Windows 2000의 인터넷 인증 서비스

이 페이지의 내용

개요 IAS 인증과 허가 IIAS 계정 IAS 구성 IAS 시나리오 보안과 IAS 성능과 IAS IAS 문제 해결 부록 A - 질문과 대답 부록 B - RADIUS 프로토콜 부록 C - NT 4.0 IAS와 Windows 2000 IAS의 차이점 부록 D - 영역 바꾸기에 패턴 일치 구문 사용 부록 E - Windows 2000 시스템 이벤트 로그의 IAS 이벤트 부록 F - IAS 레지스트리 설정 부록 G - 성능 모니터 카운터와 SNMP MIB 요약

운영 체제

백서

요약

이 백서에서는 Microsoft가 구현한 원격 인증 전화 접속 로그인 사용자 서비스(Remote Authentication Dial-in User Service: RADIUS) 서버인 Microsoft® Windows® 2000의 인터넷 인증 서비스(Internet Authentication Service: IAS)에 대해 설명합니다. RADIUS는 서버 연결 액세스에 대해 인증, 허가, 보고하기 위한 산업 표준 프로토콜입니다. Windows 2000 라우팅 및 원격 액세스 서비스를 포함하여 RADIUS를 지원하는 모든 장치에 대한 RADIUS 서버(대개 네트워크 액세스 서버[NAS])로 IAS를 사용할 수 있습니다. IAS는 조직의 원격 액세스 인프라를 위한 중앙 집중식 인증 및 계정, 타사 전화 접속 서비스 공급자를 이용하여 아웃소싱한 회사 액세스, 인터넷 서비스 공급자(ISP)를 위한 중앙 집중식 인증 및 계정 등 다양한 시나리오에 사용할 수 있습니다. 이 백서는 네트워크 인프라에 RADIUS 및 IAS를 사용하고 있거나 사용하려고 하는 네트워크 설계자와 시스템 관리자를 위한 것입니다.

소개

Microsoft® Windows® 2000 인터넷 인증 서비스(IAS)는 Microsoft가 구현한 원격 인증 전화 접속 로그인 사용자 서비스(RADIUS) 서버입니다. IAS에서는 전화 접속 및 가상 사설망(VPN) 원격 액세스와 라우터 간 연결을 위한 중앙 집중식 연결 인증, 허가, 계정을 수행하며, Windows 2000 라우팅 및 원격 액세스 서비스와 함께 사용할 수 있습니다. IAS를 통해 원격 액세스 또는 VPN 장비의 단일 또는 다중 공급업체 네트워크를 사용할 수 있습니다.

인터넷 서비스 공급자(ISP) 및 직원들을 위해 원격 액세스를 유지 관리하는 회사는 사용하는 원격 액세스 장비의 종류와 관계 없이 모든 원격 액세스를 한 지점에서 관리해야 할 필요성이 점점 증가되고 있습니다. RADIUS 표준은 유형이 같은 환경은 물론 유형이 다른 환경에서도 이러한 기능을 지원합니다. RADIUS는 원격 액세스 장비가 RADIUS 서버에 인증 및 계정 요청을 전송하는 RADIUS 클라이언트 역할을 할 수 있도록 하는 클라이언트/서버 프로토콜입니다.

RADIUS 서버는 사용자 계정 정보에 액세스하며 원격 액세스 인증 자격 증명을 검사할 수 있습니다. 사용자의 자격 증명이 인증되고 연결 시도가 허가되면 지정한 조건에 따라 RADIUS 서버에서 사용자의 액세스를 허가하고 원격 액세스 연결을 계정 로그에 기록합니다.

RADIUS를 사용하면 원격 액세스 사용자 인증, 허가, 계정 데이터를 각 네트워크 액세스 서버(NAS)가 아닌 중앙에서 유지 관리할 수 있습니다. 사용자가 라우팅 및 원격 액세스 서비스를 실행 중인 Windows 2000 기반 컴퓨터와 같은 RADIUS 규격 NAS에 연결하면, NAS에서 인증 요청을 중앙 집중식 IAS 서버에 전달합니다.

RADIUS 프로토콜에 대한 자세한 내용은 부록 B를 참조하십시오.

IAS를 이용하면 원격 액세스 인프라를 ISP에 아웃소싱하면서도 사용자 인증, 허가, 계정을 관리할 수 있습니다.

다음과 같은 인터넷 기술을 사용하기 위해 서로 다른 IAS 구성을 만들 수 있습니다:

• 네트워크에 전화 접속 액세스
• 인터넷 액세스
• 서비스 공급자를 통해 아웃소싱한 회사 액세스

IAS 개요

RADIUS는 인증, 허가, 계정 서비스를 제공하기 위한 산업 표준 프로토콜이며, RFC 2138에는 "원격 인증 전화 접속 사용자 서비스(RADIUS)"로, RFC 2139에는 "RADIUS 계정"으로 규정되어 있습니다. RADIUS 클라이언트(대개 인터넷 서비스 공급자[IAS]가 사용하는 전화 접속 서버)는 사용자 및 연결 정보를 RADIUS 서버에 보냅니다. RADIUS 서버는 RADIUS 클라이언트 요청을 인증하고 허가합니다.

Windows 2000 라우팅 및 원격 액세스 서비스에는 ISP 또는 인증이나 계정을 위해 RADIUS를 사용하는 회사 원격 액세스 사용자가 Windows 2000 원격 액세스 서버를 사용할 수 있도록 RADIUS 클라이언트가 포함되어 있습니다.

Windows 2000 원격 액세스 서버 인증과 계정 공급자를 따로 구성할 수 있습니다. Windows 2000 원격 액세스 서버에서는 Windows 인증을 인증 공급자로 사용하고 RADIUS를 계정 공급자로 사용할 수 있습니다. 기본 RADIUS 서버를 사용할 수 없을 때 자동으로 보조 RADIUS 서버가 사용되도록 복수의 RADIUS 서버를 구성할 수 있습니다.

Windows 2000 IAS의 기능은 다음과 같습니다:

• 중앙 집중식 PPP 기반 연결 인증과 허가
• 중앙 집중식 전화 접속과 VPN 연결 관리
• 중앙 집중식 감사와 사용량 계산
• Windows 2000 라우팅 및 원격 액세스 서비스와 통합
• 아웃소싱 전화 접속
• 손쉬운 관리
• 확장성(규모)
• 확장성(기능)

중앙 집중식 PPP 기반 연결 인증과 허가

연결을 시도하는 사용자들에 대한 인증은 보안 상 중요한 문제입니다. IAS는 다양한 인증 프로토콜을 지원하므로 원하는 인증 방법을 사용하여 요구에 맞는 인증을 수행할 수 있습니다.

여기서 Windows 2000에서 지원되는 인증 방법들을 설명합니다.

• IAS는 암호 인증 프로토콜(PAP), Challenge Handshake 인증 프로토콜(CHAP), Microsoft Challenge Handshake 인증 프로토콜(MS-CHAP) 버전 1과 2, 확장할 수 있는 인증 프로토콜(EAP) 등의 지점간 프로토콜(PPP)에서 인증 프로토콜을 지원합니다. PPP는 복수 벤더 네트워크에서 원격 액세스 솔루션들을 상호 운용할 수 있도록 하는 산업 표준 프레임 구성 및 인증 프로토콜의 집합입니다.
• EAP는 스마트 카드, 인증서, 일회용 암호, 토큰 카드와 같은 임의의 인증 방법을 추가할 수 있는 인프라입니다.
• 연결할 전화 번호 확인 서비스(DNIS)는 사용자가 건 전화 번호를 이용하는 인증 방법입니다.
• 자동 번호 확인/전화 회선 확인(ANI/CLI)은 사용자가 전화를 건 번호를 이용하는 인증 방법입니다. ANI를 호출자 ID라고도 합니다.
• 게스트 인증은 인증 과정에서 호출자가 사용자 이름이나 암호를 보내지 않는 인증 방법입니다. 인증되지 않은 액세스가 가능하면 기본적으로 게스트 계정을 호출자의 ID로 사용합니다.

IAS는 연결하는 사용자에게 적절한 네트워크 액세스를 부여하기 위해 Windows 2000 Active Directory™ 서비스 도메인, Microsoft® Windows NT® 4.0 도메인, Windows 2000의 로컬 보안 계정 관리자(SAM: Security Accounts Manager)에서 사용자를 인증합니다. IAS는 UPN 및 유니버설 그룹과 같은 Active Directory의 새로운 기능들을 지원합니다.

네트워크 관리자들이 원격 액세스 정책은 원격 액세스를 부여할 때 더 많은 융통성을 갖기 위해 사용할 수 있는 조건들의 집합입니다. 즉, 네트워크에 연결할 수 있는 사용자를 제어하는 데 융통성을 제공합니다. 각 사용자 계정에 대해 원격 액세스 권한을 관리하면 간단하지만 조직이 커지면 이 방법이 다루기 어려워질 수 있습니다. 원격 액세스 정책은 더 강력하고 융통성 있는 원격 액세스 권한 관리 방법을 제공합니다.

원격 액세스 정책을 사용하면 아래와 같은 다양한 조건에 따라 원격 액세스를 제어할 수 있습니다:

• Windows 보안 그룹의 사용자 구성원
• 연결 시간 또는 요일
• 사용자가 연결하는 미디어의 유형(예: ISDN, 모뎀, VPN 터널)
• 사용한 VPN 터널링 프로토콜의 유형(지점간 터널링 프로토콜 또는 계층 2 터널링 프로토콜)
• 사용자가 건 전화 번호
• 각각의 사용자가 건 전화 번호

각 원격 액세스 정책에는 연결 매개 변수를 제어할 수 있는 설정의 프로필이 들어 있습니다. 예를 들어, 다음과 같이 할 수 있습니다:

• 특정 인증 방법의 사용을 허가하거나 거부
• 연결이 유휴 상태일 수 있는 시간 제어
• 단일 세션의 최대 시간 제어
• 멀티링크 세션의 링크 수 제어
• 암호화 설정 제어
• 사용자가 네트워크에 연결할 때 액세스할 수 있는 내용을 제어하는 패킷 필터 추가. 예를 들어, 패킷 필터를 사용하여 사용자가 패킷을 보내거나 받을 수 있는 IP 주소, 호스트, 포트를 제어할 수 있습니다.
• 해당 연결에서 오는 모든 패킷을 인터넷에서 안전하게 터널링하고 개인 네트워크에서 종료하게 하는 필수 터널 만들기
• 사용자가 특정 IP 주소를 요청하거나 원격 액세스 서버에서 IP 주소를 할당하도록 지정할 수 있도록 함

중앙 집중식 전화 접속과 VPN 연결 관리

RADIUS 표준을 지원하면 IAS에서 해당 표준을 구현하는 모든 네트워크 액세스 서버의 연결 매개 변수를 제어할 수 있습니다. 또한 RADIUS 표준을 이용하면 원격 액세스 공급업체에서 공급업체별 특성이라는 독자적인 확장 기능을 만들 수 있습니다. IAS의 복수 벤더 사전에 다양한 공급업체들이 제공하는 확장 기능이 포함되어 있습니다.

중앙 집중식 감사와 사용량 계산

RADIUS 표준을 지원하면 IAS에서 NAS가 보낸 사용량(계산) 기록을 한 지점에서 수집할 수 있습니다. IAS에서는 감사 기록(예: 인증 수락과 거부)과 사용 정보(예: 로그온과 로그오프 기록)를 로그 파일에 기록합니다. IAS에서는 데이터베이스로 직접 가져올 수 있는 로그 파일 형식을 지원하며, 다른 데이터 분석 소프트웨어를 사용하여 데이터베이스의 데이터를 분석할 수 있습니다.

Windows 2000 라우팅 및 원격 액세스 서비스와 통합

Windows 2000 라우팅 및 액세스 서비스는 Windows 인증과 계정을 사용하거나 RADIUS 인증과 계정을 사용하도록 구성되어 있습니다. RADIUS 인증 또는 계정을 선택하면 모든 RFC 규격 RADIUS 서버를 사용할 수 있습니다. 그러나 중앙 집중식 원격 액세스 정책의 장점을 살리기 위해 IAS 서버를 사용할 것을 권장합니다.

예를 들어, 원격 액세스 서버 수가 적어 중앙 집중식 원격 액세스 관리가 필요 없는 소규모 네트워크 환경이나 지점에서는 Windows 인증과 계정을 사용하도록 라우팅 및 원격 액세스 서비스를 구성할 수 있습니다.

전세계에 다수의 원격 액세스 서버를 배치한 다국적 기업에서는 IAS를 이용한 중앙 집중식 인증과 관리가 유리합니다. 단, 작은 지점에서 중앙 집중식 IAS 서버가 있는 다국적 기업에 연결할 때 대기 시간이 많으면 중앙 위치에서 Windows 인증과 계정 구성을 지점의 원격 액세스 서버로 복사할 수 있습니다.

IAS와 라우팅 및 원격 액세스 서비스는 동일한 원격 액세스 정책, 인증, 계정 로깅 기능을 공유합니다. 라우팅 및 원격 액세스 서비스가 Windows 인증용으로 구성된 경우에는 로컬 정책과 로깅이 사용됩니다. 라우팅 및 원격 액세스 서비스가 IAS 서버에 대한 RADIUS 클라이언트로 구성된 경우에는 IAS 서버의 정책과 로깅이 사용됩니다.

이러한 통합으로 IAS와 라우팅 및 원격 액세스 서비스 사이에 일관된 구현을 제공합니다. 별도의 중앙 집중식 IAS 서버가 필요 없는 소규모 사이트에는 라우팅 및 원격 액세스 서비스를 배치할 수 있습니다. 또한 조직에 여러 대의 원격 액세스 서버가 있으면 중앙 집중식 원격 액세스 관리 모델로 기능을 확장할 수도 있습니다. 이 경우 IAS를 원격 액세스 서버와 함께 사용하여 아웃소싱 전화 접속, 필요 시 전화 접속, VPN 액세스의 원격 네트워크 액세스를 모두 한 지점에서 관리할 수 있습니다. 중앙의 대규모 사이트에 있는 IAS의 정책을 소규모 사이트의 독립적인 원격 액세스 서버로 내보낼 수 있습니다.

아웃소싱 전화 접속

아웃소싱 전화 접속에는 조직 또는 개인 회사와 ISP 간에 ISP가 조직의 개인 네트워크에 대한 VPN 터널을 설정하기 전에 조직의 직원들이 ISP의 네트워크에 연결할 수 있도록 하는 계약이 필요합니다. 어떤 직원이 ISP의 원격 액세스 서버에 연결하면 인증 및 사용량 기록이 조직의 IAS 서버로 전달됩니다. IAS서버를 이용하면 조직이 사용자 인증을 제어하고 사용량을 추적하고 ISP의 네트워크에 액세스할 수 있는 직원을 관리할 수 있습니다.

아웃소싱의 장점은 비용을 절감할 수 있다는 것입니다. 예를 들어, ISP의 라우터, 네트워크 액세스 서버, T1 회선을 사용하면 하드웨어 및 인프라와 관련된 다른 비용을 크게 절감할 수 있습니다. 또한 전세계가 연결된 가까운 ISP에 전화 접속하여 시외/국제 전화 비용을 줄일 수도 있습니다. 지원 부담이 서비스 공급자에게 전가되므로 관리 예산을 크게 절감할 수 있습니다.

손쉬운 관리

IAS는 아래와 같은 도구를 사용하여 쉽게 관리할 수 있습니다:

• 그래픽 사용자 인터페이스

IAS는 로컬 또는 원격 IAS 서버를 구성할 수 있는 그래픽 사용자 인터페이스 스냅인을 제공합니다.

• 원격 관리

인터넷 인증 서비스 관리 도구를 사용하여 중앙 위치에서 로컬 또는 원격 IAS 서버를 관리할 수 있습니다.

• 원격 모니터링

이벤트 뷰어나 시스템 모니터와 같은 Windows 2000 기반 도구 또는 SNMP(Simple Network Management Protocol)를 사용하여 IAS를 모니터링할 수 있습니다.

• 다수의 IAS 서버를 관리하기 위한 구성 가져오기/내보내기

IAS 서버 구성 설정을 파일로 내보낸 다음 다른 IAS 서버에 가져올 수 있습니다. 자세한 정보는 원격 액세스 정책 관리 절을 참조하십시오.

확장성(규모)

소규모 네트워크용 독립형 서버에서 대기업이나 ISP 네트워크에 이르기까지 다양한 크기의 다양한 네트워크 구성에 IAS를 사용할 수 있습니다.

RADIUS 인증과 계정의 내결함성을 제공하기 위해 기본 서버와 백업 서버 두 가지 IAS 서버를 사용합니다. 기본 IAS 서버는 사용할 수 없게 될 때까지 모든 RADIUS 요청을 처리하며, 기본 서버를 사용할 수 없으면 RADIUS 클라이언트가 자동으로 백업 IAS 서버를 사용합니다.

아주 방대한 구성에서는 IP 로드 균형 조정이라는 방법을 통해 IAS를 실행하는 여러 대의 서버를 기본 IAS 서버 역할로 사용합니다. IP 로드 균형 조정 클러스터에서는 클러스터의 여러 서버에 대한 RADIUS 요청의 로드 균형을 동적으로 조정합니다.

확장성(기능)

Windows 2000 Software Development Kit에 제공되는 IAS 소프트웨어 개발 키트(SDK)와 EAP Software Development Kit를 통해 IAS 기능을 확장할 수 있습니다.

IAS SDK를 사용하여 추가 기능을 구현할 수 있으며, IAS 기능을 아래와 같이 확장할 수 있습니다:

• IP 주소 할당용 플러그 인을 만들 수 있도록 IAS에서 반환된 것 외에 네트워크 액세스 서버(NAS)에 대한 사용자 지정 특성 반환
• 동시 최종 사용자 네트워크 세션 수 제어
• IAS에서 현재 제공되는 원격 액세스 인증 확장
• 사용량 및 감사 데이터를 ODBC(Open Database Connectivity) 규격 데이터베이스로 가져오기
• IAS용 사용자 지정(비 EAP) 인증 만들기

EAP SDK에서는 임의의 인증 방법을 구현할 수 있습니다. IAS와 EAP SDK에 대한 정보는 Windows 2000 Software Development Kit를 참조하십시오.

IAS 인증 및 허가

전화 접속 사용자를 식별하여 보안된 네트워크나 사이트에 연결하는 과정에서 각종 서버로 이 작업의 해당 부분을 처리합니다. NAS는 IAS 서버의 클라이언트로 작동하여, 사용자 정보를 지정된 IAS 서버에 전달한 다음 응답에 따라 작동합니다.

IAS 서버는 사용자 연결 요청을 받고 사용자를 인증하고 연결 시도를 허가한 다음 RADIUS 클라이언트가 사용자에게 서비스를 제공하는 데 필요한 모든 구성 정보를 반환합니다. 그림 1은 표준 IAS 인증 및 허가 프로세스를 나타냅니다:

그림 1 IAS 인증 프로세스

사용자가 전화 접속이나 가상 사설망을 통해 네트워크에 연결하려고 하면 인증 요청이 아래와 같이 처리됩니다:

1. NAS가 보안이 가장 높은 프로토콜부터 가장 낮은 프로토콜까지 차례로 사용하여 원격 액세스 클라이언트와 연결 협상을 시도합니다. 예를 들어, Windows 2000 원격 액세스 서버는 EAP, MS-CHAP v2, MS-CHAP, CHAP, SPAP에 이어 마지막으로 PAP를 협상하려고 합니다.
2. NAS가 RADIUS 액세스 요청 패킷 형식의 인증 요청을 IAS 서버에 전달합니다.

IAS 서버는 보안 IP 주소를 검사하여 구성된 RADIUS 클라이언트에서 RADIUS 액세스 요청 패킷을 보냈는지 확인합니다. 유효한 RADIUS 클라이언트가 액세스 요청 패킷을 보냈고 RADIUS 클라이언트에 디지털 서명을 사용할 수 있으면 공유 비밀을 사용하여 패킷의 디지털 서명을 검사합니다. 공유 비밀은 RADIUS 서버와 해당 서버에 연결된 RADIUS 클라이언트 사이의 암호 역할을 하는 텍스트 문자열입니다. 각 IAS 서버에는 각 NAS나 해당 NAS에 RADIUS 요청을 전달하는 다른 IAS 서버에 대한 공유 비밀이 있어야 합니다. 공유 비밀을 설정할 때 아래와 같은 몇 가지 규칙에 유의해야 합니다:

• 두 서버에서 모두 정확히 같아야 합니다.
• 대/소문자를 구분합니다.
• 표준 영숫자나 특수 문자를 포함할 수 있습니다.
3. 디지털 서명이 있으면 IAS가 서명을 확인합니다. 디지털 서명을 확인하는 데 실패하면 IAS가 해당 패킷을 무시합니다. 클라이언트에 디지털 서명을 사용할 수 있는데 해당 디지털 서명이 없으면 IAS가 패킷을 무시합니다. NAS는 시간 제한 기간 안에 응답을 받지 못하면 다시 시도한 다음 사용자의 연결을 끊습니다. IAS 서버는 도메인 컨트롤러에 연결할 수 없거나 사용자가 속한 도메인 컨트롤러를 찾을 수 없으면 패킷을 무시합니다. 이렇게 해서 NAS가 백업 IAS 서버에 요청을 재전송할 수 있으며, 이 때 IAS 서버가 도메인 데이터베이스에 대해 사용자를 인증하려고 합니다.
4. IAS 서버는 Windows 2000 기반 도메인 컨트롤러를 쿼리하여 사용자의 자격 증명을 확인합니다.
5. 사용자 자격 증명이 인증되면 IAS 서버가 구성된 원격 액세스 정책과 사용자 계정의 전화 접속 로그인 속성에 대해 연결 시도를 평가하여 요청을 허가할지 여부를 결정합니다. 연결 시도가 최소한 정책 한 개의 조건과 일치하고 사용자 계정 전화 접속 로그인 속성, 원격 액세스 정책, 원격 액세스 정책 프로필 속성 중 하나에 따라 연결이 허가되면 IAS가 액세스 요청 메시지를 보낸 NAS에 RADIUS 액세스 수락 메시지를 보냅니다. 액세스 수락 메시지에 따라 연결을 허가할 뿐만 아니라 이 메시지에는 원격 액세스 정책 프로필 설정과 사용자 계정의 전화 접속 로그인 속성에 따른 연결 매개 변수도 들어 있습니다. NAS는 이 인증 데이터를 해석하여 IAS 서버가 인증된 연결 매개 변수를 결정합니다.

사용자가 인증되지 않거나 해당 사용자의 연결 시도가 최소한 정책 한 개의 조건과 일치하지 않거나 액세스를 거부하는 정책의 조건과 일치하면 IAS가 NAS에 RADIUS 액세스 거부 메시지를 보내고 NAS가 해당 사용자의 연결을 끊습니다.

IAS 인증

IAS 인증 과정에서 연결을 시작하는 클라이언트 컴퓨터의 자격 증명을 인증 기관에 대해 확인해야 합니다. Windows 2000 IAS의 경우 PPP 인증 프로토콜을 사용하여 시작 클라이언트의 자격 증명을 보내며 인증 기관은 Windows 2000 또는 Windows NT 도메인 컨트롤러입니다.

인증 방법

RADIUS 프로토콜에서 지원되는 여러 가지 PPP 인증 프로토콜이 있습니다. 각 프로토콜은 보안, 사용 편의성, 지원 범의 면에서 장단점이 있으며, 사용하는 프로토콜은 NAS 장치의 구성에 따라 결정됩니다. 전화 접속 네트워크를 구성하는 경우에는 NAS 설명서를 참조하십시오. LAN에 전화 접속하기 위해 ISP를 이용하는 경우에는 해당 ISP에 문의하십시오.

다음 절에서는 현재 IAS에서 지원되는 인증 프로토콜의 장단점을 살펴봅니다. 이 정보는 원격 액세스를 위해 특정 인증 방법을 구성하는 경우에도 유용합니다.

암호 인증 프로토콜

암호 인증 프로토콜(PAP)은 사용자의 컴퓨터에서 NAS 장치로 암호를 문자열로 릴레이합니다. NAS는 암호를 전달할 때에는 RADIUS 공유 비밀을 암호화 키로 사용하여 암호화합니다. 인증 서버에 일반 텍스트 암호를 전달하면 해당 서버에서 암호를 거의 모든 저장 형식과 비교할 수 있기 때문에 PAP는 가장 융통성 있는 프로토콜입니다. 예를 들어, UNIX 암호는 해독할 수 없도록 단방향 암호화된 문자열로 저장되는데, 암호화 방법을 재현하면 PAP 암호를 이 문자열과 비교할 수 있습니다.

PAP는 암호의 일반 텍스트 버전을 사용하므로 보안 문제가 발생할 수 있습니다. RADIUS 프로토콜로 암호를 암호화하지만 전화 접속 연결에서는 일반 텍스트로 전송됩니다.

PAP 사용

PAP 기반 인증을 사용하려면 아래와 같이 해야 합니다:

1. 원격 액세스 서버에서 PAP를 인증 프로토콜로 사용하도록 설정합니다. 특정 NAS의 기본 설정에 대한 정보는 NAS 설명서를 참조하십시오. 라우팅 및 원격 액세스 서비스에는 기본적으로 PAP를 사용할 수 없도록 설정되어 있습니다.
2. 해당 원격 액세스 정책에서 PAP를 사용하도록 설정합니다.(PAP는 기본적으로 사용할 수 없도록 설정되어 있습니다.)
3. 원격 액세스 클라이언트에서 PAP를 사용하도록 설정합니다.

참고 PAP를 인증 프로토콜로 사용하면 클라이언트가 사용자 암호를 일반 텍스트 형식으로 NAS에 보냅니다. NAS는 공유 비밀을 사용하여 암호를 암호화하여 액세스 요청 패킷에 담아 보냅니다. RADIUS 프록시는 전달 중인 RADIUS 서버의 공유 비밀을 사용하여 PAP 암호를 암호화하므로 RADIUS 프록시와 NAS 사이의 공유 비밀을 사용하여 PAP 암호를 해독해야 합니다. RADIUS 프록시에 있는 불순한 사용자가 PAP 연결에 대한 사용자 이름과 암호를 기록할 수 있습니다. 이 때문에 특히 가상 사설망 연결에서는 PAP 사용이 아주 바람직하지 않습니다.

Challenge Handshake 인증 프로토콜

Challenge Handshake 인증 프로토콜(CHAP)은 암호를 일반 텍스트로 보내는 문제를 해결합니다. NAS는 CHAP를 사용하여 임의의 숫자 challenge를 사용자의 컴퓨터에 보냅니다. challenge와 사용자의 암호는 Message Digest 5(MD5)를 통해 해시됩니다. 이 때 클라이언트 컴퓨터는 NAS challenge에 대한 응답으로 해시를 보내며 NAS는 challenge와 응답을 모두 RADIUS 요청 수락 패킷에 담아 전달합니다.

인증 서버는 RADIUS 패킷을 받을 때 challenge와 사용자의 암호를 사용하여 응답의 자체 버전을 만듭니다. 서버 버전의 응답이 사용자의 컴퓨터에서 제공한 응답과 일치하면 액세스 요청이 수락됩니다.

NAS 장치는 클라이언트 컴퓨터에서 연결할 때마다 고유한 challenge를 보내기 때문에 CHAP 응답은 다시 사용할 수 있습니다. CHAP 응답을 계산하는 알고리즘이 잘 알려져 있기 때문에 암호를 주의 깊고 충분히 길게 선택하는 것이 아주 중요합니다. 일반적인 단어나 암호를 CHAP 암호로 사용하면 CHAP challenge에 대한 응답을 사전의 모든 항목과 비교하는 사전 공격을 통해 쉽게 알아낼 수 있습니다. 충분히 길지 않은 암호는 사용자의 암호와 일치하는 것을 찾을 때까지 CHAP 응답을 차례로 비교하는 폭력으로 알아낼 수 있습니다.

역사적으로 CHAP는 가장 널리 사용된 전화 접속 인증 프로토콜이었습니다. 서버는 CHAP 응답을 계산하기 위해 사용된 것과 같은 암호를 저장하지 않으므로 동등한 응답을 계산할 수 없습니다. 표준 CHAP 클라이언트는 암호의 일반 텍스트 버전을 사용하여 CHAP challenge 응답을 만들기 때문에 동등한 응답을 계산하려면 암호를 일반 텍스트로 서버에 저장해야 합니다.

IAS 서버는 CHAP를 지원하지만 Windows NT 4.0 기반 도메인 컨트롤러에서는 암호화된 암호를 역으로 저장하는 방법이 지원되지 않으면 CHAP 요청을 확인할 수 없습니다. 이러한 지원은 Windows 2000에서 제공하며, Windows NT 4.0에서는 서비스 팩 3 이상에서 CHAP 지원이 제공합니다.

CHAP 사용

CHAP 기반 인증을 사용하려면 아래와 같이 해야 합니다:

1. 원격 액세스 서버에서 CHAP를 인증 프로토콜로 사용하도록 설정합니다. 특정 NAS의 기본 설정에 대한 정보는 NAS 설명서를 참조하십시오.
2. 해당 원격 액세스 정책에서 CHAP를 사용하도록 설정합니다.
3. 사용자 암호의 암호화된 형식을 역으로 저장할 수 있도록 설정합니다. Windows 2000 기반 독립형 서버에서 그룹 정책을 사용하여 모든 컴퓨터 사용자에 대해 역으로 암호화된 암호를 저장할 수 있도록 합니다. Windows 2000 도메인의 경우 도메인 또는 조직 단위(OU) 수준에서 그룹 정책을 사용할 수 있습니다. 역으로 암호화된 암호의 사용에 대한 정보는 Windows 2000 Server 온라인 도움말을 참조하십시오.
4. 새 암호가 역으로 암호화된 형식을 갖도록 사용자의 암호를 다시 설정합니다. 암호를 역으로 암호화된 형식으로 저장할 수 있도록 하면 현재 암호는 역으로 암호화되지 않은 형식을 갖게 되어 자동으로 변경되지 않습니다. 사용자 암호를 다시 설정하거나 다음 로그인할 때 사용자 암호를 변경하도록 설정해야 합니다. 암호가 변경되고 나면 역으로 암호화된 형식으로 저장됩니다.

다음 로그인할 때 암호를 변경하도록 설정하면 사용자는 LAN 연결을 사용하여 로그온해야 하며 CHAP를 사용하는 원격 액세스 연결에서는 로그온하기 전에 암호를 변경해야 합니다. CHAP는 인증 처리 중에 암호 변경을 지원하지 않으므로 로그온에 실패합니다. 이 경우 원격 액세스 사용자를 위한 대안은 MS-CHAP를 사용하여 임시 로그온하여 암호를 변경하는 것입니다.

5. 원격 액세스 클라이언트에서 CHAP를 사용하도록 설정합니다.

Microsoft Challenge Handshake 인증 프로토콜

Microsoft Challenge Handshake 인증 프로토콜(MS-CHAP)은 MS-CHAP v1이라고도 하며 인증 서버에서 암호의 일반 텍스트 버전을 요구하지 않는 CHAP의 변형입니다. MS-CHAP에서는 암호의 MD4 해시된 버전과 NAS challenge를 이용하여 challenge 응답을 계산함으로써 인터넷을 통해 Windows 2000 도메인 컨트롤러에 대해 인증을 수행할 수 있습니다.

MS-CHAP 암호는 서버에 더 안전하게 저장되지만 CHAP와 같은 사전 및 공격 위험이 있습니다. MS-CHAP를 사용할 때에는 암호를 주의 깊고(표준 사전에 없는 것) 쉽게 계산할 수 없을 만큼 충분히 길게 선택하는 것이 중요합니다. 많은 조직에서는 대/소문자를 혼용하고 최소한 숫자를 한 개 포함하여 최소 6문자 이상으로 할 것을 요구합니다.

MS-CHAP가 지원되는지 여부를 결정하려면 NAS 설명서를 참조하거나 ISP에 문의하십시오.

주의 레지스트리를 잘못 편집하면 시스템이 심각하게 손상될 수 있으므로, 레지스트리를 변경하기 전에 컴퓨터의 중요 데이터를 백업해야 합니다.

참고 기본적으로 Windows 2000용 MS-CHAP v1은 Windows NT 3.5나 Windows 95와 같은 이전 버전의 Microsoft 운영 체제에 사용된 LAN Manager 인증을 지원합니다. IAS 서버에서 Allow LM Authentication(HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services\RemoteAccess\Policy)을 0으로 설정하면 MS-CHAP v1에서 LAN Manager 인증을 사용할 수 없도록 할 수 있습니다.

사용자가 만료된 암호로 MS-CHAP 인증을 받으려고 하면 MS-CHAP가 서버에 연결하는 동안 암호를 변경할 것을 요구합니다. 다른 인증 프로토콜은 이 기능을 지원하지 않으므로 만료된 암호 때문에 사용자가 더 이상 진행하지 못하게 될 수 있습니다.

MS-CHAP 사용

MS-CHAP 기반 인증을 사용하려면 아래와 같이 해야 합니다:

1. 원격 액세스 서버에서 MS-CHAP를 인증 프로토콜로 사용하도록 설정합니다. 라우팅 및 원격 액세스 서비스에는 기본적으로 MS-CHAP를 사용하도록 설정되어 있습니다. 다른 NAS의 기본 설정에 대한 정보는 NAS 설명서를 참조하십시오.
2. 해당 원격 액세스 정책에서 MS-CHAP를 사용하도록 설정합니다. MS-CHAP는 기본적으로 사용하도록 설정되어 있습니다.
3. 원격 액세스 클라이언트에서 MS-CHAP를 사용하도록 설정합니다.

Microsoft Challenge Handshake 인증 프로토콜 버전 2

Microsoft Challenge Handshake 인증 프로토콜 버전 2(MS-CHAP v2)는 상호 인증, 더 강력한 초기 데이터 암호화 키, 보내기와 받기에 서로 다른 암호화 키를 제공합니다. Windows 2000 서버는 MS-CHAP v1을 제공하기 전에 MS-CHAP v2를 제공합니다. 또한 업데이트된 Windows 클라이언트는 제공되는 경우 MS-CHAP v2를 사용합니다.

MS-CHAP v2는 단방향 암호화된 암호로서 아래와 같이 작동하는 상호 인증 프로세스입니다:

1. 원격 액세스 서버가 세션 식별자와 임의의 challenge 문자열로 구성된 challenge를 원격 액세스 클라이언트에 보냅니다.

원격 액세스 클라이언트는 아래 내용을 포함한 응답을 보냅니다:

• 사용자 이름
• 임의의 피어 challenge 문자열
• 받은 challenge 문자열, 피어 challenge 문자열, 세션 식별자, 사용자 암호의 단방향 암호화

원격 액세스 서버는 클라이언트의 응답을 검사하고 아래 내용이 포함된 응답을 되돌려 줍니다:

• 연결 시도의 성공 또는 실패에 대한 표시
• 보낸 challenge 문자열, 피어 challenge 문자열, 암호화된 클라이언트 응답, 사용자 암호에 따라 인증된 응답
2. 원격 액세스 클라이언트가 인증 응답을 확인하고 맞으면 해당 연결을 사용하며, 인증 응답이 틀리면 연결을 종료합니다.

사용자가 MS-CHAP v2를 통해 인증하는데 만료된 암호를 사용하려고 하면 MS-CHAP v2가 서버에 연결하는 동안 암호를 변경할 것을 요구합니다. 다른 인증 프로토콜은 이 기능을 지원하지 않으므로 만료된 암호 때문에 사용자가 더 이상 진행하지 못할 수 있습니다.

MS-CHAP v2 사용

MS-CHAP v2 기반 인증을 사용하려면 아래와 같이 해야 합니다:

1. 원격 액세스 서버에서 MS-CHAP v2를 인증 프로토콜로 사용하도록 설정합니다. 라우팅 및 원격 액세스 서비스에는 기본적으로 MS-CHAP v2를 사용하도록 설정되어 있습니다. 다른 NAS의 기본값에 대한 정보는 NAS 설명서를 참조하십시오.
2. 해당 원격 액세스 정책에서 MS-CHAP v2를 사용하도록 설정합니다. MS-CHAP v2는 기본적으로 사용하도록 설정되어 있습니다.
3. Windows 2000 원격 액세스 클라이언트에서 MS-CHAP v2를 사용하도록 설정합니다.

참고 Windows 95와 Windows 98은 가상 사설망(VPN)에 대해서만 MS-CHAP v2를 지원하며 전화 접속 연결에 대해서는 MS-CHAP v2를 지원하지 않습니다.

확장할 수 있는 인증 프로토콜

확장할 수 있는 인증 프로토콜(EAP)은 전화 접속, PPTP, L2TP 클라이언트에서 작동하는 지점간 프로토콜(PPP) 확장판입니다. EAP를 사용하면 EAP 종류라는 새로운 인증 방법을 추가할 수 있습니다. 인증에 성공하려면 전화 접속 클라이언트와 원격 액세스 서버가 모두 동일한 EAP 종류를 지원해야 합니다.

Windows 2000에는 EAP 인프라 및 EAP-MD5 CHAP와 EAP-TLS 등 두 가지 EAP 종류가 포함되어 있습니다. Windows 2000의 IAS 구현에서는 EAP 메시지를 RADIUS 서버에 전달할 수 있습니다(EAP-RADIUS).

EAP-MD5 CHAP

Message Digest 5 Challenge Handshake 인증 프로토콜(EAP-MD5 CHAP)은 PPP 기반 CHAP와 같은 challenge-handshake 프로토콜을 사용하는 EAP 종류입니다. EAP-MD5 CHAP의 대표적인 용도는 사용자 이름과 암호 보안 시스템을 사용하여 원격 액세스 클라이언트의 자격 증명을 인증하는 것입니다. 또한 EAP-MD5 CHAP를 사용하여 EAP 상호 운용성을 테스트할 수 있습니다.

EAP-TLS

EAP-transport Level Security(EAP-TLS)는 인증서 기반 보안 환경에 사용되는 EAP 종류입니다. 원격 액세스 인증을 위해 스마트 카드를 사용하는 경우에는 EAP-TLS 인증 방법을 사용해야 합니다. EAP-TLS 메시지 교환을 통해 원격 액세스 클라이언트와 인증 서버 사이에 상호 인증, 암호화 방법 협상, 보안된 개인 키 교환을 제공합니다. EAP-TLS는 가장 강력한 인증 및 키 교환 방법을 제공합니다. EAP-TLS는 Windows 2000을 실행 중이고 Windows 2000 혼합 모드 및 기본 모드 도메인의 구성원인 원격 액세스 서버에서만 지원됩니다.

EAP-RADIUS

EAP-RADIUS는 EAP 종류가 아닌 원격 액세스 서버에서 인증을 위해 RADIUS 서버에 EAP 종류의 EAP 메시지를 전달하는 것입니다. 원격 액세스 클라이언트와 원격 액세스 서버 사이에 전송되는 EAP 메시지는 원격 액세스 서버와 RADIUS 서버 사이의 RADIUS 메시지로 캡슐화되고 서식이 설정됩니다.

EAP-RADIUS는 RADIUS를 인증 공급자로 사용하는 환경에 사용됩니다. EAP-RADIUS를 사용하면 EAP 종류를 각 원격 액세스 서버에 설치할 필요 없이 RADIUS 서버에만 설치하면 된다는 장점이 있습니다. EAP-RADIUS의 일반적인 용도는 인증 공급자로 EAP와 RADIUS를 모두 사용하도록 원격 액세스 서버를 구성하는 것입니다. 연결이 이루어지면 원격 액세스 클라이언트가 원격 액세스 서버와 EAP 사용을 협상합니다. 클라이언트가 원격 액세스 서버에 EAP 메시지를 보내면 원격 액세스 서버는 이 EAP 메시지를 RADIUS 메시지로 캡슐화하여 구성된 RADIUS 서버에 보냅니다. RADIUS 서버는 EAP 메시지를 처리하고 RADIUS 캡슐화된 EAP 메시지를 원격 액세스 서버에 되돌려 보냅니다. 그러면 원격 액세스 서버는 해당 EAP 메시지를 원격 액세스 클라이언트에 전달합니다. 이 구성에서는 원격 액세스 서버는 통과하기만 하는 장치이며, 모든 EAP 메시지 처리는 원격 액세스 클라이언트와 RADIUS 서버에서 이루어집니다.

EAP 사용

EAP 기반 인증을 사용하려면 아래와 같이 해야 합니다:

1. 원격 액세스 서버에서 EAP를 인증 프로토콜로 사용하도록 설정합니다.
2. 해당 원격 액세스 정책에서 EAP 종류를 사용하도록 설정하고 필요하면 구성합니다.
3. 원격 액세스 클라이언트에서 EAP를 사용하도록 설정하고 구성합니다.

Windows 2000에 정의되고 지원된 EAP 종류 외에 새로운 EAP 인증 방법을 개발하여 EAP Software Development Kit에 포함할 수 있습니다.

인증 구성

IAS 인증을 위한 인증 기관은 Windows 2000 로컬 SAM 또는 Windows 2000 도메인 컨트롤러나 Windows NT 4.0 도메인 컨트롤러입니다. 여기서는 각종 Windows 도메인 구성의 IAS 인증 특징과 동작에 대해 설명합니다. 이 정보는 IAS를 배치하는 특정 도메인 구성에 대한 의사 결정을 할 때 유용합니다.

IAS에서는 RADIUS 프로토콜을 통해 받은 액세스 요청을 Windows 2000 기본 모드 도메인, Windows 2000 혼합 모드 도메인, Windows NT 4.0 도메인, 독립형 IAS 서버용 Windows 2000 로컬 계정 데이터베이스에 대해 인증할 수 있습니다. 관리자가 사용할 수 있는 IAS 인증 특징과 기능은 사용자가 인증하는 특정 도메인의 모드에 따라 달라집니다.

Windows 2000 기본 모드 도메인

Windows 2000 기본 모드는 그룹의 원격 액세스 관리에서 가장 높은 융통성을 제공합니다. 원격 액세스 관리 차원에서 보면 기본 모드 도메인은 아래와 같은 장점이 있습니다.

• 그룹을 통해 원격 액세스 권한을 완전하게 관리 가능. 관리자는 유니버설 그룹 기능을 사용하여 다양한 도메인의 사용자에 대한 단일 그룹을 만들 수 있습니다. 중첩 그룹을 사용하면 아주 많은 사용자를 더 관리하기 쉽고 효과적인 소그룹으로 구성할 수 있습니다.
• 사무실 네트워크에 원격 네트워크 연결 가능. 사용자 계정에 할당된 고정 경로를 통해 원격 네트워크에 대한 경로를 지정할 수 있습니다.
• UPN 지원. 여러 사용자가 소속된 도메인과 관계 없이 동일한 UPN을 가질 수 있어 도메인이 많은 조직에 필요한 확장성을 제공합니다.

다음은 Windows 2000 기본 모드 도메인의 구성원인 IAS 서버에 사용할 수 있는 인증 및 원격 관리 기능입니다.

• 전화 접속 로그인 사용자 계정 속성: 원격 액세스 권한(액세스 허용, 액세스 거부, 원격 액세스 정책을 통해 액세스 제어 포함), 호출자 ID, 콜백 옵션, 고정 IP 주소, 고정 경로
• UPN 및 유니버설 그룹 지원
• EAP-TLS 지원
• 기본 모드 도메인 관리 모델에 정책에 의한 액세스 사용 가능.

IAS 서버에서 Active Directory에 저장된 사용자 계정 전화 접속 로그인 속성을 액세스하려면 IAS를 RAS 및 IAS 서버 보안 그룹의 구성원인 컴퓨터 계정의 보안 컨텍스트로 실행해야 합니다. Active Directory 사용자 및 컴퓨터 관리 도구를 이용하거나, IAS 서버를 IAS 관리 도구에 등록하거나, netsh ras add registeredserver 명령을 사용하여 이렇게 구현할 수 있습니다.

Windows 2000 혼합 모드 도메인과 Windows NT 4.0 도메인

Windows 2000 혼합 모드 도메인은 주로 Windows NT 4.0에서 Windows 2000으로 마이그레이션하기 위해 사용합니다. IAS에서는 혼합 모드 도메인이 Windows NT 4.0 도메인과 같은 기능을 합니다.

Windows 2000 혼합 모드 도메인의 구성원인 IAS 서버에서는 아래와 같은 인증 및 원격 액세스 관리 기능을 사용할 수 있습니다:

• 전화 접속 로그인 계정 속성: 원격 액세스 권한에는 액세스 허용과 액세스 거부만 있습니다. 원격 액세스 정책을 통한 액세스 제어 옵션이 없기 때문에 사용자의 원격 액세스 권한은 원격 액세스 정책 권한보다 우선하므로 정책 기반 관리에서 그룹을 사용하기가 더 어렵습니다. 혼합 모드 도메인의 정책 기반 관리에 대한 정보는 원격 액세스 정책 절을 참조하십시오.
• 콜백 옵션

Windows 2000 기본 도메인과 마찬가지로 IAS 서버에서 Active Directory에 저장된 사용자 계정 전화 접속 로그인 속성에 액세스하려면 RAS 및 IAS 서버 보안 그룹의 구성원인 컴퓨터 계정의 컨텍스트로 IAS를 실행해야 합니다. Active Directory 사용자 및 컴퓨터 관리 도구를 이용하거나, IAS 서버를 IAS 관리 도구에 등록하거나, netsh ras add registeredserver 명령을 사용하여 이렇게 구현할 수 있습니다.

IAS 서버 컴퓨터가 Windows NT 4.0 도메인의 구성원이지만 신뢰할 수 있는 Active Directory 도메인에 대해 사용자를 인증해야 하는 경우에는 해당 컴퓨터 계정이 RAS 및 IAS 서버 보안 그룹의 구성원으로 될 수 없기 때문에 Active Directory에 액세스할 수 없습니다. 이러한 경우에는 net localgroup "Pre-Windows 2000 Compatible Access" 명령을 사용하여 Windows 2000보다 이전 버전과 호환되는 액세스 그룹에 Everyone 그룹이 추가되어 있는지 확인하고, 추가되어 있지 않으면 도메인 컨트롤러 컴퓨터에서 net localgroup "Pre-Windows 2000 Compatible Access" everyone /add 명령을 실행하여 다시 시작해야 합니다.

Windows 2000 독립형 서버

Windows 2000 독립형 서버는 도메인이 없는 아주 작은 네트워크에 사용할 수 있으며, 모든 사용자 계정과 해당 계정의 속성을 로컬 계정 데이터베이스에 정의해야 합니다.

Windows 2000 독립형 서버의 IAS 서버에 원격 액세스 권한을 부여하려면 아래와 같은 인증 기능을 사용할 수 있습니다:

• 전화 접속 로그인 계정 속성: 원격 액세스 권한(액세스 허용, 액세스 거부, 원격 액세스 정책을 통한 액세스 제어 포함), 호출자 ID, 콜백 옵션, 고정 IP 주소, 고정 경로

독립형 Windows 2000 서버에서 실행되는 IAS에는 UPN, 유니버설 그룹, EAP-TLS가 지원되지 않습니다. 사용자 계정 전화 접속 로그인 속성은 네트워크 및 전화 접속 연결 또는 로컬 사용자 및 그룹을 통해 관리할 수 있습니다.

포리스트 교차적 인증

한 Active Directory 포리스트의 도메인에서 Windows 2000을 실행 중인 원격 액세스 서버가 다른 Active Directory 포리스트의 도메인에 있는 사용자 계정의 원격 액세스 자격 증명을 인증할 수 있도록 하려면 원격 액세스 서버와 IAS 서버 사이에 RADIUS 프록시를 사용해야 합니다. RADIUS 프록시는 RADIUS 클라이언트와 RADIUS 서버 사이에 RADIUS 요청을 전달하는 RADIUS 서버이며, RADIUS 클라이언트에 대해서는 RADIUS 서버 역할을 하고 RADIUS 서버에 대해서는 RADIUS 클라이언트 역할을 합니다.

그림 2는 RADIUS 프록시를 사용하여 서로 다른 Windows 2000 Active Directory 포리스트의 사용자 계정에 연결하려고 할 때 인증을 제공하는 방법을 나타냅니다:

브라우저에서 인라인 프레임이 지원되지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 2 RADIUS 프록시를 사용하여 포리스트 교차적 인증 제공

이 구성에서 RAS1은 forest1.microsoft.com의 구성원인 원격 액세스 서버입니다. Active Directory 포리스트는 RADIUS 프록시에 대한 RADIUS 클라이언트로 구성됩니다. RADIUS 프록시는 forest1.microsoft.com Active Directory 포리스트의 IAS 서버 IAS1과 forest2.microsoft.com Active Directory 포리스트의 IAS 서버 IAS2 둘 다에 대한 RADIUS 클라이언트로 구성됩니다. 원격 액세스 클라이언트가 RAS1에 연결하고 user@forest2.microsoft.com의 사용자 이름을 전달하면 아래와 같은 과정을 사용하여 연결 시도를 인증하고 허가합니다:

1. RAS1이 RADIUS 액세스 요청 메시지를 사용하여 user@forest2.microsoft.com의 사용자 이름을 RADIUS 프록시에 전달합니다.
2. RADIUS 프록시가 사용자 이름을 구문 분석하고 이름의 "forest2.microsoft.com" 부분에 따라 액세스 요청을 IAS2에 전달하기로 결정합니다.
3. IAS2가 연결 시도를 인증 및 허가하고 액세스 수락 메시지를 RADIUS 프록시에 되돌려 보냅니다.
4. RADIUS 프록시가 액세스 수락 메시지를 RAS1에 되돌려 보냅니다.

Windows 2000은 RADIUS 프록시를 지원하지 않습니다. RADIUS 프록시는 Windows NT 4.0 Option Pack의 Microsoft RAS 구성 요소용 Internet Connection Services 업그레이드인 Internet Connection Services for Microsoft RAS, Commercial Edition for Windows NT Server 4.0에서 지원됩니다.

Windows NT 4.0 Option Pack에 대한 정보는 http://www.microsoft.com/ntserver/nts/downloads/recommended/NT4OptPk/default.asp  를 참조하십시오. Internet Connection Services for Microsoft RAS, Commercial Edition에 대한 정보는 http://www.microsoft.com/ISN/misc/icsoverview.asp  를 참조하십시오. Internet Connection Services for Microsoft RAS, Commercial Edition은 http://www.microsoft.com/ISN/downloads.asp#2  에서 다운로드할 수 있습니다.

IAS 인증

관리자는 IAS를 사용하여 사용자 계정 속성과 연결 매개 변수에 따라 연결 시도를 인증할 수 있습니다. 여기서는 IAS에서 사용자 계정의 전화 접속 로그인 속성과 원격 액세스 정책을 사용하여 연결 요청의 인증을 결정하는 방법을 설명합니다.

원격 액세스 정책

Windows NT 4.0에서는 사용자에게 할당된 전화 접속 로그인 권한에 따라서만 원격 액세스 권한을 부여합니다. Windows 2000에서는 사용자 계정의 전화 접속 로그인 속성과 원격 액세스 정책에 따라 원격 액세스 연결을 허용합니다. 원격 액세스 정책은 원격 액세스 권한과 연결 사용 허가의 융통성을 높이기 위해 사용하는 조건과 연결 매개 변수의 집합입니다. 원격 액세스 정책은 로컬 컴퓨터에 저장되며 라우팅 및 원격 액세스 서비스와 IAS 사이에 공유됩니다.

원격 액세스 정책을 사용하면 관리자가 시간과 요일, 원격 액세스 사용자가 속한 Windows 2000 그룹, 요청하는 연결의 유형(전화 접속 또는 가상 사설망 연결) 등에 따라 원격 액세스 권한을 지정할 수 있습니다. 최대 세션 시간을 제한하는 설정을 구성하거나 인증 및 암호화 방법을 지정하거나 대역폭 할당 프로토콜(BAP) 정책을 설정할 수 있습니다.

원격 연결은 연결 시도의 설정이 최소한 하나의 원격 액세스 정책과 일치해야만 수락됩니다(사용자 계정의 전화 접속 로그인 속성의 조건과 원격 액세스 정책의 프로필 속성에 따라 달라질 수 있음). 그렇지 않으면 사용자 계정의 전화 접속 로그인 속성과 관계 없이 연결 시도가 거부됩니다.

Windows 2000 IAS 서버는 라우팅 및 원격 액세스 관리 도구(Windows 인증용으로 구성된 경우) 또는 IAS 관리 도구에서 원격 액세스 정책을 관리합니다.

참고 Windows 2000은 IAS 소프트웨어 개발 키트(SDK)를 통해 사용자 지정 인증을 지원합니다.

로컬 정책 관리와 중앙 집중식 정책 관리 비교

원격 액세스 정책은 원격 액세스 서버나 IAS 서버에 로컬로 저장되므로 다수의 원격 액세스 서버나 VPN 서버에 대해 하나의 원격 액세스 정책 세트를 중앙에서 관리하려면 아래와 같이 해야 합니다:

1. 컴퓨터 한 대에 Windows 2000 IAS를 RADIUS 서버로 설치합니다.
2. Windows 2000 원격 액세스 서버나 VPN 서버 각각에 해당하는 RADIUS 클라이언트에서 IAS를 구성합니다.
3. IAS 서버에서 모든 Windows 2000 원격 액세스 서버에 사용할 중앙 정책 세트를 만듭니다.
4. 각 Windows 2000 원격 액세스 서버를 IAS 서버에 대한 RADIUS 클라이언트로 구성합니다.

Windows 2000 원격 액세스 서버를 IAS 서버에 대한 RADIUS 클라이언트로 구성하고 나면 원격 액세스 서버에 저장된 로컬 원격 액세스 정책은 더 이상 사용되지 않습니다.

중앙 집중식 원격 액세스 정책 관리는 라우팅 및 원격 액세스 서비스(RRAS) 포함 Windows NT 4.0을 실행 중인 원격 액세스 서버가 있는 경우에도 사용됩니다. RRAS와 포함 Windows NT 4.0을 실행 중인 서버는 IAS 서버에 대한 RADIUS 클라이언트로 구성할 수 있지만, RRAS 없이 Windows NT 4.0을 실행 중인 원격 액세스 서버는 중앙 집중식 원격 액세스 정책의 장점을 활용하도록 구성할 수 없습니다.

사용자 계정의 전화 접속 로그인 속성

Windows 2000에는 사용자가 독립형 서버 또는 Active Directory 기반 서버에 대한 사용자 계정에 사용자의 연결 시도를 허용하거나 거부할 때 사용한 전화 접속 로그인 속성들이 있습니다. 독립형 서버의 경우 로컬 사용자 및 그룹에 있는 사용자 계정의 전화 접속 로그인 탭에서 전화 접속 로그인 속성을 설정할 수 있습니다. Active Directory 기반 서버의 경우 Active Directory 사용자 및 컴퓨터 관리 도구에 있는 사용자 계정의 전화 접속 로그인 탭에서 전화 접속 로그인 속성을 설정할 수 있습니다. Windows NT 4.0 도메인 사용자 관리자 관리 도구는 Active Directory 기반 서버에서는 사용할 수 없습니다.

Windows 2000 기본 모드 도메인의 사용자 계정에 대한 전화 접속 로그인 속성은 그림 3과 같습니다:

브라우저에서 인라인 프레임을 지원하지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 3 사용자 계정의 전화 접속 로그인 속성

Windows 2000 사용자 계정의 전화 접속 로그인 속성은 아래와 같습니다:

• 원격 액세스 권한(전화 접속 또는 VPN)

이 속성으로 원격 액세스가 명시적으로 허용되거나 거부되는지 또는 원격 액세스 정책을 통해 결정되는지 설정할 수 있습니다. 액세스가 명시적으로 허용되더라도 여전히 원격 액세스 정책 조건, 사용자 계정 속성, 프로필 속성으로 연결 시도를 거부할 수 있습니다. 원격 액세스 정책을 통해 액세스 제어 옵션은 Windows 2000 기본 모드 도메인의 사용자 계정 또는 Windows 2000 라우팅 및 원격 액세스 서버의 로컬 계정에 대해서만 사용할 수 있습니다.

기본적으로 독립형 원격 액세스 서버 또는 Windows 2000 기본 모드 도메인의 관리자 계정과 게스트 계정은 원격 액세스 정책을 통해 액세스 제어로 설정되며, Windows 2000 혼합 모드 도메인에서는 액세스 거부로 설정됩니다. 또한 독립형 원격 액세스 서버 또는 Windows 2000 기본 모드 도메인에서 만든 새 계정은 원격 액세스 정책을 통해 액세스 제어로 설정되며, Windows 2000 혼합 모드 도메인에서 만든 새 계정은 액세스 거부로 설정됩니다.

• 호출자 ID 확인

이 속성을 사용하면 서버에서 호출자의 전화 번호를 확인합니다. 호출자의 전화 번호가 구성된 전화 번호와 일치하지 않으면 연결 시도가 거부됩니다.

호출자, 호출자와 원격 액세스 서버 사이의 전화 시스템, 원격 액세스 서버가 호출자 ID를 지원해야 합니다. 원격 액세스 서버의 호출자 ID는 호출자 ID 정보 전달을 지원하는 호출 응답 장비와 라우팅 및 원격 액세스 서비스에 호출자 ID 정보 전달을 지원하는 Windows 2000의 해당 드라이버로 구성됩니다.

사용자에 대한 호출자 ID 전화 번호를 구성했지만 호출자에서 라우팅 및 원격 액세스 서비스에 이르기까지 어느 한 곳이라도 호출자 ID 정보 전달이 지원되지 않으면 연결 시도가 거부됩니다.

• 콜백 옵션

이 속성을 사용하면 호출자나 관리자가 설정한 전화 번호에서 연결을 설정하는 동안 서버가 호출자를 콜백합니다.

• 고정 IP 주소 할당

이 속성을 사용하면 연결되었을 때 사용자에게 특정 IP 주소를 할당할 수 있습니다.

• 고정 경로 적용

이 속성을 사용하면 연결되었을 때 원격 액세스 서버의 routing table에 추가된 일련의 고정 IP 경로를 정의할 수 있습니다. 이 설정은 Windows 2000 라우터에서 필요 시 전화 접속 라우팅을 위해 사용하는 사용자 계정을 위한 것입니다.

Window 4.0 도메인 또는 Windows 2000 혼합 모드 도메인의 사용자 계정:

• 전화 접속 로그인 속성 원격 액세스 권한(전화 접속 로그인 또는 VPN)(액세스 허용 및 액세스 거부 옵션)과 콜백 옵션을 사용할 수 있습니다.
• Windows NT 4.0 도메인 사용자 관리자 관리 도구를 사용하여 전화 접속 로그인 액세스를 허가하거나 거부하고 콜백 옵션을 설정할 수 있습니다.

Windows 2000 기본 모드 도메인에 사용자 계정이 있으면 콜백 문자를 128문자까지 지정할 수 있습니다. Windows 2000을 독립형 서버로 실행 중인 원격 액세스 서버, Windows NT 4.0 도메인, Windows 2000 혼합 모드 도메인에 사용자 계정이 있으면 콜백 번호를 저장하는 압축 형식에 따라 콜백 문자는 24문자에서 48문자까지입니다. IAS 서버가 Windows NT 4.0 도메인 또는 Windows 2000 혼합 모드 도메인의 구성원인데 Windows 2000 기본 모드 도메인에 사용자 계정의 전화 접속 로그인 속성을 쿼리하면 콜백 번호가 잘릴 수 있습니다.

Windows NT 4.0을 실행 중인 원격 액세스 서버에서 Windows 2000 기본 모드 도메인을 사용하여 사용자 계정의 전화 접속 로그인 속성을 가져오면 원격 액세스 정책을 통해 액세스 제어 옵션이 액세스 거부로 해석되며, 콜백 설정은 올바르게 해석됩니다.

전화 접속 로그인 권한을 사용하도록 구성된 Windows 2000으로 업그레이드한 사용자 계정은 액세스 허용으로 설정됩니다. 전화 접속 로그인 권한을 사용할 수 없도록 구성된 Windows 2000으로 업그레이드한 사용자 계정은 액세스 거부로 설정됩니다.

Windows NT 4.0을 실행 중인 원격 액세스 서버에서는 원격 액세스 정책을 사용할 수 없습니다. Windows NT 4.0을 실행 중인 원격 액세스 서버는 라우팅 및 원격 액세스 서비스(RRAS) 포함 Windows NT 4.0이나 Windows 2000으로 업그레이드하여 원격 액세스 정책의 장점을 살리도록 RADIUS 인증용 서버를 구성하십시오.

원격 액세스 정책 설정

원격 액세스 정책은 아래 요소로 구성되는 명명된 규칙입니다:

• 조건
• 원격 액세스 권한
• 프로필

그림 4는 전화 접속 로그인 권한이 있는 경우 액세스 허용이라는 기본 정책의 속성을 나타냅니다.

브라우저에서 인라인 프레임을 지원하지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 4 원격 액세스 정책의 속성

원격 액세스 정책 조건

원격 액세스 정책 조건은 연결 시도의 설정과 비교되는 하나 이상의 특성입니다. 조건이 여러 개이면 모든 조건이 연결 시도의 설정과 일치해야 연결 시도가 정책과 일치합니다.

그림 5는 이러한 조건 특성의 목록을 표시합니다:

그림 5 원격 액세스 정책 조건의 특성

원격 액세스 정책에 설정할 수 있는 조건 특성들은 표 1에 설명됩니다.

표 1 원격 액세스 정책의 조건 특성

특성 이름	설명
NAS IP 주소	네트워크 액세스 서버(NAS)의 IP 주소이며 문자열입니다. 패턴 일치 구문을 사용하여 IP 네트워크를 지정할 수 있습니다.
서비스 종류	요청하는 서비스의 종류. 예를 들어, 프레임형(PPP 연결 등)과 로그인(Telnet 연결 등)이 있습니다. RADIUS 서비스 종류에 대한 정보는 RFC 2138을 참조하십시오.
프레임형 프로토콜	수신 패킷의 프레임 구성 형식. 예: PPP, AppleTalk, SLIP, Frame Relay, and X.25
호출된 스테이션 ID	NAS의 전화 번호이며 문자열입니다. 패턴 일치 구문을 사용하여 지역 번호를 지정할 수 있습니다. 호출 중에 호출된 스테이션 ID 정보를 받으려면 전화선, 하드웨어, 하드웨어용 Windows 2000 드라이버에서 호출된 ID 전달을 지원해야 합니다. 그렇지 않으면 각 포트에 대해 호출된 스테이션 ID를 수동으로 설정합니다.
호출 스테이션 ID	호출자가 사용한 전화 번호이며 문자열입니다. 패턴 일치 구문을 사용하여 지역 번호를 지정할 수 있습니다.
NAS 포트 종류	호출자가 사용한 미디어 종류. 예를 들어, 아날로그 전화선(일명 "비동기"), ISDN, 터널 또는 가상 사설망(일명 "가상"이 있습니다.
날짜 및 시간 제한	서버 연결을 시도한 요일과 시간
클라이언트 IP 주소	네트워크 액세스 서버(RADIUS 클라이언트)의 IP 주소이며 문자열입니다. 패턴 일치 구문을 사용하여 IP 네트워크를 지정할 수 있습니다. RADIUS 클라이언트가 NAS이면 NAS IP 주소와 클라이언트 IP 주소가 동일합니다. RADIUS 클라이언트가 RADIUS 프록시이면 NAS IP 주소와 클라이언트 IP 주소가 서로 다릅니다.
NAS 제조업체	인증을 요청하는 NAS의 공급업체. Windows 2000 원격 액세스 서버는 Microsoft RAS NAS 제조업체입니다. 이 특성을 사용하여 IAS 서버의 RADIUS 클라이언트인 각 NAS 제조업체에 대해 서로 다른 정책을 구성할 수 있습니다.
클라이언트 이름	인증을 요청하는 RADIUS 클라이언트 컴퓨터의 이름이며 문자열입니다. 패턴 일치 구문을 사용하여 클라이언트 이름을 지정할 수 있습니다.
Windows 그룹	연결하려는 사용자가 속한 Windows 그룹의 이름. 특정 사용자 이름에 대한 조건 특성은 없습니다. 각 그룹마다 별도의 원격 액세스 정책을 가질 필요는 없으며, 중첩 그룹을 사용하여 그룹 구성원을 통합하고 그룹 구성원의 관리를 위임할 수 있습니다. Windows 2000 기본 모드 도메인 기반 원격 액세스 또는 IAS 서버에 대해서는 유니버설 그룹을 사용할 것을 권장합니다.
터널 종류	요청 클라이언트에서 만드는 터널의 종류이며, 지점간 터널링 프로토콜(PPTP)와 Windows 2000 원격 액세스 클라이언트 및 필요 시 전화 접속 라우터에 사용되는 계층 2 터널링 프로토콜(L2TP)이 있습니다. 이 조건을 사용하여 특정 종류의 터널링 기술에 대한 인증 방법이나 암호화 강도와 같은 프로필 설정을 지정할 수 있습니다.

참고 IAS 서버용 특성을 사용하는 조건이 원격 액세스 서버 연결 시도에 대해 평가되면 일치하지 않고 정책이 적용되지 않습니다.

일부 IAS 서버별 특성을 보내지 않는 네트워크 액세스 서버도 있습니다.

Windows 2000을 실행 중인 독립형 원격 액세스 서버의 기본 제공 로컬 그룹은 Windows 그룹 특성을 위해 사용할 수 없습니다. 기본 제공 그룹의 예는 로컬 그룹 Administrators와 고급 사용자에 있습니다.

원격 액세스 권한

원격 액세스 정책의 모든 조건이 충족되면 원격 액세스 권한이 허용되거나 거부됩니다. 정책에 대한 원격 액세스 권한을 설정하려면 원격 액세스 권한 옵션 또는 원격 액세스 권한 거부 옵션을 사용합니다.

원격 액세스 권한을 각 사용자 계정에 대해 허용하거나 거부할 수도 있습니다. 사용자 원격 액세스 권한은 정책 원격 액세스 권한보다 우선합니다. 사용자 계정에 대한 원격 액세스 권한을 원격 액세스 정책을 통해 액세스 제어 옵션으로 설정하면 정책 원격 액세스 권한에 따라 사용자의 액세스가 허용되는지 여부를 결정합니다.

사용자 계정 권한 설정 또는 정책 권한 설정을 통해 액세스를 허용하는 것은 연결을 허용하는 첫 번째 단계에 불과합니다. 연결 시도는 사용자 계정 속성과 정책 프로필 속성의 설정에 따라서도 달라집니다. 연결 시도가 사용자 계정 속성 또는 프로필 속성의 설정과 일치하지 않으면 연결 시도가 거부됩니다.

기본적으로 원격 액세스 권한 거부가 선택되어 있습니다.

원격 액세스 정책 프로필 설정

원격 액세스 정책 프로필은 사용자 계정 권한 설정 또는 정책 권한 설정을 통해 어떤 연결에 원격 액세스 권한이 허용될 때 해당 연결에 적용되는 속성의 집합입니다. 프로필은 아래와 같은 속성 그룹으로 구성됩니다:

• 전화 접속 로그인 제약 조건
• IP
• 멀티링크
• 인증
• 암호화
• 고급

전화 접속 로그인 제약 조건

그림 6은 원격 액세스 정책 프로필에 대한 전화 접속 로그인 제약 조건 탭을 나타냅니다.

브라우저에서 인라인 프레임이 지원되지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 6 원격 액세스 정책 프로필에 대한 전화 접속 로그인 제약 조건 탭

아래와 같은 전화 접속 로그인 제약 조건을 설정할 수 있습니다:

• 유휴 연결 끊기 시간

활동이 없는 지 얼마 후에 연결을 끊는지를 나타내는 시간. 기본적으로 이 속성은 설정되지 않으며 원격 액세스 서버에서 유휴 연결을 끊지 않습니다. 이 제약 조건은 RADIUS 유휴 시간 제한 특성에 해당합니다.

• 최대 세션 길이

연결되어 있는 최대 시간. 최대 세션 길이가 연결은 최대 세션 길이가 지난 후 원격 액세스 서버에 의해 연결이 끊깁니다. 기본적으로 이 속성은 설정되지 않으며 원격 액세스 서버에는 최대 세션에 대한 제한이 없습니다. 이 제약 조건은 RADIUS 세션 시간 제한 특성에 해당합니다.

• 날짜 및 시간 제한

연결이 허용되는 요일 및 시간. 연결 시도의 요일과 시간이 구성된 요일 및 시간 제한과 일치하지 않으면 연결 시도가 거부됩니다. 기본적으로 이 속성은 설정되어 있지 않으며 원격 액세스 서버에는 요일 또는 시간 제한이 없습니다. 원격 액세스 서버는 연결 시도가 허용되지 않을 때 연결되어 있는 활성 연결을 끊지 않습니다.

• 전화 접속 번호

호출자가 연결 허용을 요청하는 특정 전화 번호. 연결 시도의 전화 접속 번호가 구성된 전화 접속 번호와 일치하지 않으면 연결 시도가 거부됩니다. 기본적으로 이 속성은 설정되어 있지 않으며 원격 액세스 서버는 전화 접속 번호를 허용합니다. 이 제약 조건은 RADIUS 호출 스테이션 ID 특성에 해당합니다.

• 전화 접속 미디어

모뎀(일명 "비동기"), ISDN, 가상 사설망(일명 "가상") 등 사용자가 연결 허용을 위해 사용해야 하는 미디어 종류. 연결 시도의 전화 접속 미디어가 구성된 전화 접속 미디어와 일치하지 않으면 연결 시도가 거부됩니다. 기본적으로 이 속성은 설정되어 있지 않으며 원격 액세스 서버에서는 모든 전화 접속 미디어 종류를 사용할 수 있습니다. 이 제약 조건은 RADIUS NAS 포트 종류 특성에 해당합니다.

IP

그림 7은 원격 액세스 정책 프로필에 대한 IP 탭을 나타냅니다:

브라우저에서 인라인 프레임이 지원되지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 7 원격 액세스 정책 프로필에 대한 IP 탭

연결할 특정 IP 주소를 요청할 수 있는지 여부를 클라이언트가 지정하도록 IP 속성을 지정할 수 있습니다. 기본적으로 Windows 2000 라우팅 및 원격 액세스 서비스가 IP 주소를 할당하며 클라이언트는 특정 IP 주소를 요청할 수 없습니다. 서버가 IP 주소 제공을 선택하면 Framed-IP-Address RADIUS 특성을 사용하여 값 0xFFFFFE를 설정합니다. 클라이언트가 IP 주소 요청을 선택하면 Framed-IP-Address RADIUS 특성을 사용하여 값 0xFFFFFF를 설정합니다. 서버 설정으로 정책 정의를 선택하면 액세스 허용 메시지에 Framed-IP-Address RADIUS 특성을 보내지 않습니다.

IP 속성을 사용하여 원격 액세스 정책 프로필 필터링을 정의할 수도 있습니다. 연결된 후 해당 연결에 허용되는 소통량을 정의하려면 원격 액세스 정책 프로필에 대한 IP 패킷 필터를 구성할 수 있습니다. 프로필 패킷 필터를 사용하면 연결의 수신(클라이언트로 향하는) 또는 송신(클라이언트에서 나가는)에 허용되는 IP 소통량을 예외 방식으로, 즉, 필터로 지정한 소통량을 제외한 모든 소통량 또는 필터로 지정한 소통량을 제외한 소통량 없음과 같이 구성할 수 있습니다. 원격 액세스 정책 프로필의 필터링은 해당 원격 액세스 정책과 일치하는 모든 연결에 적용됩니다.

멀티링크

그림 8은 원격 액세스 정책 프로필에 대한 멀티링크 탭을 나타냅니다:

브라우저에서 인라인 프레임을 지원하지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 8 원격 액세스 정책 프로필에 대한 멀티링크 탭

멀티링크 속성을 설정하여 멀티링크를 사용하고 멀티링크 연결에 사용할 수 있는 최대 포트 수를 결정할 수 있습니다. 또한 BAP 사용량과 여분의 BAP 회선이 삭제되는 시기를 결정하는 대역폭 할당 프로토콜(BAP) 정책을 설정할 수 있습니다. 멀티링크와 BAP 속성은 Microsoft Windows 2000 원격 액세스에만 적용됩니다.

프로필의 멀티링크 속성을 적용하려면 원격 액세스 서버에서 멀티링크와 BAP를 사용하도록 설정해야 합니다.

인증

그림 9는 원격 액세스 정책 프로필에 대한 인증 탭을 나타냅니다:

브라우저에서 인라인 프레임을 지원하지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 9 원격 액세스 정책 프로필에 대한 인증 탭

연결에 허용되는 인증 종류를 사용하도록 설정하고 사용해야 하는 EAP 종류를 지정하는 인증 속성을 설정할 수 있으며, EAP 종류를 구성할 수도 있습니다. 기본적으로 Microsoft 암호화 인증(MS-CHAP)과 Microsoft 암호화 인증 버전 2(MS-CHAP v2)는 사용하도록 설정되어 있습니다.

프로필의 인증 속성을 적용하려면 원격 액세스 서버에 해당 인증 종류를 사용하도록 설정되어 있어야 합니다.

암호화

그림 10은 원격 액세스 정책 프로필에 대한 암호화 탭을 나타냅니다:

브라우저에서 인라인 프레임을 지원하지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 10 원격 액세스 정책 프로필의 암호화 탭

아래와 같은 암호화 강도에 대한 암호화 속성을 설정할 수 있습니다:

• 암호화 안 함

이 옵션을 선택하면 암호화 연결을 할 수 없습니다. 암호화를 요구하려면 암호화 안 함 확인란의 선택을 취소하십시오.

• 기본

전화 접속 및 PPTP 기반 VPN 연결에는 40비트 키를 이용한 Microsoft 지점간 암호화(MPPE)를 사용하며, IPSec 기반 VPN 연결의 L2TP에는 56비트 DES 암호화를 사용합니다.

• 높음

전화 접속 및 PPTP 기반 VPN 연결에는 56비트 키를 이용한 MPPE를 사용하며, IPSec 기반 VPN 연결의 L2Tp에는 56비트 DES 암호화를 사용합니다.

• 매우 높음

전화 접속 및 PPTP 기반 VPN 연결에는 128비트 키를 이용한 MPPE를 사용하며, IPSec 기반 VPN 연결의 L2TP에는 3DES 암호화를 사용합니다. 이 옵션은 Windows 2000 High Encryption Pack을 설치해야만 사용할 수 있습니다.

고급

그림 11은 원격 액세스 정책 프로필에 대한 고급 탭을 나타냅니다:

브라우저에서 인라인 프레임을 지원하지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 11 원격 액세스 정책 프로필에 대한 고급 탭

고급 속성을 설정하여 IAS 서버가 RADIUS 클라이언트에 되돌려 보내는 일련의 RADIUS 특성을 지정할 수 있습니다. RADIUS 특성은 RADIUS 인증을 수행하는 경우에만 적용되며 원격 액세스 서버에는 사용하지 않습니다. 기본적으로 Framed-Protocol은 PPP로 설정되어 있으며 Service-Type은 Framed로 설정되어 있습니다.

라우팅 및 원격 액세스 서비스에는 Account-Interim-Interval, Framed-Protocol, Framed-MTU, Reply-Message, Service-Type 특성만 사용합니다.

기본 원격 액세스 정책

전화 접속 로그인 권한이 있는 경우 액세스 허용이라는 기본 원격 액세스 정책을 만드는데, 이 기본 정책의 구성은 아래와 같습니다:

• 날짜 및 시간 제한 조건은 제한이 없도록 설정됩니다.
• 사용 권한은 원격 액세스 권한 거부로 설정됩니다.
• 모든 프로필 속성은 기본값으로 설정됩니다.

참고 원격 액세스 정책의 각 요소는 RADIUS 기반 인증 중에 사용하는 RADIUS 속성에 해당합니다. IAS 서버의 경우, 사용하는 네트워크 액세스 서버가 구성된 원격 액세스 정책 조건과 프로필 설정에 해당하는 RADIUS 특성을 보내고 있는지 확인해야 합니다. NAS가 원격 액세스 정책 조건 또는 프로필 설정에 해당하는 RADIUS 특성을 보내지 않으면 해당 NAS에서 수행하는 모든 RADIUS 인증이 거부됩니다.

공급업체 프로필

일부 공급업체에서는 표준 특성에서 지원되지 않는 기능을 제공하기 위해 RADIUS 공급업체별 특성(VSA)을 사용합니다. IAS로 공급업체별 특성을 만들거나 수정하여 NAS 공급업체가 지원하는 독자적 기능을 이용할 수 있습니다.

특정 프로필에 대해 둘 이상의 VSA를 구성하려면 정확한 순서로 배열해야 합니다. 필터를 사용하는데 순서가 중요하면 화살표 단추를 사용하여 특성의 배열을 변경할 수 있습니다.

예제 1

아래 예제에서는 프로필에 Cisco VSA를 추가하는 절차를 통해 프로필에 표준 규격 VSA를 추가하는 방법을 보여 줍니다. Cisco VSA는 IAS 복수 벤더 사전을 통해 사용할 수 있습니다.

Cisco 공급업체별 특성은 RADIUS RFC 2138의 공급업체별 특성(종류 26) 규격을 따릅니다. 아래 정보는 Cisco 특성으로 기본 DNS 서버를 지정하기 위한 것입니다:

• 공급업체 ID: 9. Cisco의 고유 ID이며, 이 공급업체를 지정하면 자동으로 제공됩니다.
• 공급업체 종류: 1. 특성-값 쌍 형식의 공급업체별 특성에 대한 공급업체 종류 번호이며 Cisco 설명서에는 "cisco-avpair"로 되어 있습니다.
• 데이터 형식: 문자열
• 형식: 필수 특성의 형식은 <protocol>: attribute=value입니다.

선택적 특성의 특성-값 쌍은 등호(=) 대신 별표(*)로 구분됩니다. 이 예제에서 <protocol>은 특정 인증 종류에 대한 Cisco 프로토콜의 값이며 attribute와 value는 Cisco TACACS+ 사양에 정의된 해당 특성/값(AV) 쌍을 나타내므로, TACACS+ 인증에 사용할 수 있는 모든 기능을 RADIUS도 사용할 수 있습니다.

기본 DNS 서버를 지정하는 데 사용하는 Cisco 특성은 아래와 같이 나타납니다:

전화 접속 로그인 프로필에 공급업체별 특성을 추가하려면 아래와 같이 수행합니다:

1. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 인터넷 인증 서비스를 클릭합니다.
2. 인터넷 인증 서비스에서 Remote Access Policies을 클릭합니다.
3. 공급업체별 특성을 구성할 정책을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
4. 프로필 편집, 고급 탭, 추가를 차례로 클릭합니다.
5. 사용할 수 있는 RADIUS 특성 목록에서 Vendor-Specific을 두 번 클릭합니다.
6. 추가를 클릭합니다.
7. 목록에서 선택, Cisco를 차례로 클릭합니다.
8. 예 맞습니다, 특성 구성을 선택합니다.
9. 공급업체에 할당된 특성 번호에 1을 입력합니다.
10. 특성 형식에서 문자열을 클릭합니다.
11. 특성 값에 ip:dns-servers=10.10.10.10을 입력합니다.

예제 2

아래 예제에서는 프로필에 3Com/U.S. Robotics VSA를 추가하는 방법을 보여 줍니다.

참고 예제 2는 표준 규격이 아닌 VSA를 프로필에 추가하는 방법을 보여 줄 목적으로만 포함되었습니다. 3Com/U.S. Robotics VSA는 IAS 복수 벤더 사전을 통해 사용할 수 있습니다.

U.S. Robotics 공급업체별 특성은 RADIUS RFC 2138의 공급업체별 특성(종류 26)에 대한 권장 형식을 따르지 않으므로, 모든 U.S. Robotics VSA는 16진 형식으로 입력해야 합니다.

아래 정보는 U.S. Robotics 특성으로 기본 DNS/NBNS 서버를 지정하기 위한 것입니다:

• 공급업체 ID: 429. U.S. Robotics 고유의 ID이며, 이 공급업체를 지정하면 자동으로 제공됩니다.
• 표시기: 0x900F
• 데이터 형식: 문자열
• 형식: VSA는 16진 형식으로 입력해야 합니다.

기본 DNS/NBNS 서버에 IP 주소 10.10.10.10을 지정하려면

1. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 인터넷 인증 서비스를 클릭합니다.
2. 인터넷 인증 서비스에서 Remote Access Policies를 클릭합니다.
3. 공급업체별 특성을 구성할 정책을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
4. 프로필 편집, 고급 탭, 추가를 차례로 클릭합니다.
5. 사용할 수 있는 RADIUS 특성 목록에서 Vendor-Specific을 두 번 클릭한 다음 추가를 클릭합니다.
6. 목록에서 선택, US Robotics를 차례로 클릭합니다.
7. 아니오. 맞지 않습니다., 특성 구성을 차례로 클릭합니다.
8. 16진수 특성 값에 0x900f31302e31302e31302e31302e를 입력합니다.

U.S. Robotics의 독자적인 특성에 대한 정보는 U.S. Robotics 설명서를 참조하십시오.

원격 액세스 정책 처리 논리

사용자가 연결을 시도하면 아래의 논리에 따라 연결 시도를 허용하거나 거부합니다:

1. 원격 액세스 정책 목록의 첫 번째 정책을 검사합니다. 정책이 없으면 연결 시도를 거부합니다.
2. 정책의 모든 조건 중 하나 이상이 연결 시도와 일치하지 않으면 다음 정책을 검사합니다. 정책이 더 이상 없으면 연결 시도를 거부합니다.

정책의 모든 조건이 연결 시도와 일치하면 연결을 시도하는 사용자의 원격 액세스 설정을 검사합니다.

• 액세스 거부가 선택되어 있으면 연결 시도를 거부합니다.

액세스 허용이 선택되어 있으면 사용자 계정 속성과 프로필 속성을 적용합니다.

• 연결 시도가 사용자 계정 속성 및 프로필 속성의 설정과 일치하지 않으면 연결 시도를 거부합니다.
• 연결 시도가 사용자 계정 속성 및 프로필 속성과 일치하면 연결 시도를 허용합니다.

원격 액세스 권한이 액세스 허용 또는 액세스 거부로 설정되어 있지 않으면 원격 액세스 권한을 원격 액세스 정책을 통해 액세스 제어로 설정해야 합니다. 그러므로 정책의 원격 액세스 권한 설정을 검사합니다.

• 원격 액세스 권한 거부가 선택되어 있으면 연결 시도를 거부합니다.
• 원격 액세스 권한 허용이 선택되어 있으면 사용자 계정 속성과 프로필 속성을 적용합니다.

연결 시도가 사용자 계정 속성 및 프로필 속성의 설정과 일치하지 않으면 연결 시도를 거부합니다.

연결 시도가 사용자 계정 속성 및 프로필 속성의 설정과 일치하면 연결 시도를 허용합니다.

그림 12는 원격 액세스 정책의 처리 논리를 나타냅니다:

브라우저에서 인라인 프레임을 지원하지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 12 원격 액세스 정책 처리 논리

원격 액세스 정책 관리 모델

Windows 2000에는 원격 액세스 권한과 연결 설정을 관리하기 위한 세 가지 기본 모델이 있습니다:

1. 사용자에 의한 액세스
2. Windows 2000 기본 모드 도메인의 정책에 의한 액세스
3. Windows 2000 혼합 모드 도메인의 정책에 의한 액세스

사용자에 의한 액세스

사용자에 의한 액세스 관리 모델에서는 사용자 계정의 전화 접속 로그인 탭에서 선택한 원격 액세스 권한에 따라 원격 액세스 권한을 결정합니다. 원격 액세스 권한을 액세스 허용 또는 액세스 거부로 설정하여 원격 액세스 권한을 사용자별로 허용하거나 허용하지 않을 수 있습니다.

액세스 허용 또는 액세스 거부로 설정되어 있으면 원격 액세스 정책의 원격 액세스 권한 설정은 사용자 계정의 원격 액세스 권한은 결국 무시됩니다. 그러나 암호화 요구 사항과 유휴 시간 제한과 같은 연결 설정을 적용하도록 원격 액세스 정책 조건과 프로필 속성을 수정할 수 있습니다.

여러 개의 원격 액세스 정책으로 사용자에 의한 액세스 모델의 원격 액세스를 관리할 수 있으며, 각 원격 액세스 정책에는 자체의 프로필 설정이 있습니다. 연결 시도는 사용자 계정의 원격 액세스 권한이 액세스 허용으로 설정되어 있어도 거부될 수 있기 때문에 이 설정은 주의 깊게 구성해야 합니다. 연결 시도가 정책의 조건과 일치하지만 프로필 설정과 일치하지 않거나 원격 액세스 정책 중 하나와 일치하지 않으면 연결 시도가 거부됩니다.

사용자에 의한 액세스 관리 모델에서는 아래의 세 가지 동작을 제어할 수 있습니다:

1. 명시적 허용

사용자 계정에 대한 원격 액세스 권한이 액세스 허용으로 설정되며 연결 시도를 프로필 설정 및 사용자 계정의 전화 접속 로그인 속성의 설정에 따라 정책의 조건과 대조합니다.

2. 명시적 거부

사용자 계정에 대한 원격 액세스 권한이 액세스 거부로 설정됩니다.

3. 암시적 거부

연결 시도를 어느 원격 액세스 정책의 조건과도 대조하지 않습니다.

Windows 2000은 사용자에 의한 액세스 관리 모델이 Windows NT 4.0 RAS 서버에서 원격 액세스를 관리하는 것과 같습니다.

사용자에 의한 액세스 관리 모델은 독립형 원격 액세스 서버, Windows 2000 기본 모드 도메인의 구성원인 원격 액세스 서버, Windows 혼합 모드 도메인의 구성원인 원격 액세스 서버, Windows NT 4.0 도메인의 구성원인 원격 액세스 서버에서 사용할 수 있습니다. 또한 Windows NT 4.0 RAS나 IAS 서버가 있는 경우에도 사용자에 의한 액세스 관리 모델을 사용할 수 있습니다.

Windows 2000 기본 모드 도메인의 정책에 의한 액세스

Windows 2000 기본 모드 도메인의 정책에 의한 액세스 관리 모델에서는 모든 사용자 계정의 원격 액세스 권한을 원격 액세스 정책을 통해 액세스 제어로 설정합니다. 원격 액세스 권한은 원격 액세스 정책의 원격 액세스 권한 설정에 따라 허용되거나 거부됩니다.

Windows 2000 기본 모드 도메인의 정책에 의한 액세스 관리 모델에서는 아래 세 가지 동작을 제어할 수 있습니다:

1. 1. 명시적 허용

원격 액세스 정책의 원격 액세스 권한이 원격 액세스 권한 허용으로 설정되며 연결 시도를 프로필 및 사용자 계정의 전화 접속 로그인 속성의 설정에 따라 정책의 조건과 대조합니다.

2. 2. 명시적 거부

원격 액세스 정책의 원격 액세스 권한이 원격 액세스 권한 거부로 설정되며 연결 시도를 정책의 조건과 대조합니다.

3. 3. 암시적 거부

연결 시도를 원격 액세스 정책의 조건과 대조하지 않습니다.

이 관리 모델을 사용하는데 원격 액세스 정책을 하나도 추가하지 않고 기본 모드 원격 액세스 정책(전화 접속 로그인 권한이 있는 경우 액세스 허용)을 변경하지 않으면 어느 사용자에게도 원격 액세스가 허용되지 않습니다. 기본적으로 기본 원격 액세스 정책의 원격 액세스 권한은 원격 액세스 권한 거부로 설정되어 있습니다. 이 설정을 원격 액세스 권한 허용으로 변경하면 모든 사용자에게 원격 액세스가 허용됩니다.

Windows 2000 기본 모드 도메인의 정책에 의한 액세스 관리 모델은 도메인의 구성원이 아닌 독립형 원격 액세스 서버에도 적용됩니다.

Windows NT 4.0 RAS나 IAS 서버가 있으면 Windows 2000 기본 모드 도메인의 정책에 의한 액세스 관리 모델을 사용할 수 없습니다.

Windows 2000 기본 모드 도메인의 정책에 의한 액세스 관리 모델을 사용하지만 그룹을 사용하여 액세스 권한을 얻는 사용자를 지정하지 않으면 게스트 계정을 사용할 수 없도록 하고 해당 원격 액세스 권한을 액세스 거부로 설정해야 합니다.

Windows 2000 혼합 모드 도메인의 정책에 의한 액세스

Windows 2000 혼합 모드 도메인의 정책에 의한 액세스 관리 모델에서는 모든 사용자 계정의 원격 액세스 권한을 액세스 허용으로 설정하고, 기본 원격 액세스 정책을 삭제하고, 허용된 연결의 종류를 정의하기 위해 별도의 원격 액세스 정책을 만듭니다. Windows 2000을 실행 중이고 Windows 2000 혼합 모드 도메인의 구성원인 원격 액세스 서버에서는 사용자 계정의 원격 액세스 권한에 대해 원격 액세스 정책을 통해 액세스 제어 옵션을 사용할 수 없습니다. 연결 시도가 프로필 및 사용자 계정 전화 접속 로그인 설정에 따라 정책의 조건과 일치하면 연결이 허용됩니다.

이 관리 모델은 Windows 2000을 실행 중이고 Windows NT 4.0 도메인의 구성원인 원격 액세스 서버에도 적용됩니다.

Windows 2000 혼합 모드 도메인의 정책에 의한 관리 모델에서는 아래와 같은 세 가지 동작을 제어할 수 있습니다:

1. 명시적 허용

연결 시도를 프로필 및 사용자 계정의 전화 접속 로그인 속성의 설정에 따라 정책의 조건과 대조합니다.

2. 명시적 거부

연결 시도를 정책의 조건과 대조하지만 프로필의 설정과는 대조하지 않습니다. 이 번호만 전화 접속 로그인 제한 제약 조건을 사용하도록 설정하고 원격 액세스 서버에서 사용 중인 번호에 해당하지 않는 번호를 입력하면 이 관리 모델에 명시적 거부를 만들 수 있습니다.

3. 암시적 거부

연결 시도를 원격 액세스 정책의 조건과 대조하지 않습니다.

전화 접속 로그인 권한이 있는 경우 액세스 허용이라는 기본 원격 액세스 정책을 삭제하지 않으면 모든 사용자가 원격 액세스 연결을 얻을 수 있습니다.

Windows NT 4.0 라우팅 및 원격 액세스 서비스(RRAS) 서버가 있으면 RRAS 서버가 Windows 2000 IAS 서버에 대한 RADIUS 클라이언트로 구성된 경우에만 Windows 2000 혼합 모드 도메인 관리 모델의 정책에 의한 액세스를 사용할 수 있습니다. Windows NT 4.0 RAS 서버에 대해서는 Windows 2000 혼합 모드 도메인 관리 모델의 정책에 의한 액세스를 사용할 수 없습니다.

참고 여기서 설명한 관리 모델은 권장 원격 액세스 제어 방법입니다. 이 모델들을 혼용하여 원격 액세스를 관리할 수 있지만, 의도한 결과를 내려면 주의 깊게 수행해야 합니다. 구성이 잘못되면 허용해야 할 때 거부해야 하는 연결 시도나 거부해야 할 때 허용하는 연결 시도가 발생할 수 있습니다. 이처럼 복잡한 구성 문제를 해결하려면 원격 액세스 서버에서 연결 시도를 처리할 때 사용하는 논리를 적용하거나 인증 로깅을 사용하도록 설정하고 인증 로그를 검사할 수 있습니다.

원격 액세스 정책을 사용하는 시나리오에 대한 정보는 Windows 2000 Server 온라인 도움말을 참조하십시오.

원격 액세스 정책 관리

다음은 원격 액세스 정책의 관리를 위한 몇 가지 설계 원칙입니다:

• 원격 액세스 정책은 가능하면 적게 사용합니다.

지원하고자 하는 정확한 연결 종류를 그룹, 연결 종류, 연결 매개 변수 면에서 단순한 목록에 정의하려고 노력합니다.

예: 직원에게는 최대 연결 시간이 30분인 액세스를 허용하고, 관리자와 경영자에게는 최대 연결 시간이 없는 액세스를 허용하고, 계약업체와 공급업체에게는 액세스를 허용하지 않습니다.

• 유니버설 그룹을 사용하여 그룹을 중첩하고 원격 액세스 정책 수를 최소화합니다.

예: 직원은 별도의 그룹 Sales_Emp, Acct_Emp, R&D_Emp, Admin_Emp에 속합니다. Employees라는 유니버설 그룹을 만들고 해당 그룹에 Sales_Emp, Acct_Emp, R&D_Emp, Admin_Emp 그룹을 추가합니다.

• 그룹 순서를 정할 때 가장 구체적인 정책을 맨 위에 두고 가장 일반적인 정책을 맨 아래에 둡니다. 첫 번째 일치하는 정책은 연결 시도에 적용되는 정책이므로, 더 일반적인 정책이 맨 위에 있으면 더 일반적인 정책의 연결 매개 변수가 적용되고 더 구체적인 정책의 연결 매개 변수는 적용되지 않습니다.

예: Managers&Execs 그룹의 모든 구성원에게 최대 연결 시간이 없는 액세스를 허용하도록 지정하는 Managers and Execs라는 정책을 만듭니다. Employees 유니버설 그룹의 모든 구성원에게 최대 연결 시간이 30분인 액세스를 허용하도록 지정하는 Employees라는 정책을 만듭니다. Contractors&Vendors 그룹의 모든 구성원에게 액세스를 거부하는 Contractors and Vendors라는 정책을 만듭니다. 정책의 순서는 아래와 같이 정합니다:

1. Managers and Execs
2. Contractors and Vendors
3. Employees

관리자와 경영자는 Employees 유니버설 그룹의 구성원이므로(Sales_Emp, Acct_Emp, R&D_Emp, Admin_Emp 그룹의 구성원을 통해) Employees 원격 액세스 정책은 Managers and Execs 정책보다 앞에 놓이면 Employees 정책이 연결 시도에 먼저 적용되고 Managers and Execs정책은 적용되지 않습니다. 관리자와 경영자에게는 제한 없는 연결 시간을 제공하는 원격 액세스 정책이 있음에도 불구하고 최대 연결 시간을 30분을 제공합니다.

기본 원격 액세스 정책 사용

전화 접속 로그인 권한이 설정되면 액세스 허용이라는 기본 원격 액세스 정책은 사용자에 의한 액세스 관리 모델을 사용하고 수신 연결에 기본 원격 액세스 정책과 프로필 설정을 허용하려고 하는 경우에만 필요합니다. 기본 원격 액세스 정책의 조건은 연결 시도가 어느 요일에나 언제든지 발생해야 한다는 것이므로, 모든 연결 시도가 기본 원격 액세스 정책의 조건과 대조됩니다. 기본 원격 액세스 정책은 가장 일반적인 정책이므로 더 구체적인 다른 원격 액세스 정책이 있으면 기본 원격 액세스 정책을 최후의 정책으로 삼아야 합니다.

기본 모드 도메인 관리 모델의 정책에 의한 액세스를 사용하면 기본 원격 액세스 정책의 원격 액세스 권한이 원격 액세스 권한 거부로 설정되기 때문에 기본 원격 액세스 정책에 따라 모든 연결이 거부됩니다. 기본 원격 액세스 정책을 목록의 끝에 배치하면 제거하는 것과 같은 효과를 얻습니다. 어느 경우든 연결 시도는 거부됩니다.

혼합 모드 도메인 관리 모델의 정책에 의한 액세스를 사용할 때에는 기본 정책 설정을 사용하여 모든 사용자에게 원격 액세스를 허용하고자 하는 경우를 제외하고는 기본 정책을 삭제해야 합니다. 혼합 모드 도메인 관리 모델의 정책에 의한 액세스에서는 게스트 계정과 기본 제공 계정을 제외한 모든 사용자 계정의 원격 액세스 권한이 액세스 허용으로 설정됩니다. 기본 원격 액세스 정책을 삭제하지 않으면 임의의 사용자 계정을 이용한 모든 연결 시도가 허용되는데, 이는 네트워크 보안 상 바람직하지 않으므로 기본 원격 액세스 정책을 삭제하여 특정 원격 액세스 정책이 있는 연결만이 허용되도록 해야 합니다.

기본 원격 액세스 정책을 다시 만들려면:

1. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 인터넷 인증 서비스를 클릭합니다.
2. 인터넷 인증 서비스에서 Remote Access Policies를 마우스 오른쪽 단추로 클릭한 다음 새 원격 액세스 정책을 클릭합니다.

원격 액세스 정책 추가 마법사에서 아래와 같이 수행합니다:

• 정책 이름에 기본 이름을 입력하고 다음을 클릭합니다.

굳이 사용할 필요는 없지만, 라우팅 및 원격 액세스 서비스를 설치할 때 기본 원격 액세스 정책 이름은 전화 접속 액세스 권한이 사용되면 액세스 허용입니다.

• 조건 페이지에서 추가, 날짜 및 시간 제한, 추가를 차례로 클릭하고 모든 요일에 항상 허용하도록 특성을 구성한 다음 확인, 다음을 차례로 클릭합니다.
• 권한 페이지에서 원격 액세스 권한 거부, 다음을 차례로 클릭합니다.
• 사용자 프로필 페이지에서 마침을 클릭합니다. 사용자 프로필을 변경하지 마십시오.

원격 액세스 서버에서 IAS 서버로 정책 복사

Windows 인증을 사용하도록 Windows 2000 라우팅 및 원격 액세스 서버를 구성하면 로컬 원격 액세스 정책을 사용합니다. 나중에 RADIUS 인증을 사용하도록 라우팅 및 원격 액세스 서비스를 구성하면 IAS 서버의 원격 액세스 정책을 사용합니다. 라우팅 및 원격 액세스 서버의 구성된 원격 액세스 정책을 IAS 서버로 전송하려면 아래 절차를 수행합니다:

1. 라우팅 및 원격 액세스 서버의 명령 프롬프트에서 netsh aaaa show config > path\file.ext를 입력합니다. 그러면 레지스트리 설정을 포함한 구성 설정이 file.ext라는 텍스트 파일에 저장됩니다. 경로에는 상대, 절대, UNC 경로를 지정할 수 있습니다.
2. file.ext를 IAS 서버에 복사한 다음, IAS 서버의 명령 프롬프트에서 netsh exec path\file.ext를 입력합니다. 업데이트에 성공했는지 여부를 알리는 메시지가 나타납니다.
3. RADIUS 인증 및 계정을 위해 라우팅 및 원격 액세스 서비스를 구성합니다.

수준 설정

사용자 계정, IAS 서버, 라우팅 및 원격 액세스 서버에 원격 액세스 권한과 연결 매개변수를 구성할 때 몇 가지 설정 종류 사이의 관계를 잘 이해해야 합니다.

• 원격 액세스 정책 관리 모델과 호출자 ID, 콜백 옵션, 고정 IP 주소, 고정 경로 등의 사용자 계정별 특성을 반영하도록 사용자 계정의 전화 접속 로그인 속성을 구성합니다. 원격 액세스 권한을 액세스 허용 또는 액세스 거부로 설정하면 일치하는 원격 액세스 정책 권한이 무시됩니다. 원격 액세스 권한을 원격 액세스 정책을 통해 액세스 제어로 설정하면 일치하는 원격 액세스 정책 권한으로 원격 액세스 권한을 결정할 수 잇습니다.
• IAS 서버에서 IAS 서버의 모든 RADIUS 클라이언트(NAS)에 대해 허용하거나 거부할 연결 종류와 관련 연결 매개변수를 반영하는 원격 액세스 정책을 구성합니다. IAS 서버의 구성된 원격 액세스 정책들은 IAS 서버의 모든 RADIUS 클라이언트에 전체적으로 적용됩니다.
• 원격 액세스 서버에서 지원하는 모든 연결 종류에 대해 원격 액세스 서버의 모든 기능을 사용하거나 사용할 수 없도록 라우팅 및 원격 액세스 서비스 속성을 구성합니다. 예를 들어, Windows 2000 라우팅 및 원격 액세스 서버는 전화 접속 원격 액세스나 필요 시 전화 접속 연결(아날로그 전화선이나 ISDN을 사용하여) 또는 VPN 기반 원격 액세스나 필요 시 전화 접속 연결(PPTP 또는 L2TP를 사용하여)을 지원할 수 있습니다. 인증 방법을 사용할 때에는 서버에 연결하는 모든 종류의 클라이언트에 대해 모든 종류의 인증 방법을 사용할 수 있습니다. 이 때 Windows 2000과 Windows 98 클라이언트(MS-CHAP v1과 MS-CHAP v2), 스마트 카드 기반 Windows 2000과 Windows 98 클라이언트(EAP), 타사 클라이언트(CHAP 및 인증되지 않은 액세스)를 포함해야 합니다.

라우팅 및 원격 액세스 서비스의 설정으로 원격 액세스 정책 프로필의 설정을 조정할 때에는 라우팅 및 원격 액세스 서비스 디자인의 시각으로 프로세스를 이해해야 합니다. 원격 액세스 클라이언트가 연결을 시도할 때 원격 액세스 클라이언트와 원격 액세스 서버 사이의 PPP 협상이 시작됩니다. PPP 협상은 네 단계로 구성됩니다:

1. PPP 구성
2. 인증
3. 콜백
4. 프로토콜 구성

단계 1에서는 EAP, MS-CHAP v2, MS-CHAP v1, CHAP, SPAP, PAP의 기본 설정 목록에 따라 PPP 클라이언트와 라우팅 및 원격 액세스 서버가 인증 프로토콜을 협상합니다.

단계 2에서는 선택된 인증 프로토콜을 사용하여 PPP 클라이언트의 자격 증명을 보냅니다. 라우팅 및 원격 액세스 서버는 IAS 서버에 액세스 요청 메시지를 보내는데, 이 액세스 요청 메시지에는 사용자와 연결 시도의 매개 변수를 설명하는 일련의 RADIUS 특성이 들어 있습니다.

IAS 서버는 RADIUS 클라이언트, 사용자 계정 전화 접속 로그인 속성, 원격 액세스 정책의 설정에 대해 액세스 요청 메시지의 내용을 평가합니다. 액세스 요청 메시지가 인증 및 허가되면 IAS 서버가 액세스 허용 메시지를 되돌려 보냅니다. 액세스 요청 메시지가 인증되지 않거나 허가되지 않으면 IAS 서버가 액세스 거부 메시지를 되돌려 보냅니다. 라우팅 및 원격 액세스 서버가 액세스 거부 메시지를 받으면 연결 시도가 거부됩니다.

라우팅 및 원격 액세스 서버가 액세스 허용 메시지를 받으면 PPP 인증의 단계 2가 완료되며, 그런 다음 단계 3(콜백)과 단계 4(프로토콜 구성)를 시도합니다. 단계 4에서는 네트워크 계층 프로토콜(IP 등)이 구성되고 압축과 암호화가 협상됩니다. 단계 4가 진행되는 동안 IAS 서버가 액세스 허용 메시지를 반환했더라도 라우팅 및 원격 액세스 서버가 연결을 거부할 수 있습니다.

예를 들어, 원격 액세스 정책 프로필에는 IP 주소 할당 동작에 대한 설정이 들어 있습니다. 기본적으로 라우팅 및 원격 액세스 서비스에서는 클라이언트가 자체의 IP 주소를 요청할 수 없습니다. 그러므로 클라이언트가 자체 IP 주소를 요청하고 IP 탭의 일치하는 정책 프로필 속성이 서버 설정으로 정책 정의이면 라우팅 및 원격 액세스 서비스가 연결을 거부합니다. 라우팅 및 원격 액세스 서비스에 일치하는 정책 프로필이 서버 설정으로 정책 정의로 설정되어 있을 때 클라이언트가 자체 IP 주소를 요청할 수 있도록 하려면 다음 HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services \RemoteAccess \Parameters\IP\AllowClientIPAddresses 레지스트리를 1로 설정합니다.

또 다른 예는 암호화입니다. 일치하는 원격 액세스 정책 프로필 속성이 높은 암호화를 요구하는데 라우팅 및 원격 액세스 서버에 High Encryption Pack이 설치되어 있지 않으면 연결 시도가 거부됩니다.

인증 방법 조정

라우팅 및 원격 액세스 서버와 IAS 서버 사이에 인증 방법이 충돌한 결과가 액세스 거부 메시지입니다. 인증 방법이 라우팅 및 원격 액세스 서버에서는 사용할 수 있지만 일치하는 원격 액세스 정책 프로필에서는 사용할 수 없으면 IAS 서버가 액세스 거부 메시지를 반환합니다. 인증 방법이 라우팅 및 원격 액세스 서버에서는 사용할 수 없지만 일치하는 원격 액세스 정책 프로필에서는 사용할 수 있으면 PPP 협상의 단계 1에서 인증 방법으로 제공되지 않기 때문에 액세스 요청 메시지의 연결 매개변수로 되지 않습니다. 따라서 일치하는 정책의 프로필 설정과 대조하지 않고 액세스 거부 메시지를 보냅니다.

단, PPP 협상의 단계 1에서 아래와 같은 순서로(또는 EAP의 경우 EAP가 선택된 다음 EAP 종류가 나중에 선택됨) PPP 인증 프로토콜을 하나가 선택됩니다:

1. EAP
2. MS-CHAP v2
3. MS-CHAP v1
4. CHAP
5. SPAP
6. PAP

PPP 인증 프로토콜이 선택되고 나면 인증 및 허가 과정에 사용됩니다. 이 동작에 따라 아래와 같은 예제 구성에서 결과를 혼동할 수 있습니다:

• 원격 액세스 클라이언트는 MS-CHAP v1 또는 MS-CHAP v2를 사용하도록 구성되었습니다.
• 라우팅 및 원격 액세스 서버는 MS-CHAP v1 및 MS-CHAP v2를 사용할 수 있도록 구성되었습니다.
• 일치하는 원격 액세스 정책은 MS-CHAP v1만 사용할 수 있도록 구성되었습니다.

이 연결 시도는 원격 액세스 클라이언트, 라우팅 및 원격 액세스 서버, IAS 정책에서 MS-CHAP v1을 지원하기 때문에 성공적인 것처럼 보입니다. 그러나 원격 액세스 클라이언트가 연결하려고 하면 기본 설정 PPP 인증 프로토콜 목록의 더 높은 위치에 있기 때문에 MS-CHAP v2 인증을 협상합니다. 따라서 일치하는 원격 액세스 정책의 프로필 설정이 평가될 때 연결 시도가 거부됩니다.

라우팅 및 원격 액세스 서버는 목록의 다음 인증 프로토콜 MS-CHAP v1로 PPP 인증 프로세스를 다시 시작하지 않고, 액세스 거부를 받았기 때문에 연결을 거부합니다.

IAS 인증과 허가 프로세스

그림 13과 14의 다이어그램은 IAS 인증과 허가 프로세스를 단계별로 보여 줍니다:

브라우저에서 인라인 프레임이 지원되지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 13 IAS 인증과 허가 프로세스(부분 1)

브라우저에서 인라인 프레임이 지원되지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 14 IAS 인증과 허가 프로세스(부분 2)

참고 Windows 인증용으로 구성된 경우, 라우팅 및 원격 액세스 서비스의 인증과 허가 프로세스는 이 프로세스의 단계 4에서 단계 14까지 사용하며 모든 단계에서 RADIUS 패킷을 보내지 않습니다. 인증과 허가의 성공과 실패는 라우팅 및 원격 액세스 서비스가 호출하는 함수의 반환 값입니다. 로컬 이벤트 또는 인증 로깅은 라우팅 및 원격 액세스 서비스의 구성된 로깅 설정에 따라 달라집니다.

1. RADIUS 패킷 확인

소스 IP 주소, 디지털 서명, 유효한 특성 등에 대해 수신 액세스 요청 패킷을 확인합니다. RADIUS 패킷이 잘못되었으면 시스템 이벤트 로그에 이벤트를 기록하고 RADIUS 액세스 요청 패킷을 삭제하며, 액세스 요청 메시지를 보내지 않습니다.

2. 자동 거부 검사

자동 거부는 액세스 요청 패킷의 User-Name 특성이 특정 값과 일치할 때 즉시 액세스 거부 패킷을 보내기 위해 사용됩니다. 액세스 요청 패킷을 정기적으로 보내고 액세스 거부 패킷을 받으면 RADIUS 클라이언트는 RADIUS 서버가 아직 네트워크에 연결되어 있다는 것을 확인할 수 있습니다. 자동 거부 액세스 요청 메시지는 인증과 허가에 대해 평가할 필요가 없기 때문에 특수하게 처리해야 합니다. 자동 거부 요청에 대해서는 인증 로그 파일이 자동 거부 메시지로 채워지는 것을 막기 위해 인증 로그 항목을 만들지 않습니다.

자동 거부를 사용하도록 IAS를 구성하려면 자동 거부 패킷에 대한 사용자 이름으로 Ping User-Name 레지스트리 설정(HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \IAS \Parameters)을 구성합니다. 액세스 요청 패킷의 User-Name 특성을 Ping User-Name 레지스트리 설정과 일치하면 액세스 거부 메시지를 보냅니다.

3. 영역 삭제 규칙 적용

액세스 요청 패킷의 User-Name 특성이 자동 거부 이름이 아니면 사용자 ID를 결정합니다. 사용자 ID는 IAS에서 인증과 허가 목적으로 사용자를 식별하기 위해 사용하는 것입니다. 일반적으로 사용자 ID는 User-Name RADIUS 특성의 문자열 값입니다. User-Name 특성이 없으면 사용자 ID를 게스트 계정 또는 Default User Identity 레지스트리 값(HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \RemoteAccess\Policy)에 지정된 계정으로 설정합니다.

그러나 IAS에서는 임의의 RADIUS 특성을 사용하여 사용자를 식별할 수 있습니다. 사용하는 특성은 User Identity Attribute 레지스트리 설정(HKEY_LOCAL_MACHINE \SYSTEM CurrentControlSet\Services\RemoteAccess\Policy)을 사용자 ID에 사용된 RADIUS 특성의 번호로 설정하여 구성할 수 있습니다. 기본적으로 User Identity Attribute는 User-Name RADIUS 특성의 값 1로 설정되어 있습니다. User Identity Attribute 레지스트리 설정 사용에 대한 정보는 "인증되지 않은 액세스"를 참조하십시오.

그런 다음 영역 삭제 규칙을 적용하여 이름이 있는지 검사하기 전에 사용자 ID를 조작하는 방법을 정의합니다. 영역 삭제 규칙은 정렬된 세트 <Original string to match>, <Replacement String>로 구성됩니다. IAS는 구성된 순서대로 사용자 ID에 영역 삭제 규칙을 적용합니다. 영역 삭제를 구성하는 방법과 패턴 구문을 사용하여 영역 삭제 규칙을 만드는 예제에 대한 정보는 Windows 2000 Server 온라인 도움말을 참조하십시오.

4. 이름 크래킹 수행

이름 크래킹은 사용자 이름, LDAP(Lightweight Directory Access Protocol), 고유 이름(DNA), 정식 이름 등을 사용하여 사용자 ID를 사용자 계정으로 확인하는 것입니다. IAS는 사용자 이름을 발견하면 Active Directory 글로벌 카탈로그에 쿼리를 수행하여 이름을 확인하려고 합니다. 이 프로세스의 속도를 높이기 위해 IAS 서버와 같은 사이트의 도메인 컨트롤러에 글로벌 카탈로그 복사본을 두어야 합니다.

사용자 ID에 도메인 이름이 없으면 IAS가 제공합니다. 기본적으로 IAS 제공 도메인 이름은 IAS 서버가 구성원으로 속한 도메인입니다. Defaultdomain 레지스트리 설정(HKEY_LOCAL_MACHINE \SYSTEM CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn)을 통해 IAS 제공 도메인 이름을 지정할 수 있습니다.

5. 인증 플러그 인 검사

인증 플러그 인이 있는지를 검사합니다. 인증 플러그 인은 IAS SDK로 만든 선택적 구성 요소입니다. 각 플러그 인은 Accept, Reject, Continue를 반환할 수 있습니다. 인증 플러그 인이 Accept를 반환하면 사용자가 인증된 것으로 간주하고 계정을 확인합니다. 인증 플러그 인이 Reject를 반환하면 액세스 요청 패킷을 보내고 구성된 로깅 설정에 따라 시스템 이벤트 로그 또는 IAS 인증 로그에 인증 실패 이벤트를 기록합니다. 인증 플러그 인이 Continue를 반환하면 다음 플러그 인을 검사합니다. 사용할 수 있는 플러그 인이 더 이상 없더라도 여전히 사용자는 인증해야 합니다.

인증 플러그 인이 액세스 요청 패킷에 포함할 RADIUS 특성을 반환할 수도 있습니다.

인증 플러그 인이 Accept를 반환하면 원격 액세스 계정 잠금을 검사하지 않고 6단계를 건너뜁니다.

6. 원격 액세스 계정 잠금 검사

사용자 계정에 대해 원격 액세스 계정 잠금이 지정되었는지 확인하기 위해 IAS 서버 레지스트리를 읽습니다. 계정이 원격 액세스 계정 잠금을 통해 잠겨 있으면 IAS가 액세스 거부 메시지를 NAS에 되돌려 보내고 인증 이벤트를 기록합니다.

참고 원격 액세스 계정 잠금은 Windows 2000 레지스트리를 통해 사용할 수 있는 보안 기능입니다. 원격 액세스 계정 잠금은 사용자 계정에 대한 사전 공격(dictionary attack)을 막기 위해 사용됩니다. 원격 액세스 계정 잠금에 대한 정보는 보안과 IAS 절을 참조하십시오. 원격 액세스 계정 잠금은 Windows 2000 사용자 계정에 대한 계정 잠금 및 Windows 2000 그룹 정책을 통한 계정 잠금 정책의 구현과는 관계가 없습니다.

7. MS-CHAP, CHAP, PAP 검사

원격 액세스 클라이언트를 인증하기 위해 Microsoft Challenge Handshake 인증 프로토콜(MS-CHAP) 버전 1 또는 2, CHAP, 암호 인증 프로토콜(PAP)을 사용하는 경우, IAS는 인증 프로토콜에 기초한 인증 모듈을 참조하여 인증을 수행합니다. 계정 데이터베이스(도메인 또는 로컬 계정 데이터베이스)의 사용자 이름과 암호에 대해 사용자의 자격 증명(사용자 이름과 암호)을 인증한 다음, 사용자 계정의 그룹 구성원을 결정합니다. 정확한 인증 방법은 인증 프로토콜에 따라 달라집니다.

자격 증명의 인증에 성공하지 못하면 액세스 거부 패킷을 보내고 구성된 로깅 설정에 따라 시스템 이벤트 로그 또는 IAS 인증 로그에 인증 실패 이벤트를 기록합니다.

EAP 또는 인증되지 않은 액세스를 사용하는 경우에는 사용자 인증 프로세스를 무시합니다. EAP 인증은 이 프로세스의 뒷부분에서 수행되며, 인증되지 않은 액세스에 대해서는 사용자 인증을 수행하지 않습니다.

8. 사용자 계정 확인

이름 크래킹을 통해 결정한 사용자 계정에 따라 사용자 계정을 확인하여 계정이 잠겨 있는지 여부(원격 액세스 계정 잠금과는 다름), 연결이 사용자 계정의 로그인 중에 이루어지는지, 사용할 수 없는지 또는 만료된 암호가 있는지를 알아냅니다. 사용자 계정이 유효하지 않으면 액세스 거부 패킷을 보내고 구성된 로깅 설정에 따라 시스템 이벤트 로그 또는 IAS 인증 로그에 인증 실패 이벤트를 기록합니다.

9. 정책 평가 수행

IAS 서버에 구성된 원격 액세스 정책을 평가하여 연결의 매개 변수와 일치하는 정책을 찾습니다. 일치하는 정책이 없으면 액세스 거부 패킷을 보내고 이벤트를 기록합니다. 원격 액세스 정책과 정책 평가 논리에 대한 정보는 원격 액세스 정책 절을 참조하십시오.

10. 전화 접속 로그인 속성 얻기 및 프로필 속성과 병합

연결 및 일치하는 정책의 프로필 속성과 관련된 사용자 계정의 전화 접속 로그인 속성을 연결 속성 집합에 병합합니다.

11. EAP 인증 검사

연결 시도에 대해 EAP 인증 프로토콜을 사용하면 EAP 인증이 수행됩니다. EAP의 초기 협상은 PPP 인증 프로토콜로 EAP 선택과 EAP 종류 협상으로 구성됩니다. EAP 종류에 따라 일치하는 정책의 프로필 속성을 검사하여 해당 EAP 종류를 사용할 수 있는지 확인합니다. 프로필 설정에 EAP 종류를 사용할 수 없으면 액세스 거부 패킷을 보내고 구성된 로깅 설정에 따라 시스템 이벤트 로그 또는 IAS 인증 로그에 인증 실패 이벤트를 기록합니다.

프로필 설정에 EAP 종류를 사용할 수 있으면 EAP 종류에 대한 EAP 인증을 수행합니다. IAS는 NAS에 EAP challenge를 보내 EAP 협상을 요청합니다. 클라이언트의 EAP 동적 연결 라이브러리(DLL) 간의 통신은 클라이언트와 RADIUS 프로토콜을 사용하는 IAS 서버 사이에 터널링됩니다. EAP 인증이 실패하면 액세스 거부 패킷을 보내고 구성된 로깅 설정에 따라 시스템 이벤트 로그 또는 IAS 인증 로그에 인증 실패 이벤트를 기록합니다.

12. 사용자 속성과 프로필 속성 검사

사용자 계정의 전화 접속 로그인 속성과 일치하는 원격 액세스 정책의 프로필 속성을 연결 시도의 매개 변수에 대해 평가하여 사용할 수 있는지 확인합니다. 연결 시도가 허용되지 않으면 액세스 거부 패킷을 보내고 구성된 로깅 설정에 따라 시스템 이벤트 로그 또는 IAS 인증 로그에 인증 실패 이벤트를 기록합니다.

13. 인증 플러그 인 검사

인증 플러그 인이 있는지 검사합니다. 인증 플러그 인은 IAS SDK로 만든 선택적 구성 요소입니다. 각 플러그 인은 Reject 또는 Continue를 반환할 수 있습니다. 인증 플러그 인이 Reject를 반환하면 액세스 거부 패킷을 보내고 구성된 로깅 설정에 따라 시스템 이벤트 로그 또는 IAS 인증 로그에 인증 실패 이벤트를 기록합니다. 인증 플러그 인이 Continue를 반환하면 다음 플러그 인을 검사합니다. 플러그 인이 더 이상 없으면 사용자가 인증된 것으로 간주합니다.

인증 플러그 인이 액세스 허용 패킷에 포함할 RADIUS 특성을 반환할 수도 있습니다.

14. 액세스 허용 보내기

사용자 계정의 전화 접속 로그인 속성, 일치하는 원격 액세스 정책의 프로필 속성, 인증 플러그 인에 제시된 조건으로 모두 연결 시도를 허용하면 BAS에 액세스 허용 패킷을 되돌려 보냅니다. 이 패킷에는 연결을 제한하는 RADIUS 특성의 집합이 들어 있습니다. 이 때 구성된 로깅 설정에 따라 시스템 이벤트 로그 또는 IAS 인증 로그에 인증 성공 이벤트를 기록합니다.

인증되지 않은 액세스

인증되지 않은 액세스로 자격 증명을 검사하지 않고 원격 액세스 사용자를 연결하도록 허용할 수 있습니다. 예를 들어, IAS는 사용자 이름과 암호를 확인하지 않습니다. 수행되는 사용자 확인은 허가뿐입니다. 인증되지 않은 액세스를 사용하면 보안 위험이 따르므로 깊이 생각해야 합니다.

여기서 세 가지 인증되지 않은 액세스 시나리오를 설명합니다:

1. 게스트 액세스
2. 연결할 전화 번호 확인 서비스(DNIS) 인증
3. 자동 번호 확인/전화 회선 확인(ANI/CLI) 인증

PPP 연결을 위한 게스트 액세스

게스트 액세스를 사용하면 사용자 이름과 암호가 없어도 PPP 연결을 만들 수 있습니다. 라우팅 및 원격 액세스 서비스와 IAS 모두 인증되지 않은 액세스를 지원하도록 구성해야 합니다. Windows 2000 라우팅 및 원격 액세스 서비스의 경우, 라우팅 및 원격 액세스 관리 도구의 서버 속성에 있는 인증 탭에서 인증되지 않은 액세스를 사용하도록 설정합니다.

원격 액세스 서버는 연결 시도를 받으면 서버에서 사용할 수 있는 서로 다른 인증 종류를 사용자와 협상합니다. 클라이언트는 한 종류를 허용하면 해당 자격 증명을 보냅니다. 사용자가 인증을 거부하면 라우팅 및 원격 액세스 서비스가 해당 속성을 검사하여 인증되지 않은 액세스가 사용되는지 확인하고, 사용되면 액세스 요청 패킷을 IAS에 전달합니다. 이 액세스 요청 패킷에는 User-Name 특성이나 다른 자격 증명이 들어 있지 않습니다.

IAS는 User-Name 특성이 없는 패킷을 받으면 사용자가 게스트 액세스를 사용하여 연결하려고 하는 것으로 가정합니다. 이 경우, IAS는 도메인에 있는 게스트 계정의 이름을 사용자 ID로 사용합니다. 그런 다음 정확한 프로필을 결정하기 위해 정책을 평가합니다. 일치하는 것이 있고 프로필에 인증되지 않은 액세스가 사용되면 다른 허가를 확인하고 액세스 허용 패킷을 반환합니다. 계정 로그 파일에는 사용자 ID와 사용자가 게스트 액세스로 로그온했는지 여부를 결정하는 데 사용할 수 있는 인증 종류가 기록됩니다.

게스트 액세스 사용

게스트 액세스를 사용하려면 아래와 같이 수행합니다:

1. 원격 액세스 서버에서 인증되지 않은 액세스를 사용하도록 설정합니다.
2. 해당 원격 액세스 정책에서 인증되지 않은 액세스를 사용하도록 설정합니다.
3. 게스트 계정을 사용하도록 설정합니다.
4. 사용 중인 원격 액세스 정책 관리 모델에 따라 게스트 계정의 원격 액세스 권한을 액세스 허용 또는 원격 액세스 정책을 통해 액세스 제어로 설정합니다.

게스트 계정을 허용하고 싶지 않으면 사용자 계정을 만들고 새 사용자 계정에 대해 단계 4를 수행합니다. 그런 다음 인증 서버(원격 액세스 서버 또는 IAS 서버)에서 Default User Identity 레지스트리 값(HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services RemoteAccess\Policy)을 계정 이름으로 설정합니다.

인증 프로토콜 사용, 인증 구성, 사용할 없도록 설정된 사용자 계정 사용에 대한 정보는 Windows 2000 Server 온라인 도움말을 참조하십시오.

게스트 액세스 예제

1. PPP 협상 중에 클라이언트가 NAS의 모든 PPP 인증 프로토콜을 거부합니다.
2. NAS가 인증되지 않은 액세스를 허용하도록 구성되어 있으면 NAS는 User-Name 특성과 암호 없이 액세스 요청 패킷을 보냅니다. Windows 2000 라우팅 및 원격 액세스 서비스의 경우, 인증되지 않은 액세스는 라우팅 및 원격 액세스 관리 도구의 서버 속성에 있는 인증 탭에서 사용하도록 설정합니다.
3. 액세스 요청 패킷에 User-Name 특성이 없기 때문에 사용자 ID를 Guest(또는 Default User Identity의 값)로 설정하며, 기본적으로 IAS 사용자 ID는 User-Name 특성을 사용합니다.
4. 사용자 ID가 Guest인데 인증되지 않은 연결을 시도하면 앞에서 설명한 인증과 허가 프로세스가 수행됩니다. 연결 시도가 인증되지 않은 액세스를 사용하도록 설정한 프로필 설정이 있는 정책과 일치하고 게스트 계정이 사용하도록 설정되어 있고 해당 원격 액세스 권한이 있으면 IAS가 액세스 허용 패킷을 NAS에 보냅니다.

DNIS 인증

연결할 전화 번호 확인 서비스(DNIS) 인증은 호출된 번호에 따라 연결을 인증하며, 이 특성을 스테이션 ID라 합니다. DNIS는 호출 수신자에게 걸려 온 번호와 표준 통신 회사가 제공한 번호를 식별합니다. IAS는 Called-Station-ID 특성에 따라 전화 접속 사용자와 원격 액세스 사용자에게 서로 다른 서비스를 제공합니다.

DNIS 인증 사용

DNIS 인증을 사용하려면 아래 단계를 수행해야 합니다:

1. 원격 액세스 서버에서 인증되지 않은 액세스를 사용하도록 설정합니다.
2. 인증 서버(원격 액세스 서버 또는 IAS 서버)에 called-station-ID 조건이 전화 번호로 설정된 DNIS 기반 인증을 위한 원격 액세스 정책을 만듭니다.
3. DNIS 기반 인증을 위해 원격 액세스 정책에서 인증되지 않은 액세스를 사용하도록 설정합니다.

ANI 인증

ANI 인증은 사용자가 호출하는 번호를 이용하며, 이 특성을 호출 스테이션 ID 또는 호출자 ID라 합니다. IAS는 calling-station-ID 특성에 따라 전화 접속 사용자와 원격 액세스 사용자에게 서로 다른 서비스를 제공합니다.

ANI 인증 사용은 사용자 계정의 호출자 ID 전화 접속 로그인 속성을 사용하는 것과는 다릅니다. ANI 인증은 사용자가 사용자 이름이나 암호를 제공하지 않고 유효한 인증 방법 사용을 거부할 때 수행됩니다. 이 경우, IAS는 호출 스테이션 ID를 받고 사용자 이름과 암호는 받지 않습니다. ANI 인증을 지원하려면 Active Directory에 사용자 이름이 호출자 ID인 사용자 계정이 있어야 합니다. 이 종류의 인증은 휴대 전화 및 독일과 일본의 ISP에 사용됩니다.

사용자 계정에 호출자 ID 속성을 사용할 때 사용자는 표준 자격 증명(사용자 이름과 암호 등)을 입력하고 유효한 인증 방법을 사용하여 로그온해야 합니다. IAS는 사용자 이름과 암호로 사용자를 인증한 다음 액세스 요청의 calling-station-ID 특성을 사용자 계정의 호출자 ID 속성과 비교하여 연결 시도를 인증합니다.

ANI 인증 사용

1. 원격 액세스 서버에서 인증되지 않은 액세스를 사용하도록 설정합니다.
2. ANI/CLI 기반 인증을 위해 해당 원격 액세스 정책에서 인증되지 않은 액세스를 사용하도록 설정합니다.
3. ANI/CLI 인증을 제공하기 위해 호출하는 데 사용할 각 번호에 대한 사용자 계정을 만듭니다. 사용자 계정의 이름은 사용자가 전화를 거는 번호와 일치해야 합니다. 예를 들어, 사용자가 555-0100에서 전화를 거는 경우 사용자 계정 "5550100"을 만듭니다.
4. 인증 서버에서 User Identity Attribute 레지스트리 값(HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services RemoteAccess\Policy)을 31로 설정합니다.

이 레지스트리 설정을 사용하려면 인증 서버에서 호출 번호(RADIUS 특성 31, Calling-Station-ID)를 호출 사용자의 ID로 사용해야 합니다. 사용자 ID는 연결 시도에 제공된 사용자 이름이 없는 경우에만 호출 번호로 설정됩니다.

항상 호출 번호를 사용자 ID로 사용하려면 인증 서버에서 Override User-Name 레지스트리 값(HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services RemoteAccess\Policy)을 1로 설정합니다.

그러나 Override User-Name을 1로 설정하고 User Identity 특성을 31로 설정하면 인증 서버에서 ANI/CLI 기반 인증만 수행할 수 있습니다. 즉, MS-CHAP, CHAP, EAP와 같은 인증 프로토콜을 이용한 보통의 인증은 사용할 수 없도록 설정됩니다.

ANI 예제

아래 예제에서는 전화 번호 555-0100에서 전화를 거는 고객에 대해 ANI/CLI 인증이 작동하는 원리를 설명합니다. "5550100"이라는 사용자 계정이 만들어진 것으로 가정합니다.

1. PPP 협상 중에 클라이언트는 NAS의 모든 PPP 인증 프로토콜을 거부합니다.
2. NAS가 인증되지 않은 액세스를 허용하도록 구성되어 있으면 NAS는 User-Name 특성과 암호 없이 액세스 요청 패킷을 보냅니다.
3. 액세스 요청 패킷에 User-Name 특성이 없고 IAS 사용자 ID가 호출 스테이션 ID를 사용하도록 구성되어 있으므로 사용자 ID는 "5550100"로 설정됩니다.
4. 사용자 ID가 "5550100"이고 인증되지 않은 연결 시도에 대해서는 앞에서 설명한 인증과 허가 프로세스를 수행합니다. 연결 시도가 인증되지 않은 액세스를 사용하도록 설정한 프로필 설정이 있는 정책과 일치하고 "5550100" 사용자 계정이 해당 원격 액세스 권한을 가지고 있으면 IAS가 액세스 허용 패킷을 NAS에 보냅니다.

IAS 계정

IAS는 감사와 과금 목적으로 네트워크 사용량을 추적하는 데 사용할 수 있는 RADIUS 계정을 지원합니다. RADIUS 계정은 아래와 같은 장점을 제공합니다:

• 실시간 데이터 수집
• 중앙 위치에서 계정 데이터 수집 가능
• 다른 제품을 사용하여 RADIUS 계정 데이터 분석 및 비용 청구, 성능, 예외 보고 제공 가능

클라이언트가 RADIUS 계정을 사용하도록 구성되어 있으면 제공하는 서비스 종류와 서비스 제공을 시작할 때의 대상 사용자를 설명하는 계정 시작 패킷을 생성합니다. 이 패킷을 RADIUS 계정 서버로 보내면, RADIUS 계정 서버가 수신을 확인하는 승인을 반환합니다. 서비스 제공이 종료될 때 클라이언트는 제공 받은 서비스 종류와 경과된 시간, 입력과 출력 8진수, 입력과 출력 패킷 등 몇몇 선택적 통계를 설명하는 계정 중지 패킷을 생성합니다. 그런 다음 해당 데이터를 RADIUS 계정 서버에 보내면, RADIUS 계정 서버가 패킷 수신 승인을 반환합니다.

계정 요청 패킷(계정 시작 또는 계정 중지)은 네트워크를 통해 RADIUS 계정 서버에 전송됩니다. 지정한 시간 동안 응답이 반환되지 않으면 요청을 여러 번 다시 보냅니다. 또한 기본 서버를 사용할 수 없는 경우 클라이언트는 요청을 대체 서버에 전달할 수 있습니다. 대체 서버는 기본 서버에 대한 실패 횟수가 지정한 횟수를 넘어서면 사용하거나 두 서버를 번갈아 대신 사용하는 방식으로 사용할 수 있습니다. RADIUS 계정 서버는 계정 패킷을 성공적으로 기록할 수 없으면 클라이언트에 계정 응답 알림을 보내지 않습니다. 예를 들어, 로그 파일이 완전히 채워지면 IAS가 NAS를 백업 IAS 서버로 전환하라는 메시지를 표시하고 계정 패킷을 삭제하기 시작합니다.

IAS 로그 파일

IAS는 네트워크 액세스 서버가 반환한 데이터에 따라 로그 파일을 만들 수 있습니다. 이 정보는 사용량을 기억하고 인증 정보를 계정 레코드와 연결하는(예를 들어, 없어진 레코드를 검색하기 위해) 데 유용합니다.

IAS는 다음 두 형식의 로그 파일을 지원합니다:

• 데이터베이스 형식

데이터베이스 형식을 사용하여 미리 결정된 속성 세트를 기억할 수 있습니다. 데이터를 데이터베이스에 직접 가져오려면 데이터베이스 형식을 사용하십시오.

• IAS 형식

데이터베이스 로그 형식에 허용되는 것보다 더 자세한 정보를 기록하려면 IAS 형식을 사용할 수 있습니다. IAS 형식은 모든 속성에 대한 정보를 포함할 수 있습니다.

참고 IAS 로그 파일에는 모든 IAS 사용자 관련 이벤트가 들어 있습니다. IAS 서비스와 시스템 관련 이벤트는 Windows 2000 시스템 이벤트 로그에 기록됩니다.

IAS 로그 파일 형식에 대한 정보는 Windows 2000 Server 도움말을 참조하십시오.

IAS 구성

IAS 구성은 아래와 같은 설정으로 구성됩니다:

• RADIUS 클라이언트와 독립적인 IAS 서버에 대한 글로벌 속성
• RADIUS 패킷을 IAS 서버에 보내는 각 NAS마다 한 클라이언트를 포함한 RADIUS 클라이언트
• IAS 서버의 모든 RADIUS 클라이언트에 대해 모든 연결 종류를 허용하거나 거부하는 정책의 목록으로 구성되는 원격 액세스 정책
• 기록할 이벤트 종류, 로그 파일 형식, 로그 파일 설정으로 구성되는 원격 액세스 로깅

이 절에서는 IAS 구성 외에 Windows 2000 라우팅 및 원격 액세스 서비스를 IAS 서버에 대한 RADIUS 클라이언트로 구성하는 방법에 대해서도 설명합니다.

참고 아래의 모든 지침은 인터넷 인증 서비스 관리 도구에서 시작합니다.

IAS 속성

IAS 서버의 글로벌 속성을 구성하려면 인터넷 인증 서비스를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

서비스 탭

그림 15는 IAS 서버에 대한 서비스 탭을 나타냅니다:

브라우저에서 인라인 프레임이 지원되지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 15 IAS 서버의 속성에 대한 서비스 탭

서비스 탭은 아래와 같은 작업에 사용됩니다:

• 서버의 이름을 입력하여 다른 IAS 서버와 구분. 기본 이름은 IAS입니다.
• 거부되거나 삭제된 인증 요청을 Windows 2000 시스템 이벤트 로그에 기록할 수 있거나 기록할 수 없도록 설정. 이 옵션은 기본적으로 사용하도록 설정되어 있습니다.
• 성공적인 인증 요청을 Windows 2000 시스템 이벤트 로그에 기록할 수 있거나 기록할 수 없도록 설정. 이 옵션은 기본적으로 사용하도록 설정되어 있습니다.

RADIUS 탭

그림 16은 IAS 서버에 대한 RADIUS 탭을 나타냅니다:

브라우저에서 인라인 프레임이 지원되지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 16 IAS 서버의 속성에 대한 RADIUS 탭

RADIUS 탭은 아래와 같은 작업에 사용됩니다:

• RADIUS 인증 메시지를 보내고 받은 UDP 포트의 목록을 열거. 기본적으로 IAS는 UDP 포트 1812와 1645를 사용합니다. UDP 포트 1812는 RFC 2138에 설명된 예약된 RADIUS 인증 포트입니다. UDP 포트 1645는 RADIUS 클라이언트에 사용됩니다.
• RADIUS 계정 메시지를 보내고 받은 UDP 포트의 목록을 열거. 기본적으로 IAS는 UDP 포트 1813과 1646을 사용합니다. UDP 포트 1813은 RFC 2139에 설명된 예약된 RADIUS 계정 포트입니다. UDP 포트 1646은 이전 버전의 RADIUS 클라이언트에 사용됩니다.

영역 탭

그림 17은 IAS 서버에 대한 영역 탭을 나타냅니다:

브라우저에서 인라인 프레임이 지원되지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 17 IAS 서버의 속성에 대한 영역 탭

영역 탭은 이름 크래킹과 인증 전에 영역 이름을 조작하는 찾아 바꾸기 규칙의 우선 순위가 매겨진 목록을 구성하기 위해 사용됩니다. 패턴 일치 구문을 사용하여 찾아 바꿀 문자열을 지정할 수 있습니다. 패턴 일치 구문에 대한 정보는 부록 D를 참조하십시오. 찾아 바꾸기 규칙은 추가, 편집, 삭제할 수 있으며 열거된 순서대로 수신 사용자 이름에 적용됩니다. 순서를 지정하려면 위로 이동 단추와 아래로 이동 단추를 사용합니다.

클라이언트

IAS 서버에 대한 새 RADIUS 클라이언트를 추가하려면 클라이언트를 마우스 오른쪽 단추로 클릭한 다음 새 클라이언트를 클릭합니다. 절차를 안내하는 IAS 새 클라이언트 마법사가 나타납니다. 기존 클라이언트의 속성을 수정하려면 클라이언트 이름을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

그림 18은 RADIUS 클라이언트의 속성을 나타냅니다:

브라우저에서 인라인 프레임이 지원되지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 18 RADIUS 클라이언트의 속성

속성 탭은 아래와 같은 작업에 사용됩니다:

• RADIUS 클라이언트의 이름 지정. 이 이름은 DNS, NetBIOS, 또는 RADIUS 클라이언트의 컴퓨터 이름과 대응하지 않을 수 있습니다.
• RADIUS 클라이언트의 IP 주소 또는 DNS 이름 지정. DNS 이름을 지정하면 이름이 정확한 주소로 확인되는지 확인할 수 있습니다. DNS 이름이 여러 개의 IP 주소와 연결되는 경우에는 사용할 주소를 선택할 수 있습니다.
• RADIUS 클라이언트의 공급업체 지정. 공급업체의 독자적 클라이언트에 대해서는 RADIUS 표준을 선택하고, Windows 2000 라우팅 및 원격 액세스 서버에 대해서는 Microsoft를 선택합니다.
• 클라이언트가 PAP, CHAP, MS-CHAP v1, MS-CHAP v2 인증 프로토콜을 사용한 연결 요청을 위해 액세스 요청 메시지에 항상 RADIUS 서명 특성(일명 "디지털 서명")을 포함해야 하는지 여부를 지정합니다. EAP에서는 서명 특성이 항상 필수입니다. 이 기능을 사용하려면 RADIUS 클라이언트가 항상 서명 특성을 보내도록 구성되었는지 확인해야 합니다. 그렇지 않으면 IAS가 수신할 때 액세스 요청을 삭제합니다.
• 공유 비밀을 지정하고 확인합니다. 공유 비밀은 IAS와 RADIUS 클라이언트 사이에 ID를 상호 확인하기 위해 사용하는 암호입니다. 성공적인 통신을 하려면 IAS와 RADIUS 클라이언트 모두 공유 비밀을 사용하여 구성해야 합니다. 공유 비밀은 128바이트 길이까지 지정할 수 있고 대/소문자를 구분하며 영숫자와 특수 문자를 포함할 수 있습니다. IAS 서버와 RADIUS 클라이언트를 사전 공격과 서비스 거부로부터 보호하려면 공유 비밀을 긴(16문자 이상) 문자, 숫자, 문장 부호 순서로 지정해야 합니다.

원격 액세스 로깅

인터넷 인증 서비스 관리 도구의 원격 액세스 로깅은 로그 파일을 설정을 구성하기 위한 것입니다. 로컬 로깅의 속성에 액세스하려면 원격 액세스 로깅 클릭하고 로컬 파일을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

설정 탭

그림 19는 로컬 파일 속성의 설정 탭을 나타냅니다:

브라우저에서 인라인 프레임이 지원되지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 19 원격 액세스 로깅의 로컬 파일에 대한 설정 탭

설정 탭에서 아래와 같은 작업을 할 수 있습니다:

• 계정 요청을 IAS 로그 파일에 기록하거나 기록하지 않도록 설정. 계정 요청에는 계정 설정, 계정 해제, 계정 시작, 계정 중지 메시지가 있습니다. IAS는 RADIUS 클라이언트가 보낸 계정 요청만 기록합니다. RADIUS 클라이언트가 RADIUS 계정을 위해 구성되어 있지 않으면 해당 클라이언트에 대한 계정 요청을 기록하지 않습니다. 이 설정은 기본적으로 사용할 수 없도록 설정되어 있습니다.
• 인증 요청을 IAS 로그 파일에 기록하거나 기록하지 않도록 설정. 이 설정은 기본적으로 사용할 수 없도록 설정되어 있습니다.
• 임시 계정 요청을 IAS 로그 파일에 기록하거나 기록하지 않도록 설정. 이 설정은 기본적으로 사용할 수 없도록 설정되어 있습니다.

로그 파일 탭

그림 20은 로컬 파일 속성의 로컬 파일 탭을 나타냅니다:

브라우저에서 인라인 프레임이 지원되지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 20 원격 액세스 로깅의 로컬 파일 속성에 대한 로컬 파일 탭

로컬 파일 탭은 아래와 같은 작업에 사용됩니다:

• 로그 파일 형식 지정. 데이터베이스 호환 형식은 대개 로그 파일 정보를 데이터베이스 프로그램으로 옮기려고 할 때 선택한 ODBC 호환 형식입니다. IAS 형식은 RADIUS 메시지의 모든 RADIUS 특성에 대한 정보를 제공하는 ID-값 쌍 형식입니다. 기본적으로 IAS format가 선택되어 있습니다.
• 로그 파일의 기간 또는 최대 크기 지정. 기본적으로 파일 크기 제한 없음이 선택되어 있습니다.
• IAS 로그 파일의 위치 지정

로그 파일 형식에 대한 정보는 Windows 2000 Server 도움말을 참조하십시오.

RADIUS를 위해 Windows 2000 라우팅 및 원격 액세스 서비스 구성

라우팅 및 원격 액세스 서버에서는 라우팅 및 원격 액세스 서버의 속성(라우팅 및 원격 액세스 관리 도구에서 서버 이름을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭)에 있는 보안 탭에서 RADIUS 인증 및 계정을 구성합니다.

그림 21은 라우팅 및 원격 액세스 서버 속성에 대한 보안 탭을 나타냅니다:

브라우저에서 인라인 프레임이 지원되지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 21 라우팅 및 원격 액세스 서버 속성에 대한 보안 탭

RADIUS 인증을 위해 라우팅 및 원격 액세스 서버를 구성하려면 인증 공급자에서 RADIUS 인증을 선택합니다.

그림 22는 RADIUS 서버에 대한 인증 설정을 나타냅니다:

그림 22 RADIUS 서버 인증 설정

RADIUS 서버 추가/편집 대화 상자는 아래와 같은 작업에 사용됩니다:

• RADIUS 서버의 DNS 이름 또는 IP 주소 지정
• 공유 비밀 지정
• 다른 RADIUS 서버를 시도하기 전에 이 RADIUS 서버의 응답을 기다리는 시간(초) 지정
• 이 RADIUS 서버의 초기 응답 능력 지정
• 라우팅 및 원격 액세스 서비스에서 RADIUS 인증 메시지를 보내고 받기 위해 사용하는 UDP 포트 지정
• 라우팅 및 원격 액세스 서버에서 PAP, CHAP, MS-CHAP v1, MS-CHAP v2의 액세스 요청 메시지에 항상 RADIUS 서명 특성을 포함하는지 여부 지정. EAP에서는 서명 특성이 항상 필수입니다. 이 기능을 사용하려면 항상 서명 특성을 받도록 RADIUS 서버를 구성해야 합니다. 이 설정은 요청할 때 클라이언트가 서명 특성을 항상 보냄이라는 RADIUS 클라이언트 설정에 해당하는 RADIUS 클라이언트 설정입니다.

그림 23 계정을 위한 RADIUS 서버의 설정을 나타냅니다:

그림 23 RADIUS 서버의 계정 설정

RADIUS 서버 추가/편집 대화 상자는 아래와 같은 작업에 사용됩니다:

• RADIUS 서버의 DNS 이름 또는 IP 주소 지정
• 공유 비밀 지정
• 다른 RADIUS 서버를 시도하기 전에 이 RADIUS 서버의 응답을 기다리는 시간(초) 지정
• 이 RADIUS 서버의 초기 응답 능력 지정
• 라우팅 및 원격 액세스 서비스에서 RADIUS 계정 메시지를 보내고 받기 위해 사용하는 UDP 포트 지정
• 라우팅 및 원격 액세스 서비스가 시작되고 중지될 때 라우팅 및 원격 액세스 서버에서 RADIUS 계정 설정 및 계정 해제 메시지를 보내는지 여부 지정

IAS 시나리오

IAS는 주로 아래와 같은 시나리오에서 배치됩니다:

• 전화 접속 회사 액세스
• 서비스 공급자를 통해 아웃소싱한 회사 액세스
• 인터넷 액세스

전화 접속 회사 액세스

여기서 원격 인증 전화 접속 회사 연결을 지원하기 위해 IAS를 설치하는 방법을 설명합니다. 이 시나리오에서 회사 네트워크에 액세스를 요구하는 고객이 있는 회사의 대표적 설치와 구성을 보여 줍니다.

이 시나리오에서 아래 내용을 다룹니다:

• 회사의 인증 특징과 요구 사항
• 이 회사 환경을 지원하기 위해 설치된 네트워크 구성 요소
• 이 시나리오에서 구현할 원격 사용자 인증 프로세스
• 이 인증 프로세스를 지원하는 데 필요한 네트워크 구성 요소 설치
• 구현 및 관리에서 고려할 사항

특징과 요구 사항

이 시나리오에서 가정한 회사는 여러 영업 위치와 대규모 본사를 보유하고 있습니다. 모든 위치에서 회사 네트워크에 대한 보안 액세스가 필요합니다. 이 회사는 아래와 같은 특징을 가진 환경에서 원격 사용자를 인증하는 신뢰성 있는 방법을 필요로 합니다:

• 회사 네트워크에서는 Active Directory를 사용하여 사용자 액세스를 제어합니다.
• 영업 위치에는 회사 네트워크에 대한 필요 시 전화 접속 연결이 있습니다.
• 네트워크 서버의 원격 관리가 필요합니다.
• 액세스 능력은 직원에 따라 다를 수 있으며 소속된 그룹에 따라 특정 직원에게 액세스가 허용됩니다.(예를 들어, 회사 직원에게는 원격 액세스를 허용하지만 계약 직원에게는 허용하지 않습니다.)
• 사용자는 가정에서 또는 출장 중에 전화를 걸 때 네트워크에 액세스할 수 있어야 합니다.

참고 이 시나리오에서는 Windows 2000 라우팅 및 원격 액세스를 구성하기 위한 IAS 설치와 기본적인 단계만 다룹니다. 자세한 정보는 Windows 2000 Server 도움말의 원격 액세스 시나리오를 참조하십시오.

네트워크 구성 요소

IAS 서버는 원격 사용자를 인증하기 위해 회사 네트워크에 설치됩니다. 이 시나리오를 지원하기 위해 아래와 같은 구성 요소가 설치됩니다:

회사 네트워크:

• Windows 2000 Server를 실행하고 LAN(Local Area Network)에 연결된 기본 IAS 서버와 백업 IAS 서버. IAS 서버는 원격 액세스 서버의 인증, 허가, 계정, 감사를 수행하는 RADIUS로 사용됩니다.
• Windows 2000 Server를 실행하고 LAN에 연결된 Active Directory 도메인 컨트롤러. Active Directory에는 원격 사용자에 대한 원격 액세스 정책을 설정하는 데 사용되는 사용자 계정과 그룹이 있습니다.
• Windows 2000 Server의 라우팅 및 원격 액세스 서비스 구성 요소를 실행하고 LAN에 연결된 네트워크 액세스 서버(NAS). NAS는 RADIUS 클라이언트로 작동하며 해당 RADIUS 서버(이 시나리오에서는 IAS)에 사용자 정보를 전달하고 응답에 대해 조치할 책임이 있습니다.

참고 이 시나리오에서는 라우팅 및 원격 액세스 서버를 NAS로 사용합니다. 다른 RADIUS 호환 NAS(CISCO, Ascend, US Robotics 등)를 사용하는 경우에는 해당 용도를 반영하여 구성을 변경해야 합니다.

각 원격 전화 접속 사용자에 대해:

• 모뎀(또는 기타 지원되는 통신 장치) 및 지점간 프로토콜(PPP)을 사용하여 표준 전화 접속 액세스 기능을 지원하도록 구성된 연결 소프트웨어

이 시나리오의 인증 프로세스

네트워크 구성 요소에 따라 인증 처리가 결정됩니다. 설정과 구성을 이 시나리오에 지정된 대로 사용하면 계정과 인증은 아래와 같이 수행됩니다:

• NAS가 시작되면 계정 설정 패킷을 보냅니다.
• 원격 사용자가 회사에 전화 접속하면 그림 24와 같은 프로세스가 시작되며 모든 요청과 응답이 기록됩니다:



그림 24 전화 접속 회사 액세스 시나리오의 인증 프로세스

1. 사용자가 NAS에 접근하기 위해 회사 번호로 전화를 겁니다.
2. NAS가 IAS 서버에 RADIUS 인증 요청을 보냅니다.
3. IAS가 도메인 컨트롤러에 인증 요청을 전달하고, 도메인 컨트롤러에서 사용자 자격 증명을 검사합니다.
4. IAS가 원격 액세스 정책과 사용자 속성을 사용하여 전화 접속 액세스가 허용되는지 여부를 결정합니다.

참고 IAS가 사용자 계정의 특성을 읽으려면 권한이 필요하며, 이 권한은 서버가 기본 제공 RAS 및 IAS 서버 보안 그룹의 구성원이면 부여됩니다.

5. 원격 액세스 정책이 일치하고 프로필에 따라 사용자를 거부하지 않으면 IAS가 액세스 허용 패킷을 보냅니다.

액세스 허용 패킷에 지정된 연결 설정에 따라 사용자에게 액세스가 허용됩니다. 그런 다음 NAS가 클라이언트에 IP 주소와 다른 매개 변수를 할당하고 클라이언트와 보내고 받는 패킷 라우팅을 시작합니다.

• NAS가 사용자 세션이 시작되었음을 나타내는 계정 시작 패킷을 IAS 서버에 보냅니다.
• 세션 중에 임시 계정 패킷을 보냅니다.
• 사용자가 연결을 끊으면 NAS가 사용자 세션의 종료를 나타내는 계정 중지 패킷을 IAS 서버에 보냅니다.

설치

이 시나리오를 지원하기 위해 IAS를 설치하려면 아래와 같이 수행합니다:

1. 도메인 컨트롤러가 원격 사용자를 지원하도록 구성되었는지 확인합니다.
2. IAS를 설치 및 구성합니다.
3. 기본 IAS 서버의 IAS 구성을 백업 IAS 서버로 복사합니다.
4. Active Directory로 기본 및 백업 IAS 서버를 등록합니다.
5. NAS에서 RADIUS 계정과 인증의 구성을 확인합니다.
6. 원격 사용자의 연결 기능을 확인합니다.

아래에 이러한 설치 단계와 설치를 완료하기 위한 요구 사항을 자세히 설명합니다:

단계 1: 도메인 컨트롤러가 원격 사용자를 지원하도록 구성되었는지 확인

원격 사용자가 적절한 유니버설 및 중첩 그룹에 있는지, 그리고 IAS를 실행 중인 컴퓨터가 도메인의 사용자 계정을 읽을 권한을 가지고 있는지를 확인한 다음, LAN에 로그온할 수 있는지 테스트하여 사용자 이름과 암호를 확인합니다.

참고 CHAP 지원을 지정한 경우에는 역으로 암호화된 암호를 지원하도록 구성해야 합니다. 자세한 정보는 Windows 2000 온라인 도움말을 참조하십시오.

단계 2: IAS 설치 및 구성

회사 네트워크에 기본 IAS 서버를 설치하려면 아래와 같이 수행합니다:

1. IAS 서버가 원격 사용자를 인증하는 포리스트의 구성원인지 확인합니다. 이 작업을 위해 트러스트 관계가 필요하며 Active Directory 포리스트의 모든 도메인은 자동으로 상호간에 트러스트 관계를 가집니다. IAS와 사용자 계정이 동일한 포리스트에 있지 않은 경우, 사용자 계정의 도메인은 IAS가 구성원으로 속한 도메인과 트러스트 관계를 가지고 있어야 합니다. 트러스트 관계에 대한 정보는 Windows 2000 Server 도움말의 "도메인 트러스트에 대한 이해"를 참조하십시오.
2. 로컬 관리자 자격 증명으로 로그온합니다.
3. Windows 2000 Server를 설치할 때 IAS를 선택적 구성 요소로 선택하지 않았으면 제어판의 프로그램 추가/제거를 사용하여 설치합니다.
4. 시작,을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 인터넷 인증 서비스를 클릭합니다.

인터넷 인증 서비스 콘솔에서 인터넷 인증 서비스를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭하여 기본 IAS 서버에 대한 속성을 구성합니다:

• 서비스 탭에서 이벤트 로그에 대한 두 옵션을 모두 선택합니다.
• RADIUS 탭에서 사용할 RADIUS 인증 및 RADIUS 계정 UDP 포트를 지정한 다음 확인을 클릭합니다.

참고 이 포트는 NAS에서 사용하는 것과 같아야 합니다. 현재 RADIUS 표준은 UDP 포트 1812(RADIUS 인증용)와 1813(RADIUS 계정용). 기본값은 일반적으로 사용되는 값, 즉 UDP 포트 1813과 1645를 인증에 사용하고 1813과 1646을 계정에 사용하도록 설정되어 있습니다. 포트 설정을 잘 모르면 해당 NAS에 대한 공급업체별 설명서를 참조하십시오.

• 영역 이름은 이 예에서는 사용하지 않기 때문에 영역 탭에 대한 정보는 필요 없습니다.
5. RADIUS 클라이언트에 대한 IAS 지원을 구성합니다. 이를 위해 콘솔 트리에서 클라이언트를 마우스 오른쪽 단추로 클릭하고 새 클라이언트를 클릭한 다음 화면의 지침에 따라 각 RADIUS 클라이언트(각 NAS)에 관한 정보를 추가 및 지정합니다. 즉, 이름, 프로토콜(Radius로 지정), 클라이언트 주소, 클라이언트 공급업체 정보(RADIUS 표준으로 지정), 공유 비밀을 지정합니다.

참고 IAS의 인증과 계정을 위한 공유 비밀이 모두 NAS에 대해 지정한 것과 일치해야 합니다.

디지털 서명을 검사하는 옵션을 사용하기 전에 NAS가 확장할 수 있는 인증 프로토콜(EAP)과 다른 인증 종류에 대한 디지털 서명 보내기를 지원하는지 확인하십시오. EAP의 경우, 디지털 서명은 항상 검사되므로 디지털 서명 옵션을 선택할 필요가 없습니다.

6. 원격 액세스 정책을 설치합니다. 정식 직원과 계약 직원에 대한 액세스 제한이 서로 다르므로 각각 서로 다른 정책을 설치해야 합니다.

아래와 같이 수행하여 정식 직원에 대한 정책을 설치합니다:

1. 인터넷 인증 서비스 콘솔 트리에서 원격 액세스 정책을 마우스 오른쪽 단추로 클릭한 다음 새 원격 서비스 정책을 클릭합니다.
2. 원격 액세스 정책 추가 대화 상자에서 정책의 이름을 지정합니다. 이 시나리오에서는 Permanent employees를 입력한 다음 다음을 클릭합니다.
3. 다음 대화 상자에서 추가를 클릭하여 이 정책에 대한 조건을 지정합니다.
4. 특성 선택 대화 상자의 특성 종류에서 Windows-Groups를 선택하고 추가를 두 번 클릭합니다. 그러고 나서 이 정책을 적용할 그룹(정식 직원 그룹 등)의 이름을 선택하고 추가를 클릭한 다음 확인을 두 번 클릭합니다.
5. 원격 액세스 정책 추가 대화 상자에서 다음을 클릭합니다.
6. 원격 액세스 권한 허용, 다음을 차례로 클릭합니다.
7. 프로필 편집을 클릭합니다.
8. 전화 접속 로그인 프로필 편집 대화 상자의 인증 탭에서 MS-CHAP와 MS-CHAP v2를 인증 방법으로 선택한 확인을 클릭합니다. 프로필의 모든 다른 설정에 대해서는 기본값을 사용합니다.
9. 마침을 클릭합니다.

계약 직원에 대해서도 허용된 액세스 시간을 제한하는 조건을 포함하는 것을 제외하고는 영구 직원의 경우와 같은 원격 액세스 정책을 설치합니다. 이 정책을 설치하려면 영구 직원에 대한 정책을 설정할 때 사용한 단계를 반복하되, 정책 이름을 Contract Employees로 지정한 다음 아래 단계를 수행하여 액세스 시간을 제한합니다:

1. 인터넷 인증 서비스 콘솔 트리의 정보 창에서 Contract Employees를 두 번 클릭합니다.
2. Contract Employees 속성 대화 상자에서 추가를 클릭하여 다른 조건을 추가합니다.
3. 특성 선택 대화 상자에서 Day-And-Time-Restrictions를 선택한 다음 추가를 클릭합니다.

시간 제약 조건 대화 상자에서 액세스 시간(예: 평일만 오전 7시부터 오후 7시까지)을 선택하고 허용됨을 클릭한 다음 확인을 두 번 클릭합니다.

• 구성한 정책이 기본 정책(전화 접속 로그인 권한이 있는 경우 액세스 허용)과 충돌하지 않도록 기본 정책을 삭제합니다.

인증과 계정을 위한 로깅 구성

IAS에서 기본 로깅 구성을 지정할 수 있지만 로깅 데이터를 사용하여 계정을 관리하고 문제를 해결하는 추가 프로그램을 만들고자 할 수 있습니다. 예를 들어, 부서의 원격 액세스 기능 사용을 추적하는 프로그램을 설치할 수 있습니다. 이 시나리오에서는 로깅을 구성할 때 아래 사항을 고려합니다:

• 데이터베이스 가져오기 로그 형식을 사용합니다.
• 로그 파일로 자신의 프로그램에서 통합과 데이터 사용을 쉽게 하려면 데이터베이스 가져오기 로그 형식을 사용해야 합니다. 이 형식을 선택하면 데이터베이스 프로그램을 사용하여 사용, 액세스, 보고서 작성을 위해 로그 파일을 직접 분석할 수 있습니다.
• 서버가 수신하는 모든 종류의 요청(인증, 계정, 정기 업데이트 포함)을 기록하도록 지정해야 합니다. 나중에 이 로깅 정보 중 일부가 필요하지 않으면 선택한 내용을 변경할 수 있습니다.

단계 3: 기본 IAS 서버의 IAS 구성을 백업 IAS 서버에 복사

클라이언트 구성, 원격 액세스 정책, 로깅 구성을 백업 IAS 서버에 복사합니다. 서버 사이의 IAS 구성 복사에 대한 정보는 원격 액세스 정책 관리 절을 참조하십시오.

단계 4: Active Directory로 기본 및 백업 IAS 서버 등록

사용자를 인증하려면 기본 및 백업 IAS 서버를 기본 제공 그룹에 있는 Active Directory의 도메인 컨트롤러에 RAS 및 IAS 서버 보안 그룹의 구성원으로 등록해야 합니다. 아래와 같이 수행하여 IAS 서버를 추가합니다:

1. 도메인 관리자 자격 증명을 사용하여 서버에 로그온합니다.
2. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 Active Directory 사용자 및 컴퓨터를 클릭합니다.
3. 콘솔 트리에서 Users를 클릭합니다.
4. 정보 창에서 RAS 및 IAS 서버를 마우스 오른쪽 단추로 클릭합니다.
5. RAS 및 IAS 서버 속성 대화 상자의 구성원 탭에서 각 IAS 서버를 추가합니다.

참고 : netsh ras register server [domain] [server] 명령을 사용하여 서버를 등록할 수도 있습니다.

단계 5: NAS에서 RADIUS 계정과 인증의 구성 확인

Windows 2000 Server 라우팅 및 원격 액세스를 사용하여 각 NAS에 RADIUS 계정과 인증 구성이 제대로 구성되었는지 확인하고 구성이 IAS의 구성과 일치하는지 확인(단계 2와 3 참조)하려면 아래와 같이 수행합니다:

1. 도메인 관리자 자격 증명을 사용하여 서버에 로그온합니다.
2. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 라우팅 및 원격 액세스를 클릭합니다.

라우팅 및 원격 액세스를 설치한 각 NAS에 대해 서버 이름을 마우스 오른쪽 단추로 클릭하고 속성을 클릭한 다음 아래 정보를 확인합니다.

• 일반 탭에서 원격 액세스 서버가 선택되었는지 확인합니다.

보안 탭에서 아래 내용을 확인합니다:

• RADIUS 인증이 선택되어 있고 각각 해당 공유 비밀 및 포트와 함께 기본 및 백업 IAS 서버를 이용하여 구성되었는가? 인증 방법에 MS-CHAP v2와 MS-CHAP가 선택되었는지 확인합니다.
• RADIUS 계정이 선택되어 있고, 각각 해당 공유 비밀 및 포트와 함께 기본 및 IAS 서버의 이름을 이용하여 구성되었고, RADIUS 계정 설정/해제 메시지 보내기 옵션이 선택되어 있는가?

IP 탭에서 아래 옵션이 선택되어 있는지 확인합니다:

• IP 라우팅 사용
• IP 기반 원격 액세스 및 필요 시 전화 접속 연결 허용
• DHCP(Dynamic Host Configuration Protocol)

단계 6: 원격 사용자의 연결 기능 확인

IAS 설치의 마지막 단계로 원격 전화 접속 사용자가 네트워크 및 전화 접속 연결을 사용하여 회사 네트워크에 액세스할 수 있는지 확인합니다.

구현 및 관리에서 고려할 사항

회사의 규모에 따라 다르지만 아마 IAS 서버 한 대로 충분할 것입니다. 많은 경우 도메인 컨트롤러와 동일한 컴퓨터에 IAS 서버를 설치할 수 있습니다.

참고 이 시나리오에서는 회사 환경의 기본적인 구현 계획을 제공합니다. 현재 환경의 요구 사항을 지원하기 위해 서버 대수나 다른 구현 의사결정을 조정할 수 있습니다.

모든 IAS 관리는 원격으로 관리할 수 있습니다.

원격 액세스 정책을 업데이트해야 하는 경우에는 기본 IAS 서버의 정책을 업데이트한 다음 해당 구성을 다른 IAS 서버에 복사하십시오.

서비스 공급자를 통해 아웃소싱한 회사 액세스

여기서 원격 전화 접속 액세스를 인터넷 서비스 공급자(ISP)에 아웃소싱하는 회사를 지원하도록 IAS를 설치하는 방법을 설명합니다. 이 시나리오에서 가정하는 회사는 ISP와 전체 액세스 계약을 구현하고 회사 직원들이 ISP의 전세계 POP(Points of Presence)에 연결하여 회사 네트워크에 액세스할 수 있도록 구성했습니다.

여기서 아래와 같은 내용을 다룹니다:

• 아웃소싱한 전화 접속 액세스를 사용하여 인증하기 위한 회사 특징과 요구 사항
• 이 회사 환경에서 아웃소싱한 전화 접속 액세스를 지원하기 위해 설치한 네트워크 구성 요소
• 이 시나리오를 사용하여 구현할 원격 사용자 인증 프로세스
• 이 인증 프로세스를 지원하는 데 필요한 네트워크 구성 요소의 구성
• ISP의 전화 접속 액세스 지원을 시작하기 위해 고려할 사항을 포함한 구현 및 관리에서 고려할 사항

특징과 요구 사항

이 시나리오에서 가정하는 회사는 각각 회사 네트워크에 대한 보안 액세스가 필요한 원격 사용자들이 있는 대규모 사업장을 가지고 있습니다. 이 회사는 원격 회사 액세스를 아웃소싱하여 원격 액세스를 제공하는 것이 더 효과적이라고 결정했기 때문에, 이러한 특징을 가진 환경에서 원격 사용자를 인증하는 신뢰성 있는 방법이 필요합니다:

• 회사 네트워크에서는 Active Directory를 사용하여 사용자 액세스를 제어합니다.
• 액세스 기능은 일부 직원에 대해 다를 수 있으며 소속 그룹에 따라 특정 직원에게 액세스를 부여해야 합니다. 예를 들어, 액세스를 정식 직원에게는 허용하고 계약 직원에게는 허용하지 않을 수 있습니다.
• 이 회사에는 회사 네트워크에 액세스하는 보안된 방법이 필요한 원격 사용자가 많이 있습니다.
• 마케팅 및 판매 팀의 구성원은 세계 여러 지역으로 출장하기 때문에 국제/시외 전화 요금을 최소화하기 위해 로컬 전화 접속 연결을 사용하는 글로벌 액세스가 필요합니다.
• 인터넷 연결을 위한 암호화 및 인증 요구 사항은 VPN 연결보다 덜 엄격합니다. 예를 들어, 이 시나리오의 인터넷 연결에서는 CHAP를 사용하고 암호화를 사용하지 않지만 VPN 연결에서는 스마트 카드와 128비트 암호화를 이용하는 확장할 수 있는 인증 프로토콜(EAP)을 사용합니다.
• 사용자들이 가정에서 또는 출장 중에 전화를 걸어 네트워크에 액세스할 수 있어야 합니다.
• 원격 액세스에 대한 아웃소싱 지원을 제공하는 ISP는 전세계에 다수의 POP를 가지고 있는데, 모든 POP는 회사 사용자들에게 회사 네트워크에 대한 보안 액세스를 제공해야 합니다.

참고 이 시나리오에서는 모든 원격 액세스 및 VPN 구성 요소의 전체 구성 요소를 다루지는 않고 IAS 설치만 다룹니다.

네트워크 구성 요소

이 시나리오에서 기본 IAS 서버와 백업 IAS 서버는 원격 사용자를 인증하기 위해 회사 네트워크에 설치됩니다. 이 시나리오를 지원하기 위해 아래와 같은 구성 요소를 설치합니다:

회사 네트워크:

• Windows 2000 Server를 실행 중이고 회사 LAN과 인터넷에 연결된 기본 IAS 서버와 백업 IAS 서버. IAS 서버는 RADIUS 서버 역할을 하여 원격 액세스 사용자의 인증, 허가, 계정, 감사를 수행합니다.
• Windows 2000 Server를 실행하고 LAN에 연결된 Active Directory 도메인 컨트롤러. Active Directory에는 원격 사용자가 원격 액세스 정책을 설치하는 데 사용되는 사용자 계정과 그룹이 있습니다.
• 라우팅 및 원격 액세스 서비스를 사용하고 PPTP 연결을 허용하도록 구성되고, LAN 및 임대 회선을 통해 인터넷에 연결된 Windows 2000 Server를 실행 중인 PPTP 서버. PPTP 서버는 인터넷과 개인 LAN에 네트워크 주소를 가지고 있으며 사용자들에게 회사 네트워크에 대한 VPN 연결을 제공하기 위해 사용됩니다.

참고 PPTP는 보안 연결을 만들기 위한 프로토콜입니다. PPTP는 지점간 프로토콜(PPP) 패킷을 인터넷 프로토콜(IP) 패킷에 캡슐화하여 인터넷을 포함한 임의의 IP 네트워크를 통해 전달할 수 있습니다.

ISP:

• Windows 2000 Server를 실행 중인 네트워크 서버(NAS). NAS는 RADIUS 클라이언트로 작동합니다. 이 시나리오에서 요청은 ISP의 RADIUS 프록시 서버를 통해 IAS에 접근하고 회사 서버에 라우팅됩니다. 임의의 RADIUS 호환 NAS(Windows 2000 라우팅 및 원격 액세스 서비스, Cisco, U.S. Robotics, Ascend 등)를 사용할 수 있습니다.
• 다른 서버에 대한 RADIUS 클라이언트 역할을 하는 RADIUS 프록시 서버

각 원격 전화 접속 사용자:

• 모뎀 또는 다른 지원되는 통신 장치와 연결 소프트웨어가 있고 PPP 및 VPN 연결을 사용하여 표준 전화 접속 액세스 기능을 지원하도록 구성된 컴퓨터. 이 시나리오에서는 전화 접속 및 VPN 연결을 사용하여 ISP를 통한 단일 로그온 액세스를 사용할 수 있도록 하기 위해 연결 관리자 서비스 프로필을 사용합니다.

참고 연결 관리자를 사용하려면 원격 액세스가 필요한 모든 컴퓨터에 서비스 프로필을 제공, 설치, 설정해야 합니다. 연결 관리자 서비스 프로필은 연결 관리자 관리 키트(CMAK) 마법사를 사용하여 만듭니다. 연결 관리자 서비스 프로필을 만들고, 제공 및 설정하는 방법에 대한 정보는 Windows 2000 Server 도움말의 연결 관리자 관리 키트를 참조하십시오.

• 스마트 카드 액세스 기능

이 시나리오를 위한 인증 프로세스

네트워크 구성 요소에 따라 인증 프로세스가 결정됩니다. 이 시나리오에 지정된 설정과 구성을 사용하면 계정과 인증은 아래와 같이 수행됩니다:

• NAS가 시작될 때 계정 설정 패킷을 보냅니다. RADIUS 프록시 서버가 계정 설정 패킷을 전달하기에 적절히 구성되면 회사의 IAS 서버에 패킷이 전달되고 기록됩니다.
• 원격 사용자가 ISP에 전화 접속하면 그림 25와 같은 프로세스가 수행되며 모든 요청과 응답이 기록됩니다.


브라우저에서 인라인 프레임이 지원되지 않는 경우 별도 페이지를 보려면 여기를 클릭하십시오.

그림 25 아웃소싱한 회사 액세스 시나리오의 인증 프로세스

1. 사용자가 연결 관리자 서비스 프로파일의 전화 번호부에서 현재 위치와 ISP에 해당하는 로컬 또는 다른 전화 번호(POP)를 선택합니다. CHAP 인증을 사용할 경우, 사용자는 ISP의 NAS에 연결합니다. 사용자가 지정하거나 연결 관리자에 의해 자동으로 추가된 영역 이름이 사용자 이름에 추가됩니다. NAS는 이 이름을 사용하여 인증과 계정 요청을 회사 네트워크의 IAS 서버에 라우팅합니다.
2. NAS가 RADIUS 인증 요청을 RADIUS 프록시 서버에 보냅니다.
3. RADIUS 프록시 서버가 영역 이름을 사용하여 요청을 회사의 IAS 서버에 라우팅합니다. 이 요청이 회사 IAS 서버에 이르기 전에 복수의 RADIUS 프록시(다른 ISP 또는 ISP 로밍 콘소시엄에 속하는)를 통해 라우팅할 수 있습니다. IAS는 사용자 이름에 대해 모든 영역 삭제 규칙을 적용합니다.

참고 사용자 이름을 사용자로부터 받으면 IAS는 글로벌 카탈로그를 조회하고 사용자 이름 접미사를 정규화된 도메인 이름(FQDN)에 매핑합니다.

4. IAS가 인증 요청을 도메인 컨트롤러에 전달하고, 도메인 컨트롤러가 사용자 자격 증명을 검사합니다.
5. IAS가 원격 액세스 정책과 사용자 특성을 평가하여 전화 접속 액세스가 허용되는지 여부를 결정합니다.

참고 IAS가 사용자 계정에서 속성을 읽으려면 권한이 필요하며, 이 권한은 서버가 기본 제공 RAS 및 IAS 서버 보안 그룹의 구성원이면 제공됩니다.

6. 원격 액세스 정책이 일치하고 프로필에 따라 사용자가 거부되지 않으면 IAS가 액세스 허용 패킷을 보냅니다.
7. RADIUS 프록시 서버가 액세스 요청 패킷을 전달합니다.
8. 액세스 허용 패킷에 지정된 연결 설정에 따라 사용자에게 액세스가 허용됩니다.
9. NAS가 IP 주소와 다른 매개 변수를 클라이언트에 할당하여 클라이언트와 주고 받은 패킷 라우팅을 시작합니다.
10. 그런 다음 연결 관리자가 회사 네트워크의 PPTP 서버에 대한 터널을 시작합니다.
11. PPTP 서버가 이 사용자의 인증 요청을 IAS 서버에 보내서 VPN 액세스 기능을 확인합니다.
12. IAS 서버가 요청을 받고 패킷을 도메인 컨트롤러에 전달합니다. 역시 사용자 자격 증명을 검사하고 원격 액세스 정책과 사용자 특성을 평가하며 액세스 요청 패킷에 지정된 연결 설정에 따라 사용자에게 VPN 액세스를 허용합니다.

PPTP 서버가 액세스 계정 시작 메시지를 RADIUS 서버에 보냅니다.

• 세션 중에 NAS와 PPTP 서버가 모두 임시 계정 패킷을 보냅니다.
• · 사용자가 연결을 끊으면 PPTP 서버가 사용자 세션의 종료를 나타내는 계정 중지 패킷을 IAS 서버에 보냅니다.

설치

이 시나리오를 지원하기 위해 IAS를 설치하려면 아래와 같이 수행합니다:

1. 방화벽이 IAS를 지원하도록 제대로 설치되었는지 확인합니다.
2. 도메인 컨트롤러가 원격 사용자를 지원하도록 구성되었는지 확인합니다.
3. IAS를 설치 및 구성합니다.
4. 기본 IAS 서버의 IAS 구성을 백업 IAS 서버에 복사합니다.
5. Active Directory로 기본 및 백업 IAS 서버를 등록합니다.
6. PPTP 서버가 RADIUS 계정 및 인증을 지원하도록 제대로 설치되고 VPN 연결을 위해 제대로 구성되었는지 확인합니다.
7. ISP의 RADIUS 프록시 서버에서 RADIUS 계정 및 인증의 구성을 확인합니다.
8. 원격 사용자에 대한 연결 기능을 확인합니다.

여기서 이러한 각 설치 단계와 설치를 완료하기 위한 요구 사항을 자세히 설명합니다.

단계 1: 방화벽이 IAS를 지원하도록 제대로 설치되었는지 확인

방화벽 설치 방법에 대한 정보는 보안과 IAS에 대한 절을 참조하십시오.

단계 2: 도메인 컨트롤러가 원격 사용자를 지원하도록 구성되었는지 확인

사용자에 대한 그룹(이 시나리오에서는 정식 직원과 계약 직원이 서로 다른 그룹에 속함)이 만들어졌는지, 원격 사용자들이 해당 유니버설 그룹과 중첩 그룹에 속하는지, IAS를 실행 중인 컴퓨터가 도메인의 사용자 계정을 읽을 권한을 가지고 있는지, 사용자 이름과 암호가 LAN에서 유효한지 확인합니다. 그룹을 사용하고 있기 때문에 원격 액세스 권한은 사용자 계정에서 원격 액세스 정책을 통해 액세스 제어로 설정됩니다. 또한 Active Directory가 기본 모드인지와 CHAP 인증을 사용하는 정식 직원의 경우 역으로 암호화된 저장장치가 사용하도록 설정되었는지도 확인합니다.

참고 CHAP에 대한 지원을 지정한 경우에는 역으로 암호화된 암호에 대한 지원을 구성해야 합니다.

단계 3: IAS 설치 및 구성

기본 IAS 서버를 설치하려면 아래와 같이 수행합니다.

1. IAS를 실행 중인 서버가 원격 사용자를 인증하는 포리스트의 구성원인지(원격 사용자에 대해서는 트러스트 관계가 필수이고 Active Directory 포리스트의 모든 도메인은 상호간에 자동으로 트러스트 관계를 갖기 때문) 확인합니다. IAS와 사용자 계정이 동일한 포리스트에 있지 않으면 사용자 계정의 도메인이 IAS가 구성원으로 속한 도메인과 트러스트 관계를 가져야 합니다. 트러스트 관계에 대한 정보는 Windows 2000 Server 도움말의 "도메인 트러스트에 대한 이해"를 참조하십시오.
2. 관리자 자격 증명으로 서버에 로그온합니다.
3. Windows 2000 Server를 설치할 때 IAS를 선택적 구성 요소로 선택하지 않았으면 제어판의 프로그램 추가/제거를 사용하여 설치합니다.
4. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 인터넷 인증 서비스를 클릭합니다.

인터넷 인증 서비스 콘솔에서 인터넷 인증 서비스를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭하여 기본 IAS 서버에 대해 아래와 같은 속성을 구성합니다:

• 서비스 탭에서 이벤트 로그에 대한 두 옵션을 모두 선택합니다.
• RADIUS 탭에서 사용할 RADIUS 인증과 RADIUS 계정 UDP 포트를 지정한 다음 확인을 클릭합니다.

참고 이 포트들은 서버에서 사용하는 것과 같아야 합니다. 최신 RADIUS 표준은 UDP 포트 1812(RADIUS 인증의 경우)와 1813(RADIUS 계정의 경우)입니다. 기본값은 인증에 UDP 포트 1812와 1645를 사용하고 계정에 1813과 1646을 사용하도록 가장 널리 사용하는 값으로 설정되어 있습니다. 포트 설정을 자세히 모르면 NAS에 대한 공급업체별 설명서를 참조하십시오.

• ISP에서 회사 네트워크에 액세스하기 위해 사용한 영역이 회사 도메인에 액세스하는 데 필요한 영역과 다르면 영역 탭에서 영역 이름을 조작하는 규칙을 지정합니다.
5. RADIUS 클라이언트에 대한 IAS 지원을 설치합니다. 인터넷 인증 서비스 콘솔 트리에서 클라이언트를 마우스 오른쪽 단추로 클릭하고 새 클라이언트를 클릭한 다음, 화면의 지침에 따라 각 RADIUS 클라이언트(회사 네트워크의 PPTP 및 ISP의 RADIUS 프록시 서버 포함)에 관한 정보를 추가 및 포함합니다. 이름, 프로토콜(Radius 등), 클라이언트 주소, 클라이언트-공급업체 정보(RADIUS 표준으로 지정), 공유 비밀을 지정합니다.

참고 IAS의 인증과 계정 공유 비밀은 NAS에 대해 지정한 것과 일치해야 합니다.

디지털 서명을 검사하는 옵션을 사용하도록 설정하기 전에 NAS가 확장할 수 있는 인증 프로토콜(EAP) 이외의 인증 종류에 대한 디지털 서명 보내기를 지원하는지 확인합니다. EAP의 경우 디지털 서명 옵션은 항상 선택되어 있습니다.

아웃소싱한 전화 접속 연결을 통해 정식 직원 액세스를 지원하도록 원격 액세스 정책을 구성합니다. 이러한 정책을 구성하려면 아래와 같이 수행합니다:

128비트 암호화를 사용하는 스마트 카드 액세스를 위해 원격 액세스 정책을 구성합니다. 인터넷 인증 서비스 콘솔 트리에서 원격 액세스 정책을 마우스 오른쪽 단추로 클릭하고 새 원격 액세스 정책을 클릭합니다. 새 원격 액세스 정책 마법사를 사용하여 아래와 같이 수행합니다:

• 스마트 카드 액세스(또는 원한다면 다른 액세스)의 정책 이름을 지정하고 다음을 클릭합니다.
• 조건을 추가하기 위해 추가를 클릭하고, Windows-Groups를 선택하고, 추가를 차례로 두 번 클릭하고, 그룹의 이름(Permanent corporate employees 등)을 선택하고, 추가를 클릭한 다음 확인을 두 번 클릭합니다.
• 두 번째 조건을 추가하기 위해 추가를 클릭하고, NAS-Port-Type를 선택하고, 추가를 클릭하고, Virtual (VPN)을 선택하고, 추가를 클릭하고, 확인, 다음을 차례로 클릭합니다.
• 원격 액세스 권한 허용을 선택하고 다음을 클릭합니다.
• 프로필 편집을 클릭하고 인증 탭에서 확장할 수 있는 프로토콜, 스마트 카드 또는 다른 인증서(TLS)를 선택한 다음 구성을 클릭합니다.
• 스마트 카드 또는 다른 인증서(TLS) 속성 대화 상자에서 사용할 인증서를 선택한 다음 확인을 클릭합니다.
• 마침을 클릭하여 이 정책에 대한 설정을 저장합니다.

정식 직원에 대한 원격 액세스 정책을 설치합니다. 인터넷 인증 서비스 콘솔 트리에서 원격 액세스 정책을 마우스 오른쪽 단추로 클릭하고 새 원격 액세스 정책을 클릭합니다. 새 원격 액세스 정책 마법사를 사용하여 아래와 같이 수행합니다:

• 정책 이름, Permanent employees(또는 원한다면 다른 이름)를 지정하고 다음을 클릭합니다.
• 조건을 추가하기 위해 추가를 클릭하고, Windows-Groups을 선택하고, 추가를 클릭하고, 그룹의 이름(Permanent corporate employees 등)을 선택하고, 추가를 클릭하고, 확인을 두 번 클릭하고, 다음을 클릭합니다.
• 원격 액세스 권한 허용, 다음을 차례로 클릭합니다.
• 프로필 편집을 클릭하고 인증 탭에서 CHAP를 인증 방법으로 선택한 다음 확인을 클릭합니다.
• 마침을 클릭하여 이 정책에 대한 설정을 저장합니다.

참고 액세스를 허용하는 액세스 정책은 정식 직원에 대해서만 정의되므로 계약 직원(다른 그룹에 속하는)에 대해서는 액세스가 거부됩니다.

• 구성한 정책이 기본 정책(전화 접속 로그인 권한이 있는 경우 액세스 허용)과 충돌하지 않도록 하기 위해 기본 정책을 삭제합니다.
6. 사용자 인증 및 계정에 대한 로깅 구성

IAS에서 기본 로깅 구성을 지정할 수 있지만 로깅 데이터를 사용하여 계정을 관리하거나 문제를 해결하는 추가 프로그램을 만들고자 할 수 있습니다. 예를 들어, 원격 액세스 정책의 부서급 사용을 추적하는 프로그램을 설치할 수 있습니다. 이 시나리오에서는 로깅을 구성할 때 아래 사항을 고려합니다:

• 로그 파일로 자신의 프로그램에서 통합과 데이터 사용을 쉽게 하려면 데이터베이스 가져오기 로그 형식을 사용해야 합니다. 이 형식을 선택하면 데이터베이스 프로그램을 사용하여 사용, 액세스, 보고서 작성을 위해 로그 파일을 직접 분석할 수 있습니다.
• 서버가 받은 세 종류의 인증 및 계정 요청 모두가 기록되도록 지정해야 합니다.

단계 4: 기본 IAS 서버의 IAS 구성을 백업 IAS 서버에 복사

IAS 속성, 클라이언트 구성, 원격 액세스 정책, 로깅 구성을 포함한 IAS 구성을 백업 서버에 복사합니다.

단계 5: Active Directory로 기본 및 백업 IAS 서버 등록

사용자를 인증하려면 기본 및 백업 IAS 서버를 기본 제공 그룹의 Active Directory에 있는 도메인 컨트롤러의 RAS 및 IAS 서버 보안 그룹의 구성원으로 등록해야 합니다. 아래와 같이 수행하여 IAS 서버를 추가합니다:

1. 도메인 관리자 자격 증명을 사용하여 서버에 로그온합니다.
2. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 Active Directory 사용자 및 컴퓨터를 클릭합니다.
3. 콘솔 트리에서 사용자를 클릭합니다.
4. 정보 창에서 RAS 및 IAS 서버를 마우스 오른쪽 단추로 클릭합니다.
5. RAS 및 IAS 서버 속성 대화 상자의 구성원 탭에서 각 IAS 서버를 추가합니다.

참고 netsh ras register server [domain] [server] 명령을 사용하여 서버를 등록할 수도 있습니다.

단계 6: PPTP 서버가 RADIUS 계정 및 인증을 지원하도록 제대로 설치되고 VPN 연결을 위해 제대로 구성되었는지 확인

RADIUS 계정과 인증 구성이 적절한 원격 액세스 소프트웨어를 사용하여 각 PPTP 서버에 제대로 설치되었는지 확인하고 구성이 IAS의 것과 일치하는지 확인하기(IAS가 인증 및 계정 공급자로 구성되었는지 확인) 위해 아래와 같이 수행합니다:

1. 도메인 관리자 자격 증명을 사용하여 로그온합니다.
2. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 라우팅 및 원격 액세스를 클릭합니다.

라우팅 및 원격 액세스를 설치한 각 PPTP 서버에 대해 서버 이름을 마우스 오른쪽 단추로 클릭하고 속성을 클릭한 다음 아래 내용을 검사합니다:

• 일반 탭에서 원격 액세스 서버가 선택되었는지 확인합니다.

보안 탭에서 아래 내용을 확인합니다:

• RADIUS 인증이 선택되었고 각각 적절한 공유 비밀과 포트를 사용하여 기본 및 백업 IAS 서버의 이름으로 구성되었는가? 인증 방법에 EAP가 선택되었는지 확인합니다.
• RADIUS 계정이 선택되었으며, 각각 적절한 공유 비밀과 포트를 사용하고 RADIUS 계정 설정/해제 메시지 보내기 옵션을 선택한 상태에서 기본 및 백업 IAS 서버의 이름으로 구성되었는가?

IP 탭에서 아래 옵션이 선택되었는지 확인합니다:

• IP 라우팅 사용
• IP 기반 원격 액세스 및 필요 시 전화 접속 연결 허용
• DHCP(Dynamic Host Configuration Protocol)
• PPP 탭에서 모든 옵션이 선택되었는지 확인합니다.

PPP 서버가 VPN 연결을 위해 제대로 구성되었는지 확인합니다.

단계 7. ISP의 RADIUS 프록시 서버에서 RADIUS 계정 및 인증의 구성 확인

1. ISP에 영역 정보를 제공하고 RADIUS 프록시 서버에서 영역 처리가 제대로 구성되었는지 확인합니다.
2. RADIUS 프록시 서버의 구성을 위해 ISP에 공유 비밀을 제공하고 서버가 공유 비밀을 처리하도록 제대로 구성되었는지 확인합니다.
3. 요청에 보낸 속성과 응답에 반환해야 하는 내용을 ISP에 알아 봅니다.
4. ISP의 RADIUS 프록시 서버가 디지털 서명을 지원하는지 알아 봅니다. 지원하면 프로필이 디지털 서명을 요구하도록 설치되었는지 확인합니다.
5. ISP가 사용하는 하드웨어를 알아 봅니다.

단계 8: 원격 사용자에 대한 연결 기능 확인

IAS 설치의 마지막 단계로 원격 VPN 사용자가 연결 관리자를 사용하여 회사 네트워크에 액세스할 수 있는지 확인합니다.

1. 사용자들에게 연결 관리자 서비스 프로필을 제공했는지 확인합니다.
2. 스마트 카드 액세스를 확인합니다.
3. 서비스 프로필이 설치된 후 NAS에 연결하기 위해 사용한 전화 번호가 제대로 설치되었고 영역 이름이 제대로 처리되는지 확인합니다.

구현 및 관리에서 고려할 사항

모든 IAS 관리는 원격으로 관리할 수 있습니다.

• 원격 액세스 정책을 업데이트해야 하는 경우에는 기본 IAS 서버의 정책을 업데이트한 다음 해당 IAS 구성을 다른 IAS 서버에 복사합니다.
• 네트워크 액세스 서버를 원격으로 업데이트할 수 있습니다.
• 원격 사용량을 회사 네트워크에서 추적할 수 있습니다.

이 시나리오는 회사 환경의 아웃소싱한 전화 접속 액세스를 위한 기본 구현 계획을 제공합니다. IAS를 구현할 때에는 현재 환경의 요구 사항을 지원하도록 이 시나리오를 조정할 수 있습니다. 회사의 규모에 따라 IAS 서버 한 대면 아마 충분할 것이며, 많은 경우 도메인 컨트롤러와 동일한 컴퓨터에 IAS 서버를 설치할 수 있습니다.

인터넷 액세스

여기서 인터넷 서비스 공급자(ISP)에 대한 고객 인증 전화 접속 연결을 지원하도록 IAS를 설치하는 방법을 설명합니다. 이 시나리오를 통해 인터넷 액세스가 필요한 고객이 있는 ISP에 대한 대표적 설치 및 구성을 보여 줍니다.

여기서 다루는 내용은 아래와 같습니다:

• ISP 인증을 위한 특징과 요구 사항
• 이 ISP 환경을 지원하기 위해 설치한 네트워크 구성 요소
• 이 시나리오를 사용하여 구현할 고객 인증 프로세스
• 이 인증 프로세스를 지원하는 데 필요한 네트워크 구성 요소 설치
• 구현 및 관리에서 고려할 사항

특징과 요구 사항

이 시나리오의 ISP는 여러 POP에 분산된 다수의 사용자와 NAS를 지원하는 단일 데이터 센터를 보유하고 있습니다. 이 ISP는 아래와 같은 특징이 있는 환경의 사용자들을 인증하는 신뢰성 있는 방법을 요구합니다:

• ISP는 Active Directory를 사용하여 사용자 액세스를 제어합니다.
• ISP는 전화 접속 모뎀을 가진 사용자를 위한 기본 무제한 액세스 계획과 ISDN 연결에 대한 지원을 제공하는 프리미엄 계획 두 가지 서비스 계획을 제공합니다. 사용자에 대한 액세스는 등록하는 계획(그룹 구성원을 결정)에 따라 부여됩니다.
• 사용자는 각 ISP의 POP에 대한 로컬 액세스 번호를 사용하여 네트워크에 액세스할 수 있어야 합니다.

참고 이 시나리오에서는 IAS를 설치하는 방법과 Windows 2000 라우팅 및 원격 액세스 서비스를 구성하기 위한 몇 가지 기본 단계만 다룹니다.

네트워크 구성 요소

이 시나리오에서 IAS 서버는 ISP의 네트워크 액세스 서버(NAS) 중 하나에 구성된 임의의 POP를 통해 연결하는 사용자를 인증하기 위해 회사 네트워크에 설치됩니다. 이 시나리오를 지원하기 위해 아래와 같은 구성 요소가 설치됩니다:

ISP:

• Windows 2000 Server를 실행 중인 기본 IAS 서버와 백업 IAS 서버. IAS 서버는 RADIUS 서버로 사용되어 모든 사용자의 인증, 허가, 계정, 감사를 수행합니다.
• Windows 2000 Server를 실행 중인 Active Directory 도메인 컨트롤러. Active Directory에는 모든 사용자의 원격 액세스 정책을 설치하는 데 사용되는 사용자 계정과 그룹이 있습니다.
• Windows 2000 Server의 라우팅 및 원격 액세스 서비스 구성 요소를 실행 중이고 LAN에 연결된 네트워크 액세스 서버(NAS). NAS는 RADIUS 클라이언트로 작동하며 해당 RADIUS 서버(이 시나리오에서는 IAS)에 사용자 정보를 전달하여 응답에 대해 조치하기 위해 사용됩니다.

참고 이 시나리오에서는 라우팅 및 원격 액세스 서버를 NAS로 사용합니다. 다른 RADIUS 호환 NAS(CISCO, Ascend, US Robotics 등)를 사용하는 경우에는 해당 NAS 사용에 맞춰 구성을 변경해야 합니다.

기본 계획의 각 사용자(ISDN 지원 없음):

• 지점간 프로토콜(PPP)을 사용하여 표준 전화 접속 기능을 지원하도록 구성된 컴퓨터. 이 시나리오에서는 연결 관리자 서비스 프로파일을 사용하여 ISP POP를 통해 인터넷에 액세스할 수 있도록 합니다.

프리미엄 계획의 각 개인 사용자(ISDN 지원 제공):

• 표준 전화 접속 기능 및 PPP를 사용하여 ISDN 직접 액세스 기능을 지원하도록 구성된 컴퓨터. 기본 계획에 사용한 서비스 프로필에는 전화 접속 POP와 ISDN POP가 모두 포함되어 있기 때문에 그와 동일한 연결 관리자 서비스 프로파일을 사용하여 ISDN을 통해 액세스할 수 있도록 합니다. 연결 관리자는 사용자가 선택하는 연결 장치의 종류에 따라 해당 POP를 사용할 수 있게 해 줍니다.

참고 연결 관리자를 사용하려면 원격 액세스가 필요한 모든 컴퓨터에 서비스 프로필을 제공, 설치, 설정해야 합니다. 연결 관리자 서비스 프로필은 연결 관리자 관리 키트(CMAK) 마법사를 사용하여 만듭니다. 연결 관리자 서비스 프로파일을 만들고, 제공, 설치하는 방법에 대한 정보는 Windows 2000 Server 도움말의 연결 관리자 관리 키트를 참조하십시오.

이 시나리오를 위한 인증 프로세스

네트워크 구성 요소에 따라 인증 프로세스가 결정됩니다. 이 시나리오에 지정한 설정과 구성을 사용하면 계정과 인증은 아래와 같이 수행됩니다:

• NAS가 시작될 때 계정 설정 패킷을 보냅니다.
• 원격 사용자가 ISP POP 중 하나에 연결하면 그림 26과 같은 프로세스가 수행되고 모든 요청과 응답이 기록됩니다:



그림 26 아웃소싱한 회사 액세스 시나리오를 위한 인증 프로세스

1. 사용자가 연결 관리자 서비스 프로필의 전화 번호부에서 현재 위치와 해당 ISP 전화 번호(POP)를 선택합니다.
2. NAS가 RADIUS 인증 요청을 IAS 서버에 보냅니다.
3. IAS가 인증 요청을 해당 위치의 도메인 컨트롤러에 전달하고 사용자 자격 증명을 검사합니다.
4. IAS가 원격 액세스 정책과 사용자 특성을 평가하여 전화 접속 액세스가 허용되는지 여부를 결정합니다.

참고 IAS는 사용자 계정에서 특성을 읽는 권한을 요구합니다. 이 권한은 서버가 기본 제공 RAS 및 IAS 서버 보안 그룹의 구성원이면 허용됩니다.

5. 원격 액세스 정책이 일치하고 프로필에 따라 사용자가 거부되지 않으면 IAS가 액세스 허용 패킷을 보냅니다.

사용자에게는 액세스 허용 패킷에 지정된 연결 설정에 따라 액세스가 허용됩니다. 그런 다음 NAS가 IP 주소와 다른 매개 변수를 클라이언트에 할당하고 클라이언트와 주고 받은 패킷의 라우팅을 시작합니다.

• NAS가 사용자 세션이 시작되었음을 나타내는 액세스 시작 패킷을 IAS 서버에 보냅니다.
• 세션 중에 임시 계정 패킷을 보냅니다.
• 사용자가 연결을 끊으면 NAS가 사용자 세션의 종료를 나타내는 계정 중지 패킷을 IAS 서버에 보냅니다.

설치

이 시나리오를 지원하도록 IAS를 설치하려면 아래와 같이 수행합니다:

1. 도메인 컨트롤러가 원격 사용자를 지원하도록 구성되었는지 확인합니다.
2. IAS를 설치 및 구성합니다.
3. 기본 IAS 서버의 IAS 구성을 백업 서버에 복사합니다.
4. Active Directory로 기본 및 백업 IAS 서버를 등록합니다.
5. NAS에서 RADIUS 계정과 인증의 구성을 확인합니다.
6. 원격 사용자에 대한 연결 기능을 확인합니다.

각 단계와 해당 단계를 완료하기 위한 요구 사항은 아래와 같습니다.

단계 1: 도메인 컨트롤러가 원격 사용자를 지원하도록 구성되었는지 확인

사용자가 사용자 이름으로 구성되고 해당 유니버설 그룹과 중첩 그룹에 속하는지 확인합니다. IAS를 실행 중인 컴퓨터가 도메인의 사용자 계정을 읽을 권한을 가지고 있는지 확인합니다. 이 시나리오에서는 기본 계획의 사용자를 위한 것과 프리미엄 ISDN 계획의 사용자를 위한 것 두 개의 유니버설 그룹을 설치할 수 있습니다. 잠재적 사용자 수가 많기 때문에 유니버설 그룹에 중첩된 글로벌 그룹을 만들고 사용자들을 하위 그룹(유니버설 그룹 바로 아래에 속하지 않은)에 배치할 수 있습니다. 사용자 이름과 암호가 LAN에서 유효한지 확인합니다.

도메인 컨트롤러에서 CHAP와 MS-CHAP가 지원되는지 확인합니다.

참고 사용자에 대해 만든 사용자 이름에는 @(단가표)와 ISP의 이름이 들어 있어야 합니다(예: Username@ISPName).

CHAP를 지원하려면 역으로 암호화된 암호에 대한 지원을 구성하고 일반 텍스트 암호를 사용하도록 설정해야 합니다.

단계 2: IAS 설치 및 구성

기본 IAS 서버를 설치하려면 아래와 같이 수행합니다:

1. IAS를 실행 중인 서버가 원격 사용자를 인증하는 포리스트의 구성원인지 확인합니다(원격 사용자에 대해서는 트러스트 관계가 필수이고 Active Directory 포리스트의 모든 도메인은 자동으로 상호간에 트러스트 관계를 갖기 때문). IAS와 사용자 계정이 동일한 포리스트에 있지 않으면 사용자 계정에 대한 도메인이 IAS를 구성원으로 가진 도메인과 트러스트 관계를 가지고 있어야 합니다. 트러스트 관계에 대한 정보는 Windows 2000 Server 도움말의 "도메인 트러스트에 대한 이해"를 참조하십시오.
2. 로컬 관리자 자격 증명으로 로그온합니다.
3. Windows 2000 Server를 설치할 때 IAS를 선택적 구성 요소로 선택하지 않았으면 제어판의 프로그램 추가/제거를 사용하여 설치합니다.
4. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 인터넷 인증 서비스를 클릭합니다.

인터넷 인증 서비스 콘솔에서 인터넷 인증 서비스를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭하여 기본 IAS 서버에 대한 속성을 구성합니다:

• 서비스 탭에서 이벤트 로그에 대한 두 옵션을 모두 선택합니다. 나중에 환경에 유용하지 않은 옵션의 선택을 취소할 수 있습니다.
• RADIUS 탭에서 사용할 RADIUS 인증과 RADIUS 계정 UDP 포트를 지정한 다음 확인을 클릭합니다.

참고 이 포트는 NAS에서 사용하는 것과 같아야 합니다. 최신 RADIUS 표준은 UDP 포트 1812(RADIUS 인증용)와 1813(RADIUS 계정용)입니다. 기본값은 인증에 UDP 포트 1812와 1645를 사용하고 계정에 1813과 1646을 사용하도록 가장 널리 사용하는 값으로 설정되어 있습니다. 포트 설정을 자세히 모르면 NAS에 대한 공급업체별 설명서를 참조하십시오.

• 영역 이름은 이 예제에 사용하지 않으므로 영역 탭에 대한 정보는 필요 없습니다.
5. RADIUS 클라이언트에 대한 IAS 지원을 설치합니다. 인터넷 인증 서비스 콘솔 트리에서 클라이언트를 마우스 오른쪽 단추로 클릭한 다음 새 클라이언트를 클릭합니다. 그러고 나서 화면의 지침에 따라 이름, 프로토콜(RADIUS로 지정), 클라이언트 주소, 클라이언트-공급업체 정보(RADIUS 표준으로 지정), 공유 비밀을 지정하여 각 RADIUS 클라이언트(NAS)에 관한 정보를 추가 및 지정합니다.

참고 IAS의 인증과 계정 공유 비밀은 NAS에 대해 지정한 것과 일치해야 합니다.

디지털 서명을 검사하는 옵션을 사용하도록 설정하기 전에 NAS가 확장할 수 있는 인증 프로토콜(EAP) 이외의 인증 종류에 대해 디지털 서명 보내기를 지원하는지 확인합니다.

EAP의 경우 디지털 서명은 항상 사용되므로 디지털 서명 옵션을 선택할 필요가 없습니다.

원격 액세스 정책을 설정합니다. ISP에 대한 가장 기본적인 계획에는 ISDN 액세스가 포함되지 않으므로, 프리미엄 계획을 위해 멀티 링크 연결을 지원하는 그룹과 기본 계획을 위해 멀티 링크 연결을 지원하지 않는 그룹 등 두 그룹을 설치해야 합니다.

아래와 같이 수행하여 기본 계획(비 ISDN 사용자)에 대한 원격 액세스 정책을 설치합니다:

• 인터넷 인증 서비스 콘솔 트리에서 원격 액세스 정책을 마우스 오른쪽 단추로 클릭한 다음 새 원격 액세스 정책을 클릭합니다.
• 원격 액세스 정책 추가 마법사를 사용하여 정책에 대한 정책 이름(이 시나리오에서는 Basic Plan을 입력할 수 있음)을 지정하고 다음을 클릭합니다.
• 다음 대화 상자에서 추가를 클릭하고, Windows-Groups를 선택하고, 추가를 차례로 두 번 클릭하고, 이 정책을 적용할 그룹(예: Basic Plan users)을 선택하고, 추가를 클릭하고, 확인을 두 번 클릭하고, 다음을 클릭합니다.
• 원격 액세스 권한 허용을 클릭하고 다음을 클릭합니다.
• 프로필 편집을 클릭합니다.
• 인증 탭에서 CHAP, MS-CHAP, MS-CHAP v2를 인증 방법으로 선택합니다.
• 전화 접속 로그인 제약 조건 탭에서 비동기 및 동기를 선택한 다음 확인을 클릭합니다.
• 마침을 클릭합니다
• 프리미엄 계획에 대한 원격 액세스 정책은 ISDN 액세스를 지원한다는 점을 제외하고는 기본 계획과 동일하게 설치합니다. 이 정책을 설정하려면 기본 계획에 대한 정책을 설치할 때와 같은 단계를 반복하되, 정책 이름을 Premium Plan으로 지정하고 ISDN 액세스를 가진 사용자가 들어 있는 Windows-Groups를 선택합니다. 전화 접속 로그인 제약 조건 탭에서 기본 계획에 대해 선택한 옵션 외에 모든 ISDN 옵션을 선택합니다.
• 구성한 정책이 기본 정책(전화 접속 로그인 권한이 있는 경우 액세스 허용)과 충돌하지 않도록 기본 정책을 삭제합니다.
6. 사용자 인증과 계정의 로깅을 구성합니다.

IAS에서 기본 정책 로깅 구성을 지정할 수 있지만 로깅 데이터를 사용하여 계정을 관리하고 문제를 해결하는 추가 프로그램을 만들고자 할 수 있습니다. 예를 들어, 부서의 원격 액세스 기능 사용을 추적하는 프로그램을 설치할 수 있습니다. 이 시나리오에서는 로깅을 구성할 때 아래 사항을 고려합니다:

• 로그 파일로 자신의 프로그램에서 통합과 데이터 사용을 쉽게 하려면 데이터베이스 가져오기 로그 형식을 사용해야 합니다. 이 형식을 선택하면 데이터베이스 프로그램을 사용하여 사용, 액세스, 보고서 작성을 위해 로그 파일을 직접 분석할 수 있습니다.
• 서버가 수신하는 모든 종류의 요청(인증, 계정, 정기 업데이트 포함)을 기록하도록 지정해야 합니다.

단계 3: 기본 IAS 서버의 IAS 구성을 백업 서버에 복사

클라이언트 구성, 원격 액세스 정책, 로깅 구성을 백업 IAS 서버에 복사합니다.

단계 4: Active Directory로 기본 및 백업 IAS 서버 등록

사용자를 인증하려면 기본 및 백업 IAS 서버를 기본 제공 그룹에 있는 Active Directory의 도메인 컨트롤러에 RAS 및 IAS 서버 보안 그룹의 구성원으로 등록해야 합니다. 아래와 같이 수행하여 IAS 서버를 추가합니다:

1. 도메인 관리자 자격 증명을 사용하여 서버에 로그온합니다.
2. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 Active Directory 사용자 및 컴퓨터를 클릭합니다.
3. 콘솔 트리에서 Users를 클릭합니다.
4. 정보 창에서 RAS 및 IAS 서버를 마우스 오른쪽 단추로 클릭합니다.
5. RAS 및 IAS 서버 속성 대화 상자의 구성원 탭에서 각 IAS 서버를 추가합니다.

참고 : netsh ras register server [domain] [server] 명령을 사용하여 서버를 등록할 수도 있습니다.

단계5: NAS에서 RADIUS 계정과 인증의 구성 확인

Windows 2000 Server 라우팅 및 원격 액세스를 사용하여 각 NAS에 RADIUS 계정과 인증 구성이 제대로 구성되었는지 확인하고 구성이 IAS의 구성과 일치하는지 확인(단계 2와 3 참조)하려면 아래와 같이 수행합니다:

1. 도메인 관리자 자격 증명을 사용하여 서버에 로그온합니다.
2. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 라우팅 및 원격 액세스를 클릭합니다.

라우팅 및 원격 액세스를 설치한 각 NAS에 대해 서버 이름을 마우스 오른쪽 단추로 클릭하고 속성을 클릭한 다음 아래 정보를 확인합니다:

• 일반 탭에서 원격 액세스 서버가 선택되었는지 확인합니다.

보안 탭에서 아래 내용을 확인합니다:

• RADIUS 인증이 선택되어 있고 각각 기본 및 백업 IAS 서버의 이름을 이용하여 구성되었는가? 각 IAS 서버가 해당 공유 비밀과 포트를 사용하여 구성되었고 인증 방법에 CHAP, MS-CHAP v2, MS-CHAP 가 선택되어 있는가?
• RADIUS 계정이 선택되어 있고, 각각 해당 공유 비밀 및 포트와 함께 기본 및 IAS 서버의 이름을 이용하여 구성되었고, RADIUS 계정 설정/해제 메시지 보내기 옵션이 선택되어 있는가?

IP 탭에서 아래 옵션이 선택되어 있는지 확인합니다:

• IP 라우팅 사용
• IP 기반 원격 액세스 및 필요 시 전화 접속 연결 허용
• DHCP(Dynamic Host Configuration Protocol)

단계 6: 원격 사용자에 대한 연결 기능 확인

IAS 설치의 마지막 단계로 원격 전화 접속 사용자가 네트워크 및 전화 접속 연결을 사용하여 ISP에 액세스할 수 있는지 확인합니다.

구현 및 관리에서 고려할 사항

회사의 규모에 따라 다르지만 아마 IAS 서버 한 대로 충분할 것입니다. 많은 경우 도메인 컨트롤러와 동일한 컴퓨터에 IAS 서버를 설치할 수 있습니다.

참고 이 시나리오에서는 회사 환경의 기본적인 구현 계획을 제공합니다. 현재 환경의 요구 사항을 지원하기 위해 서버 대수나 다른 구현 의사결정을 조정할 수 있습니다.

원격 액세스 정책을 업데이트해야 하는 경우에는 기본 IAS 서버의 정책을 업데이트한 다음 해당 구성을 다른 IAS 서버에 복사하십시오.

보안과 IAS

여기서 IAS를 배치할 때 고려할 보안 문제를 설명합니다.

보안 인증 방법

네트워크의 다양한 액세스 서버 클라이언트에 따라 사용해야 하는 인증 방법이 결정됩니다. 대부분의 액세스 서버 클라이언트에서는 일정한 형식의 암호 기반 암호화를 사용합니다. 암호 기반 암호화는 본래 취약하기 때문에 사전 공격(dictionary attack)을 받을 위험이 있습니다. 네트워크에 강력한 암호 정책을 시행하면 사전 공격이 더 어려워질 수 있습니다. 강력한 암호는 대/소문자, 숫자, 문장 부호를 혼용한 긴 암호입니다. 가장 안전한 인증 방법은 스마트 카드와 함께 사용하는 EAP-TLS입니다. 그러나 EAP-TLS와 스마트 카드를 사용하려면 공개 키 인프라(PKI)가 필요합니다.

가장 안전한 인증 방법을 사용하려면 필요에 따라 아래와 같이 수행합니다:

1. PAP와 SPAP를 사용할 수 없도록 설정합니다. PAP와 SPAP 모두 원격 액세스 정책의 프로필에 기본적으로 사용할 수 없도록 설정되어 있습니다.
2. CHAP를 사용할 수 없도록 설정합니다. CHAP는 원격 액세스 정책의 프로필에 기본적으로 사용할 수 없도록 설정되어 있습니다.
3. MS-CHAP v1에 대한 LAN Manager 인증을 사용할 수 없도록 설정합니다. MS-CHAP v1에 대한 LAN Manager 인증은 이전 보전의 Microsoft 액세스 서버 클라이언트에 대해서는 기본적으로 사용하도록 설정되어 있습니다. IAS 서버에서 레지스트리 값 Allow LM Authentication(HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services\RemoteAccess\Policy)을 0으로 설정합니다.
4. MS-CHAP v1을 사용할 수 없도록 설정합니다. MS-CHAP v1은 원격 액세스 정책의 프로필에 기본적으로 사용하도록 설정되어 있습니다. MS-CHAP v1을 사용할 수 없도록 설정하기 전에 모든 원격액세스 서버 클라이언트가 MS-CHAP v2를 사용할 수 있는지 확인합니다. Windows 95나 Windows NT 4.0과 같은 이전 버전의 Windows에는 최신 서비스 팩과 전화 접속 네트워킹 업데이트가 필요합니다.
5. MS-CHAP v2를 사용하도록 설정합니다. MS-CHAP v2는 원격 액세스 정책의 프로필에 기본적으로 사용하도록 설정되어 있습니다.
6. EAP-TLS를 사용하도록 설정합니다. EAP-TLS는 원격 액세스 정책의 프로필에 기본적으로 사용하도록 설정되어 있지 않은데, EAP-TLS를 사용하도록 설정하고 EAP-TLS 협상 중에 사용되는 컴퓨터 인증서를 구성해야 합니다.

공유 비밀

공유 비밀은 RADIUS 서버와 RADIUS 클라이언트 사이에 ID를 상호 확인하기 위해 사용하는 암호입니다. RADIUS 서버와 RADIUS 클라이언트 모두 동일한 공유 비밀을 이용하여 구성되어야만 통신이 성공적으로 이루어집니다. 공유 비밀은 128문자 길이까지 지정할 수 있으며 대/소문자를 구분하고 영숫자와 특수 문자를 포함할 수 있습니다. RADIUS 통신을 사전 공격과 서비스 거부 공격으로부터 보호하려면 공유 비밀을 긴(16문자 이상) 임의의 문자, 숫자, 문장 부호 순서로 지정해야 합니다.

서명 특성

RADIUS 클라이언트를 위해 IAS를 구성할 때에는 RADIUS 클라이언트의 IP 주소를 구성합니다. 수신 RADIUS 메시지가 적어도 하나의 구성된 RADIUS 클라이언트의 IP 주소에서 온 것이 아니면 IAS는 메시지를 자동으로 삭제하여 IAS 서버를 보호합니다. 그러나 소스 IP 주소를 스푸핑(대체)할 수 있습니다.

스푸핑한 RADIUS 메시지와 RADIUS 메시지 훼손으로부터 보호하기 위해, RADIUS 서명 특성(일명 Message-Authenticator 특성, 인터넷 초안에 "RADIUS Extensions"로 설명된 것)을 포함시켜 각 RADIUS 메시지를 좀더 안전하게 보호할 수 있습니다.

RADIUS Message-Authenticator 특성의 내용은 공유 비밀을 키로 사용한 전체 RADIUS 메시지의 MD-5 해시입니다. RADIUS Message-Authenticator 특성이 있으면 유효성을 검사합니다. 유효성 검사에 실패하면 RADIUS 메시지를 삭제합니다. 클라이언트 설정에 따라 Message-Authenticator 특성이 필요한데 없는 경우에도 RADIUS 메시지를 삭제합니다.

RADIUS 프록시

RADIUS 프록시를 사용하면 포리스트 교차적 인증을 제공할 수 있습니다. PAP 인증 프로토콜을 RADIUS 프록시와 함께 사용하는 것은 아주 나쁩니다. PAP는 PPP 클라이언트와 NAS(RADIUS 클라이언트) 사이에 사용자 암호를 일반 텍스트로 전달하기 위한 것입니다. NAS와 RADIUS 프록시 사이에는 NAS와 RADIUS 프록시의 공유 비밀을 사용하여 PAP 암호를 암호화합니다. 그러나 인증을 제공하는 해당 RADIUS 서버에 액세스 요청을 전달하려면 사용자의 암호를 해독한 다음 RADIUS 프록시와 인증을 제공하는 RADIUS 서버의 공유 비밀을 사용하여 다시 암호화해야 합니다. 사용자의 암호는 해독되는 동안에는 일반 텍스트 형태로 존재하기 때문에, RADIUS 프록시에 불법적인 프로세스를 수행하여 사용자 암호를 해독된 형식으로 존재하는 동안 기록하여 사용자 자격 증명의 보안을 훼손을 가능성이 있습니다.

방화벽

방화벽은 인터넷과 인터넷에서 직접 액세스할 수 있는 컴퓨터들이 있는 네트워크 세그먼트인 주변 네트워크(일명 "완충 영역" 또는 "DMZ") 사이에 배치되는 라우터 또는 컴퓨터입니다. 방화벽은 주변 네트워크 컴퓨터와 인터넷 사이의 소통량을 필터링하여 컴퓨터를 보호하기 위한 것입니다.

방화벽을 사용하는데 주변 네트워크의 개인 컴퓨터 중 하나가 IAS 서버이면 IAS 서버와 인터넷 사이의 RADIUS 소통량을 허용하기 위해 패킷 필터로 방화벽을 구성해야 합니다.

예를 들어, 주변 네트워크의 IAS 서버가 공용 IP 주소 131.107.255.17과 UDP 포트 1812(RADIUS 인증용) 및 1813(RADIUS 계정용)을 사용하는 경우 아래와 같은 IAS 소통량을 허용하는 패킷 필터로 방화벽을 구성해야 합니다:

• 인터넷에서 주변 네트워크로 가는 소통량

대상 131.107.255.17과 UDP 대상 포트 1812

대상 131.107.255.17과 UDP 대상 포트 1813

• 주변 네트워크에서 인터넷으로 가는 소통량

소스 131.107.255.17과 UDP 소스 포트 1812

소스 131.107.255.17과 UDP 소스 포트 1813

이 필터들로 인터넷의 RADIUS 클라이언트에 해당하는 인바운드 소스 또는 아웃바운드 대상은 지정하지 않은 점에 유의해야 합니다. RADIUS 클라이언트에서 오는 RADIUS 소통량만 허용하는 좀더 구체적인 필터를 만들 수 있지만, 그러려면 인터넷의 각 RADIUS 클라이언트에 대해 두 개(인바운드 소통량을 위한 것과 아웃바운드 소통량을 위한 것)가 필요합니다.

원격 액세스 계정 잠금

계정 잠금 기능을 사용하여 사용자의 액세스를 거부하기 전까지 허용하는, 유효한 사용자 계정에 대해 PPP 인증이 실패한 횟수를 지정할 수 있습니다. 계정 잠금은 인터넷을 통한 원격 액세스 가상 사설망(VPN) 연결에서 특히 중요합니다. 인터넷의 불법 사용자들이 VPN 연결 인증 과정에서 자격 증명(유효한 사용자 이름과 추측한 암호)을 보내서 조직의 인트라넷에 액세스하려고 할 수 있기 때문입니다. 불법 사용자는 사전 공격 중에 자주 사용되는 단어나 어구에 기초한 암호 목록을 사용하여 수백 또는 수천 개의 자격 증명을 보냅니다.

계정 잠금을 사용하면 실패 시도가 지정한 횟수를 넘어서면 사전 공격을 막습니다. 네트워크 관리자는 아래와 같은 두 가지 계정 잠금 변수 중 하나를 선택해야 합니다:

• 향후 시도를 거부할 때까지 허용하는 실패 시도 횟수

실패 시도가 있을 때마다 사용자 계정에 대한 실패 시도 카운터가 증가합니다. 사용자 계정의 실패 시도 카운터가 구성된 최대값에 이르면 향후 연결 시도를 거부합니다.

실패 시도 횟수가 구성된 최대값보다 작아서 성공적으로 인증한 경우에는 실패 시도 카운터를 기본값으로 되돌립니다. 다시 말해서, 성공적으로 인증한 경우에는 실패 시도 카운터를 0으로 초기화합니다.

• 실패 시도 카운터를 초기화하는 빈도

실패 시도 카운터는 정기적으로 0으로 초기화됩니다. 최대 실패 시도 횟수를 초과하여 계정이 잠기면 실패 시도 횟수는 초기화 시간 이후 자동으로 0으로 초기화됩니다.

인증을 제공하는 컴퓨터에서 Windows 2000 레지스트리의 설정을 변경하면 계정 잠금 기능을 사용할 수 있습니다. 원격 액세스 서버가 Windows 인증을 위해 구성되어 있으면 원격 액세스 서버 컴퓨터에서 레지스트리를 수정합니다. 원격 액세스 서버가 RADIUS 인증을 위해 구성되어 있고 Windows 2000 인터넷 인증 서비스(IAS)를 사용 중이면 IAS 서버 컴퓨터에서 레지스트리를 수정합니다.

계정 잠금을 사용하려면 레지스트리의 MaxDenials 항목을 1 이상으로 설정해야 합니다. MaxDenials은 계정을 잠글 때까지 허용하는 최대 실패 시도 횟수입니다. 아래 레지스트리 하위 키에서 MaxDenials 항목을 설정할 수 있습니다:

HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \RemoteAccess \Parameters\AccountLockout

기본적으로 MaxDenials는 계정 잠금을 사용할 수 없음을 의미하는 0으로 설정되어 있습니다.

실패 시도 카운터를 초기화할 때까지의 경과 시간을 수정하려면 레지스트리의 ResetTime (mins) 항목을 필요한 분 수로 설정해야 합니다. 아래 레지스트 하위 키에서 ResetTime (mins) 항목을 설정할 수 있습니다:

HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \RemoteAccess \Parameters\AccountLockout

기본적으로 ResetTime (mins)는 1진수 값 0xb40 또는 2,880분(48시간)으로 설정됩니다.

수동으로 잠긴 계정 원래대로 되돌리기

실패 시도 카운터가 자동으로 초기화되기 전에 잠긴 사용자 계정을 수동으로 초기화하려면 사용자의 계정 이름에 해당하는 아래 레지스트리 하위 키를 삭제합니다:

HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \RemoteAccess \Parameters \AccountLockoutdomain name:user name

사용자 계정에 대한 잠금 횟수가 성공적인 인증 또는 자동 초기화로 0으로 초기화되면 해당 사용자 계정에 대한 레지스트리 하위 키가 삭제됩니다.

참고 원격 액세스 계정 잠금은 사용자 계정의 속성에 있는 계정 탭의 계정 잠금 설정과는 무관합니다.

계정 잠금 기능은 인트라넷에 액세스하려고 하는 불법 사용자와 원격 액세스를 시도하는데 현재 암호를 잊어 버린 인증 사용자를 구별하지 못합니다. 현재 암호를 잊어 버린 사용자는 대개 기억하고 있는 암호로 다시 시도하기 때문에 시도 횟수와 MaxDenials 설정에 따라 계정이 잠길 수 있습니다.

계정 잠금 기능을 사용하면 불법 사용자가 고의로 계정이 잠길 때까지 사용자 계정으로 여러 번 인증을 시도하여 계정을 잠가 버려 인증 사용자가 로그온할 수 없게 할 수 있습니다.

성능과 IAS

여기서 IAS 정밀 조정과 성능 모니터링에 대해 권고합니다. 또한 IAS 서버 성능과 상태를 결정하는 데 도움이 될 수 있는 예제 성능 정보를 제공합니다.

IAS 서버의 성능을 정밀 조정할 때에는 아래 사항을 고려합니다:

• IAS가 기본 모드 Windows 2000 기반 도메인 컨트롤러에 대해 사용자를 인증하면 도메인 컨트롤러에 글로벌 카탈로그도 있어야 합니다.
• NAS와 IAS 서버 간 또는 IAS 서버와 도메인 컨트롤러 간 연결에 대기 시간이 많으면 인증 시간에 나쁜 영향을 주어 자주 재시도하거나 시간 제한에 걸릴 수 있습니다.

극도로 심한 부하 조건을 가진 아주 큰 ISP 환경(원격 액세스 사용자 수가 수백만 명)에서는 다수의 인증 요청과 계정 요청이 불과 몇 초 만에 처리되므로 아래 사항을 고려해야 합니다:

• 일반적으로 초 당 인증 횟수는 도메인 컨트롤러에 사용하는 하드웨어에 따라 달라집니다. 더 빠른 도메인 컨트롤러를 사용할수록 처리 능력이 더 좋습니다.
• 인증과 계정을 위해 별도의 IAS 서버 사용
• 글로벌 카탈로그가 있는 도메인 컨트롤러에서 IAS 서버를 실행하면 네트워크 대기 시간이 최소화되고 처리 능력이 개선될 수 있습니다.
• MaxConcurrentApi 레지스트리 키(HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Netlogon Parameters)를 사용하여 IAS 서버와 도메인 컨트롤러 사이에 한 번에 진행되는 동시 인증 요청 횟수를 정밀 조정함으로써 처리 능력 개선
• 여러 대의 IAS 서버를 배치하고 IP 로드 균형 조정 구조를 사용하여 IAS 서버 풀을 나타내는 단일 IP 주소에 NAS 지정. 단, EAP는 상태 저장 프로토콜이므로 일부 IP 로드 균형 구조에서는 작동하지 않습니다.

IAS 서버 성능과 상태 모니터링

RADIUS 인증 프로토콜은 클라이언트 기능과 서버 기능이 조금 다릅니다. RADIUS 인증에서는 클라이언트가 액세스 요청 패킷을 보내고 서버는 액세스 허용, 액세스 거부, 액세스 challenge 패킷으로 응답합니다. 일반적으로 NAS 장치는 클라이언트 기능을 수행하고 RADIUS 인증 클라이언트 MIB(관리 정보 데이터베이스)를 구현하며, RADIUS 인증 서버는 서버 기능을 수행하고 RADIUS 인증 서버 MIB를 구현합니다.

가장 널리 사용되는 두 가지 IAS 성능 모니터링 기능은 아래와 같습니다:

• 초 당 액세스 요청 수
• 초 당 계정 요청 수

IAS에서 지원되는 SNMP MIB에 대한 정보는 부록 G를 참조하십시오.

용량 계획

IAS는 초당 계정 및 인증 횟수를 늘리도록 확장할 수 있습니다. 표 2는 더 빠른 하드웨어를 사용하여 IAS를 확장하는 방법을 나타냅니다.

표 2 더 빠른 하드웨어로 확장

조직 유형	대표적인 사용의 초당 인증 횟수	하드웨어 구성
사용자 1000명 미만의 중소 규모의 조직	1	Windows 2000 Server에 권장되는 최소 하드웨어
사용자 50,000명의 대규모 조직	10	Windows 2000 Server에 권장되는 최소 하드웨어
사용자 200만 명의 ISP	50	200 MHz Pentium II 이상
사용자 2,000만 명의 ISP	300	4-프로세서 Xeon 이상

표 3은 단일 IAS 서버의 처리 능력에 대한 지침으로 사용할 수 있는 성능 수치입니다.

표 3 단일 IAS 서버에 대한 성능 지침

하드웨어	인증 방법	최대 초 당 인증 횟수
Windows 2000 Server와 원격 Active Directory 도메인 컨트롤러에 권장되는 최대 하드웨어	CHAP, MS-CHAP v1, MS-CHAP v2	50
200 MHz Pentium II와 원격 Active Directory 도메인 컨트롤러	CHAP, MS-CHAP v1, MS-CHAP v2	200
4-프로세서 Xeon과 원격 Active Directory 도메인 컨트롤러	CHAP, MS-CHAP v1, MS-CHAP v2	700

더 빠른 단일 컴퓨터를 사용하는 것보다 여러 대의 컴퓨터를 사용하면 초당 IAS 인증 횟수를 늘리는 데 유리할 수 있습니다. 예를 들어, IP 로드 균형 조정 구조를 사용하여 복수 IAS 서버 사이의 로드 균형을 조정할 수 있습니다. 더 빠른 단일 컴퓨터나 여러 대의 컴퓨터를 사용하여 IAS를 확장하려고 하기 전에 IAS 컴퓨터가 병목 상태인지 여부를 결정합니다. 초당 인증 횟수가 거의 최대값에 이르렀으면 Windows 2000 성능 로그 및 경고를 사용하여 CPU 이용률을 추적합니다. 초당 인증 횟수가 최대값에 이르렀을 때 IAS 서버의 CPU 이용률이 높으면 규모를 확장하거나 축소하여 성능을 개선할 수 있습니다. 초당 인증 횟수가 최대값에 이르렀을 때 IAS 서버의 CPU 이용률이 높으면 아래와 같은 방법으로 IAS 성능을 개선할 수 있습니다:

1. 도메인 컨트롤러와 동일한 컴퓨터에서 IAS를 실행합니다.
2. 글로벌 카탈로그가 있는 것과 동일한 컴퓨터에서 IAS를 실행합니다.
3. 도메인 컨트롤러 또는 글로벌 카탈로그가 있는 컴퓨터와 동일한 컴퓨터에서 IAS를 실행할 수 없으면 효율적인 도메인이나 사이트 토폴로지가 있는지 확인합니다.
4. MaxConcurrentApi 레지스트리 항목(HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Netlogon Parameters)을 사용하여 다중화된 도메인 컨트롤러 연결 수를 늘립니다.

IAS 성능에 주로 영향을 미치는 요인은 아래와 같습니다:

1. IAS 서버 컴퓨터와 도메인 컨트롤러 컴퓨터 사이의 네트워크 대기 시간
2. IAS 서버 컴퓨터와 글로벌 카탈로그 컴퓨터 사이의 네트워크 대기 시간
3. 도메인 컨트롤러 컴퓨터의 성능과 현재 로드
4. 사용자 이름 확인, 이에 따라 글로벌 카탈로그 컴퓨터에 대한 추가적인 원격 프로시저 호출(RFC) 쿼리가 발생합니다.
5. 여러 번의 challenge-응답 교환이 뒤따르는 EAP 기반 인증 방법
6. 도메인의 사용자 계정 수

IAS 문제 해결

IAS에서 가장 자주 발생하는 문제점은 연결 시도가 허용되어야 할 때 거부되는 것입니다. 안타깝게도 이 문제점의 원인이 아주 많지만 원인을 결정하는 데 사용할 수 있는 다양한 문제 해결 도구가 있습니다. 여기서도 대부분의 인증 실패 원인을 체계적으로 결정하는 데 도움이 되는 문제 해결 검사 목록을 제공합니다.

문제 해결 도구

Windows 2000에는 실패한 연결 시도의 원인을 결정하기 위한 아래와 같은 문제 해결 도구가 있습니다:

• 이벤트 로깅
• Microsoft 네트워크 모니터
• 원격 액세스 로깅

이벤트 로깅

인터넷 인증 서비스 관리 도구에 있는 IAS 서버 속성의 서비스 탭 설정에 따라 거부, 삭제, 성공한 인증 시도를 Windows 2000 시스템 이벤트 로그에 기록할 수 있습니다. Windows 2000 시스템 이벤트 로그의 이벤트에 따라 IAS 문제를 해결하려면 부록 E를 참조하십시오.

Microsoft 네트워크 모니터

기본적인 IAS 구성을 검사하는 것 외에, Microsoft 네트워크 모니터를 사용하여 RADIUS 패킷을 좀더 분석할 수 있습니다. IAS 문제 해결에 네트워크 모니터를 사용할 때에는 아래 사항을 고려해야 합니다:

• IAS를 실행 중인 컴퓨터에 네트워크 모니터를 설치해야 합니다.
• 스위치형 네트워크 환경에서 네트워크 모니터를 사용하는 경우에는 네트워크 모니터를 실행 중인 컴퓨터에 해당하는 소통량만 확인합니다.

IAS와 NAS 간 RADIUS 소통량의 네트워크 모니터 캡처 파일을 파일로 저장하고 Microsoft 또는 NAS 제조업체에 보내 분석을 받을 수 있습니다. 네트워크 모니터 설치와 네트워크 모니터로 RADIUS 소통량 캡처에 대한 정보는 Windows 2000 온라인 도움말을 참조하십시오.

원격 액세스 로깅

인터넷 인증 서비스 관리 도구의 원격 액세스 로깅의 로컬 파일에 있는 서비스 탭 설정에 따라 인증과 계정 요청을 IAS 로그에 기록할 수 있습니다. 로컬 파일 탭에서 IAS 로그 파일의 이름과 위치를 결정할 수 있습니다. Windows 탐색기를 사용하여 IAS 로그 파일을 열고 항목들을 보면 연결 시도 실패의 원인을 결정하는 데 도움이 됩니다.

IAS 로그 파일을 보면 원격 액세스 정책의 문제를 해결하는 데 아주 유용할 수 있습니다. 복수의 원격 액세스 정책을 구성한 경우에는 IAS 로그를 사용하여 연결 시도를 허용하거나 거부한 원격 액세스 정책의 이름을 결정할 수 있습니다.

IAS 로그 파일 형식에 대한 정보는 Windows 2000 Server 도움말을 참조하십시오.

문제 해결 검사 목록

IAS에 대한 실패한 연결 시도 문제를 해결할 때 아래 목록을 참조하십시오:

• 사용자 자격 증명은 정확합니까?

사용자가 잘못된 사용자 이름, 도메인 이름, 암호를 입력했을 수 있습니다. 사용자의 Windows 2000 사용자 이름과 계정 암호를 검사하여 정확하게 입력되었는지, 그리고 계정이 IAS에서 사용자를 인증하는 도메인에 대해 유효한지 확인하십시오. IAS는 IAS 서버 컴퓨터가 구성원으로 속한 도메인과 트러스트 도메인의 계정에 대해서만 사용자 자격 증명을 인증할 수 있습니다.

• 영역 규칙을 제대로 구성했습니까?

영역 바꾸기를 잘못 설치하거나 잘못된 순서로 설치해서 영역 바꾸기 규칙이 평가된 후 도메인 컨트롤러가 도메인 이름이나 사용자 이름을 인식하지 못할 수 있습니다. 영역 바꾸기 규칙을 확인하십시오. 영역 이름이나 영역 바꾸기 구성에 대한 정보는 Windows 2000 Server 도움말을 참조하십시오.

• 도메인 이름은 정확합니까?

IAS 서버가 도메인의 구성원인데 User-Name 특성에 도메인 이름이 없으면 IAS 서버의 도메인 이름을 사용합니다. IAS 서버의 이름과 다른 도메인 이름을 사용하려면 Defaultdomain 레지스트리 값을 IAS 서버에서 사용할 도메인의 이름으로 설정하십시오. IAS 레지스트리 설정에 대한 정보는 부록 F를 참조하십시오.

일부 NAS는 사용자 이름을 RADIUS 서버에 전달하기 전에 도메인 이름을 자동으로 삭제합니다. 사용자 이름에서 도메인 이름을 삭제하는 기능의 선택을 취소하십시오. 자세한 정보는 NAS 설명서를 참조하십시오.

• 원격 액세스 정책은 제대로 구성되었습니까?

원격 액세스 정책 때문에 연결을 거부할 수 있습니다. 정책 목록을 검사하여 액세스를 허용해야 하는 사용자를 제외하지 않았는지 확인하십시오. IAS 로그를 검사하여 연결을 거부한 원격 액세스 정책을 알아본 다음, 조건, 원격 액세스 권한, 프로필 설정을 조사하여 거부 원인을 결정하십시오. 연결 시도를 허용하도록 원격 액세스 정책을 적절히 변경하십시오.

• 원격 액세스 정책을 올바른 순서로 구성했습니까?

원격 액세스 정책의 순서가 틀릴 수 있습니다. 인증은 조건이 연결 시도와 일치하는 첫 번째 정책에 의해 허용되거나 거부됩니다. 위로 이동과 아래로 이동 단추를 사용하여 정책 순서를 조작하십시오. 더 구체적인 정책을 위에 배치하고 더 일반적인 정책을 아래에 배치하십시오.

• 사용자 계정에 호출자 ID를 구성했습니까?

사용자 계정에 호출자 ID를 구성한 경우 구성된 번호가 PPP 클라이언트에서 호출하는 번호와 일치하는지 확인하십시오.

• PPP 클라이언트의 인증 방법이 IAS에서 지원됩니까?

PPP 클라이언트가 IAS 서버에서 지원되지 않는 인증 방법을 사용하여 인증하려고 할 수 있습니다. 기본적으로 IAS는 MS-CHAP v2, MS-CHAP v1, CHAP, SPAP, PAP, EAP-MD5 CHAP, EAP-TLS를 지원합니다. 예를 들어, PPP 클라이언트가 IAS 서버에 설치되지 않은 EAP 종류를 사용할 수 있습니다.

• 원격 액세스 정책 잠금을 사용하도록 설정했습니까?

원격 액세스 정책 잠금을 사용하도록 설정했으면 이전에 실패한 액세스 시도 때문에 사용자 계정이 잠겼을 수 있습니다. 그러한 경우 수동으로 계정을 초기화하고 전화 접속 로그인 잠금 횟수를 증가시키십시오. 원격 액세스 계정 잠금에 대한 정보는 보안과 IAS 절을 참조하십시오.

• 사용자 계정의 원격 액세스 권한은 무엇입니까?

사용자 계정의 원격 액세스 권한을 액세스 거부로 설정했을 수 있습니다. 원격 액세스 권한이 원격 액세스 정책을 통해 액세스 제어로 설정된 경우 첫 번째 일치하는 원격 액세스 정책의 원격 액세스 권한이 원격 액세스 권한 허용으로 설정되었는지 확인하십시오.

• IAS 서버 컴퓨터가 정확한 도메인의 구성원입니까?

IAS 서버가 도메인의 구성원이 아니면 로컬 사용자 데이터베이스의 계정에 대해서만 인증합니다. IAS 서버를 해당 Active Directory 또는 Windows NT 4.0 도메인에 추가하십시오.

• IAS 서버가 NAS와 통신할 수 있습니까?

IAS 서버와 NAS 사이에 통신 문제가 있을 수 있습니다. ping 명령을 사용하여 IAS 서버와 NAS 사이에 IP 통신이 이루어질 수 있는지 확인하십시오. IAS 서버와 NAS 서버 사이에 방화벽 또는 RADIUS 소통량 전달을 막는 다른 종류의 패킷 필터링이 있는지 확인하십시오. IAS 로그에 RADIUS 메시지 정보가 나타나지 않으면 Windows 2000 이벤트 로그를 검사하여 연결 시도의 시간 제한이 만료되었는지 여부를 알아보십시오.

• IAS 서버가 글로벌 카탈로그 서버와 통신할 수 있습니까?

IAS 서버와 글로벌 카탈로그 서버 사이에 통신 문제가 있을 수 있습니다. 글로벌 카탈로그 서버는 이름 크래킹 중에 사용자 ID를 사용자 계정으로 확인하기 위해 사용됩니다. ping 명령을 사용하여 IAS 서버와 글로벌 카탈로그 서버 사이에 IP 통신이 이루어질 수 있는지 확인하십시오. IAS 서버와 글로벌 카탈로그 서버 사이에 방화벽 또는 소통량의 흐름을 막는 다른 종류의 패킷 필터링이 있는지 확인하십시오.

• IAS 서버가 도메인 컨트롤러와 통신할 수 있습니까?

IAS 서버와 도메인 컨트롤러 사이에 통신 문제가 있을 수 있습니다. 도메인 컨트롤러는 사용자 자격 증명 확인 중에 제공한 자격 증명이 사용자 계정의 자격 증명과 일치하는지 확인하기 위해 사용됩니다. ping 명령을 사용하여 IAS 서버와 도메인 컨트롤러 사이에 IP 통신이 이루어질 수 있는지 확인하십시오. IAS 서버와 도메인 컨트롤러 사이에 방화벽 또는 소통량의 흐름을 막는 다른 종류의 패킷 필터링이 있는지 확인하십시오.

• CHAP를 사용하고 있습니까?

CHAP를 사용하는 경우 사용자 계정의 Active Directory 도메인이 일반 텍스트 암호를 사용하도록 구성되었는지 확인하십시오. 또한 사용자 계정의 Active Directory 도메인이 일반 텍스트 암호를 사용하도록 구성된 후 사용자의 암호가 변경되었는지 확인하십시오.

• IAS 서버와 NAS가 동일한 공유 비밀을 사용하고 있습니까?

IAS 서버와 NAS가 동일한 공유 비밀을 사용하고 있는지 여부를 결정하십시오. 공유 비밀은 대/소문자를 구분합니다.

• NAS가 공유 비밀에 영숫자가 아닌 문자를 지원합니까?

일부 NAS는 IAS가 공유 비밀에 대해 허용하는 일부 문자를 인식하지 못합니다. 공유 비밀을 영숫자 문자만으로 된 것으로 잠시 변경하여 이것을 테스트할 수 있습니다.

• IAS 서버가 NAS에서 패킷을 삭제합니까?

NAS가 IAS 서버에서 기대하는 형식에 해당하지 않는 패킷을 보낼 수 있습니다. 거부된 요청과 삭제된 요청의 기록을 사용할 수 있도록 설정한 다음 Windows 2000 시스템 이벤트 로그를 검사하여 예상하지 않았거나 형식이 잘못된 패킷을 받고 있는지 확인하십시오. 그러한 경우이면 일치하는 원격 액세스 정책 프로필에 일부 공급업체별 특성을 설정해야 할 수 있습니다. IAS 서버에서 구성해야 하는 공급업체별 특성의 종류를 결정하려면 NAS 설명서를 참조하십시오.

• IAS 서버가 정확한 도메인의 구성원입니까?

IAS 서버가 구성원으로 속한 도메인을 확인하십시오. 도메인이 정확하면 사용자 자격 증명의 도메인과 IAS 서버가 속한 도메인 사이에 트러스트 관계가 있는지 확인하십시오. 사용자 자격 증명의 도메인이 다른 Active Directory 포리스트에 있으면 각 포리스트의 NAS와 IAS 서버 사이에 RADIUS 프록시를 구성해야 합니다.

• Windows 2000 도메인의 경우, IAS 서버 컴퓨터 계정이 RAS 및 IAS 서버 보안 그룹의 구성원입니까?

도메인의 사용자 계정 속성에 액세스할 수 있도록 하려면 IAS 서버의 컴퓨터 계정이 해당 도메인의 RAS 및 IAS 서버 보안 그룹에 속한 구성원이어야 합니다. IAS 서버를 인터넷 인증 서비스 관리 도구에 등록하거나 netsh ras add registeredserver 명령을 사용하여 Active Directory 사용자 및 컴퓨터 관리 도구로 할당하면 됩니다.

• 각 RADIUS 요청 메시지에 서명 특성을 요구합니까?

NAS가 각 RADIUS 요청 메시지에 서명 특성을 보내는지 확인하십시오. 보내지 않으면 IAS 서버가 서명 특성이 없는 모든 RADIUS 요청 메시지를 삭제합니다.

• PPP 클라이언트가 높은 암호화를 사용합니까?

높은 암호화(128비트 MPPE 또는 3-DES)를 사용하려면 PPP 클라이언트, 라우팅 및 원격 액세스 서버, IAS 서버에 High Encryption Pack을 설치해야 합니다. 또한 일치하는 원격 액세스 정책 프로필에 매우 높음 암호화 종류를 사용할 수 있도록 설정해야 합니다.

• NAS가 Framed-Routing 특성을 요구합니까?

NAS가 프레임형 라우팅을 요구할 수 있습니다. 기본적으로 Framed-Routing 특성은 액세스 허용 메시지에 포함시켜 보내지 않습니다.

Framed-Routing 특성을 사용할 수 있도록 설정하려면 아래 단계를 수행합니다:

1. 인터넷 인증 서비스 관리 도구에서 원격 액세스 정책을 클릭한 다음 로그온할 수 없는 사용자에게 적용되는 정책을 두 번 클릭합니다.
2. 프로필 편집, 고급 탭, 추가를 차례로 클릭합니다.
3. 사용 가능한 RADIUS 특성의 목록에서 Framed-Routing을 두 번 클릭합니다.
4. 속성 값에서 없음을 클릭합니다.
5. 확인을 클릭하여 프로필 변경 내용을 저장한 다음 확인을 클릭하여 정책 변경 내용을 저장합니다.
• NAS가 Van Jacobsen TCP/IP 압축을 요구합니까?

NAS가 Van Jacobsen TCP/IP 압축을 요구할 수 있습니다. Van Jacobsen TCP/IP 헤더 압축 방식에 대해 작동하도록 IAS를 구성하려면 아래와 같이 수행합니다:

1. 인터넷 인증 서비스 관리 도구에서 원격 액세스 정책을 클릭한 다음 로그온할 수 없는 사용자에게 적용되는 정책을 두 번 클릭합니다.
2. 프로필 편집, 고급 탭, 추가를 차례로 클릭합니다.
3. 사용 가능한 RADIUS 특성의 목록에서 Framed-Compression을 두 번 클릭합니다.
4. 속성 값에서 Van Jacobsen TCP/IP header compression, 확인을 차례로 클릭합니다.
5. 확인을 클릭하여 프로필 변경 내용을 저장한 다음 확인을 클릭하여 정책 변경 내용을 저장합니다.
• NAS가 Framed-MTU 특성을 요구합니까?

Framed MTU를 NAS에서는 설정했는데 IAS에서 설정하지 않으면 사용자가 로그온할 수 없습니다. IAS에서 Framed MTU 설정을 검사하고 NAS의 설정과 일치하는지 확인하십시오.

Framed MTU 설정을 변경하려면 아래 단계를 수행합니다:

1. 인터넷 인증 서비스 관리 도구에서 원격 액세스 정책을 클릭한 다음 로그온할 수 없는 사용자에게 적용되는 정책을 두 번 클릭합니다.
2. 프로필 편집, 고급 탭, 추가를 차례로 클릭합니다.
3. 사용 가능한 RADIUS 특성의 목록에서 Framed-MTU를 두 번 클릭합니다.
4. 속성 값을 클릭한 다음 NAS에 대한 설정과 일치하는 값을 입력합니다.
5. 확인을 클릭하여 프로필 변경 내용을 저장한 다음 확인을 클릭하여 정책 변경 내용을 저장합니다.
• IAS 서버 컴퓨터가 멀티 홈 방식입니까?

IAS 서버 컴퓨터가 액세스 요청 메시지를 받은 것과 다른 네트워크 어댑터를 사용하여 액세스 허용 메시지를 반환하면 NAS가 해당 메시지를 인식하지 못하고 삭제할 수 있습니다. 이 경우 IAS 서버 컴퓨터의 라우팅 테이블에 영구적 고정 IP 경로를 추가하면 액세스 요청 메시지를 보낸 것과 동일한 인터페이스에서 NAS에 대한 액세스 허용 메시지를 보낼 수 있습니다.

• RADIUS 프록시를 사용하고 있습니까

요청이 RADIUS 프록시를 통해 반환되는 경우, 아래 예와 같이 프록시가 일부 기능을 지원하는 데 필요한 특정 확장 기능을 지원하지 않을 수 있습니다:

• 사용자가 EAP 인증을 사용하게 하려면 RADIUS 프록시가 디지털 서명을 지원해야 합니다(RADIUS 확장 기능에 따라).
• 사용자가 의무 터널을 사용하여 연결하게 하려면 RADIUS 프록시가 터널 암호의 암호화를 지원해야 합니다.
• 연결에 Microsoft 암호화를 사용하려면 RADIUS 프록시가 MPPE 키의 암호화를 지원해야 합니다.

사용하려고 하는 기능에 필요한 확장 기능이 지원되는지 확인하려면 RADIUS 프록시 설명서를 참조하십시오.

부록 A - 질문과 대답

1. IAS란

인터넷 인증 서비스(IAS)는 Microsoft Windows 2000에서 구현한 원격 인증 전화 접속 로그인 사용자 서비스(RADIUS) 서버입니다. RADIUS는 원격 액세스와 라우터 간 연결에 대한 계정을 인증, 허가, 제공하는 산업 표준 방법을 제공합니다. IAS를 임의의 장치(대개 RADIUS를 지원하는 네트워크 액세스 서버[NAS])에 대한 RADIUS 서버로 사용할 수 있습니다.

2. 2. IAS는 어떤 플랫폼에서 실행됩니까?

IAS는 모든 버전의 Windows 2000 Server(Advanced Server와 Datacenter Server 포함)에서 실행되며 운영 체제에 포함되어 있습니다. IAS는 RADIUS 프록시 기능을 지원하지 않으며 인증을 위해 Windows 2000 로컬 보안 계정 관리자(SAM) 또는 Windows NT 4.0이나 Windows 2000 도메인 컨트롤러만 사용할 수 있습니다.

Windows NT Server 4.0용 Microsoft RADIUS 서버에는 두 버전이 있습니다:

1. 첫 번째 버전은 Internet Connection Services for Microsoft Remote Access Server라 하며 Windows NT 4.0 Option Pack에 포함되어 있습니다. Windows NT 4.0 Option Pack은 http://www.microsoft.com/ntserver/nts/downloads/recommended/NT4OptPk/default.asp  다운로드할 수 있습니다.
2. 두 번째 버전은 named Internet Connection Services for Microsoft RAS, Commercial Edition이라 하며, Windows NT 4.0 Option Pack에 제공되는 버전의 업그레이드입니다. Internet Connection Services for Microsoft RAS, Commercial Edition은 RADIUS 프록시 기능을 제공하며 Microsoft Membership System 데이터베이스, ODBC 규격 데이터베이스, 로컬 플랫 파일 등 다양한 인증 방법을 지원합니다.

Internet Connection Services for Microsoft RAS, Commercial Edition에 대한 정보는 http://www.microsoft.com/ISN/misc/icsoverview.asp  를 참조하십시오. Internet Connection Services for Microsoft RAS, Commercial Edition은 http://www.microsoft.com/ISN/downloads.asp#2  에서 다운로드할 수 있습니다. .

3. IAS는 모든 네트워크 액세스 서버(NAS)에서 작동합니까?

예. 모든 NAS, VPN 서버 또는 RFC 2138과 2139를 지원하는 장치가 IAS에서 작동합니다. RFC 2138 및 2139 규격을 결정하려면 NAS 설명서를 참조하십시오.

4. 4. RADIUS 서버의 Windows 2000 버전 IAS의 새로운 기능은 무엇입니까?

Windows 2000 IAS에서는 Windows NT 4.0용으로 만들어진 버전보다 더 확장성 있고, 강력하고, 안전한 여러 가지 기능이 향상되었습니다. Windows 2000 버전의 몇 가지 새로운 기능은 아래와 같습니다:

• 확장할 수 있는 인증 프로토콜(EAP), Microsoft Challenge Handshake Authentication Protocol 버전 2(MS-CHAP v2), 연결할 전화 번호 확인 서비스(DNIS) 인증, 자동 번호 확인(ANI) 인증, 인증되지 않은 액세스 등 새로운 인증 프로토콜과 방법 지원
• 원격 액세스 정책에 따라 중앙 집중식 연결 시도 인증
• 복수 벤더 사전
• 다국어 로그 파일을 지원하는 중앙 집중식 감사와 계정
• IAS 서버의 원격 모니터링과 관리
• 최대 수백만 명의 사용자로 확장 가능
• 주문형 EAP 모듈, 인증 모듈, 허가 모듈을 만들 수 있는 향상된 소프트웨어 개발 키트(SDK)
5. 5. 다른 RADIUS 서버보다 IAS를 사용하면 어떤 장점이 있습니까?

IAS는 아래와 같은 특징을 가지고 있습니다.

• 확장할 수 있는 인증 프로토콜(EAP), Microsoft Challenge Handshake Authentication Protocol 버전 2(MS-CHAP v2), 연결할 전화 번호 확인 서비스(DNIS) 인증, 자동 번호 확인(ANI) 인증, 인증되지 않은 액세스 등 새로운 인증 프로토콜과 방법 지원
• CHAP 지원
• 로컬 또는 원격 그래픽 사용자 인터페이스 구성
• 사용자 계정 사용, Windows NT 또는 Windows 2000 도메인 그룹, Windows 2000 이벤트 로그를 포함한 Windows 2000과의 통합
• 자세한 인증 및 계정 로깅
• 최대의 ISP로 확장 가능
• RFC 기반 RADIUS SNMP MIB 지원
• 중앙에서 관리하는 인증 및 연결 매개 변수 적용을 제공하는 융통성 있는 원격 액세스 정책
• 사용자 지정 공급업체별 특성을 만들 수 있는 복수 벤더 사전
• 인증 및 허가 기능, IAS SDK를 통해 확장
6. IAS는 NDS(NetWare Directory Services)의 사용자 계정을 인증할 수 있습니까?

아니오. Windows 2000의 IAS는 로컬 SAM, Windows NT 4.0 도메인, Windows 2000 도메인에 상주하는 사용자 계정만 인증합니다.

NDS 트리의 사용자 계정을 인증하려면 RADIUS 프록시를 사용하여 NDS 인증을 지원하는 RADIUS 서버에 인증 요청을 전달하거나 NDS 트리를 사용하여 사용자 자격 증명을 인증하는 IAS SDK로 IAS 인증 모듈을 만들어야 합니다. Internet Connection Services for Microsoft RAS, Commercial Edition과 Windows NT 4.0을 사용하는 컴퓨터를 RADIUS 프록시로 사용할 수도 있습니다. ODBC 인터페이스를 통해 NDS에 사용자 인증을 전송하는 방법이 있으면 인증을 제공하는 RADIUS 서버로 Internet Connection Services for Microsoft RAS, Commercial Edition과 Windows NT 4.0을 사용할 수 있습니다.

7. IAS는 콜백을 지원합니까?

사용자 계정의 전화 접속 로그인 속성에서 콜백 옵션 전화 건 사람이 설정을 구성하면 IAS는 Service-Type=Callback-Framed 특성을 반환합니다. 이 동작은 RADIUS RFC에 명확하게 지정되어 있지 않으며 일부 NAS는 이 옵션을 지원하지 않을 수 있습니다. 자세한 정보는 해당 NAS 설명서를 참조하십시오.

사용자 계정의 전화 접속 로그인 속성에서 항상 콜백 옵션을 구성하고 전화 번호를 구성하면 IAS는 Service-Type=Callback-Framed와 Callback-Number="configured number" 특성을 반환합니다. IAS는 RFC의 권고를 따르지만 일부 NAS는 그렇지 않습니다. 자세한 정보는 NAS 설명서를 참조하십시오.

8. IAS로 웹 사용자를 인증할 수 있습니까?

아니오. Microsoft Internet Information Server 모든 버전을 포함한 대부분의 웹 서버는 웹 사용자를 인증하는 데 RADIUS를 사용하지 않습니다.

9. Microsoft는 RADIUS 클라이언트를 지원합니까?

예. Windows NT 4.0 라우팅 및 원격 액세스 서비스(RRAS)와 Windows 2000 라우팅 및 원격 액세스 서비스 모두 임의의 RADIUS 서버에 대한 RADIUS 클라이언트로 구성할 수 있습니다.

10. 암호가 만료된 후 사용자가 암호를 변경할 수 있습니까?

예. 전화 접속 로그인 클라이언트가 인증 중에 암호 변경을 지원하면 클라이언트는 암호 변경을 지원하는 인증 방법(MS-CHAP 또는 MS-CHAP v2 등)을 사용하는 것이며 사용자 계정은 로컬 SAM 또는 Windows NT 4.0이나 Windows 200 도메인에 속하는 것입니다.

11. IAS는 RADIUS 프록싱을 지원합니까?

아니오. RADIUS 프록싱은 Internet Connection Services for Microsoft RAS, Commercial Edition for Windows NT 4.0에서 지원됩니다.

12. IAS를 수백만 명의 사용자로 확장할 수 있습니까?

예. IAS를 소규모 기업에서 대규모 ISP에 이르기까지 다양한 환경에 사용할 수 있습니다. 자세한 정보는 성능과 IAS 절을 참조하십시오.

13. IAS는 한 지점이 고장나면 전체에 문제가 생깁니까?

아니오. 대표적인 RADIUS 구성은 동일한 정책 세트로 구성된 기본 RADIUS 서버와 백업 RADIUS 서버를 사용합니다. RADIUS 클라이언트는 기본 및 백업 RADIUS 서버 모두를 위해 구성되기 때문에, 기본 RADIUS 서버를 사용할 수 없으면 RADIUS 클라이언트가 백업을 사용하기 시작합니다.

14. IAS는 동시 로그온 세션 수를 제어하는 기능을 지원합니까?

아니오. 그러나 IAS SDK를 사용하여 인증 모듈을 작성하면 이 기능을 지원할 수 있습니다.

15. IAS는 Security Dynamics 토큰 카드를 지원합니까?

예. EAP 기반 및 비 EAP 기반 Security Dynamics 토큰 카드 모두 지원합니다. Windows 2000 Server Resource Kit에는 EAP 기반 Security Dynamics 토큰 카드 인증을 위한 EAP 모듈이 들어 있습니다. 비 EAP 기반 Security Dynamics 토큰 카드 인증은 IAS SDK로 인증 모듈을 개발하여 지원할 수 있습니다.

16. IAS는 Windows NT 4.0 도메인과 Windows 2000 도메인 모두에 대해 Challenge Handshake 인증 프로토콜(CHAP)을 지원합니까?

예.

17. IAS는 Windows NT 4.0 도메인에서 작동합니까?

예. IAS는 Windows NT 4.0 도메인, Windows 2000 기본 모드, Windows 2000 혼합 모드 도메인에서 작동합니다.

18. IAS는 Microsoft 회원 시스템 또는 U2 웹 데이터베이스에 대한 인증을 지원합니까?

아니요

19. IAS는 NAS의 특성이 IAS 복수 벤더 사전에 없는 경우 해당 NAS에서 작동합니까?

예. NAS에 필요한 특성이 있으면 일치하는 원격 액세스 정책에 대한 프로필의 고급 탭에서 공급업체별 특성(VSA)을 구성할 수 있습니다. 이 특성들의 정확한 형식에 대해서는 NAS 설명서를 참조하십시오.

20. 중앙 위치에서 원격 액세스 정책의 구성을 어떻게 관리합니까?

원격 액세스 정책은 IAS 서버에 로컬로 저장됩니다. IAS 서버의 모든 RADIUS 클라이언트에는 동일한 정책이 적용됩니다. 아래 절차를 수행하여 정책을 포함한 IAS 서버 한 대의 구성을 복사할 수 있습니다:

1. 명령 프롬프트에서 netsh aaaa show config > path\file.ext를 입력합니다. 그러면 레지스트리 설정을 포함한 구성 설정이 텍스트 파일에 저장됩니다. 경로는 상대, 절대, UNC 경로로 지정할 수 있습니다.
2. 만든 파일을 대상 컴퓨터에 복사하고 대상 컴퓨터의 명령 프롬프트에서 netsh exec path\file.ext를 입력합니다. 그러면 업데이트가 성공적임을 나타내는 메시지가 나타납니다.
21. LDAP(Light Directory Access Protocol)를 사용하여 Active Directory의 사용자별 특성에 어떻게 액세스할 수 있습니까?

이 목적으로 사용할 수 있는 MPR라는 게시된 응용 프로그램 인터페이스(APR)가 있습니다.

22. 각 사용자에 대해 고정 IP 주소를 어떻게 설정할 수 있습니까?

사용자 계정의 전화 접속 로그인 속성에 있는 고정 IP 주소 할당 옵션을 사용하여 고정 IP 주소를 설정할 수 있습니다. 이 옵션은 독립형 IAS 서버용 로컬 SAM의 사용자 계정 또는 Windows 2000 기본 모드 도메인의 사용자 계정에 대해서만 설정할 수 있습니다.

23. IAS 로그 파일을 어떻게 읽습니까?

IAS 로그 파일의 파일 형식은 Windows 2000 Server 온라인 도움말에 정리되어 있습니다. Windows 2000 Server Resource Kit에는 IAS 로그 파일을 구문 분석하고 읽는 데 사용하는 명령줄 유틸리티 iasparse.exe와 Telco Research가 개발한 네트워크 계정 응용 프로그램 trU Access Manager Limited Edition이 들어 있습니다.

24. RFC 2138 및 2139와 함께 의무 터널링, 서명 특성, EAP를 설명하는 여러 추록 초안이 있습니다. IAS에서 이 초안들이 지원됩니까?

예. 이 초안에는 RFC 2138 및 2139가 발표된 후 IETF가 소개한 RADIUS 특성 여러 개가 설명되어 있습니다. 이 초안에서 선택된 몇몇 초안들을 지원합니다.

25. IAS에서 테스트한 NAS는 어느 것입니까?

Cisco, Lucent(Ascend Communications), 3-Com(US Robotics)의 NAS, Windows NT 4.0 라우팅 및 원격 액세스 서비스(RRAS), Windows 2000 라우팅 및 원격 액세스 서비스에서 상호 운영 테스트를 수행했습니다.

26. ?대의 IAS 서버가 필요합니까?

예상하는 인증 요청 횟수에 따라 달라집니다. IAS는 단일 서버에서 초 당 수백 회의 인증 요청을 수행할 수 있습니다. 이 점을 지침으로 삼아 필요한 서버 대수를 좀더 현명하게 결정할 수 있습니다. 자세한 정보는 성능과 IAS 절을 참조하십시오.

27. Windows 2000 Professional을 실행 중인 랩톱에서 IAS 서버를 관리할 수 있습니까?

예. Windows 2000 Professional을 실행 중인 랩톱에 관리 도구를 설치하면 인터넷 인증 서비스 관리 도구로 모든 IAS 서버를 관리할 수 있습니다.

28. 인증되지 않은 액세스는 어떻게 작동합니까?

인증되지 않은 액세스에서는 사용자에게 사용자 이름, 암호, 도메인을 요구하지 않습니다. 인증되지 않은 액세스를 사용하도록 설정하면 IAS는 Windows 2000 게스트 계정을 사용하여 사용자의 연결 시도를 인증 및 허가합니다. 게스트 계정을 사용하도록 설정하고 원격 액세스 권한을 액세스 허용 또는 원격 액세스 정책을 통해 액세스 제어로 설정해야 합니다.

29. 도메인 컨트롤러에 IAS를 설치해야 합니까?

아니오. 도메인의 구성원인 컴퓨터에 IAS를 설치할 수 있습니다. IAS는 도메인 컨트롤러와 함께 보안 통신 채널을 사용하여 수신 액세스 요청 메시지의 도메인 자격 증명에 대한 인증을 수행합니다.

30. IAS는 인증을 어떻게 수행합니까?

IAS 서버는 NAS로부터 RADIUS 액세스 요청 메시지에 사용자 자격 증명을 받습니다. 사용자 자격 증명에 포함된 도메인이 없으면 해당 도메인에서 사용자의 계정을 찾습니다. 도메인은 트러스트된 도메인 또는 IAS 서버가 구성원으로 속한 도메인이어야 합니다. 그렇지 않으면 연결 시도가 거부됩니다.

사용자 자격 증명에 도메인을 지정하지 않으면 IAS 서버는 레지스트리에서 기본 도메인을 결정합니다. 기본 도메인이 레지스트리에 지정되어 있지 않으면 IAS 서버는 자체가 구성원으로 속한 도메인을 사용합니다. IAS 서버가 도메인의 구성원이 아니면 로컬 SAM을 통해 사용자 자격 증명을 인증하려고 합니다.

31. 원격 액세스 정책은 IAS에서 어떻게 작동합니까?

원격 액세스 정책은 연결 시도의 인증을 제공합니다. 사용자 자격 증명이 인증되고 나면 IAS는 구성된 원격 액세스 정책 세트에 대해 연결 시도의 매개 변수를 평가합니다. 연결 시도가 원격 액세스 정책과 일치하거나(정책의 모든 조건을 충족), 원격 액세스 권한을 가지고 있거나, 계정의 모든 조건, 사용자 계정의 전화 접속 로그인 속성, 원격 액세스 정책 프로필 설정을 충족하면 연결 시도가 허용됩니다.

연결 시도가 어떤 원격 액세스 정책과도 일치하지 않거나, 원격 액세스 권한을 가지고 있지 않거나, 계정의 모든 조건과 사용자 계정의 전화 접속 로그인 속성 및 원격 액세스 정책 프로필 설정을 충족하지 못하면 연결 시도가 거부됩니다.

연결 시도는 인증되기도 하고 허가되기도 해야만 허용됩니다.

32. 몇 개의 원격 액세스 정책이 필요합니까?

IAS에서는 십여 가지 정책을 가질 수 있습니다. 그러나 대부분의 경우 인증을 제공하는 데에는 몇 개의 정책만 필요합니다. Windows 그룹을 사용하여 액세스를 허용하고 연결 매개 변수를 결정하는 경우에는 유니버설 그룹과 그룹 중첩을 사용하여 정책 수를 줄일 수 있습니다. IAS의 정책을 벗어나는 특유한 요구가 있으면 IAS SDK를 사용하여 자기만의 인증 모듈을 작성할 수 있습니다.

33. IAS를 위한 최소 하드웨어 요구 사항은?

IAS를 위한 최소 하드웨어 요구 사항은 Windows 2000 Server와 마찬가지로 128 MB RAM이 있는 Pentium 133 MHz(또는 동급) 컴퓨터입니다.

34. IAS에 대한 자세한 정보는 어디서 얻을 수 있습니까?

Windows 2000 Server 도움말에 IAS에 대한 개념, 배치, 문제 해결, 절차 정보가 있습니다. Windows 2000 Server Resource Kit Internetworking Guide의 8장 "인터넷 인증 서비스"에 IAS에 대한 추가적인 기술 정보가 있습니다.

부록 B - RADIUS 프로토콜

RADIUS 프로토콜을 이해하면 아래 작업을 수행하는 데 도움이 됩니다:

• 네트워크 모니터 캡처의 해석
• 계정 로그를 분석할 때 서로 다른 패킷 형식에 대한 이해
• 공급업체별 특성 번호 입력

RADIUS 서버에 보내는 RADIUS 패킷은 RADIUS 인증 메시지의 경우 UDP 포트 1812 및 RADIUS 계정 메시지의 경우 UDP 포트 1813을 사용하여 UDP(User Datagram Protocol) 메시지로 전송됩니다. 일부 이전 버전의 네트워크 액세스 서버는 RADIUS 인증 메시지에 UDP 포트 1645를 사용하고 RADIUS 계정 메시지에 UDP 포트 1646을 사용합니다. 기본적으로 IAS는 두 가지 UDP 포트 세트에서의 RADIUS 메시지 수신을 모두 지원합니다. RADIUS 패킷 하나는 UDP 페이로드에 캡슐화됩니다.

일반적인 패킷 구조

그림 27은 RADIUS 패킷의 일반적인 구조를 나타냅니다.

그림 27 RADIUS 패킷의 일반적인 구조

Code

Code 필드는 1바이트 길이이며 RADIUS 패킷 종류를 나타냅니다. Code 필드가 잘못된 패킷은 자동으로 삭제됩니다. RADIUS Code 필드에 대해 정의된 값은 표 4와 같습니다.

표 4 RADIUS Code 필드에 대한 값

코드(10진수)	패킷
1	액세스 요청
2	액세스 허용
3	액세스 거부
4	계정 요청
5	계정 응답
11	액세스-Challenge
12	서버 상태(실험 중)
13	클라이언트 상태(실험 중)
255	예약

Identifier

Identifier 필드는 1바이트 길이이며 요청을 해당 응답과 대조하기 위해 사용됩니다.

Length

Length 필드는 8진수 2개 길이이며 패킷과 Code, Identifier, Length, Authenticator를 포함한 RADIUS 메시지 전체의 길이를 나타냅니다. Length 필드는 20바이트에서 4,096바이트까지 다양하게 지정할 수 있습니다.

Authenticator

Authenticator 필드는 8진수 16개 일이이며 RADIUS 클라이언트와 서버가 상호 인증하는 데 사용하는 정보를 포함하고 있습니다.

Attributes

RADIUS 패킷의 Attributes 부분에는 RADIUS 패킷에 대한 구체적 인증, 허가, 정보, 구성 정보를 전달하는 하나 이상의 RADIUS 특성이 들어 있습니다. 여러 인스턴스를 가진 특성의 경우 특성의 순서를 지켜야 합니다. 그렇지 않으면 특성 종류의 원래 순서가 흐트러질 수 있습니다.

RADIUS 특성

그림 28은 각 RADIUS 특성의 구조를 나타냅니다. RADIUS 특성은 다른 프로토콜에서 공통적으로 사용하는 Type-Length-Value 형식을 사용합니다:

그림 28 RADIUS 특성의 구조

Type

Type 필드는 1바이트 길이이며 특정 RADIUS 특성 종류를 나타냅니다. 일부 특성은 표 5에 설명되며, 다른 RADIUS 특성과 사용에 대한 정보는 RFC 2138과 2139를 참조하십시오.

표 5 RADIUS 특성 종류

종류 값	설명
1	User-Name(사용자 이름)
2	User-Password(사용자 암호)
3	CHAP-Password(CHAP 암호)
4	NAS-IP-Address(NAS IP 주소)
5	NAS-Port(NAS 포트)
6	Service-Type(서비스 종류)
7	Framed-Protocol(프레임형 프로토콜)
8	Framed-IP-Address(프레임형 IP 주소)
9	Framed-IP-Netmask(프레임형 IP 넷마스크)
10	Framed-Routing(프레임형 라우팅)
11	Filter-ID(필터 ID)
12	Framed-MTU(프레임형 MTU)
13	Framed-Compression(프레임형 압축)
19	Reply-Message(응답 메시지)
24	State(상태)
25	Class(클래스)
26	Vendor-Specific(공급업체별 특성)
27	Session-Timeout(세션 시간 제한)
28	Idle-Timeout(유휴 시간 제한)
29	Termination-Action(종료 동작)
32	NAS-Identifier(NAS ID)
61	NAS-Port-Type(NAS 포트 종류)
62	Port-Limit(포트 한계)

Type 값 192에서 223까지는 실험용으로 예약되어 있고 값 224에서 240까지는 구현별 사용을 위해 예약되어 있으며, 값 241에서 255까지는 예약되었으며 사용하지 않습니다. 값 26은 공급업체별 특성(VSA)을 위해 예약되어 있습니다.

Length

Length 필드는 Type, Length, Value 필드를 포함한 특성의 길이를 나타냅니다.

Value

Value 필드는 8진수 0개 이상의 길이이며 특성 전용 정보를 포함하고 있습니다. Value 필드의 형식과 길이는 RADIUS 특성의 종류에 따라 달라집니다.

Vendor-Specific Attributes

VSA는 공급업체가 RFC 2138에서 다루지 않은 독자적인 특성을 지원하기 위해 사용할 수 있습니다. IAS는 복수 벤더 사전에 여러 공급업체의 VSA를 포함시킵니다. 이 목록은 시간이 경과함에 따라 변화하기 때문에 새로운 특성과 공급업체가 항상 추가되고 있습니다.

IAS 복수 벤더 사전에 없는 특성을 사용하기 위해 IAS를 통해 원격 액세스 정책 프로필의 고급 탭에 Vendor-Specific(특성 종류 26)으로 추가할 수 있습니다. 특성 종류 26을 사용하려면 VSA 형식과 기타 필요한 정보를 알고 있어야 합니다. VSA 형식은 아래 절에서 설명하며, 기타 필수 정보에 대해서는 NAS 설명서를 참조하십시오.

Vendor-Specific 특성의 구조는 그림 29와 같습니다.

그림 29 Vendor-Specific 특성의 구조

Type

Type 값은 VSA를 나타내기 위해 26(0x1A)으로 설정됩니다.

Length

Length 값은 VSA의 바이트 수로 설정됩니다.

Vendor ID

공급업체 ID는 8진수 4개 길이이며 상위 8진수는 0(0x00), 하위 8진수 3개는 공급업체의 관리 정보 식별(Identification of Management Information: SMI) 네트워크 관리 개별 기업 코드의 구조와 식별입니다.

String

String 필드는 8진수 한 개 이상으로 구성된 VSA입니다. RFC 2138에 따르면 String 필드를 그림 30과 같은 필드로 구성해야 합니다:

그림 30 String 필드의 구조

Vendor Type

Vendor Type 필드는 공급업체별 VSA를 나타내기 위해 사용됩니다.

Vendor Length

Vendor Length 값은 문자열의 바이트 수로 설정됩니다.

Attribute-Specific

Attribute-Specific 필드에는 특정 공급업체 특성에 대한 데이터가 들어 있습니다.

RFC 2138을 따르지 않는 공급업체는 특성 종류 26을 사용하여 공급업체별 특성을 식별하지만 String 필드에 Vendor Type, Vendor Length, Attribute-Specific 필드를 사용하면 안 됩니다. 이 경우 공급업체별 특성 형식은 그림 29와 같이 나타납니다.

특정 NAS에 대한 VSA를 종류 26으로 추가하려면 특성이 RFC 2138 규격인지 여부를 알고 있어야 합니다. NAS가 그림 30에 설명된 VSA 형식을 사용하는지 여부에 대한 정보는 NAS 설명서를 참조하십시오.

VSA는 원격 액세스 정책 프로필의 고급 탭에서 공급업체별 특성을 추가할 때 공급업체별 특성 정보 대화 상자에서 구성합니다. VSA 형식이 RFC 2138 규격이면 NAS 설명서에 정의된 대로 공급업체가 할당한 특성 번호, 형식, 값을 사용하여 특성을 구성할 수 있습니다. VSA 형식이 RFC 2138 규격이 아니면 NAS 설명서에 정의된 대로 VSA 형식의 문자열(Vendor-ID 뒤의 모든 것)이 들어 있는 16진수 특성 값을 이용하여 특성을 구성할 수 있습니다.

RADIUS 패킷 예제

Windows 2000 PPTP 클라이언트가 Windows 2000 VPN 서버에 원격 액세스 연결을 시도합니다. VPN 서버의 IP 주소는 10.10.210.13이며 IAS 서버의 IP 주소는 10.10.210.12입니다.

액세스 요청 패킷

다음 네트워크 모니터 표시 내용은 VPN 서버가 IAS 서버에 보낸 액세스 요청 패킷을 나타냅니다.

+ IP: ID = 0x850; Proto = UDP; Len: 248
+ UDP: Src Port: Unknown, (1327); Dst Port: Unknown (1812); Length = 228 (0xE4)
RADIUS: Message Type: Access Request(1)
RADIUS: Message Type = Access Request
RADIUS: Identifier = 2 (0x2)
RADIUS: Length = 220 (0xDC)
RADIUS: Authenticator = 8A 6F DC 03 23 5F 4B 62 CA 40 92 38 DC 75
CB 74
RADIUS: Attribute Type: NAS IP Address(4)
RADIUS: Attribute type = NAS IP Address
RADIUS: Attribute length = 6 (0x6)
RADIUS: NAS IP address = 10.10.210.13
RADIUS: Attribute Type: Service Type(6)
RADIUS: Attribute type = Service Type
RADIUS: Attribute length = 6 (0x6)
RADIUS: Service type = Framed
RADIUS: Attribute Type: Framed Protocol(7)
RADIUS: Attribute type = Framed Protocol
RADIUS: Attribute length = 6 (0x6)
RADIUS: Framed protocol = PPP
RADIUS: Attribute Type: NAS Port(5)
RADIUS: Attribute type = NAS Port
RADIUS: Attribute length = 6 (0x6)
RADIUS: NAS port = 32 (0x20)
RADIUS: Attribute Type: Vendor Specific(26)
RADIUS: Attribute type = Vendor Specific
RADIUS: Attribute length = 12 (0xC)
RADIUS: Vendor ID = 311 (0x137)
RADIUS: Vendor string =
RADIUS: Attribute Type: Vendor Specific(26)
RADIUS: Attribute type = Vendor Specific
RADIUS: Attribute length = 18 (0x12)
RADIUS: Vendor ID = 311 (0x137)
RADIUS: Vendor string = MSRASV5.00
RADIUS: Attribute Type: NAS Port Type(61)
RADIUS: Attribute type = NAS Port Type
RADIUS: Attribute length = 6 (0x6)
RADIUS: NAS port type = Virtual
RADIUS: Attribute Type: Tunnel Type(64)
RADIUS: Attribute type = Tunnel Type
RADIUS: Attribute length = 6 (0x6)
RADIUS: Tag = 0 (0x0)
RADIUS: Tunnel type = Point-to-Point Tunneling Protocol(PPTP)
RADIUS: Attribute Type: Tunnel Media Type(65)
RADIUS: Attribute type = Tunnel Media Type
RADIUS: Attribute length = 6 (0x6)
RADIUS: Tag = 0 (0x0)
RADIUS: Tunnel media type = IP (IP version 4)
RADIUS: Attribute Type: Calling Station ID(31)
RADIUS: Attribute type = Calling Station ID
RADIUS: Attribute length = 14 (0xE)
RADIUS: Calling station ID = 10.10.14.226
RADIUS: Attribute Type: Tunnel Client Endpoint(66)
RADIUS: Attribute type = Tunnel Client Endpoint
RADIUS: Attribute length = 14 (0xE)
RADIUS: Tunnel client endpoint = 10.10.14.226
RADIUS: Attribute Type: User Name(1)
RADIUS: Attribute type = User Name
RADIUS: Attribute length = 18 (0x12)
RADIUS: User name = NtrESKIT\user1
RADIUS: Attribute Type: Vendor Specific(26)
RADIUS: Attribute type = Vendor Specific
RADIUS: Attribute length = 24 (0x18)
RADIUS: Vendor ID = 311 (0x137)
RADIUS: Vendor string = ¦ì½+-_¦e $+fN<åN
RADIUS: Attribute Type: Vendor Specific(26)
RADIUS: Attribute type = Vendor Specific
RADIUS: Attribute length = 58 (0x3A)
RADIUS: Vendor ID = 311 (0x137)
RADIUS: Vendor string = 4

VPN 서버가 보낸 RADIUS 특성에는 사용자 이름, 서비스 종류, 프레임형 프로토콜, 여러 가지 PPTP 연결용 터널 특성, 일련의 MS-CHAP 인증용 공급업체별 특성이 들어 있습니다. Microsoft VSA에 대한 정보는 RFC 2548을 참조하십시오.

액세스 허용 패킷

다음 네트워크 모니터 표시 내용은 VPN 서버가 IAS 서버에 보낸 액세스 허용 패킷을 나타냅니다

+ IP: ID = 0xB18; Proto = UDP; Len: 248
+ UDP: Src Port: Unknown, (1812); Dst Port: Unknown (1327); Length = 228 (0xE4)
RADIUS: Message Type: Access Accept(2)
RADIUS: Message Type = Access Accept
RADIUS: Identifier = 2 (0x2)
RADIUS: Length = 220 (0xDC)
RADIUS: Authenticator = 52 E2 19 98 2E F8 E2 D3 B7 3B E1 24 5B 72
55 9E
RADIUS: Attribute Type: Framed Protocol(7)
RADIUS: Attribute type = Framed Protocol
RADIUS: Attribute length = 6 (0x6)
RADIUS: Framed protocol = PPP
RADIUS: Attribute Type: Service Type(6)
RADIUS: Attribute type = Service Type
RADIUS: Attribute length = 6 (0x6)
RADIUS: Service type = Framed
RADIUS: Attribute Type: Class(25)
RADIUS: Attribute type = Class
RADIUS: Attribute length = 32 (0x20)
RADIUS: Class = <$ @
RADIUS: Attribute Type: Vendor Specific(26)
RADIUS: Attribute type = Vendor Specific
RADIUS: Attribute length = 42 (0x2A)
RADIUS: Vendor ID = 311 (0x137)
RADIUS: Vendor string = $Ç DZ¦,S¯c7 _æ:+RW_tÖ-qxF¦ (-+¦%p6
RADIUS: Attribute Type: Vendor Specific(26)
RADIUS: Attribute type = Vendor Specific
RADIUS: Attribute length = 42 (0x2A)
RADIUS: Vendor ID = 311 (0x137)
RADIUS: Vendor string = $Ç
RADIUS: Attribute Type: Vendor Specific(26)
RADIUS: Attribute type = Vendor Specific
RADIUS: Attribute length = 51 (0x33)
RADIUS: Vendor ID = 311 (0x137)
RADIUS: Vendor string = -
RADIUS: Attribute Type: Vendor Specific(26)
RADIUS: Attribute type = Vendor Specific
RADIUS: Attribute length = 21 (0x15)
RADIUS: Vendor ID = 311 (0x137)
RADIUS: Vendor string =

IAS 서버가 보낸 RADIUS 특성에는 사용자 이름, 서버 종류, 프레임형 프로토콜, 서비스 클래스,일련의 MS-CHAP 인증용 공급업체별 특성이 들어 있습니다.

부록 C - Windows NT 4.0 IAS와 Windows 2000 IAS의 차이점

이전 버전의 IAS는 Windows NT 4.0 Option Pack과 함께 출시되었습니다. 여기서 두 버전의 차이점을 설명합니다.

Windows NT 4.0 IAS의 동작

• 인증 중에 도메인 이름을 지정하지 않으면 IAS 서버는 로컬 SAM 데이터베이스에 대해 사용자를 인증합니다.
• IAS는 일부 사용자 계정에 대해 콜백 권한을 사용하지 않을 수 있습니다.
• IAS 로그 파일은 ASCII 형식으로 작성됩니다.

Windows 2000 IAS의 동작

IAS는 아래 순서를 사용하여 지정한 도메인이 없는 사용자 이름을 확인합니다:

1. IAS는 지정된 경우 Defaultdomain 레지스트리 설정을 사용하여 레지스트리에서 기본 도메인을 결정합니다.
2. IAS 서버가 도메인의 구성원이면 IAS는 해당 도메인에 대해 사용자를 인증합니다.
3. IAS 서버가 도메인의 구성원이 아니면 IAS는 로컬 SAM 데이터베이스에 대해 사용자를 인증합니다.
• IAS는 모든 사용자 계정에 대해 콜백 권한을 사용합니다.
• IAS 로그 파일은 다국어로 작성 가능하며 UTF-8 형식으로 작성됩니다.

부록 D - 영역 바꾸기에 패턴 일치 구문 사용

Windows 2000은 UNIX 환경에 널리 사용되는 패턴 일치 구문 사용을 지원합니다. 이 구문을 사용하여 원격 액세스 정책 특성과 RADIUS 영역의 조건을 지정할 수 있습니다. 표 6에 사용할 수 있는 특수 문자를 설명하고 몇 가지 예를 제공합니다.

표 6 패턴 일치 구문에 사용되는 특수 문자

문자	설명
\	다음 문자가 특수 문자임을 나타냅니다.예를 들어, /n/은 문자 "n"과 일치하며, 순서 /\n/은 줄 바꿈 또는 새 줄 문자와 일치합니다.
^	입력 또는 줄의 시작과 일치합니다.
$	입력 또는 줄의 끝과 일치합니다.
*	앞 문자와 0번 이상 일치합니다. 예를 들어, /zo*/는 "z" 또는 "zoo"와 일치합니다.
+	앞 문자와 한 번 이상 일치합니다. 예를 들어, /zo+/는 "zoo"와는 일치하지만 "z"와는 일치하지 않습니다.
?	앞 문자와 0번 이상 일치합니다. 예를 들어, /a?ve?/는 "never"의 "ve"와 일치합니다.
.	새 줄 문자를 제외한 모든 단일 문자와 일치합니다.
(pattern)	패턴과 일치하고 일치하는 것을 기억합니다. 예를 들어, 괄호 문자 ( )와 일치시키려면 "\(" or "\)"를 사용합니다.
x|y	x 또는 y와 일치합니다. 예를 들어, /z|food?/는 "zoo" 또는 "food"와 일치합니다.
{n}	정확히 n번 일치합니다(n은 음수가 아닌 정수). 예를 들어, /o{2}/는 "Bob"의 "o"와는 일치하지 않지만 "foooood"의 처음 두 개의 o와는 일치합니다.
{n,}	최소한 n번 일치합니다(n은 음수가 아닌 정수). 예를 들어, /o{2,}/는 "Bob"의 "o"와는 일치하지 않지만 "foooood"의 모든 o와 일치하며, /o{1,}/은 /o+/와 같습니다.
{n,m}	최소한 n번 대부분 m번 일치합니다(m과 n은 음수가 아닌 정수). 예를 들어, /o{1,3}/은 "fooooood"의 처음 o와 일치합니다.
[xyz]	문자 세트이며, 대괄호로 묶인 문자 중 하나와 일치합니다. 예를 들어, /[abc]/는 "plain"의 "a"와 일치합니다.
[^xyz]	부정 문자 세트이며, 괄호로 묶지 않은 모든 문자와 일치합니다. 예를 들어, /[^abc]/는 "plain"의 "p"와 일치합니다.
\b	공백과 같은 단어 경계와 일치합니다. 예를 들어, /ea*r\b/는 "never early"의 "er"와 일치합니다.
\B	단어가 아닌 경계와 일치합니다. 예를 들어, /ea*r\B/는 "never early"의 "ear"와 일치합니다.
\d	숫자 문자와 일치합니다([0-9]와 같음).
\D	숫자가 아닌 문자와 일치합니다([^0-9]와 같음).
\f	용지 공급 문자와 일치합니다. 줄 바꿈 문자와 일치합니다. 캐리지 리턴 문자와 일치합니다.
\n
\r
\s	공백, 탭, 용지 공급 등을 포함한 모든 공백과 일치하며, [ \f\n\r\t\v]와 같습니다.
\S	공백이 아닌 모든 문자와 일치합니다([^ \f\n\r\t\v]와 같음).
\t	탭 문자와 일치합니다.
\v	수직 탭 문자와 일치합니다.
\w	밑줄을 포함한 모든 단어 문자와 일치합니다([A-Za-z0-9_]와 같음).
\W	밑줄을 제외한 모든 비단어 문자와 일치합니다([^A-Za-z0-9_]와 같음).
\num	?num, num은 양의 정수입니다. 기억하고 있는 일치 내용을 다시 참조합니다. \1은 첫 번째 기억하는 일치 내용에 저장된 것을 바꿉니다. 이 옵션은 인터넷 인증 서비스를 사용하여 영역을 구성할 때 바꾸기 입력란에서만 사용할 수 있습니다.
/n/	?n, n은 8진수, 16진수, 10진수 이스케이프 값이며 정규식에 ASCII 코드를 포함할 수 있도록 합니다.

예제: 원격 액세스 정책 특성

아래 예제에서 패턴 일치 구문을 사용하여 원격 액세스 정책 특성을 지정해 봅니다:

• 고정 지역 번호에 모든 전화 번호를 지정하려면:

예를 들어, 899 지역 번호의 모든 번호를 지정하는 구문은 899.*입니다.

• IP 주소 영역을 지정하려면:

예를 들어, 192.168.1로 시작하는 모든 IP 주소를 지정하는 구문은 192\.168\.1\..+입니다.

예제: RADIUS 영역 이름 바꾸기

아래 예제에서는 찾기 및 바꾸기의 영역 탭에서 패턴 일치 구문을 사용하여 IAS 속성의 영역 이름을 바꿔 봅니다:

• 사용자 이름의 영역 부분을 삭제하려면:

아웃소싱한 전화 접속 시나리오에서 인터넷 서비스 공급자(ISP)는 인증 요청을 인터넷 인증 서비스(IAS) 서버에 라우팅하기 위해 영역을 필요로 할 수 있습니다. Windows 2000은 영역을 인식하지 못할 수 있으므로 사용자를 인증하기 전에 바꾸기를 비워 두어서 영역을 삭제해야 합니다.

찾기:@microsoft\.com

바꾸기:

• user@domain.microsoft.com 을 domain.microsoft.com\user로 바꾸려면

찾기: (.*)@(.*)

바꾸기: $2\$1

• domain\user를 specific_domain\user로 바꾸려면

찾기: {.*}\\{.*}

바꾸기: specific_domain\\$2

• user를 user@specific_domain 로 바꾸려면

찾기: $

바꾸기: @specific_domain

IAS에서 영역 바꾸기를 구성하는 방법에 대한 정보는 Windows 2000 Server 도움말을 참조하십시오.

부록 E - Windows 2000 시스템 이벤트 로그의 IAS 이벤트

IAS 서버 속성의 서비스 탭에서 이벤트 로깅을 사용하도록 설정할 때 표 7의 이벤트를 사용하여 IAS나 NAS 구성의 문제를 해결할 수 있습니다.

표 7 IAS Windows 2000 System 이벤트 로그의 이벤트

이벤트 로그 메시지	의미
"알 수 없는 사용자 이름 또는 잘못된 암호." "지정한 사용자가 없습니다." "지정한 도메인이 없습니다."	사용자가 잘못된 사용자 이름이나 암호를 입력했을 수 있습니다. 사용자의 Windows 2000 사용자 이름과 계정 암호를 검사하여 제대로 입력했는지, 그리고 계정이 IAS가 사용자를 인증하는 도메인에 유효한지 확인합니다.영역 바꾸기를 잘못 설정하거나 잘못된 순서로 설정하여 도메인 컨트롤러가 사용자 이름을 인식할 수 없습니다. 영역 바꾸기 규칙을 조정하십시오. 영역 이름 또는 영역 바꾸기 구성에 대한 정보는 Windows 2000 Server 도움말을 참조하십시오.원격 액세스 서버가 도메인의 구성원인데 사용자 응답에 도메인 이름이 없으면 원격 액세스 서버의 도메인 이름을 사용합니다. IAS 서버의 이름과 다른 도메인 이름을 사용하려면 IAS를 실행 중인 컴퓨터에서 아래 레지스트리 값을 사용할 도메인의 이름으로 설정하십시오. HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \RasMan \PPP\ControlProtocols\BuiltIn\Defaultdomain 일부 NAS는 사용자 이름을 RADIUS 서버에 전달하기 전에 사용자 이름에서 도메인 이름을 자동으로 삭제합니다. 사용자 이름에서 도메인 이름을 삭제하는 기능의 선택을 취소하십시오. 자세한 정보는 NAS 설명서를 참조하십시오.사용자가 CHAP를 사용하고 있는데 Active Directory가 일반 텍스트 암호를 사용하도록 구성되지 않았을 수 있습니다. IAS에서 CHAP 인증을 사용하려면 사용자나 그룹이 CHAP를 사용하도록 전화 접속 로그인 프로필을 구성하십시오. NAS와 사용자의 전화 걸기 프로그램(연결 관리자 등)도 CHAP 인증을 사용하도록 구성해야 합니다. 또한 도메인 컨트롤러에서도 CHAP를 사용하도록 설정해야 합니다.
"인증 종류가 이 시스템에서 지원되지 않습니다."	사용자가 이 컴퓨터에서 지원되지 않는 인증 방법을 사용하여 인증하려고 합니다. 예를 들어, 사용자가 설치되지 않은 EAP 종류를 사용할 수 있습니다. 해당 프로토콜을 사용할 수 있도록 전화 접속 로그인 프로필을 수정하십시오.
"사용자의 정보가 원격 액세스 정책과 일치하지 않습니다." "사용자는 네트워크에 전화 접속 로그인할 수 없습니다." "사용자가 허가되지 않은 인증 방법을 사용하려고 했습니다." "사용자가 허가되지 않은 호출 스테이션에서 연결하려고 했습니다." "사용자가 허가된 시간이 지나서 전화 접속 로그인하려고 했습니다." "사용자가 허가되지 않은 NAS 전화 번호를 호출하여 연결하려고 했습니다." "사용자가 잘못된 포트 종류를 사용하여 연결하려고 했습니다." "원격 액세스 정책에 정의된 제약 조건이 실패했습니다."	원격 액세스 정책에 따라 사용자에 대한 액세스가 거부되었을 수 있습니다. 정책 목록을 검사하여 액세스를 허용해야 하는 사용자를 제외하지 않았는지 확인하십시오. 이벤트 로그를 검사하여 사용자가 원격 액세스 정책에 허용되지 않은 매개 변수(예: 허가 되지 않은 시간 중, 허가되지 않은 포트 종류 사용, 허가되지 않은 전화 번호에서 호출, 허가되지 않은 NAS 전화 번호에서 호출)를 사용하여 연결하려고 하고 있는지 확인하십시오. 사용자 액세스를 허용하려면 원격 액세스 정책을 적절히 수정해야 할 수 있습니다. 원격 액세스 정책의 순서가 흐트러졌을 수 있습니다. 인증은 조건이 연결 시도와 일치하는 첫 번째 정책에 의해 허용되거나 거부됩니다. 위로 이동 단추를 사용하여 문제가 있는 사용자에게 액세스를 허용하는 정책을 목록의 위쪽에 오도록 이동합니다.
"사용자가 전화 접속 로그인 잠금 횟수를 초과했습니다."	원격 액세스 계정 잠금을 사용하는 경우 이전의 실패한 액세스 시도 때문에 사용자 계정이 잠겼을 수 있습니다. 그러한 경우 전화 접속 로그인 횟수를 증가시키십시오.
"사용자의 계정이 현재 잠겨 있어 로그온할 수 없습니다" "사용자의 계정이 잠겨 있어 확인할 수 없습니다." "사용자는 전화 접속 로그인으로 네트워크에 액세스할 수 없습니다."	사용자의 전화 접속 액세스가 거부되었을 수 있습니다. 도메인 컨트롤러(또는 로컬 사용자 및 그룹)에서 사용자의 정보를 검사하여 전화 접속 액세스가 허용되는지 확인하십시오. 전화 접속 액세스가 거부되면 액세스를 허용하는 모든 원격 액세스 정책을 무시합니다.
"현재 구성은 로컬 사용자 계정만 지원합니다."	IAS는 로컬 SAM에 대해 인증하도록 설정되었으며 사용자는 로컬 사용자 데이터베이스의 구성원이 아닙니다. 이 경우 Active Directory에 IAS 서버를 추가하십시오.
"사용자의 계정 도메인에 도달할 수 없습니다." "서버를 사용할 수 없습니다." "지정한 도메인이 없습니다." "IAS가 글로벌 카탈로그에 액세스할 수 없습니다."	NAS와 IAS 사이, IAS와 도메인 컨트롤러 또는 글로벌 카탈로그 서버 사이에 통신 문제가 있을 수 있습니다. ping 명령을 사용하여 도메인 컨트롤러 또는 글로벌 카탈로그 서버와의 통신을 검사하십시오. ping이 작동하면 net use \\servername\share 명령을 사용하여 서버에 연결해 보십시오. IAS 로그에 패킷 정보가 나타나지 않으면 Windows 2000 이벤트 로그를 검사하여 시도에 대한 시간 제한이 초과되었는지 확인하십시오.

부록 F - IAS 레지스트리 설정

Defaultdomain

위치:HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \RasMan \PPP\ControlProtocols\BuiltIn

데이터 형식: REG_SZ

범위: n/a

기본값: IAS 서버의 구성원 도메인의 컴퓨터 이름

설명: 도메인이 액세스 요청 메시지에 지정되어 있지 않을 때 로그온을 확인하기 위해 사용하는 도메인을 지정합니다. 이 항목은 Windows 2000 Server를 실행 중인 네트워크 컴퓨터에만 적용됩니다. 기본적으로 시스템은 로컬 컴퓨터의 기본 도메인의 이름을 사용합니다. 그러나 이 레지스트리에 이 항목을 추가하여 기본값을 무시하고 지정한 도메인을 시스템에 사용할 수 있습니다.

Allow LM Authentication

위치: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \RemoteAccess\Policy

데이터 형식: REG_DWORD

범위: 0-1

기본값: 1

기본적으로 존재: 없음

설명: LAN Manager(LM) Challenge/응답 인증을 사용하는지(=1) 또는 사용하지 않는지(=0)를 결정합니다. IAS와 라우팅 및 원격 액세스 서비스는 대개 더 강력한 암호 보호를 제공하는 Windows Challenge/응답 인 버전 2(NTLMv2)를 사용합니다. 그러나 LAN Manager 인증 지원을 이용하면 NTLMv2 인증을 지원하지 않는 이전 운영 체제를 실행하는 서버와의 호환성을 유지할 수 있습니다.

사용하도록 설정하면 LAN Manager 인증이 지원되며, Windows NT 3.5, Windows 95, Windows 98 등 이전 버전의 Microsoft 운영 체제의 PPP 클라이언트가 연결할 수 있습니다. 그러나 LAN Manager 인증을 사용하면 더 취약한 프로토콜을 이용하는 불법 공격에 인증이 노출되기 쉽습니다.

사용할 수 없도록 설정하면 LAN Manager 인증이 지원되지 않으며, Windows NT 3.5, Windows 95, Windows 98 등 이전 버전의 Microsoft 운영 체제의 PPP 클라이언트가 연결할 수 없습니다.

Default User Identity

위치: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \RemoteAccess\Policy

데이터 형식: REG_SZ

범위: NA

기본값: 도메인에 대한 게스트 계정의 이름

기본적으로 존재: 없음

설명: 네트워크에 대한 게스트 액세스를 위해 사용되는 이름을 지정합니다. 기본적으로 게스트 액세스 요청에 사용자 계정의 이름이 포함되지 않으면 시스템은 로컬 컴퓨터 또는 도메인에 게스트 계정을 사용하지 않습니다. 그러나 레지스트리에 이 항목을 추가하면 대체 게스트 계정을 지정할 수 있습니다.

이 항목에 지정한 계정은 아래와 같은 경우 기본값 대신 게스트 계정을 위해 사용됩니다:

• Override User-Name의 값이 0일 때
• User Identity Attribute가 레지스트리에 나타나지 않을 때
• User Identity Attribute의 값에 지정한 RADIUS 특성이 요청에 나타나지 않을 때

Override User-Name

위치: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \RemoteAccess\Policy

데이터 형식: REG_DWORD

범위: 0-1

기본값: 0

기본적으로 존재: 없음

설명: IAS가 인증과 계정 목적으로 User Identity Attribute 레지스트리 설정의 값에 지정한 RADIUS 특성을 사용하여 계정을 식별하게 합니다. 지정한 특성은 유효한 사용자 계정 이름이 요청에 나타나더라도 사용자 계정 이름 대신 사용됩니다.

Override User Name이 0으로 설정되면 IAS는 인증과 계정에 RADIUS User-Name 특성의 값을 사용합니다. Override User Name이 1로 설정되면 IAS는 uses the attribute specified in the value of User Identity Attribute의 값에 지정한 특성을 사용합니다.

RADIUS 특성은 RFC 2138에 정의되어 있습니다. RADIUS 특성의 목록을 찾으려면 RFC 2138을 참조하거나 Windows 2000 Server 도움말의 원격 액세스 RADIUS 특성을 참조하십시오.

주의 이 항목의 값이 1이고 User Identity Attribute가 유효한 값을 가진 레지스트리에 나타나지 않으면 IAS는 어떤 사용자도 인증하지 않습니다.

User Identity Attribute

위치: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \RemoteAccess\Policy

데이터 형식: REG_DWORD

범위: 0-255

기본값: 1

기본적으로 존재: 없음

설명: 인증과 허가를 위해 Active Directory의 사용자 계정을 식별하는 데 사용되는 번호로 대체 RADIUS 특성을 지정합니다. 기본적으로 여기에 지정한 대체 특성의 값은 액세스 요청에 사용자 이름을 포함하지 않을 때(즉, 요청에 유효한 RADIUS User-Name 특성이 포함하지 않을 때)에만 사용됩니다.

그러나 Override User-Name의 값이 1이면 IAS는 요청에 유효한 User-Name 특성이 포함되더라도 이 항목의 값에 지정한 특성을 사용하여 계정을 식별해야 합니다.

특성을 지정하려면 특성에 대한 RADIUS 특성 번호를 10진수로 입력합니다. 예를 들어, 호출자 ID나 자동 번호 확인(ANI)에 의해 사용자를 식별하려면 이 항목을 레지스트리에 추가하고 값을 31(Calling-Station-ID에 대한 RADIUS 특성 번호)로 설정합니다.

참고 이 항목에 지정한 특성이 요청에 포함되지 않으면 IAS는 RADIUS User-Name 특성의 값을 사용합니다. 이 항목이 없거나 유효하지 않으면 IAS는 있는 경우 Default User Identity의 값에 지정한 계정을 사용합니다. 그렇지 않으면 시스템은 로컬 컴퓨터 또는 도메인에 게스트 계정을 사용합니다.

RADIUS 특성은 RFC 2138에 정의되어 있습니다. RADIUS 특성의 목록을 찾으려면 RFC 2138을 참조하거나 Windows 2000 Server 도움말의 원격 액세스 RADIUS 특성을 참조하십시오.

Allow SNMP Set

위치: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \IAS\Parameters

데이터 형식: REG_DWORD

범위: 0-1

기본값: 0

기본적으로 존재: 없음

설명: IAS가 수신 SNMP(Simple Network Management Protocol) Set 메시지를 허용하는지(=1) 또는 거부하는지(=0)를 결정합니다. 이 항목은 SNMP를 사용하여 IAS를 모니터링할 때에만 적용됩니다.

Set 메시지는 SNMP MIB의 값을 변경하거나 업데이트합니다. IAS는 에이전트가 MIB에 작성할 권한을 가지고 있을 때에만 이 메시지를 허용합니다.

Set 메시지는 기본적으로 금지되어 있지만 이 항목을 레지스트리에 추가하여 IAS가 Set 메시지를 허용하게 할 수 있습니다.

Ping User-Name

위치: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \IAS\Parameters

데이터 형식: REG_SZ

범위: n/a

기본값: n/a

기본적으로 존재: 없음

설명: 인터넷 인증 서비스(IAS)가 가상 이름으로 인식하는 사용자 이름(변수가 포함된 사용자 이름 패턴)을 지정합니다. 결국 IAS는 인증 요청을 거부하고 이 사용자가 보내는 모든 계정 요청에 응답합니다. 또한 IAS는 이 사용자가 참여한 트랜잭션을 어떤 로그 파일에도 기록하지 않습니다.

RADIUS 프로토콜과 NAS를 구현하는 프록시 서버는 정기적으로 인증 및 계정 요청(ping 요청)을 보내 서버가 응답하는지 확인합니다. 이러한 ping 요청에 가상 사용자 이름이 포함됩니다.

이 항목은 IAS가 ping 요청에 사용된 가상 이름 또는 이름 지정 구성표를 인식하도록 합니다. 이 방법은 IAS 성능을 개선하고 이벤트 로그 해석을 더 쉽게 할 수 있습니다.

둘 이상의 사용자 이름을 나타내려면 와일드 카드 문자를 포함한 DNS 이름과 같은 이름 패턴을 입력합니다. 패턴에 대한 정보는 부록 D를 참조하십시오.

부록 G - 성능 모니터 카운터와 SNMP MIB

Windows 2000 성능 모니터 또는 Windows 2000 SNMP 에이전트를 사용하여 IAS 서버의 상태와 성능 및 산업 표준 RADIUS MIB에 대한 기본 제공 지원을 모니터링할 수 있습니다.

성능 모니터 개체와 카운터

Windows 2000 성능 모니터를 사용하면 아래와 같은 성능 모니터 개체에 대한 일련의 카운터를 통해 IAS 서버의 상태를 모니터링할 수 있습니다:

• IAS 계정 클라이언트 개체
• IAS 계정 서버 개체
• IAS 인증 클라이언트 개체
• IAS 인증 서버 개체

IAS 계정 클라이언트 개체

IAS 계정 클라이언트 성능 개체는 인터넷 인증 서비스에 의해 설치됩니다. IAS는 원격 인증 전화 접속 로그인 사용자 서비스(RADIUS) 프로토콜을 사용하여 원격 인증을 수행합니다. IAS 성능 개체는 사용자 인증, 허가, 계정을 포함한 서버 또는 클라이언트의 활동을 보고합니다.

이 개체에 대한 카운터를 선택할 때 각 클라이언트가 별도의 인스턴스를 나타낸다는 점에 유의하십시오.

표 8 IAS 계정 클라이언트 개체용 카운터

카운터 이름	설명	카운터 종류
계정 요청	계정 포트에서 이 클라이언트로부터 받은 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 계정 요청	계정 포트에서 이 클라이언트로부터 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
계정 응답	이 클라이언트에 보낸 RADIUS 계정 응답 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 계정 응답	이 클라이언트에서 중복 RADIUS 계정 요청 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
잘못된 인증자	유효한 서명 특성이 들어 있는 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 잘못된 인증자	잘못된 서명 특성이 들어 있는 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
삭제된 패킷삭제된 패킷	형식이 잘못되거나 잘못된 인증자이거나 알 수 없는 종류가 아닌 이유로 자동 삭제된 수신 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 삭제된 패킷	수신 패킷이 형식이 잘못되거나 잘못된 인증자이거나 알 수 없는 종류가 아닌 이유로 자동 삭제된 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
중복 계정 요청	이 클라이언트에서 받은 중복 RADIUS 계정 요청 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 중복 계정 요청	이 클라이언트에서 중복 RADIUS 계정 요청 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
형식이 잘못된 패킷	받은 형식이 잘못된 패킷 수를 나타냅니다. 잘못된 인증자 또는 알 수 없는 종류는 포함되지 않습니다.	PERF_COUNTER_RAWCOUNT
초 당 형식이 잘못된 패킷	형식이 잘못된 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
레코드 없음	받고 응답했지만 기록하지 않은 RADIUS 계정 요청 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 레코드 없음	RADIUS 계정 요청 패킷을 받고 응답했지만 기록하지 않은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
받은 패킷	받은 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 받은 패킷	패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
보낸 패킷	보낸 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 보낸 패킷	패킷을 보낸 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
알 수 없는 종류	받은 알 수 없는 종류의 패킷 수를 나타냅니다. 알 수 없는 종류는 패킷 종류를 확인하기 위해 사용하는 Code 필드에 인식되지 않은 항목이 들어 있는 RADIUS 패킷입니다. IAS는 알 수 없는 종류의 패킷을 지원하지 않습니다.	PERF_COUNTER_RAWCOUNT
초 당 알 수 없는 종류	알 수 없는 종류의 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER

IAS 계정 서버 개체

IAS 계정 서버 성능 개체는 IAS에 의해 설치됩니다. IAS는 RADIUS 프로토콜을 사용하여 인증, 허가, 계정 등 서버와 클라이언트의 활동을 보고합니다.

이 개체의 카운터를 선택할 때 각 클라이언트는 별도의 인스턴스를 나타낸다는 점에 유의해야 합니다.

표 9 IAS 계정 서버 개체용 카운터

카운터 이름	설명	카운터 종류
계정 요청	계정 포트에서 이 클라이언트로부터 받은 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 계정 요청	계정 포트에서 이 클라이언트로부터 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
계정 응답	이 클라이언트에 보낸 RADIUS 계정 요청 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 계정 응답	클라이언트에 RADIUS 계정 요청 패킷을 보낸 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
잘못된 인증자	잘못된 서명 특성이 들어 있는 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 잘못된 인증자	잘못된 서명 특성이 들어 있는 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
삭제된 패킷	형식이 잘못되거나 잘못된 인증자이거나 알 수 없는 종류가 아닌 이유로 자동 삭제된 수신 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 삭제된 패킷	형식이 잘못되거나 잘못된 인증자이거나 알 수 없는 종류가 아닌 이유로 수신 패킷이 자동 삭제된 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
중복 계정 요청	이 클라이언트에서 받은 중복 RADIUS 계정 요청 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 중복 계정 요청	이 클라이언트에서 중복 RADIUS 계정 요청 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
잘못된 요청	알 수 없는 주소에서 받은 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 잘못된 요청	알 수 없는 주소에서 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
형식이 잘못된 패킷	받은 형식이 잘못된 패킷 수를 나타냅니다.잘못된 인증자나 알 수 없는 종류는 포함되지 않습니다.	PERF_COUNTER_RAWCOUNT
초 당 형식이 잘못된 패킷	형식이 잘못된 패킷을 받은 속도(단위: 초)를 나타냅니다.잘못된 인증자나 알 수 없는 종류는 포함되지 않습니다.	PERF_COUNTER_COUNTER
레코드 없음	받고 응답했지만 기록하지 않은 RADIUS 계정 요청 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 레코드 없음	RADIUS 계정 요청 패킷을 받고 응답했지만 기록하지 않은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
받은 패킷	받은 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 받은 패킷	패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
보낸 패킷	보낸 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 보낸 패킷	패킷을 보낸 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
서버 초기화 시간	서버 구성이 초기화된 이후 경과한 시간(단위: 100분의 1초)을 나타냅니다.	PERF_COUNTER_RAWCOUNT
서버 시작 시간	서버 프로세스가 시작된 이후 경과한 시간(단위: 100분의 1초)을 나타냅니다.	PERF_COUNTER_RAWCOUNT
알 수 없는 종류	받은 알 수 없는 종류의 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 알 수 없는 종류	알 수 없는 종류의 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER

IAS 인증 클라이언트 개체

IAS 인증 클라이언트 성능 개체는 IAS에 의해 설치됩니다. IAS는 RADIUS 프로토콜을 사용하여 원격 인증을 수행합니다. IAS 성능 개체는 사용자 인증, 허가, 계정을 포함한 서버나 클라이언트의 활동을 보고합니다.

이 개체의 카운터를 선택할 때 각 클라이언트는 별도의 인스턴스를 나타낸다는 점에 유의해야 합니다.

표 10 IAS 인증 클라이언트 개체용 카운터

카운터 이름	설명	카운터 종류
액세스 요청	이 클라이언트에 보낸 RADIUS 액세스 허용 패킷 수	PERF_COUNTER_RAWCOUNT
초 당 액세스 요청	이 클라이언트에 보낸 초 당 RADIUS 액세스 허용 패킷 수	PERF_COUNTER_COUNTER
액세스 Challenge	이 클라이언트에 보낸 RADIUS 액세스 Challenge 패킷 수	PERF_COUNTER_RAWCOUNT
초 당 액세스 Challenge	이 클라이언트에 보낸 초 당 RADIUS 액세스 Challenge 패킷 수	PERF_COUNTER_COUNTER
액세스 거부	이 클라이언트에 보낸 RADIUS 액세스 거부 패킷 수	PERF_COUNTER_RAWCOUNT
초 당 액세스 거부	이 클라이언트에 보낸 초 당 RADIUS 액세스 거부 패킷 수	PERF_COUNTER_COUNTER
액세스 요청	인증 포트에서 이 클라이언트로부터 받은 패킷 수	PERF_COUNTER_RAWCOUNT
초 당 액세스 요청	인증 포트에서 이 클라이언트로부터 초 당 받은 패킷 수	PERF_COUNTER_COUNTER
잘못된 인증자	잘못된 서명 특성이 들어 있는 패킷 수	PERF_COUNTER_RAWCOUNT
초 당 잘못된 인증자	잘못된 서명 특성이 들어 있는 초 당 패킷 수	PERF_COUNTER_COUNTER
삭제된 패킷	형식이 잘못되거나 잘못된 인증자이거나 알 수 없는 종류가 아닌 이유로 자동 삭제된 수신 패킷 수	PERF_COUNTER_RAWCOUNT
초 당 삭제된 패킷	형식이 잘못되거나 잘못된 인증자이거나 알 수 없는 종류가 아닌 이유로 초 당 자동 삭제된 수신 패킷 수	PERF_COUNTER_COUNTER
중복 액세스 요청	이 클라이언트로부터 받은 중복 RADIUS 액세스 요청 패킷 수	PERF_COUNTER_RAWCOUNT
초 당 중복 액세스 요청	이 클라이언트로부터 초 당 받은 중복 RADIUS 액세스 요청 패킷 수	PERF_COUNTER_COUNTER
형식이 잘못된 패킷	받은 형식이 잘못된 패킷 수. 잘못된 인증자나 알 수 없는 종류는 포함되지 않음	PERF_COUNTER_RAWCOUNT
초 당 형식이 잘못된 패킷	초 당 받은 형식이 잘못된 패킷 수. 잘못된 인증자나 알 수 없는 종류는 포함되지 않음	PERF_COUNTER_COUNTER
받은 패킷	받은 패킷 수	PERF_COUNTER_RAWCOUNT
초 당 받은 패킷	초 당 받은 패킷 수.	PERF_COUNTER_COUNTER
보낸 패킷	보낸 패킷 수	PERF_COUNTER_RAWCOUNT
초 당 보낸 패킷	초 당 보낸 패킷 수	PERF_COUNTER_COUNTER
알 수 없는 종류	받은 알 수 없는 형식의 패킷 수	PERF_COUNTER_RAWCOUNT
초 당 알 수 없는 종류	초 당 받은 알 수 없는 형식의 패킷 수	PERF_COUNTER_COUNTER

IAS 인증 서버 개체

IAS 인증 서버 성능 개체는 IAS에 의해 설치됩니다. IAS는 RADIUS 프로토콜을 사용하여 원격 인증을 수행합니다. IAS 성능 개체는 사용자 인증, 허가, 계정 등 서버나 클라이언트의 활동을 보고합니다.

이 개체의 카운터를 선택할 때 각 클라이언트는 별도의 인스턴스를 나타낸다는 점에 유의해야 합니다.

표 11 IAS 인증 서버 개체용 카운터

카운터 이름	설명	카운터 종류
액세스 허용	이 클라이언트에 보낸 RADIUS 액세스 허용 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 액세스 허용	이 클라이언트에 RADIUS 액세스 허용 패킷을 보낸 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
액세스 Challenge	이 클라이언트에 보낸 RADIUS 액세스 Challenge 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 액세스 Challenge	액세스 Challenge 메시지를 처리하는 속도를 나타냅니다.	PERF_COUNTER_COUNTER
액세스 거부	이 클라이언트에 보낸 RADIUS 액세스 거부 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 액세스 거부	액세스 거부 메시지를 처리하는 속도를 나타냅니다.	PERF_COUNTER_COUNTER
액세스 요청	인증 포트에서 이 클라이언트로부터 받은 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 액세스 요청	인증 포트에서 이 클라이언트로부터 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
잘못된 인증자	잘못된 서명 특성이 들어 있는 총 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 잘못된 인증자	잘못된 서명 특성이 들어 있는 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
삭제된 패킷	형식이 잘못되거나 잘못된 인증자이거나 알 수 없는 종류가 아닌 이유로 삭제된 수신 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 삭제된 패킷	형식이 잘못되거나 잘못된 인증자이거나 알 수 없는 종류가 아닌 이유로 패킷이 삭제된 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
중복 액세스 요청	이 클라이언트에서 받은 중복 RADIUS 액세스 요청 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 중복 액세스 요청	이 클라이언트에서 중복 RADIUS 액세스 요청 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
잘못된 요청	알 수 없는 주소에서 받은 패킷 수를 나타냅니다	PERF_COUNTER_RAWCOUNT
초 당 잘못된 요청	알 수 없는 주소에서 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
형식이 잘못된 패킷	받은 형식이 잘못된 패킷 수를 나타냅니다.잘못된 인증자나 알 수 없는 종류는 포함되지 않습니다.	PERF_COUNTER_RAWCOUNT
초 당 형식이 잘못된 패킷	형식이 잘못된 패킷을 받은 속도(단위: 초)를 나타냅니다.잘못된 인증자나 알 수 없는 종류는 포함되지 않습니다.	PERF_COUNTER_COUNTER
받은 패킷	받은 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 받은 패킷	패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
보낸 패킷	패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 보낸 패킷	패킷을 보낸 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER
서버 초기화 시간	서버 구성이 초기화된 이후 경과한 시간(단위: 100분의 1초)을 나타냅니다.	PERF_COUNTER_RAWCOUNT
서버 시작 시간	서버 프로세스가 시작된 이후 경과한 시간(단위: 100분의 1초)을 나타냅니다.	PERF_COUNTER_RAWCOUNT
알 수 없는 종류	받은 알 수 없는 종류의 패킷 수를 나타냅니다.	PERF_COUNTER_RAWCOUNT
초 당 알 수 없는 종류	알 수 없는 종류의 패킷을 받은 속도(단위: 초)를 나타냅니다.	PERF_COUNTER_COUNTER

SNMP MIBS

Windows 2000은 아래와 같은 MIB의 개체를 지원합니다:

• RADIUS 계정 서버 MIB: RFC 2621
• RADIUS 계정 클라이언트 MIB: RFC 2620
• RADIUS 인증 서버 MIB: RFC 2919
• RADIUS 인증 클라이언트 MIB: RFC 2618

RADIUS 개체에 대한 SNMP MIB 지원은 IAS가 설치될 때 설치됩니다. 각 MIB의 개체 대한 정보는 해당 RFC를 참조하십시오.

요약

이 백서에서는 Windows 2000 인터넷 인증 서비스(IAS)를 설명했습니다. IAS는 Microsoft 가 구현한 RADIUS 서버입니다. IAS는 RADIUS 클라이언트 역할을 하는 장치를 인증 및 허가하고 계정을 관리하는 산업 표준 방법을 제공합니다. IAS는 조직의 원격 액세스 인프라를 위한 중앙 집중식 인증 및 계정, 타사 전화 접속 서비스 공급자를 이용하여 아웃소싱한 회사 액세스, 인터넷 서비스 공급자를 위한 중앙 집중식 인증 및 계정 등 다양한 시나리오에 사용할 수 있습니다. IAS는 더 빠른 컴퓨터 또는 IP 로드 균형 조정 방법을 통해 여러 대의 컴퓨터를 사용하여 거의 모든 조직의 인증과 계정 요구 사항에 맞춰 확장할 수 있습니다.

추가 정보

Windows 2000 Server에 대한 최신 정보는 Microsoft 웹 사이트 http://www.microsoft.com/korea/windows2000 과 Windows 2000/NT 포럼 http://computingcentral.msn.com/topics/windowsnt  를 참조하십시오.

ⓒ 2000 Microsoft Corporation. All rights reserved

이 자료의 정보는 발행 당시 논의된 주제에 관한 Microsoft Corporation의 현재 견해를 나타냅니다. Microsoft는 변화하는 시장 여건에 대응해야 하기 때문에 이 자료의 내용은 Microsoft의 약속으로 해석될 수 없으며 Microsoft는 발행일 이후 제공된 정보의 정확성을 보증할 수 없습니다.

이 백서는 정보 목적으로만 제작되었습니다. Microsoft는 이 자료에서 명시적이든 암시적이든 어떠한 보증도 하지 않습니다.

Microsoft, Windows, Windows NT는 미국과 다른 국가에서 Microsoft Corporation의 등록 상표 또는 상표입니다.

여기에 인용한 다른 제품과 회사 이름은 각 소유자의 상표일 수 있습니다.