RADIUS 프록시로 작동하는 NPS 계획
NPS(네트워크 정책 서버)를 RADIUS(원격 인증 서비스) 프록시로 배포하는 경우 NPS는 네트워크 액세스 서버 또는 기타 RADIUS 프록시와 같은 RADIUS 클라이언트에서 연결 요청을 수신한 다음 NPS 또는 다른 RADIUS 서버를 실행하는 서버에 이러한 연결 요청을 전달합니다. 이러한 계획 지침을 사용하여 RADIUS 배포를 간소화할 수 있습니다.
이러한 계획 지침은 NPS를 RADIUS 서버로 배포하려는 상황에는 적용되지 않습니다. NPS를 RADIUS 서버로 배포하는 경우 NPS는 로컬 도메인 및 로컬 도메인을 신뢰하는 도메인에 대한 연결 요청에 대한 인증, 권한 부여 및 회계를 수행합니다.
NPS를 네트워크에 RADIUS 프록시로 배포하기 전 다음 지침을 참조하여 배포를 계획하세요.
NPS 구성 계획.
RADIUS 클라이언트 계획
원격 RADIUS 서버 그룹 계획.
메시지 전달에 대한 특성 조작 규칙을 계획합니다.
연결 요청 정책 계획.
NPS 회계 계획.
NPS 구성 계획
NPS를 RADIUS 프록시로 사용하는 경우 NPS는 처리를 위해 NPS 또는 다른 RADIUS 서버에 연결 요청을 전달합니다. 이 때문에 NPS 프록시의 도메인 구성원 자격은 관련이 없습니다. 프록시는 사용자 계정의 전화 접속 속성에 액세스할 필요가 없으므로 AD DS(Active Directory Domain Services)에 등록할 필요가 없습니다. 또한 프록시가 연결 요청에 대한 권한 부여를 수행하지 않으므로 NPS 프록시에서 네트워크 정책을 구성할 필요가 없습니다. NPS 프록시는 도메인 구성원이거나 도메인 구성원 자격이 없는 독립 실행형 서버일 수 있습니다.
RADIUS 프로토콜을 사용하여 네트워크 액세스 서버라고도 불리는 RADIUS 클라이언트와 통신하도록 NPS를 구성해야 합니다. 또한 NPS가 이벤트 로그에 기록하는 이벤트 유형을 구성하고 서버 설명을 입력할 수 있습니다.
주요 단계
NPS 프록시 구성 계획 중 다음 절차를 활용할 수 있습니다.
NPS 프록시가 RADIUS 클라이언트에서 RADIUS 메시지를 수신하고 원격 RADIUS 서버 그룹의 구성원에게 RADIUS 메시지를 보내는 데 사용하는 RADIUS 포트를 결정합니다. 기본 UDP(사용자 데이터그램 프로토콜) 포트는 RADIUS 인증 메시지의 경우 1812 및 1645이고 RADIUS 회계 메시지의 경우 UDP 포트는 1813 및 1646입니다.
NPS 프록시가 여러 네트워크 어댑터로 구성된 경우 RADIUS 트래픽을 허용할 어댑터들을 선택합니다.
NPS가 이벤트 로그에 기록할 이벤트 유형을 결정합니다. 거부된 연결 요청, 성공적인 연결 요청 또는 둘 다를 기록할 수 있습니다.
둘 이상의 NPS 프록시를 배포하는지 여부를 확인하세요. 내결함성을 제공하려면 NPS 프록시를 두 개 이상 사용합니다. 하나의 NPS 프록시는 기본 RADIUS 프록시로 사용되고 다른 하나는 백업으로 사용됩니다. 그런 다음 각 RADIUS 클라이언트는 두 NPS 프록시에서 각각 구성됩니다. 기본 NPS 프록시 사용이 불가하면 RADIUS 클라이언트는 대체 NPS 프록시에 액세스 요청 메시지를 보냅니다.
관리 오버헤드를 절약하고 서버 구성 오류를 방지하기 위해 하나의 NPS 프록시 구성을 다른 NPS 프록시에 복사하는 데 사용되는 스크립트를 계획합니다. NPS는 다른 NPS 프록시로 불러오기 위한 NPS 프록시 구성의 전부 또는 일부를 복사할 수 있는 Netsh 명령을 제공합니다. Netsh 프롬프트에서 명령을 수동으로 실행할 수 있습니다. 그러나 명령 순서를 스크립트로 저장하면, 프록시 구성을 변경하고자 할 때 스크립트를 실행할 수 있습니다.
RADIUS 클라이언트 계획
RADIUS 클라이언트는 무선 액세스 지점, VPN(가상 사설망) 서버, 802.1X 지원 스위치 및 전화 접속 서버와 같은 네트워크 액세스 서버입니다. 연결 요청 메시지를 RADIUS 서버로 전달하는 RADIUS 프록시도 RADIUS 클라이언트입니다. NPS는 RFC 2865, "RADIUS(원격 인증 서비스)" 및 RFC 2866, "RADIUS 회계"에 설명된 대로 RADIUS 프로토콜을 준수하는 모든 네트워크 액세스 서버 및 RADIUS 프록시를 지원합니다.
또한 무선 액세스 포인트와 스위치 모두 802.1X 인증을 수행할 수 있어야 합니다. EAP(확장할 수 있는 인증 프로토콜) 또는 PEAP(보호된 확장 가능 인증 프로토콜)를 배포하려는 경우 액세스 포인트 및 스위치는 EAP 사용을 지원해야 합니다.
무선 액세스 지점에 대한 PPP 연결에 대한 기본 상호 운용성을 테스트하려면 PAP(암호 인증 프로토콜)를 사용하도록 액세스 포인트 및 액세스 클라이언트를 구성합니다. 네트워크 액세스에 사용하려는 인증 프로토콜을 테스트할 때까지 PEAP와 같은 추가 PPP 기반 인증 프로토콜을 사용합니다.
주요 단계
RADIUS 클라이언트를 계획하는 중 다음 단계를 활용할 수 있습니다.
NPS에서 구성해야 하는 VSA(공급업체별 특성)를 문서화합니다. NAS에 VSA가 필요한 경우 나중에 사용될 수 있도록 NPS의 네트워크 정책을 구성할 때 VSA 정보를 기록합니다.
RADIUS 클라이언트 및 NPS 프록시의 IP 주소를 문서화하여 모든 디바이스 구성을 간소화합니다. RADIUS 클라이언트를 배포할 때는 RADIUS 프로토콜이 인증 서버로 입력된 NPS 프록시 IP 주소와 함께 사용되도록 구성해야 합니다. 또한 RADIUS 클라이언트와 통신하도록 NPS를 구성할 때는 NPS 스냅인에 RADIUS 클라이언트 IP 주소를 입력해야 합니다.
RADIUS 클라이언트 및 NPS 스냅인에서 구성에 대한 공유 비밀을 만듭니다. NPS에서 RADIUS 클라이언트를 구성하는 동안 NPS 스냅인에도 입력할 공유 비밀 또는 암호를 사용하여 RADIUS 클라이언트를 구성해야 합니다.
원격 RADIUS 서버 그룹 계획
NPS 프록시에서 원격 RADIUS 서버 그룹을 구성할 때 네트워크 액세스 서버 및 NPS 프록시 또는 기타 RADIUS 프록시에서 수신하는 일부 또는 모든 연결 요청 메시지를 보낼 위치를 NPS 프록시에 알려 줍니다.
NPS를 RADIUS 프록시로 사용하여 하나 이상의 원격 RADIUS 서버 그룹에 연결 요청을 전달할 수 있으며 각 그룹에는 하나 이상의 RADIUS 서버가 포함될 수 있습니다. NPS 프록시가 메시지를 여러 그룹으로 전달하도록 하려면 그룹당 하나의 연결 요청 정책을 구성합니다. 연결 요청 정책에는 정책에 지정된 원격 RADIUS 서버 그룹으로 보낼 메시지를 NPS 프록시에 알려주는 특성 조작 규칙과 같은 추가 정보가 포함됩니다.
NPS용 Netsh 명령을 사용하거나, NPS 스냅인의 원격 RADIUS 서버 그룹에서 직접 그룹을 구성하거나, 새 연결 요청 정책 마법사를 실행하여 원격 RADIUS 서버 그룹을 구성할 수 있습니다.
주요 단계
원격 RADIUS 서버 그룹을 계획하는 중 다음 단계를 활용할 수 있습니다.
NPS 프록시가 연결 요청을 전달할 RADIUS 서버를 포함하는 도메인을 결정합니다. 이러한 도메인에는 배포하는 RADIUS 클라이언트를 통해 네트워크에 연결하는 사용자에 대한 사용자 계정이 포함됩니다.
RADIUS가 아직 배포되지 않은 도메인에 새 RADIUS 서버를 추가해야 하는지 여부를 결정합니다.
원격 RADIUS 서버 그룹에 추가하려는 RADIUS 서버의 IP 주소를 문서화합니다.
만들어야 하는 원격 RADIUS 서버 그룹 수를 결정합니다. 경우에 따라 도메인당 하나의 원격 RADIUS 서버 그룹을 만든 다음 도메인에 대한 RADIUS 서버를 그룹에 추가하는 것이 가장 좋습니다. 그러나 도메인에 사용자 계정이 있는 많은 사용자, 많은 수의 도메인 컨트롤러 및 많은 수의 RADIUS 서버를 포함하여 한 도메인에 많은 양의 리소스가 있는 경우가 있을 수 있습니다. 또는 도메인이 큰 지리적 영역을 포함할 수 있으므로 네트워크 액세스 서버와 RADIUS 서버가 서로 먼 위치에 있을 수 있습니다. 이러한 경우와 가능한 다른 경우에는 도메인당 여러 원격 RADIUS 서버 그룹을 만들 수 있습니다.
NPS 프록시 및 원격 RADIUS 서버에서 구성에 대한 공유 비밀을 만듭니다.
메시지 전달에 대한 특성 조작 규칙을 계획합니다
연결 요청 정책에 구성된 특성 조작 규칙을 사용하면 특정 원격 RADIUS 서버 그룹으로 전달하려는 액세스 요청 메시지를 식별할 수 있습니다.
특성 조작 규칙을 사용하지 않고 모든 연결 요청을 하나의 원격 RADIUS 서버 그룹으로 전달하도록 NPS를 구성할 수 있습니다.
그러나 연결 요청을 전달할 위치가 두 개 이상 있는 경우 각 위치에 대한 연결 요청 정책을 만든 다음 메시지를 전달할 원격 RADIUS 서버 그룹과 NPS에 전달할 메시지를 알려주는 특성 조작 규칙을 사용하여 정책을 구성해야 합니다.
다음 특성에 대한 규칙을 만들 수 있습니다.
Called-Station-ID. NAS(네트워크 액세스 서버)의 전화 번호. 이 특성의 값은 문자열입니다. 패턴 일치 구문을 사용하여 지역 코드를 지정할 수 있습니다.
Calling-Station-ID. 발신자가 사용한 전화 번호입니다. 이 특성의 값은 문자열입니다. 패턴 일치 구문을 사용하여 지역 코드를 지정할 수 있습니다.
User-Name. 액세스 클라이언트에서 제공하고 RADIUS 액세스 요청 메시지에 NAS에 의해 포함된 사용자 이름입니다. 이 특성의 값은 일반적으로 영역 이름과 사용자 계정 이름을 포함하는 문자열입니다.
연결 요청의 사용자 이름에서 영역 이름을 올바르게 교체하거나 변환하려면 적절한 연결 요청 정책에서 사용자 이름 특성에 대한 특성 조작 규칙을 구성해야 합니다.
주요 단계
특성 조작 규칙을 계획하는 중 다음 단계를 활용할 수 있습니다.
NAS에서 프록시를 통해 원격 RADIUS 서버로의 메시지 라우팅을 계획하여 메시지를 RADIUS 서버로 전달할 논리적 경로가 있는지 확인합니다.
각 연결 요청 정책에 사용할 특성을 하나 이상 결정합니다.
각 연결 요청 정책에 사용할 특성 조작 규칙을 문서화하고 메시지가 전달되는 원격 RADIUS 서버 그룹에 규칙을 동일화 합니다.
연결 요청 정책 계획
기본 연결 요청 정책은 RADIUS 서버로 사용될 때의 NPS에 대해 구성됩니다. 추가 연결 요청 정책을 사용하여 보다 구체적인 조건을 정의하고, NPS에 원격 RADIUS 서버 그룹으로 전달할 메시지를 알려주고, 고급 특성을 지정하는 특성 조작 규칙을 만들 수 있습니다. 새 연결 요청 정책 마법사를 사용하여 공통 또는 사용자 지정 연결 요청 정책을 만듭니다.
주요 단계
연결 요청 정책을 계획하는 중 다음 단계를 활용할 수 있습니다.
RADIUS 프록시로만 작동하는 NPS를 실행하는 각 서버에서 기본 연결 요청 정책을 삭제합니다.
이 정보를 원격 RADIUS 서버 그룹 및 정책에 대해 계획된 특성 조작 규칙과 결합하여 각 정책에 필요한 추가 조건 및 설정을 계획합니다.
모든 NPS 프록시에 공통 연결 요청 정책을 배포하는 계획을 디자인합니다. 하나의 NPS에서 여러 NPS 프록시에 공통적인 정책을 만든 다음 NPS용 Netsh 명령을 사용하여 다른 모든 프록시에서 연결 요청 정책 및 서버 구성을 가져옵니다.
NPS 회계 계획
NPS를 RADIUS 프록시로 구성하는 경우 NPS 형식 로그 파일, 데이터베이스 호환 형식 로그 파일 또는 NPS SQL Server 로깅을 사용하여 RADIUS 회계를 수행하도록 구성할 수 있습니다.
이러한 로깅 형식 중 하나를 사용하여 회계를 수행하는 원격 RADIUS 서버 그룹에 회계 메시지를 전달할 수도 있습니다.
주요 단계
NPS 회계 계획 중 다음 절차를 활용할 수 있습니다.
NPS 프록시가 회계 서비스를 수행할지 또는 회계를 위해 원격 RADIUS 서버 그룹에 회계 메시지를 전달할지 여부를 결정합니다.
회계 메시지를 다른 서버로 전달하려는 경우 로컬 NPS 프록시 회계를 사용하지 않게 설정하도록 계획합니다.
회계 메시지를 다른 서버로 전달하려는 경우 연결 요청 정책 구성 단계를 계획합니다. NPS 프록시에 대한 로컬 회계를 사용하지 않도록 설정하는 경우 해당 프록시에서 구성하는 각 연결 요청 정책에는 회계 메시지 전달을 사용하도록 설정하고 올바르게 구성해야 합니다.
사용하려는 로깅 형식을 결정합니다. IAS 형식 로그 파일, 데이터베이스 호환 형식 로그 파일 또는 NPS SQL Server 로깅.
NPS에 대한 부하 분산을 RADIUS 프록시로 구성하려면 NPS 프록시 서버 부하 분산을 참조하세요.