이 절차를 사용하여 PEAP-MS-CHAP v2(Protected Extensible Authentication Protocol–Microsoft Challenge Handshake 인증 프로토콜 버전 2) 무선 프로필을 구성할 수 있습니다.
이 절차를 완료하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다.
Windows 7 및 Windows Vista를 실행하는 컴퓨터에 대해 PEAP-MS-CHAP v2 무선 프로필을 구성하려면 |
새 무선 네트워크(IEEE 802.11) 정책 속성 대화 상자를 엽니다.
일반 탭의 정책 이름에 정책의 새 이름을 입력하거나 기본 이름을 유지합니다.
설명에 정책에 대한 설명을 입력합니다.
Windows를 사용하여 클라이언트에 대한 무선 네트워크 설정 구성을 선택하여 WLAN AutoConfig가 무선 네트워크 어댑터 설정을 구성하는 데 사용되도록 지정합니다.
일반 탭에서 다음 중 하나를 수행합니다.
새 프로필을 추가하고 구성하려면 추가를 클릭한 다음 인프라를 선택합니다.
기존 프로필을 편집하려면 수정할 프로필을 선택한 다음 편집을 클릭합니다.
새 프로필을 추가하려는 경우 연결 탭의 프로필 이름에 프로필의 이름을 입력합니다. 이미 추가된 프로필을 편집하려는 경우 기존 프로필 이름을 사용하거나 필요에 따라 해당 이름을 수정합니다.
네트워크 이름(SSID)에 무선 AP의 SSID(서비스 집합 ID)를 입력한 다음 추가를 클릭합니다.
배포 시 여러 SSID를 사용하고 각 무선 AP에서 동일한 무선 보안 설정을 사용하는 경우 이 단계를 반복하여 이 프로필을 적용할 각 무선 AP에 대해 SSID를 추가합니다.
배포 시 여러 SSID를 사용하며 각 SSID에 대한 보안 설정이 같지 않을 경우 동일한 보안 설정을 사용하는 각 SSID 그룹에 대해 개별 프로필을 구성합니다. 예를 들어 WPA2-엔터프라이즈 및 AES를 사용하도록 구성된 무선 AP 그룹이 있고 WPA-엔터프라이즈 및 TKIP를 사용하도록 구성된 또 다른 무선 AP 그룹이 있을 경우 각 무선 AP 그룹에 대해 프로필을 구성합니다.
네트워크 이름(SSID)에 SSID가 지정되어 있는 무선 AP에 무선 클라이언트가 자동으로 연결되도록 지정하려면 이 네트워크가 범위 내에 있을 때 자동으로 연결을 선택합니다.
무선 클라이언트가 기본 설정 순서대로 네트워크에 연결되도록 지정하려면 가능한 경우 좀 더 선호하는 기본 설정 네트워크에 연결을 선택합니다.
브로드캐스트 오류 신호를 표시하지 않도록 구성되어 있는 무선 액세스 지점을 배포한 경우에는 네트워크에서 브로드캐스팅하지 않는 경우에도 연결을 선택합니다.
보안 참고 이 옵션을 사용하도록 설정하면 무선 클라이언트가 무선 네트워크를 검색하고 연결을 시도하기 때문에 보안 위험이 생길 수 있습니다. 기본적으로 이 설정은 사용하도록 설정되지 않습니다.
보안 탭을 클릭합니다. 무선 AP와 무선 클라이언트 네트워크 어댑터에서 지원하는 경우 이 네트워크에 대한 보안 방법 선택의 인증에서 WPA2-엔터프라이즈를 선택하고 그렇지 않으면 WPA-엔터프라이즈를 선택합니다.
참고 WPA2를 선택하면 빠른 로밍에 대한 설정이 표시됩니다. 이 설정은 WPA를 선택하는 경우에는 표시되지 않습니다. 대부분의 무선 배포에는 빠른 로밍의 기본 설정이면 충분합니다.
무선 AP와 무선 클라이언트 네트워크 어댑터에서 지원하는 경우 암호화에서 AES를 선택하고 그렇지 않으면 TKIP를 선택합니다.
참고 인증과 암호화의 설정은 모두 무선 AP에 구성된 설정과 일치해야 합니다.
네트워크 인증 방법 선택에서 Microsoft: 보호된 EAP(PEAP)를 선택합니다.
인증 모드에서 필요에 따라 사용자 또는 컴퓨터 인증, 컴퓨터 인증, 사용자 인증 또는 게스트 인증 중 하나를 선택합니다. 기본적으로 사용자 또는 컴퓨터 인증이 선택됩니다.
최대 인증 실패 횟수에서 인증이 실패했음을 사용자에게 알리기 전에 허용되는 최대 실패 횟수를 지정합니다. 기본적으로 값이 "1"로 설정됩니다.
사용자 자격 증명을 캐시에 저장하도록 지정하려면 이 네트워크에 대한 후속 연결을 위해 사용자 정보 캐시를 선택합니다.
고급을 클릭하고 다음을 구성합니다.
고급 802.1X 설정을 구성하려면 IEEE 802.1X에서 IEEE 802.1X 고급 설정 강화를 선택한 다음 필요에 따라 최대 EAPOL 시작 메시지 수, 대기 기간, 시작 기간 및 인증 기간 설정을 구성합니다.
고급 802.1X 설정을 적용하는 경우 대부분의 무선 배포에는 기본값이면 충분합니다.
SSO(Single Sign On)를 사용하도록 설정하려면 이 네트워크에 SSO(Single Sign On) 사용을 선택합니다.
SSO(Single Sign On)가 수행되는 시점을 지정하려면 필요에 따라 사용자 로그온 직전에 수행 또는 사용자 로그온 직후에 수행을 선택합니다.
대부분의 무선 배포에는 SSO(Single SIgn On)의 나머지 기본값이면 충분합니다.
802.1X 인증이 완료되고 네트워크 액세스 권한을 부여해야 하는 최대 시간(초)을 지정하려면 필요에 따라 연결의 최대 지연 시간(초)에 값을 입력합니다.
SSO(Single Sing On) 동안 대화 상자를 표시하려면 SSO(Single Sign On) 동안 추가 대화 상자 표시 허용을 선택합니다.
무선 컴퓨터가 시작할 때 한 VLAN(가상 로컬 영역 네트워크)에 위치한 후 사용자가 컴퓨터에 로그온할 때 다른 네트워크로 전환되도록 지정하려면 이 네트워크에서 컴퓨터와 사용자 자격 증명 인증에 다른 VLAN 사용을 선택합니다.
빠른 로밍을 사용하려면 빠른 로밍에서 PMK(Pairwise 마스터 키) 캐싱 사용을 선택합니다. 일반적으로 빠른 로밍에는 PMK TTl(Time to Live)(분) 및 PMK 캐시 항목 수의 기본값이면 충분합니다.
무선 AP가 사전 인증에 대해 구성된 경우 빠른 로밍에서 이 네트워크에서 사전 인증 사용을 선택합니다. 일반적으로 최대 사전 인증 시도 횟수는 기본값 3이면 충분합니다.
FIPS 140-2 인증 모드에 따라 암호화가 수행되도록 지정하려면 FIPS 140-2 인증 모드에서 암호화 수행을 선택합니다.
확인을 클릭하여 설정을 저장하고 보안 탭으로 돌아갑니다.
속성을 클릭합니다. PEAP(Protected Extensible Authentication Protocol) 대화 상자가 열립니다.
PEAP(Protected Extensible Authentication Protocol)에서 서버 인증서 유효성 확인이 선택되어 있는지 확인합니다.
신뢰할 수 있는 루트 인증 기관에서 NPS(네트워크 정책 서버) 실행 서버에 대해 서버 인증서를 발급한 신뢰할 수 있는 루트 CA(인증 기관)를 선택합니다.
참고 이 설정은 클라이언트가 신뢰하는 신뢰할 수 있는 루트 CA를 선택된 CA로 제한합니다. 신뢰할 수 있는 루트 CA가 선택되어 있지 않으면 클라이언트는 신뢰할 수 있는 루트 인증 기관 저장소에 있는 모든 루트 CA를 신뢰합니다.
유선 액세스 클라이언트에서 인증 및 권한 부여에 사용할 RADIUS(Remote Authentication Dial-In User Service) 서버를 지정하려면 다음 서버에 연결에 각 RADIUS 서버의 이름을 서버 인증서의 제목 필드에 표시되는 대로 정확히 입력합니다. RADIUS 서버 이름을 두 개 이상 지정할 때는 세미콜론을 사용하여 구분합니다.
보안 및 사용자 경험을 향상시키려면 새 서버 또는 인증 기관을 허가하도록 사용자에게 묻지 않음을 선택합니다.
인증 방법 선택에서 보안된 암호(EAP-MS-CHAP v2)를 선택합니다.
PEAP 빠른 다시 연결을 사용하도록 설정하려면 빠른 다시 연결 사용을 선택합니다.
네트워크에 대한 연결을 허용하기 전에 클라이언트 상태 요구 사항 충족을 위해 NAP(네트워크 액세스 보호)에서 클라이언트 시스템 상태 검사를 수행하도록 지정하려면 네트워크 액세스 보호 적용을 선택합니다.
Cryptobinding TLV(Type-Length-Value)를 지정하도록 설정하려면 서버에 Cryptobinding TLV가 없으면 연결 끊기를 선택합니다.
클라이언트가 RADIUS 서버를 인증하기 전에 ID를 일반 텍스트로 보내지 못하도록 클라이언트를 구성하려면 ID 프라이버시 사용을 선택하고 익명 ID에 이름이나 값을 입력하거나 필드를 비워 둡니다.
예를 들어 ID 프라이버시 사용을 설정했으며 "guest"를 익명 ID 값으로 사용하는 경우 별칭@영역을 사용하는 사용자의 ID 응답은 guest@영역입니다. ID 프라이버시 사용을 선택하지만 익명 ID 값을 지정하지 않을 경우 ID 응답은 @영역입니다.
구성을 클릭합니다. EAP MSCHAPv2 속성 대화 상자에서 자동으로 내 Windows 로그온 이름, 암호 및 도메인(있는 경우) 사용이 선택되었는지 확인하고 확인을 클릭한 다음 확인을 클릭하여 PEAP(Protected Extensible Authentication Protocol)을 닫습니다.
확인을 클릭하여 설정을 저장하고 보안 탭을 닫은 다음 확인을 다시 클릭하여 Vista 무선 네트워크 정책을 닫습니다.