2(Protected Extensible Authentication Protocol-Microsoft Challenge Handshake 인증 프로토콜 버전 2)의 사용을 요구하는 하나의 네트워크 정책이 있고, 인증되지 않은 액세스를 허용하도록 연결 요청 정책을 구성하는 경우 클라이언트는 PEAP-MS-CHAP v2를 사용하여 인증할 필요가 없습니다. 이 예에서는 네트워크에 연결하는 모든 클라이언트에게 인증되지 않은 액세스가 허용됩니다.

계정

이 설정을 사용하면 원격 RADIUS 서버 그룹에 있는 NPS 또는 다른 RADIUS 서버에 계정 정보를 전달하도록 연결 요청 정책을 구성하여 원격 RADIUS 서버 그룹에서 계정 작업을 수행하도록 할 수 있습니다.

참고

RADIUS 서버가 여러 대이고 모든 서버의 계정 정보를 하나의 중앙 RADIUS 계정 데이터베이스에 저장하려는 경우 각 RADIUS 서버에서 정책에 연결 요청 정책 계정 설정을 사용하여 모든 서버의 계정 데이터를 계정 서버로 지정된 NPS나 다른 RADIUS 서버로 전달할 수 있습니다.

연결 요청 정책 계정 설정은 로컬 NPS 서버의 계정 구성과 독립적으로 작동합니다. 즉, RADIUS 계정 정보를 로컬 파일이나 Microsoft® SQL Server™ 데이터베이스에 기록하도록 로컬 NPS 서버를 구성하면 계정 메시지를 원격 RADIUS 서버 그룹으로 전달하도록 연결 요청 정책을 구성하는지에 관계없이 로컬 NPS 서버에 구성한 대로 수행됩니다.

계정 정보를 로컬이 아닌 원격으로 기록하려면 계정 작업을 수행하지 않도록 로컬 NPS 서버를 구성하고 또한 계정 데이터를 원격 RADIUS 서버 그룹으로 전달하도록 연결 요청 정책에 계정을 구성해야 합니다.

특성 조작

다음 특성 중 하나의 텍스트 문자열을 조작하는 찾기 및 바꾸기 규칙 집합을 구성할 수 있습니다.

  • 사용자 이름

  • 호출된 스테이션 ID

  • 호출 스테이션 ID

찾기 및 바꾸기 규칙 처리는 RADIUS 메시지가 인증 및 계정 설정의 영향을 받기 전에 위의 특성 중 하나에 대해 일어납니다. 특성 조작 규칙은 하나의 특성에만 적용됩니다. 각 특성에 대해 특성 조작 규칙을 구성할 수는 없습니다. 또한 조작할 수 있는 특성 목록은 고정 목록이므로 조작에 사용할 수 있는 특성 목록에 추가할 수 없습니다.

참고

MS-CHAP v2 인증 프로토콜을 사용하는 경우 연결 요청 정책이 RADIUS 메시지를 전달하는 데 사용되면 사용자 이름 특성을 조작할 수 없습니다. 유일한 예외는 백슬래시(\) 문자가 사용될 때 발생하며 조작은 백슬래시 왼쪽에 있는 정보에만 영향을 미칩니다. 백슬래시 문자는 일반적으로 도메인 이름(백슬래시 문자 왼쪽에 있는 정보)과 도메인 내의 사용자 계정 이름(백슬래시 문자 오른쪽에 있는 정보)을 나타내는 데 사용됩니다. 이 경우 도메인 이름을 수정하거나 바꾸는 특성 조작 규칙만 허용됩니다.

요청 전달

RADIUS 액세스 요청 메시지에 사용되는 다음과 같은 요청 전달 옵션을 설정할 수 있습니다.

이 서버에서 요청을 인증. 이 설정을 사용하면 NPS에서 Windows NT 4.0 도메인, Active Directory 또는 로컬 SAM(보안 계정 관리자) 사용자 계정 데이터베이스를 사용하여 연결 요청을 인증합니다. 이 설정은 또한 NPS가 연결 요청에 권한을 부여하는 데 사용자 계정의 전화 접속 속성과 함께 NPS에 구성된 일치하는 네트워크 정책을 사용하도록 지정합니다. 이 경우 NPS 서버는 RADIUS 서버 역할을 수행하도록 구성됩니다.

요청을 다음 원격 RADIUS 서버 그룹으로 전달. 이 설정을 사용하면 NPS는 지정한 원격 RADIUS 서버 그룹으로 연결 요청을 전달합니다. NPS 서버가 액세스 요청 메시지에 대응하는 유효한 액세스 허용 메시지를 받으면 연결 시도가 인증되고 권한이 부여된 것으로 간주됩니다. 이 경우 NPS 서버는 RADIUS 프록시로 작동합니다.

자격 증명 확인 없이 사용자 허용. 이 설정을 사용하면 NPS는 네트워크에 연결을 시도하는 사용자의 ID를 확인하지 않으며 사용자 또는 컴퓨터가 네트워크에 연결할 수 있는 권한이 있는지 확인하려 하지 않습니다. 인증되지 않은 액세스를 허용하도록 구성되어 있는 NPS가 연결 요청을 받으면 즉시 RADIUS 클라이언트에게 액세스 허용 메시지를 보내고 사용자 또는 컴퓨터는 네트워크 액세스가 허용됩니다. 이 설정은 사용자 자격 증명이 인증되기 전에 액세스 클라이언트가 터널링되는 일부 강제 터널링 유형에 사용됩니다.

참고

액세스 클라이언트의 인증 프로토콜이 상호 인증을 제공하는 MS-CHAP v2 또는 EAP-TLS(확장할 수 있는 인증 프로토콜-전송 계층 보안)인 경우에는 이 인증 옵션을 사용할 수 없습니다. 상호 인증에서는 액세스 클라이언트가 유효한 액세스 클라이언트임을 인증 서버(NPS 서버)에게 증명하고 인증 서버는 유효한 인증 서버임을 액세스 클라이언트에게 증명합니다. 이 인증 옵션을 사용하면 액세스 허용 메시지가 반환됩니다. 그러나 인증 서버가 액세스 클라이언트에게 유효성 검사를 제공하지 않으므로 상호 인증이 실패합니다.

고급

고급 속성을 설정하여 다음과 같은 일련의 RADIUS 특성을 지정할 수 있습니다.

  • NPS 서버가 RADIUS 인증 또는 계정 서버로 사용될 때 RADIUS 응답 메시지에 추가되는 RADIUS 특성

    네트워크 정책과 연결 요청 정책 모두에 지정된 특성이 있는 경우 RADIUS 응답 메시지에 전송되는 특성은 두 특성 집합이 결합된 것입니다.

  • NPS 서버가 RADIUS 인증 또는 계정 프록시로 사용될 때 RADIUS 메시지에 추가되는 RADIUS 특성. 이 특성이 전달되는 메시지에 이미 있는 경우에는 연결 요청 정책에 지정된 특성 값으로 대체됩니다.

또한 고급 범주의 연결 요청 정책 설정 탭에서 구성할 수 있는 일부 특성은 특수 기능을 제공합니다. 예를 들어 연결 요청의 인증과 권한 부여를 두 개의 사용자 계정 데이터베이스 간에 분할하려면 원격 RADIUS의 Windows 사용자 매핑 특성을 구성할 수 있습니다.

원격 RADIUS의 Windows 사용자 매핑 특성은 원격 RADIUS 서버에서 인증한 사용자에 대해 Windows 권한 부여를 수행하도록 지정합니다. 즉, 원격 RADIUS 서버는 원격 사용자 계정 데이터베이스에 있는 사용자 계정에 대해 인증을 수행하고 로컬 NPS 서버는 로컬 사용자 계정 데이터베이스에 있는 사용자 계정에 대해 연결 요청에 권한을 부여합니다. 이렇게 하면 방문자에게 네트워크에 대한 액세스를 허용하려는 경우 유용합니다.

예를 들어 파트너 조직의 방문자는 자신의 파트너 조직 RADIUS 서버에서 인증을 받은 다음 액세스하려는 조직에서 Windows 사용자 계정을 사용하여 네트워크의 게스트 LAN(Local Area Network)에 액세스할 수 있습니다.

이 외에 특수 기능을 제공하는 다른 특성은 다음과 같습니다.

  • MS-Quarantine-IPFilter 및 MS-Quarantine-Session-Timeout. 이러한 특성은 라우팅 및 원격 액세스 VPN 배포 환경에서 NAQC(네트워크 액세스 격리 제어)를 배포할 때 사용됩니다.

  • Passport-User-Mapping-UPN-Suffix. 이 특성을 사용하면 Windows Live™ ID 사용자 계정 자격 증명을 사용하여 연결 요청을 인증할 수 있습니다.

  • Tunnel-Tag. 이 특성은 VLAN(가상 LAN)을 배포할 때 NAS가 연결에 할당해야 하는 VLAN ID 번호를 지정합니다.

기본 연결 요청 정책

기본 연결 요청 정책은 NPS를 설치할 때 만들어집니다. 이 정책에는 다음과 같은 구성이 있습니다.

  • 인증은 구성되지 않습니다.

  • 계정은 원격 RADIUS 서버 그룹에 계정 정보를 전달하지 않도록 구성됩니다.

  • 특성은 연결 요청을 원격 RADIUS 서버 그룹에 전달하는 특성 조작 규칙을 사용하여 구성되지 않습니다.

  • 요청 전달은 연결 요청이 로컬 NPS 서버에서 인증되고 권한이 부여되도록 구성됩니다.

  • 고급 특성은 구성되지 않습니다.

기본 연결 요청 정책에서는 NPS를 RADIUS 서버로 사용합니다. NPS를 실행하는 서버가 RADIUS 프록시로 작동하도록 구성하려면 원격 RADIUS 서버 그룹도 구성해야 합니다. 새 연결 요청 정책 마법사를 사용하여 새 연결 요청 정책을 만드는 동안 새로운 원격 RADIUS 서버 그룹을 만들 수 있습니다. 또한 기본 연결 요청 정책을 삭제하거나 기본 연결 요청 정책이 마지막으로 처리된 정책인지 확인할 수 있습니다.

참고

NPS와 라우팅 및 원격 액세스 서비스가 동일한 컴퓨터에 설치되어 있고 라우팅 및 원격 액세스 서비스가 Windows 인증 및 계정에 대해 구성되어 있으면 라우팅 및 원격 액세스 인증 및 계정 요청을 RADIUS 서버로 전달할 수 있습니다. 이러한 경우는 라우팅 및 원격 액세스 인증 및 계정 요청이 이러한 요청을 원격 RADIUS 서버 그룹에 전달하도록 구성된 연결 요청 정책과 일치할 때 발생할 수 있습니다.


목차