이 절차에 따라 스마트 카드 또는 기타 인증서를 사용하여 클라이언트를 인증하기 위한 PEAP-TLS(Protected Extensible Authentication Protocol–Transport Layer Security) 프로필을 구성할 수 있습니다.
이 절차를 수행하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다.
PEAP-TLS 유선 연결 프로필을 구성하려면 |
일반 탭에서 다음을 수행합니다.
-
정책 이름에 유선 네트워크 정책의 이름을 입력합니다.
-
설명에 정책에 대한 간단한 설명을 입력합니다.
-
클라이언트용 Windows 유선 자동 구성 서비스 사용이 선택되어 있는지 확인합니다.
- Windows 7을 실행하는 컴퓨터에 사용자가 도메인 자격 증명(사용자 이름 및 암호)을 입력하고 저장할 수 있도록 하려면 Windows 7 정책 설정에서 명시적 자격 증명 사용을 선택합니다. 이렇게 하면 사용자가 로그온하지 않아도 컴퓨터에서 도메인 자격 증명을 사용하여 네트워크에 로그온할 수 있습니다.
- Windows 7을 실행하는 컴퓨터가 네트워크에 대한 자동 연결 시도를 차단하는 기간을 지정하려면 차단 기간 사용을 선택한 다음 차단 기간(분)에서 차단 기간을 적용할 시간(분)을 지정합니다. 지정할 수 있는 시간(분) 범위는 1-60입니다.
참고 탭의 설정에 대한 자세한 내용을 보려면 해당 탭을 보는 동안 F1 키를 누르십시오.
-
정책 이름에 유선 네트워크 정책의 이름을 입력합니다.
보안 탭에서 다음을 수행합니다.
-
네트워크 액세스에 IEEE 802.1X 인증 사용을 선택합니다.
-
네트워크 인증 방법 선택에서 Microsoft: 보호된 EAP(PEAP)를 선택합니다.
-
인증 모드에서 필요에 따라 사용자 또는 컴퓨터 인증, 컴퓨터 인증, 사용자 인증 또는 게스트 인증 중 하나를 선택합니다. 기본적으로 사용자 또는 컴퓨터 인증이 선택됩니다.
-
최대 인증 실패 횟수에서 인증이 실패했음을 사용자에게 알리기 전에 허용되는 최대 실패 횟수를 지정합니다. 기본적으로 값이 "1"로 설정됩니다.
-
사용자 자격 증명을 캐시에 저장하도록 지정하려면 이 네트워크에 대한 후속 연결을 위해 사용자 정보 캐시를 선택합니다.
-
네트워크 액세스에 IEEE 802.1X 인증 사용을 선택합니다.
Single Sign-On 또는 고급 802.1X 설정을 구성하려면 고급을 클릭합니다. 고급 탭에서 다음을 수행합니다.
-
고급 802.1X 설정을 구성하려면 IEEE 802.1X 고급 설정 강화를 선택한 다음 필요한 경우에만 최대 EAPOL 시작 메시지 수, 대기 기간, 시작 기간, 인증 기간, Eapol-Start 메시지의 설정을 수정합니다.
-
Single Sign-On을 구성하려면 이 네트워크에 SSO(Single Sign On) 사용을 선택한 다음 필요한 경우 다음 설정을 수정합니다.
- 사용자 로그온 전에 즉시 수행
- 사용자 로그온 후에 즉시 수행
- 연결의 최대 지연 시간
- SSO(Single Sign On) 동안 추가 대화 상자 표시 허용
- 이 네트워크에서 컴퓨터와 사용자 자격 증명 인증에 다른 VLAN 사용
- 사용자 로그온 전에 즉시 수행
-
고급 802.1X 설정을 구성하려면 IEEE 802.1X 고급 설정 강화를 선택한 다음 필요한 경우에만 최대 EAPOL 시작 메시지 수, 대기 기간, 시작 기간, 인증 기간, Eapol-Start 메시지의 설정을 수정합니다.
확인을 클릭합니다. 고급 보안 설정 대화 상자가 닫히고 보안 탭으로 돌아갑니다. 보안 탭에서 속성을 클릭합니다. PEAP(Protected Extensible Authentication Protocol) 대화 상자가 열립니다.
PEAP(Protected Extensible Authentication Protocol) 대화 상자에서 다음을 수행합니다.
-
서버 인증서 유효성 확인을 선택합니다.
- 유선 액세스 클라이언트에서 인증 및 권한 부여에 사용할 RADIUS(Remote Authentication Dial-In User Service) 서버를 지정하려면 다음 서버에 연결에 각 RADIUS 서버의 이름을 서버 인증서의 제목 필드에 표시되는 대로 정확히 입력합니다. RADIUS 서버 이름을 두 개 이상 지정할 때는 세미콜론을 사용하여 구분합니다.
-
신뢰할 수 있는 루트 인증 기관에서 NPS(네트워크 정책 서버) 실행 서버에 대해 서버 인증서를 발급한 신뢰할 수 있는 루트 CA(인증 기관)를 선택합니다.
참고 이 설정은 클라이언트가 신뢰하는 신뢰할 수 있는 루트 CA를 선택된 값으로 제한합니다. 신뢰할 수 있는 루트 CA가 선택되어 있지 않으면 클라이언트는 신뢰할 수 있는 루트 인증 기관 저장소에 있는 모든 신뢰할 수 있는 루트 CA를 신뢰합니다.
- 보안 및 사용자 경험을 향상시키려면 새 서버 또는 인증 기관을 허가하도록 사용자에게 묻지 않음을 선택합니다.
- 인증 방법 선택에서 스마트 카드 또는 기타 인증서를 선택합니다.
- PEAP 빠른 다시 연결을 사용하도록 설정하려면 빠른 다시 연결 사용을 선택합니다.
-
네트워크에 대한 연결을 허용하기 전에 클라이언트 상태 요구 사항 충족을 위해 NAP(네트워크 액세스 보호)에서 클라이언트 시스템 상태 검사를 수행하도록 지정하려면 네트워크 액세스 보호 적용을 선택합니다.
- Cryptobinding TLV(Type-Length-Value)를 지정하도록 설정하려면 서버에 Cryptobinding TLV가 없으면 연결 끊기를 선택합니다.
- 클라이언트에서 RADIUS 서버를 인증하기 전에 ID를 일반 텍스트로 보내지 못하도록 클라이언트를 구성하려면 ID 프라이버시 사용을 선택하고 익명 ID에 이름이나 값을 입력하거나 필드를 비워 둡니다.
예를 들어 ID 프라이버시 사용을 설정했으며 "guest"를 익명 ID 값으로 사용하는 경우 별칭@영역을 사용하는 사용자의 ID 응답은 guest@영역입니다. ID 프라이버시 사용을 선택하지만 익명 ID 값을 지정하지 않을 경우 ID 응답은 @영역입니다. - PEAP-TLS 속성을 구성하려면 구성을 클릭한 다음 스마트 카드 또는 기타 인증서 속성에서 요구에 따라 다음 항목을 구성합니다.
- 연결할 때에서 내 스마트 카드 사용을 선택하거나, 이 컴퓨터의 인증서 사용 및 간단한 인증서 선택 사용(권장)을 둘 다 선택합니다.
- 액세스 클라이언트에서 NPS(네트워크 정책 서버) 서버 인증서의 유효성을 검사하도록 하려면 서버 인증서 유효성 확인을 선택합니다.
- 유선 액세스 클라이언트에서 인증 및 권한 부여에 사용해야 하는 RADIUS 서버를 지정하려면 다음 서버에 연결에 각 RADIUS 서버의 이름을 서버 인증서의 제목 필드에 표시되는 대로 정확히 입력합니다. RADIUS 서버 이름을 두 개 이상 지정할 때는 세미콜론을 사용하여 구분합니다.
- 신뢰할 수 있는 루트 인증 기관에서 네트워크에 NPS 서버 인증서를 발급한 CA를 선택합니다.
- 클라이언트가 액세스 시도에 대해 대체 이름을 사용하도록 지정하려면 연결에 다른 사용자 이름 사용을 선택합니다.
- 해당 인증서가 잘못 구성되었거나 아직 신뢰되지 않았거나 또는 두 가지 모두에 해당되는 경우 사용자에게 서버 인증서를 신뢰할지 묻는 메시지를 표시하지 않으려면 새 서버 또는 인증 기관을 허가하도록 사용에게 묻지 않음을 선택합니다. (권장)
- 확인을 클릭하여 스마트 카드 또는 기타 인증서 속성을 닫은 후 다시 확인을 클릭하여 PEAP(Protected Extensible Authentication Protocol) 속성 대화 상자를 닫습니다. 그러면 새 유선 네트워크 정책 속성 대화 상자로 돌아갑니다.
- 연결할 때에서 내 스마트 카드 사용을 선택하거나, 이 컴퓨터의 인증서 사용 및 간단한 인증서 선택 사용(권장)을 둘 다 선택합니다.
-
서버 인증서 유효성 확인을 선택합니다.