NPS(네트워크 정책 서버)를 RADIUS(Remote Authentication Dial-In User Service) 서버로 사용하여 802.1X 유선 또는 무선 액세스를 배포하는 경우 다음 단계를 수행해야 합니다.

  • NAS(네트워크 액세스 서버)를 RADIUS 클라이언트로 설치 및 구성합니다.

  • 인증 방법에 대한 구성 요소를 배포합니다.

  • NPS를 RADIUS 서버로 구성합니다.

네트워크 액세스 서버(RADIUS 클라이언트) 설치 및 구성

802.1X 무선 액세스를 배포하려면 무선 액세스 지점을 설치하고 구성해야 합니다. 802.1X 유선 액세스를 배포하려면 802.1X 인증 스위치를 설치하고 구성해야 합니다.

중요

무선 휴대용 컴퓨터 및 클라이언트 운영 체제를 실행 중인 기타 컴퓨터와 같은 클라이언트 컴퓨터는 RADIUS 클라이언트가 아닙니다. RADIUS 클라이언트는 RADIUS 프로토콜을 사용하여 NPS(Network Policy Server) 서버와 같은 RADIUS 서버와 통신하기 때문에 무선 액세스 지점, 802.1X 호환 스위치, VPN(가상 사설망) 서버 및 전화 접속 서버와 같은 네트워크 액세스 서버입니다.

두 경우 모두 네트워크 액세스 서버가 다음 요구 사항을 충족해야 합니다.

  • IEEE(Institute of Electrical and Electronics Engineers) 표준 802.1X 인증 지원

  • RADIUS 인증 및 RADIUS 계정 지원

세션 상관 관계가 필요한 요금 청구 또는 계정 응용 프로그램을 사용하는 경우 다음이 필요합니다.

  • RADIUS 인증 및 계정 레코드에 대한 세션 상관 관계를 허용하기 위해 IETF(Internet Engineering)에서 RFC 2865, "RADIUS(Remote Authentication Dial-in User Service)"에 정의한 대로 Class 특성 지원. 세션 상관 관계의 경우 NPS 서버 또는 프록시에서 RADIUS 계정을 구성하면 요금 청구 응용 프로그램과 같은 응용 프로그램이 데이터베이스를 쿼리하고 관련 필드를 상호 연관시킨 후 쿼리 결과에 각 세션의 결합된 뷰를 반환할 수 있도록 하는 모든 계정 데이터를 기록해야 합니다. 세션 상관 관계를 제공하기 위해 최소한으로 기록해야 하는 NPS 계정 데이터는 NAS-IP-Address, NAS-Identifier(액세스 서버가 NAS-IP-Address 또는 NAS-Identifier 특성을 보낼 수 있기 때문에 두 특성이 모두 필요함), Class, Acct-Session-Id, Acct-Multi-Session-Id, Packet-Type, Acct-Status-Type, Acct-Interim-Interval, NAS-Port 및 Event-Timestamp입니다.

  • 사용자 세션 중에 기록될 수 있는 일부 NAS(네트워크 액세스 서버)가 주기적으로 보내는 계정 중간 요청 지원. 이러한 유형의 요청은 NPS 서버의 원격 액세스 프로필에서 주기적 요청을 지원하도록 Acct-Interim-Interval RADIUS 특성이 구성된 경우 사용할 수 있습니다. 중간 요청이 NPS 서버에 기록되도록 하려면 NAS에서 계정 중간 요청의 사용을 지원해야 합니다.

VLAN(가상 LAN)을 사용하는 경우 NAS에서 VLAN을 지원해야 합니다.

WAN(광역 네트워크) 환경의 경우 네트워크 액세스 서버에서 다음을 제공해야 합니다.

  • WAN 환경에서 정체와 지연을 처리하기 위해 동적 RTO(재전송 시간 제한) 추정이나 지수 백오프 지원

또한 네트워크에 강화된 보안을 제공하기 위해 네트워크 액세스 서버에서 지원해야 하는 필터링 기능이 있습니다. 이러한 필터링 옵션은 다음과 같습니다.

  • DHCP 필터링. 클라이언트가 DHCP(Dynamic Host Configuration Protocol) 서버인 경우 DHCP 브로드캐스트 메시지의 전송을 막기 위해 NAS가 IP 포트에서 필터링해야 합니다. 네트워크 액세스 서버는 클라이언트가 포트 68에서 네트워크로 IP 패킷을 보내는 것을 차단해야 합니다.

  • DNS 필터링. 클라이언트가 DNS 서버 역할을 수행하는 것을 막기 위해 NAS가 IP 포트에서 필터링해야 합니다. NAS는 클라이언트가 포트 53에서 네트워크로 IP 패킷을 보내는 것을 차단해야 합니다.

무선 액세스 지점을 배포하는 경우 WPA(Wi-Fi 보호 액세스) 지원이 권장됩니다. WPA는 Windows Vista® 및 Windows XP 서비스 팩 2에서 지원됩니다. WPA를 배포하려면 WPA를 지원하는 무선 네트워크 어댑터도 사용하십시오.

인증 방법에 대한 구성 요소 배포

802.1X 무선 및 유선의 경우 다음 인증 방법을 사용할 수 있습니다.

  • EAP-TLS라는 TLS(전송 계층 보안)가 포함된 EAP(확장할 수 있는 인증 프로토콜)

  • PEAP-MS-CHAP v2라는 MS-CHAP v2(Microsoft Challenge Handshake 인증 프로토콜 버전 2)가 포함된 PEAP(보호된 EAP)

  • EAP-TLS를 사용하는 PEAP(PEAP-TLS라고도 함)

EAP-TLS와 PEAP-TLS의 경우 도메인 구성원 클라이언트 컴퓨터와 NPS 서버에 인증서를 발급하기 위해 AD CS(Active Directory® 인증서 서비스)를 설치하고 구성하여 PKI(공개 키 인프라)를 배포해야 합니다. 이러한 인증서는 인증 작업 중에 클라이언트와 NPS 서버에서 ID 증명으로 사용됩니다. 원하는 경우 클라이언트 컴퓨터 인증서를 사용하지 않고 스마트 카드를 배포할 수 있습니다. 이 경우 조직 직원에게 스마트 카드와 스마트 카드 판독기를 발급해야 합니다.

PEAP-MS-CHAP v2의 경우 AD CS를 통해 자체 CA(인증 기관)를 배포하여 NPS 서버에 인증서를 발급하거나, 클라이언트가 신뢰하는 VeriSign과 같은 신뢰할 수 있는 공개 루트 CA에서 서버 인증서를 구입할 수 있습니다.

자세한 내용은 EAP 개요PEAP 개요를 참조하십시오.

NPS를 RADIUS 서버로 구성

NPS를 RADIUS 서버로 구성하는 경우 RADIUS 클라이언트, 네트워크 정책 및 RADIUS 계정을 구성해야 합니다.

RADIUS 클라이언트 구성

RADIUS 클라이언트는 두 단계로 구성합니다.

  • 네트워크 액세스 서버가 NPS 서버와 통신할 수 있도록 하는 정보를 사용하여 무선 액세스 지점이나 인증 스위치와 같은 실제 RADIUS 클라이언트를 구성합니다. 이 정보에는 액세스 지점 또는 스위치 사용자 인터페이스에서의 NPS 서버 IP 주소 및 공유 암호 구성이 포함됩니다.

  • NPS에서 새로운 RADIUS 클라이언트를 추가합니다. NPS 서버에서 각 액세스 지점 또는 인증 스위치를 RADIUS 클라이언트로 추가합니다. NPS를 사용하면 각 RADIUS 클라이언트의 이름과 RADIUS 클라이언트의 IP 주소 및 공유 암호를 제공할 수 있습니다.

자세한 내용은 새 RADIUS 클라이언트 추가를 참조하십시오.

네트워크 정책 구성

네트워크 정책은 네트워크에 연결할 권한이 있는 사용자와 이러한 사용자가 연결할 수 있는 상황을 지정하는 데 사용할 수 있는 조건, 제약 조건 및 설정의 집합입니다.

자세한 내용은 네트워크 정책을 참조하십시오.

RADIUS 계정 구성

RADIUS 계정을 통해 사용자 인증 및 계정 요청을 로컬 로그 파일이나 로컬 컴퓨터 또는 원격 컴퓨터의 Microsoft® SQL Server® 데이터베이스에 기록할 수 있습니다.

자세한 내용은 RADIUS 계정을 참조하십시오.

참고 항목

목차