NPS(네트워크 정책 서버)를 RADIUS 클라이언트 액세스 서버와 연결 시도에 대한 사용자 인증, 권한 부여 및 계정을 수행하는 RADIUS 서버 간에 RADIUS 메시지를 라우팅하는 RADIUS 프록시로 사용할 수 있습니다. RADIUS 프록시로 사용되는 NPS는 RADIUS 액세스 및 계정 메시지가 통과하는 중앙 스위칭 또는 라우팅 지점입니다. NPS는 전달된 메시지에 대한 계정 로그에 정보를 기록합니다.

다음 그림에서는 NPS를 RADIUS 클라이언트(액세스 서버)와 RADIUS 서버 또는 다른 RADIUS 프록시 사이의 RADIUS 프록시로 사용하는 예를 보여줍니다.

NPS를 RADIUS 프록시로 사용

NPS가 RADIUS 클라이언트와 RADIUS 서버 간의 RADIUS 프록시로 사용되는 경우 네트워크 액세스 연결 시도에 대한 RADIUS 메시지는 다음과 같은 방식으로 전달됩니다.

  1. 전화 접속 네트워크 액세스 서버, VPN(가상 사설망) 서버 및 무선 액세스 지점과 같은 액세스 서버가 액세스 클라이언트로부터 연결 요청을 받습니다.

  2. 인증, 권한 부여 및 계정 프로토콜로 RADIUS를 사용하도록 구성된 액세스 서버는 액세스 요청 메시지를 만든 다음 NPS RADIUS 프록시로 사용되는 NPS 서버로 보냅니다.

  3. NPS RADIUS 프록시는 액세스 요청 메시지를 받은 다음 로컬로 구성된 연결 요청 정책을 기반으로 하여 액세스 요청 메시지를 전달할 위치를 결정합니다.

  4. NPS RADIUS 프록시가 적절한 RADIUS 서버로 액세스 요청 메시지를 전달합니다.

  5. RADIUS 서버에서 액세스 요청 메시지를 평가합니다.

  6. 필요한 경우 RADIUS 서버는 액세스 챌린지 메시지를 NPS RADIUS 프록시에 보내고 이 메시지는 액세스 서버로 전달됩니다. 액세스 서버는 액세스 클라이언트와 챌린지를 처리한 다음 업데이트된 액세스 요청을 NPS RADIUS 프록시에 보냅니다. 그런 다음 이 액세스 요청은 RADIUS 서버로 전달합니다.

  7. RADIUS 서버에서 연결 시도를 인증하고 권한을 부여합니다.

  8. 연결 시도가 인증되고 권한이 부여되면 RADIUS 서버는 액세스 허용 메시지를 NPS RADIUS 프록시에 보내고 이 메시지는 액세스 서버로 전달됩니다.

    연결 시도가 인증되거나 권한이 부여되지 않으면 RADIUS 서버는 액세스 거부 메시지를 NPS RADIUS 프록시에 보내고 이 메시지는 액세스 서버로 전달됩니다.

  9. 액세스 서버는 액세스 클라이언트와 연결 작업을 완료하고 NPS RADIUS 프록시에 계정 요청 메시지를 보냅니다. NPS RADIUS 프록시는 계정 데이터를 기록하고 메시지를 RADIUS 서버에 전달합니다.

  10. RADIUS 서버는 계정 응답을 NPS RADIUS 프록시에 보내고 이 메시지는 액세스 서버로 전달됩니다.

다음과 같은 경우 NPS를 RADIUS 프록시로 사용할 수 있습니다.

  • 외부 위탁한 전화 접속, VPN 또는 무선 네트워크 액세스 서비스를 여러 고객에게 제공하는 서비스 공급자인 경우. NAS에서 연결 요청을 NPS RADIUS 프록시에 보내면 NPS RADIUS 프록시는 연결 요청에 있는 사용자 이름의 영역 부분을 기반으로 하여 고객이 유지 관리하며 연결 시도를 인증하고 권한을 부여할 수 있는 RADIUS 서버로 연결 요청을 전달합니다.

  • NPS 서버가 구성원으로 있는 도메인 또는 NPS 서버가 구성원인 도메인과 양방향 트러스트 관계를 갖는 다른 도메인의 구성원이 아닌 사용자 계정에 대한 인증과 권한 부여를 제공하려는 경우. 여기에는 트러스트되지 않은 도메인, 단방향 트러스트된 도메인 및 다른 포리스트에 있는 계정이 포함됩니다. 연결 요청을 NPS RADIUS 서버로 보내도록 액세스 서버를 구성하는 대신 연결 요청을 NPS RADIUS 프록시로 보내도록 구성할 수 있습니다. NPS RADIUS 프록시는 사용자 이름의 영역 이름 부분을 사용하여 올바른 도메인 또는 포리스트에 있는 NPS 서버로 요청을 전달합니다. 한 도메인 또는 포리스트에 있는 사용자 계정의 연결 시도를 다른 도메인 또는 포리스트에 있는 NAS에 대해 인증할 수 있습니다.

  • Windows 계정 데이터베이스가 아닌 데이터베이스를 사용하여 인증과 권한 부여를 수행하려는 경우. 이 경우 지정된 영역 이름과 일치하는 연결 요청은 사용자 계정 및 권한 부여 데이터의 다른 데이터베이스에 액세스할 수 있는 RADIUS 서버로 전달됩니다. 다른 사용자 데이터베이스의 예로는 NDS(Novell Directory Services) 및 SQL(구조적 쿼리 언어) 데이터베이스가 있습니다.

  • 대량의 연결 요청을 처리하려는 경우. 이 경우에는 연결 및 계정 요청을 여러 RADIUS 서버 간에 분산시키도록 RADIUS 클라이언트를 구성하는 대신 연결 및 계정 요청을 NPS RADIUS 프록시로 보내도록 구성할 수 있습니다. NPS RADIUS 프록시는 여러 RADIUS 서버 간에 연결 및 계정 요청의 부하를 동적으로 분산시켜서 대량의 RADIUS 클라이언트 및 인증의 초당 처리량을 늘립니다.

  • RADIUS 인증 및 권한 부여를 외부 위탁 서비스 공급자에게 제공하고 인트라넷 방화벽 구성을 최소화하려는 경우. 인트라넷 방화벽은 경계 네트워크(인트라넷과 인터넷 사이의 네트워크)와 인트라넷 사이에 있습니다. NPS 서버를 경계 네트워크에 배치하면 경계 네트워크와 인트라넷 사이의 방화벽은 NPS 서버와 여러 도메인 컨트롤러 간의 트래픽 이동을 허용해야 합니다. NPS 서버를 NPS 프록시로 대체하면 방화벽은 NPS 프록시와 인트라넷 내의 하나 또는 여러 NPS 서버 간의 RADIUS 트래픽 이동만 허용해야 합니다.


목차