Windows Server 2008이 나오면… (18) – Network Policy Server (2)


꼬알라주 : Windows Server Codename Longhorn의 이름이 Windows Server 2008로 바뀜에 따라 제목과 태그를 변경합니다.

저번 포스팅에서는 NPS를 알아보기전, 기반이 되는 RADIUS에 대해서 알아보았습니다.  이제 슬슬 Windows Server 2008의 NPS에서 대해서 알아봐야 합니다. NPS이야기도 오늘 하나의 포스팅으로 끝나진 않을 것 같습니다. 그래도 시작해보죠.. 🙂

그럼 NPS와 RADIUS의 관계는 도대체 무엇일까요?

Windows Server 2008의 NPS는 기존의 RADIUS의 역할은 전부다 할 수 있습니다, 여기에 Microsoft 인프라에서 필요한 기능들을 추가한 형태가 기본적인 형태가 됩니다.

NAP, Terminal Service Gateway 등이 NPS를 사용하는 구성요소가 되게 됩니다.

조금은 허접한 그림이긴 하지만, 대표적인 설명을 할 수 있습니다. NAP 시나리오에서 DHCP를 사용하게 되면, DHCP에 IP를 요청하기 전, NAP 클라이언트는 자신의 보안 상태 정보를 제시하게 됩니다. 그림에서는 이해를 돕기 위해 제가 2단계, 3단계로 쪼개놓았지만, 정확한 아키텍쳐상으로는 1번단계에서 IP 요청시 자신의 보안 상태 정보도 제시하게 됩니다.

바로 4번단계에 대한 결과처리를 바로 NPS에서 하게 됩니다. NPS는 RADIUS의 확장이다.. 라는 단어에서 아실 수 있지만, NPS는 인증을 처리하는 골자에 확장을 가집니다. 그렇다면, NPS에 접근할때 무조건다 인증 처리를 받아야하지 않을까라는 생각을 하실 수 있습니다. 네 맞습니다. 일단 접근한 사용자에 대해서는 추가적인 옵션이 있지 않는한 무조건 액티브 디렉터리로 해당 사용자에 대한 계정 인증을 요청합니다. NPS를 가장 많이 사용할 NAP 시나리오에서는 인증에 대한 처리를 추가적으로 확인할 수도 있고, 하지 않도록 할 수도 있습니다. 모든 사용자가 전부 액티브 디렉터리에 인증을 받는다? 는 시나리오보다는 외부에서 잠시 찾아온 외부 사용자나 파트너, 임시직들이 있을 수 있다는 것이죠.. 아래의 그림을 보시죠..

image

Windows Server 2008 Beta 3로 넘어오면서 추가된 옵션이 하나가 있고, 하나는 원래 있던 옵션입니다.

Allow clients to connect without.... (클라이언트와 인증 방법에 대한 협상없이 접속 -> 결국 인증처리를 하지 않는 정책을 만들겠다는 의미)
Perform machine health check.... (시스템 상태 정보만 체크 -> 베타 3에 추가된 옵션)

RADIUS에서는 사용자가 정책을 부여받을 때, 조건, 제약, 설정의 3가지를 확인 및 부여받는다고 전 포스팅에서 설명을 드렸습니다. 만약 위의 그림에서 MS-CHAP v2를 체크해놓았다면, 해당 탭의 이름은 Constraints(제약)이므로, 해당 정책은 MS-CHAP v2를 사용하지 않는다면, 제약에 대해 만족하지 않으므로, 정책상 처리가 되질 않습니다.

다시 한번 이해를 돕기 위해 RADIUS 정책에 대해서 예를 들어보면..

사용자가 무선 AP를 통해서 들어왔다... 

조건이겠죠? 밑에 그림에서 무엇을 체크해야할까요?

image

네. 바로 Wireless - IEEE 802.11입니다. 그럼 2번째 단계로 회사의 Domain Users만 접근을 시키겠다. 역시 무엇인가요? 조건입니다.

image

그럼 조건은 아래와 같이 들어갑니다.

image

이런 조건에 맞는 사용자들을 허가할꺼냐? 거부할꺼냐... 이런 허가 or 거부에 대해서는 액티브 디렉터리에서도 결정해줄 수 있습니다.

image

image

이 사용자들은 반드시 인증서로만 인증을 받아야한다. 제약(Constraints)이 필요하다면...

image

추가적으로 부여할 설정들... 예를 들어 접속 후, 일정 시간동안 아무런 액션이 없으면 끊어지는 Idle Time Out... 연결 가능한 시간.. IP Filter, 암호화 방법론들에 대해서 설정합니다.

image image

그럼 결국 NAP이나 Terminal Service Gateway 시나리오에서는 조건에서부터 NAP에 관련된 설정들이 비교가 됩니다.

한번 더 끊겠습니다. 마지막 결론은 내일로.. To be continued... 🙂

Comments (2)

  1. Anonymous says:

    2007년 4월 3일부터 하나, 둘씩 써오던 Windows Server 2008 (Codename Longhorn)의 이야기가 40편에 이르렀습니다. 그동안 많은 관심 가져주셨던 분들께

  2. Anonymous says:

    8월 20일에 한번 정리했던 URL을 다시 한번 정리합니다. 이제 Windows Server 2008 (Codename Longhorn)의 이야기가 52편에 이르렀습니다. 그동안 많은

Skip to main content