NPS(네트워크 정책 서버)를 RADIUS 서버로 사용하여 전화 접속 또는 VPN(가상 사설망) 연결을 배포하는 경우 다음 단계를 수행해야 합니다.
-
NAS(네트워크 액세스 서버)를 RADIUS 클라이언트로 설치 및 구성합니다.
-
인증 방법에 대한 구성 요소를 배포합니다.
-
NPS를 RADIUS 서버로 구성합니다.
네트워크 액세스 서버(RADIUS 클라이언트) 설치 및 구성
전화 접속 액세스를 배포하려면 라우팅 및 원격 액세스를 설치하고 전화 접속 서버로 구성합니다. VPN 액세스를 배포하려면 라우팅 및 원격 액세스를 설치하고 VPN 서버로 구성합니다.
중요 | |
무선 휴대용 컴퓨터 및 클라이언트 운영 체제를 실행 중인 기타 컴퓨터와 같은 클라이언트 컴퓨터는 RADIUS 클라이언트가 아닙니다. RADIUS 클라이언트는 RADIUS 프로토콜을 사용하여 NPS(Network Policy Server) 서버와 같은 RADIUS 서버와 통신하기 때문에 무선 액세스 지점, 802.1X 호환 스위치, VPN(가상 사설망) 서버 및 전화 접속 서버와 같은 네트워크 액세스 서버입니다. |
로컬 NPS 서버나 원격 컴퓨터에 라우팅 및 원격 액세스를 설치할 수 있습니다.
인증 방법에 대한 구성 요소 배포
VPN의 경우 다음 인증 방법을 사용할 수 있습니다.
-
EAP-TLS라는 TLS(전송 계층 보안)가 포함된 EAP(확장할 수 있는 인증 프로토콜)
-
PEAP-MS-CHAP v2라는 MS-CHAP v2(Microsoft Challenge Handshake 인증 프로토콜 버전 2)가 포함된 PEAP(보호된 EAP)
-
PEAP-TLS라는 TLS(전송 계층 보안)가 포함된 PEAP
EAP-TLS와 PEAP-TLS의 경우 도메인 구성원 클라이언트 컴퓨터와 NPS 서버에 인증서를 발급하기 위해 AD CS(Active Directory® 인증서 서비스)를 설치하고 구성하여 PKI(공개 키 인프라)를 배포해야 합니다. 이러한 인증서는 인증 작업 중에 클라이언트와 NPS 서버에서 ID 증명으로 사용됩니다. 원하는 경우 클라이언트 컴퓨터 인증서를 사용하지 않고 스마트 카드를 배포할 수 있습니다. 이 경우 조직 직원에게 스마트 카드와 스마트 카드 판독기를 발급해야 합니다.
PEAP-MS-CHAP v2의 경우 AD CS를 통해 자체 CA(인증 기관)를 배포하여 NPS 서버에 인증서를 발급하거나, 클라이언트가 신뢰하는 VeriSign과 같은 신뢰할 수 있는 공개 루트 CA에서 서버 인증서를 구입할 수 있습니다.
NPS를 RADIUS 서버로 구성
NPS를 RADIUS 서버로 구성하는 경우 RADIUS 클라이언트, 네트워크 정책 및 RADIUS 계정을 구성해야 합니다.
RADIUS 클라이언트 구성
RADIUS 클라이언트는 두 단계로 구성합니다.
-
네트워크 액세스 서버가 NPS 서버와 통신할 수 있도록 하는 정보를 사용하여 VPN 서버나 전화 접속 서버와 같은 실제 RADIUS 클라이언트를 구성합니다. 이 정보에는 VPN 서버 또는 전화 접속 서버 사용자 인터페이스의 NPS 서버 IP 주소 및 공유 암호 구성이 포함됩니다.
-
NPS에서 새로운 RADIUS 클라이언트를 추가합니다. NPS 서버에서 각 VPN 서버 또는 전화 접속 서버를 RADIUS 클라이언트로 추가합니다. NPS를 사용하면 각 RADIUS 클라이언트의 이름과 RADIUS 클라이언트의 IP 주소 및 공유 암호를 제공할 수 있습니다.
자세한 내용은 새 RADIUS 클라이언트 추가를 참조하십시오.
네트워크 정책 구성
네트워크 정책은 네트워크에 연결할 권한이 있는 사용자와 이러한 사용자가 연결할 수 있는 상황을 지정하는 데 사용할 수 있는 조건, 제약 조건 및 설정의 집합입니다.
자세한 내용은 네트워크 정책을 참조하십시오.
RADIUS 계정 구성
RADIUS 계정을 통해 사용자 인증 및 계정 요청을 로컬 로그 파일이나 로컬 컴퓨터 또는 원격 컴퓨터의 Microsoft® SQL Server® 데이터베이스에 기록할 수 있습니다.