NPS 계획 및 구현
NPS는 무선, RD 게이트웨이 서버, 인증 스위치, VPN 및 전화 접속 연결을 위해 중앙 집중식 연결 인증, 권한 부여 및 회계를 수행합니다. 하지만 Contoso는 먼저 NPS가 연결 요청을 인증하는 데 사용하는 네트워크 정책을 구성해야 하고, NPS가 로컬 하드 디스크의 로그 파일이나 Microsoft SQL Server 데이터베이스에 계정 정보를 로그하도록 RADIUS 계정을 구성할 수 있습니다.
NPS 인증 방법 선택
NPS는 사용자가 NAS를 통해 네트워크에 연결을 시도할 경우 액세스를 허용하거나 거부하기 전에 연결 요청을 인증하고 권한을 부여합니다. NPS를 배포할 때 네트워크에 액세스하는 데 필요한 유형의 인증 방법을 지정할 수 있습니다.
NPS에서 지원되는 인증 방법은 다음과 같습니다.
- PAP
- SPAP(Shiva 암호 인증 프로토콜)
- 챕
- MS-CHAP
- MS-CHAP v2
- 이애프터서비스
팁 (조언)
인증 방법으로 EAP를 선택하면 액세스 클라이언트와 NPS 서버 간에 EAP 유형의 협상이 진행됩니다.
주의
PAP, SPAP, CHAP 또는 MS-CHAP는 매우 안전하지 않다고 간주되므로 프로덕션 환경에서 사용하면 안됩니다.
NPS 계정
NPS에 대한 로깅을 구성하는 방법도 고려해야 합니다. 사용자 인증 요청 및 계정 요청을 로그 파일에 텍스트 형식 또는 데이터베이스 형식으로 로그하거나 Microsoft SQL Server 데이터베이스의 저장 프로시저에 로그할 수 있습니다. 요청 로깅은 주로 연결 분석과 청구 목적으로 사용하고, 해커의 활동을 식별할 수 있기 때문에 보안 조사 도구로 사용합니다.
NPS에서 정책 구성
NPS는 연결 요청 정책 및 네트워크 정책을 지원합니다. 관련 내용은 다음 표에 설명되어 있습니다.
| 유형 | 설명 |
|---|---|
| 연결 요청 정책 | 연결 요청 정책을 사용하면 로컬 NPS 서버가 연결 요청을 처리할지 아니면 다른 RADIUS 서버에 전달하여 처리할지를 선택할 수 있습니다. |
| 네트워크 정책 | 네트워크 정책을 사용하여 네트워크에 연결할 수 있는 권한을 부여한 사용자를 지정하거나, 해당 사용자가 연결하거나 연결할 수 없는 상황을 지정할 수 있습니다. |
네트워크 정책 설정
네트워크 정책은 네트워크에 연결할 수 있는 사용자와 해당 사용자의 연결 여부 상황 지정 조건, 제약 조건 및 설정의 집합입니다. 각 네트워크 정책에는 네 가지 범주의 속성이 있습니다.
| 재산 | 설명 |
|---|---|
| 개요 | 개요 속성을 통해 정책 사용 여부, 정책이 액세스를 허용하거나 거부하는지 여부 및 연결 요청에 특정 네트워크 연결 방법이나 네트워크 액세스 서버 유형이 필요한지 여부를 지정할 수 있습니다. 개요 속성을 사용하면 AD DS 사용자 계정의 전화 접속 속성을 무시할지 여부를 지정할 수도 있습니다. 해당 옵션을 선택하는 경우 NPS는 네트워크 정책의 설정만 사용하여 연결에 대한 권한을 부여할 것인지 결정합니다. |
| 여건 | 해당 속성을 사용하여 연결 요청이 네트워크 정책과 일치하기 위해 가져야 하는 조건을 지정할 수 있습니다. 정책에 구성된 조건이 연결 요청과 일치하는 경우 NPS는 네트워크 정책 설정을 연결에 적용합니다. 예를 들어, NAS IPv4 address(네트워크 액세스 서버 IPv4 주소)를 네트워크 정책의 조건으로 지정하고 NPS가 지정된 IP 주소를 가진 NAS에서 연결 요청을 수신하는 경우 정책의 조건은 연결 요청과 일치합니다. |
| 제약 조건 | 제약 조건은 연결 요청을 일치시키는 데 필요한 네트워크 정책의 추가 매개 변수입니다. 연결 요청이 제약 조건과 일치하지 않는 경우 NPS는 해당 요청을 자동으로 거부합니다. 네트워크에서 일치하지 않는 조건에 대한 NPS 응답과 달리 제약 조건이 일치하지 않으면 NPS는 추가 네트워크 정책을 평가하지 않고 연결 요청을 거부합니다. |
| 설정 | 설정 속성을 사용하면 정책의 모든 네트워크 정책 조건이 일치하고 요청이 수락되는 경우 NPS가 연결 요청에 적용하는 설정을 지정할 수 있습니다. |
중요합니다
NPS 역할을 처음 배포하는 경우 두 기본 네트워크 정책은 모든 연결 시도에 대한 원격 액세스를 거부합니다. 그런 다음 추가 네트워크 정책을 구성하여 연결 시도를 관리할 수 있습니다.
NPS는 연결 요청에 대한 권한을 부여하는 경우 첫 번째 정책부터 시작하여 목록의 다음 항목으로 이동하도록 순서가 지정된 정책 목록에서 각 네트워크 정책과 요청을 비교합니다. NPS가 조건이 연결 요청과 일치하는 정책을 찾으면, 일치 정책 및 사용자 계정의 전화 접속 속성을 사용하여 요청에 권한을 부여합니다. 네트워크 정책을 통해 액세스 권한을 부여하거나 제어하도록 사용자 계정의 전화 접속 속성을 구성하고 연결 요청이 승인된 경우 NPS는 네트워크 정책에서 구성하는 설정을 연결에 적용합니다.
- NPS가 연결 요청과 일치하는 네트워크 정책을 찾지 못하면 연결을 거부합니다.
- 사용자 계정의 전화 접속 속성이 액세스 거부로 설정되어 있으면 NPS는 연결 요청을 거부합니다.
해당 내용은 다음 다이어그램에서 요약되어 있습니다.
