암호 기반 802.1 X 인증된 무선 액세스 배포

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 가이드는 Windows Server® 2016 Core Network 가이드의 도우미 가이드입니다. 핵심 네트워크 가이드는 완전히 작동하는 네트워크 및 새 포리스트의 새 Active Directory® 도메인에 필요한 구성 요소를 계획하고 배포하기 위한 지침을 제공합니다.

이 가이드에는 PEAP-MS-CHAP v2(Protected Extensible Authentication Protocol-Microsoft Challenge Handshake 인증 프로토콜 버전 2)를 사용하여 IEEE(Institute of Electrical and Electronics Engineers) 802.1X 인증 IEEE 802.11 무선 액세스를 배포하는 방법에 대한 지침을 제공함으로써 핵심 네트워크를 구축하는 방법에 대해 설명합니다.

PEAP-MS-CHAP v2는 사용자가 인증 프로세스 중에 인증서가 아닌 암호 기반 자격 증명을 제공해야 하므로 일반적으로 EAP-TLS 또는 PEAP-TLS보다 배포하기가 더 쉽고 저렴합니다.

참고

이 가이드에서 PEAP-MS-CHAP v2를 사용한 IEEE 802.1X 인증 무선 액세스는 "무선 액세스" 및 "WiFi 액세스"로 축약됩니다.

이 가이드의 내용

아래에 설명 된 필수 구성 요소 가이드와 함께에서이 가이드에서는 다음 WiFi 액세스 인프라를 배포 하는 방법에 대 한 지침을 제공 합니다.

  • 하나 이상의 802.1X 지원 802.11 AP(무선 액세스 지점).

  • AD DS(Active Directory Domain Services) 사용자 및 컴퓨터.

  • 그룹 정책 관리

  • 하나 이상의 NPS(네트워크 정책 서버) 서버

  • NPS를 실행하는 컴퓨터에 대한 서버 인증서입니다.

  • Windows 10, Windows 8.1 ® 또는 Windows 8 실행하는 무선 클라이언트 컴퓨터

이 가이드에 대 한 종속성

이 가이드에서 인증 된 무선 연결을 성공적으로 배포 하려면 모든 배포는 필요한 기술을 사용 하 여 네트워크 및 도메인 환경이 있어야 합니다. 또한 인증 NPS에 서버 인증서를 배포해야 합니다.

다음 섹션에서는 이러한 기술을 배포 하는 방법을 보여 주는 설명서 링크를 제공 합니다.

네트워크 및 도메인 환경 종속성

이 가이드는 Windows Server 2016 핵심 네트워크 가이드의 지침에 따라 핵심 네트워크를 배포한 네트워크 및 시스템 관리자 또는 AD DS, DNS(도메인 이름 시스템), DHCP(동적 호스트 구성 프로토콜), TCP/IP, NPS 및 WINS(Windows Internet Name Service)를 포함하여 핵심 네트워크에 포함된 핵심 기술을 이전에 배포한 사용자를 위해 설계되었습니다.

핵심 네트워크 가이드는 다음 위치에서 사용할 수 있습니다.

서버 인증서 종속성

802.1X 인증에 사용할 서버 인증서를 사용하여 인증 서버를 등록하는 데 사용할 수 있는 두 가지 옵션이 있습니다. AD CS(Active Directory Certificate Services)를 사용하여 사용자 고유의 공개 키 인프라를 배포하거나 CA(공용 인증 기관)에서 등록한 서버 인증서를 사용합니다.

AD CS

네트워크 및 시스템 관리자가 인증 된 무선 배포에서 Windows Server 2016 핵심 네트워크 도우미 가이드의 지침에 따라야 합니다. 802.1 X 유선 및 무선 배포에 대 한 서버 인증서 배포합니다. 이 가이드에는 배포 하 고 NPS를 실행 하는 컴퓨터에 서버 인증서를 자동으로 등록 AD CS를 사용 하는 방법을 설명 합니다.

이 가이드는 다음 위치에서 사용할 수 있습니다.

공용 CA

클라이언트 컴퓨터가 이미 신뢰 VeriSign 등의 공용 CA에서 서버 인증서를 구입할 수 있습니다.

신뢰할 수 있는 루트 인증 기관 인증서 저장소에 CA 인증서가 설치 하는 경우 클라이언트 컴퓨터는 CA를 신뢰 합니다. 기본적으로 Windows 실행하는 컴퓨터에는 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 여러 공용 CA 인증서가 설치되어 있습니다.

이 배포 시나리오에서 사용되는 각 기술에 대한 디자인 및 배포 가이드를 검토하는 것이 좋습니다. 이들 가이드를 통해 이 배포 시나리오가 조직 네트워크에 필요한 서비스 및 구성을 제공하는지 확인할 수 있습니다.

요구 사항

다음은 이 가이드에 설명된 시나리오를 사용하여 무선 액세스 인프라를 배포하기 위한 요구 사항입니다.

  • 이 시나리오를 배포하기 전에 먼저 802.1X 지원 무선 액세스 지점을 구입하여 사이트의 원하는 위치에서 무선 범위를 제공해야 합니다. 이 가이드의 계획 섹션 Ap를 지원 해야 하는 기능을 결정 하는 데 도움이 됩니다.

  • Windows Server 2016 Core 네트워크 가이드의 지침에 따라 다른 필수 네트워크 기술과 마찬가지로 AD DS(Active Directory Domain Services)가 설치됩니다.

  • AD CS가 배포되고 서버 인증서가 NPS에 등록됩니다. 이러한 인증서는 이 가이드에서 사용되는 PEAP-MS-CHAP v2 인증서 기반 인증 방법을 배포할 때 필요합니다.

  • 조직의 멤버는 무선 Ap와 클라이언트 컴퓨터와 네트워크의 디바이스에 설치 되어 있는 무선 네트워크 어댑터에서 지원 되는 IEEE 802.11 표준에 잘 알고 있습니다. 예를 들어 조직의 누군가가 무선 주파수 유형, 802.11 무선 인증(WPA2 또는 WPA) 및 암호(AES 또는 TKIP)에 익숙합니다.

이 가이드에서 설명하지 않는 정보

다음은 이 가이드에서 제공하지 않는 몇 가지 항목입니다.

802.1X 지원 무선 액세스 지점을 선택하기 위한 포괄적인 지침

802.1X 지원 무선 AP의 브랜드와 모델 간에 많은 차이가 있기 때문에 이 가이드에서는 다음 사항에 대한 자세한 정보를 제공하지 않습니다.

  • 사용자의 요구에 가장 적합한 무선 AP의 브랜드 또는 모델을 결정합니다.

  • 네트워크에서 무선 AP의 물리적 배포입니다.

  • 무선 V LAN(가상 로컬 영역 네트워크)과 같은 고급 무선 AP 구성

  • NPS에서 무선 AP 공급업체별 특성을 구성하는 방법에 대한 지침입니다.

또한 용어와 이름을 설정에 대 한 무선 AP 브랜드와 모델에 따라 다 고이 가이드에 사용 되는 일반 설정 이름을 일치 하지 않을 수 있습니다. 무선 AP 구성 세부 정보는 무선 AP 제조업체에서 제공하는 제품 설명서를 검토해야 합니다.

NPS 인증서 배포 지침

NPS 인증서를 배포하기 위한 두 가지 대안이 있습니다. 이 가이드에서는 요구 사항에 가장 적합한 대안을 결정하는 데 도움이 되는 포괄적인 지침을 제공하지 않습니다. 그러나 일반적으로 직면하는 선택은 다음과 같습니다.

  • Windows 기반 클라이언트에서 이미 신뢰하는 VeriSign과 같은 공용 CA에서 인증서를 구매합니다. 이 옵션은 일반적으로 더 작은 네트워크에 권장됩니다.

  • AD CS를 사용하여 네트워크에 PKI(공개 키 인프라)를 배포합니다. 대부분의 네트워크에이 좋습니다 하며 AD CS 사용 하 여 서버 인증서를 배포 하는 방법에 대 한 지침 앞에서 언급 한 배포 가이드에서 사용할 수 있습니다.

NPS 네트워크 정책 및 기타 NPS 설정

설정한 구성 실행 하는 경우를 제외 하 고는 구성 802.1 X 마법사,이 가이드에 설명 된 대로,이 가이드 NPS 조건, 제약 조건 또는 기타 NPS 설정을 수동으로 구성 하는 것에 대 한 자세한 정보를 제공 하지 않습니다.

DHCP

이 배포 가이드에서는 무선 LAN용 DHCP 서브넷을 디자인하거나 배포하는 방법에 대한 정보를 제공하지 않습니다.

기술 개요

무선 액세스를 배포하기 위한 기술 개요는 다음과 같습니다.

IEEE 802.1X

IEEE 802.1X 표준은 이더넷 네트워크에 대한 인증된 네트워크 액세스를 제공하는 데 사용되는 포트 기반 네트워크 액세스 제어를 정의합니다. 이 포트 기반 네트워크 액세스 제어는 전환된 LAN 인프라의 물리적 특성을 사용하여 LAN 포트에 연결된 디바이스를 인증합니다. 인증 프로세스에 실패하면 포트에 대한 액세스를 정의할 수 있습니다. 이 표준은 유선 이더넷 네트워크를 위해 설계되었지만 802.11 무선 LAN에서 사용하도록 조정되었습니다.

802.1X 지원 무선 액세스 지점(AP)

이 시나리오에서는 RADIUS(원격 인증 전화 접속 사용자 서비스) 프로토콜과 호환되는 하나 이상의 802.1X 지원 무선 AP를 배포해야 합니다.

802.1X 및 RADIUS 규격 AP는 NPS와 같은 RADIUS 서버를 사용하여 RADIUS 인프라에 배포되는 경우 RADIUS 클라이언트라고 합니다.

무선 클라이언트

이 가이드에서는 Windows 10, Windows 8.1 및 Windows 8 실행하는 무선 클라이언트 컴퓨터를 사용하여 네트워크에 연결하는 도메인 구성원 사용자에게 802.1X 인증된 액세스를 제공하는 포괄적인 구성 세부 정보를 제공합니다. 인증된 액세스를 성공적으로 설정하려면 컴퓨터를 도메인에 가입해야 합니다.

참고

또한 무선 클라이언트와 Windows Server 2016, Windows Server 2012 R2 및 Windows Server 2012를 실행 하는 컴퓨터를 사용할 수 있습니다.

IEEE 802.11 표준 지원

지원되는 Windows 및 Windows Server 운영 체제는 802.11 무선 네트워킹을 기본적으로 지원합니다. 이러한 운영 체제에서 설치 된 802.11 무선 네트워크 어댑터가 네트워크 및 공유 센터에 무선 네트워크 연결으로 표시 됩니다.

802.11 무선 네트워킹에 대한 기본 제공 지원이 있지만 Windows 무선 구성 요소는 다음 사항에 따라 달라집니다.

  • 무선 네트워크 어댑터의 기능입니다. 설치된 무선 네트워크 어댑터는 필요한 무선 LAN 또는 무선 보안 표준을 지원해야 합니다. 예를 들어 무선 네트워크 어댑터가 WPA(Wi-Fi 보호된 액세스)를 지원하지 않는 경우 WPA 보안 옵션을 사용하거나 구성할 수 없습니다.

  • 무선 네트워크 어댑터 드라이버의 기능입니다. 무선 네트워크 옵션을 구성할 수 있도록 무선 네트워크 어댑터용 드라이버는 Windows 모든 기능을 보고하도록 지원해야 합니다. 무선 네트워크 어댑터에 대 한 드라이버를 운영 체제의 기능에 대 한 기록 되어 있는지 확인 합니다. 또한 드라이버 Microsoft Update 또는 무선 네트워크 어댑터 공급 업체의 웹 사이트를 확인 하 여 최신 버전 인지 확인 합니다.

다음 표에서는 일반적인 IEEE 802.11 무선 표준에 대한 전송 속도 및 주파수를 보여 줍니다.

표준 주파수 비트 전송 속도 사용량
802.11 S 밴드 산업, 과학 및 의료(ISM) 주파수 범위(2.4~2.5GHz) 초당 2메가비트(Mbps) 사용되지 않습니다. 일반적으로 사용되지 않습니다.
802.11b S 밴드 ISM 11Mbps 일반적으로 사용됩니다.
802.11a C 밴드 ISM(5.725~ 5.875GHz) 54Mbps 비용 및 제한된 범위로 인해 일반적으로 사용되지 않습니다.
802.11g S 밴드 ISM 54Mbps 널리. 802.11g 디바이스는 802.11b 디바이스와 호환됩니다.
802.11 n \2.4 및 5.0 g h z C 밴드 및 S 밴드 ISM 250Mbps 사전 비준 IEEE 802.11n 표준을 기반으로 하는 디바이스는 2007년 8월에 제공되었습니다. 많은 802.11n 디바이스는 802.11a, b 및 g 디바이스와 호환됩니다.
802.11ac 5ghz 6.93 g b p s 2014 년에 승인 IEEE 802.11 a c 확장성과 802.11 n 보다 빠르게 이며 여기서 Ap와 무선 클라이언트는 모두 지 원하는 배포 됩니다.

무선 네트워크 보안 방법

무선 네트워크 보안 방법은 무선 인증(무선 보안이라고도 함) 및 무선 보안 암호화를 비공식적으로 그룹화한 것입니다. 무선 인증 및 암호화는 무단 사용자가 무선 네트워크에 액세스하지 못하도록 방지하고 무선 전송을 보호하기 위해 쌍으로 사용됩니다.

무선 네트워크 정책의 그룹 정책에서 무선 보안 설정을 구성 하는 경우 여러 조합을 선택할 수 있습니다. 그러나 802.1X 인증 표준이 있는 WPA2-Enterprise, WPA Enterprise 및 Open만 802.1X 인증 무선 배포에 대해 지원됩니다.

참고

무선 네트워크 정책을 구성하는 동안 802.1X 인증 무선 배포에 필요한 EAP 설정에 액세스하려면 WPA2-Enterprise, WPA Enterprise 또는 802.1X로 열기를 선택해야 합니다.

무선 인증

이 가이드는 다음과 같은 무선 인증 표준 사용 802.1 X 인증 무선 배포 하는 것이 좋습니다.

Wi-Fi 보호 액세스 – Enterprise(WPA-Enterprise) WPA는 802.11 무선 보안 프로토콜을 준수하기 위해 WiFi Alliance에서 개발한 임시 표준입니다. WPA 프로토콜은 이전 WEP(유선 등가 개인 정보 보호) 프로토콜에서 발견된 여러 가지 심각한 결함에 대응하여 개발되었습니다.

WPA-Enterprise 다음을 통해 WEP에 대한 향상된 보안을 제공합니다.

  1. 중앙 집중식 상호 인증 및 동적 키 관리를 보장하는 인프라의 일부로 802.1X EAP 프레임워크를 사용하는 인증 요구

  2. 헤더 및 페이로드를 보호하기 위해 MIC(메시지 무결성 검사)를 사용하여 ICV(무결성 검사 값) 향상

  3. 재생 공격을 방지하기 위해 프레임 카운터 구현

Wi-Fi 보호 액세스 2 – Enterprise(WPA2-Enterprise) WPA-Enterprise 표준과 마찬가지로 WPA2-Enterprise 802.1X 및 EAP 프레임워크를 사용합니다. WPA2-Enterprise 여러 사용자 및 대규모 관리형 네트워크에 대해 더 강력한 데이터 보호를 제공합니다. WPA2-Enterprise 인증 서버를 통해 네트워크 사용자를 확인하여 무단 네트워크 액세스를 방지하도록 설계된 강력한 프로토콜입니다.

무선 보안 암호화

무선 보안 암호화는 무선 클라이언트와 무선 AP 간에 전송되는 무선 전송을 보호하는 데 사용됩니다. 무선 보안 암호화는 선택한 네트워크 보안 인증 방법과 함께 사용됩니다. 기본적으로 Windows 10, Windows 8.1 및 Windows 8을 실행 하는 컴퓨터 두 대의 암호화 표준을 지원 합니다.

  1. TKIP(임시 키 무결성 프로토콜)는 원래 기본적으로 약한 WEP(유선 등가 개인 정보 보호) 프로토콜에서 제공한 것보다 더 안전한 무선 암호화를 제공하도록 설계된 이전 암호화 프로토콜입니다. TKIP는 레거시 하드웨어를 교체할 필요 없이 WEP를 대체하기 위해 IEEE 802.11i 작업 그룹과 Wi-Fi Alliance에 의해 설계되었습니다. TKIP는 WEP 페이로드를 캡슐화하는 알고리즘 모음으로, 레거시 WiFi 장비 사용자가 하드웨어를 교체하지 않고도 TKIP로 업그레이드할 수 있습니다. WEP와 마찬가지로 TKIP는 RC4 스트림 암호화 알고리즘을 기본으로 사용합니다. 그러나 새 프로토콜은 고유한 암호화 키로 각 데이터 패킷을 암호화하며, 키는 WEP의 키보다 훨씬 강력합니다. TKIP는 WEP만 사용하도록 설계된 이전 디바이스에서 보안을 업그레이드하는 데 유용하지만 무선 LAN이 직면한 모든 보안 문제를 해결하지는 못하며 대부분의 경우 민감한 정부 또는 회사 데이터 전송을 보호하기에 충분히 강력하지 않습니다.

  2. AES(Advanced Encryption Standard)는 상용 및 정부 데이터 암호화를 위한 기본 암호화 프로토콜입니다. AES는 TKIP 또는 WEP보다 높은 수준의 무선 전송 보안을 제공합니다. TKIP 및 WEP와 달리 AES에는 AES 표준을 지원하는 무선 하드웨어가 필요합니다. AES는 AES-128, AES-192 및 AES-256이라는 세 개의 블록 암호화를 사용하는 대칭 키 암호화 표준입니다.

Windows Server 2016 WPA2-Enterprise 인증 방법을 선택하는 경우 무선 프로필 속성에서 다음 AES 기반 무선 암호화 방법을 구성할 수 있습니다.

  1. AES-CCMP. 카운터 모드 암호화 CCMP(블록 체인 메시지 인증 코드 프로토콜)는 802.11i 표준을 구현하며 WEP에서 제공하는 것보다 높은 보안 암호화를 위해 설계되었으며 128비트 AES 암호화 키를 사용합니다.
  2. AES-GCMP. GCMP(Galois Counter Mode Protocol)는 802.11ac에서 지원되며 AES-CCMP보다 효율적이며 무선 클라이언트에 더 나은 성능을 제공합니다. GCMP 256 비트 AES 암호화 키를 사용합니다.

중요

WEP(유선 등가 개인 정보 보호)는 네트워크 트래픽을 암호화하는 데 사용된 원래 무선 보안 표준이었습니다. 이 오래된 형태의 보안에 잘 알려진 취약성이 있으므로 네트워크에 WEP를 배포해서는 안 됩니다.

AD DS(Active Directory Domain Services)

AD DS에서는 디렉터리 사용 애플리케이션의 네트워크 리소스와 애플리케이션별 데이터에 대한 정보를 저장하고 관리하는 분산 데이터베이스를 제공합니다. 관리자는 AD DS를 이용해 사용자, 컴퓨터 및 다른 디바이스와 같은 네트워크 요소를 계층적 포함 구조로 구성할 수 있습니다. 계층적 포함 구조에는 Active Directory 포리스트, 포리스트의 도메인 및 각 도메인의 OU(조직 구성 단위)가 포함되어 있습니다. AD DS를 실행하는 서버를 도메인 컨트롤러라고 합니다.

AD DS에는 사용자 자격 증명을 인증하고 무선 연결에 대한 권한 부여를 평가하기 위해 IEEE 802.1X 및 PEAP-MS-CHAP v2에 필요한 사용자 계정, 컴퓨터 계정 및 계정 속성이 포함됩니다.

Active Directory 사용자 및 컴퓨터

Active Directory 사용자 및 컴퓨터는 컴퓨터, 사용자 또는 보안 그룹을 같은 실제 엔터티를 나타내는 계정을 포함 하는 AD DS의 구성 요소입니다. 보안 그룹은 관리자가 단일 단위로 관리할 수 있는 사용자 또는 컴퓨터 계정의 컬렉션입니다. 특정 그룹에 속하는 사용자 및 컴퓨터 계정을 그룹 구성원이라고 합니다.

그룹 정책 관리

그룹 정책 관리를 사용하면 보안 및 사용자 정보를 포함하여 사용자 및 컴퓨터 설정의 디렉터리 기반 변경 및 구성 관리를 사용할 수 있습니다. 그룹 정책을 사용하여 사용자 및 컴퓨터 그룹에 대한 구성을 정의합니다. 그룹 정책을 사용하면 레지스트리 항목, 보안, 소프트웨어 설치, 스크립트, 폴더 리디렉션, 원격 설치 서비스 및 Internet Explorer 유지 관리에 대한 설정을 지정할 수 있습니다. 만든 그룹 정책 설정은 GPO(그룹 정책 개체)에 포함되어 있습니다. Active Directory 시스템 컨테이너에 선택 된 GPO를 연결 하 여-사이트, 도메인 및 Ou-사용자 및 해당 Active Directory 컨테이너에는 컴퓨터에 GPO의 설정을 적용할 수 있습니다. 엔터프라이즈에서 그룹 정책 개체를 관리하려면 그룹 정책 관리 편집기 MMC(Microsoft Management Console)를 사용할 수 있습니다.

이 가이드에서는 그룹 정책 관리의 무선 네트워크(IEEE 802.11) 정책 확장에서 설정을 지정하는 방법에 대한 자세한 지침을 제공합니다. 무선 네트워크(IEEE 802.11) 정책은 802.1X 인증된 무선 액세스를 위해 필요한 연결 및 무선 설정을 사용하여 도메인 구성원 무선 클라이언트 컴퓨터를 구성합니다.

서버 인증서

이 배포 시나리오에는 802.1X 인증을 수행하는 각 NPS에 대한 서버 인증서가 필요합니다.

서버 인증서는 일반적으로 인증에 사용되며 열린 네트워크에서 정보를 보호하는 데 사용되는 디지털 문서입니다. 인증서는 퍼블릭 키를 해당 프라이빗 키가 포함된 엔터티와 안전하게 바인딩합니다. 인증서는 발급 CA에서 디지털 서명되며 사용자, 컴퓨터 또는 서비스에 대해 발급할 수 있습니다.

CA(인증 기관)는 주체(일반적으로 사용자 또는 컴퓨터) 또는 기타 CA에 속하는 공개 키의 신뢰성을 설정하고 보증하는 역할을 하는 엔터티입니다. 인증 기관의 활동에는 서명된 인증서를 통해 고유 이름에 공개 키를 바인딩하고 인증서 일련 번호를 관리하고 인증서를 해지하는 작업이 포함될 수 있습니다.

AD CS(Active Directory 인증서 서비스)는 네트워크 CA로 인증서를 발급하는 서버 역할입니다. PKI(공개 키 인프라)라고도 하는 AD CS 인증서 인프라는 엔터프라이즈용 인증서를 발급하고 관리하기 위한 사용자 지정 가능한 서비스를 제공합니다.

EAP, PEAP 및 PEAP-MS-CHAP v2

EAP(확장 가능 인증 프로토콜)는 임의 길이의 자격 증명 및 정보 교환을 사용하는 추가 인증 방법을 허용하여 PPP(지점 간 프로토콜)를 확장합니다. EAP 인증을 사용하면 성공적인 인증이 수행되려면 네트워크 액세스 클라이언트와 인증자(예: NPS)가 모두 동일한 EAP 유형을 지원해야 합니다. Windows Server 2016 EAP 인프라를 포함하고, 두 가지 EAP 형식을 지원하며, EAP 메시지를 NPS에 전달하는 기능을 포함합니다. EAP를 사용 하 여 라고 하는 추가 인증 체계를 지원할 수 있습니다 EAP 종류합니다. Windows Server 2016에서 지원 되는 EAP 유형은 다음과 같습니다.

  • TLS(전송 계층 보안)

  • Microsoft Challenge 핸드셰이크 인증 프로토콜 버전 2(MS-CHAP v2)

중요

강력한 EAP 유형(예: 인증서 기반)은 암호 기반 인증 프로토콜(예: CHAP 또는 MS-CHAP 버전 1)보다 무차별 암호 대입 공격, 사전 공격 및 암호 추측 공격에 대해 더 나은 보안을 제공합니다.

PEAP(Protected EAP)는 TLS를 사용하여 무선 컴퓨터와 같은 인증 PEAP 클라이언트와 NPS 또는 기타 RADIUS 서버와 같은 PEAP 인증자 간에 암호화된 채널을 만듭니다. PEAP는 인증 방법을 지정하지 않지만 PEAP에서 제공하는 TLS 암호화 채널을 통해 작동할 수 있는 다른 EAP 인증 프로토콜(예: EAP-MS-CHAP v2)에 대한 추가 보안을 제공합니다. PEAP는 다음과 같은 유형의 NAS(네트워크 액세스 서버)를 통해 조직의 네트워크에 연결하는 액세스 클라이언트에 대한 인증 방법으로 사용됩니다.

  • 802.1X 지원 무선 액세스 지점

  • 802.1X 지원 인증 스위치

  • VPN(가상 사설망) 서버, DirectAccess 서버 또는 둘 다로 구성된 Windows Server 2016 및 RAS(원격 액세스 서비스)를 실행하는 컴퓨터

  • Windows Server 2016 및 원격 데스크톱 서비스를 실행 하는 컴퓨터

PEAP-MS-CHAP v2는 인증서 또는 스마트 카드 대신 암호 기반 자격 증명(사용자 이름 및 암호)을 사용하여 사용자 인증을 수행하므로 EAP-TLS보다 배포하기 쉽습니다. 인증서를 사용하려면 NPS 또는 다른 RADIUS 서버만 필요합니다. NPS 인증서는 인증 프로세스 중에 NPS에서 PEAP 클라이언트에 대한 ID를 증명하는 데 사용됩니다.

이 가이드에서는 802.1X 인증된 액세스에 PEAP-MS-CHAP v2를 사용하도록 무선 클라이언트와 NPS를 구성하는 지침을 제공합니다.

네트워크 정책 서버

NPS(네트워크 정책 서버)를 사용하면 RADIUS(원격 인증 전화 접속 사용자 서비스) 서버 및 RADIUS 프록시를 사용하여 네트워크 정책을 중앙에서 구성하고 관리할 수 있습니다. NPS는 802.1X 무선 액세스를 배포할 때 필요합니다.

NPS에서 802.1X 무선 액세스 지점을 RADIUS 클라이언트로 구성하면 NPS는 AP에서 보낸 연결 요청을 처리합니다. 연결 요청 처리 중에 NPS는 인증 및 권한 부여를 수행합니다. 인증은 클라이언트가 유효한 자격 증명을 제공했는지 여부를 결정합니다. NPS가 요청 클라이언트를 성공적으로 인증하는 경우 NPS는 클라이언트가 요청된 연결을 만들 수 있는 권한이 있는지 여부를 결정하고 연결을 허용하거나 거부합니다. 이 내용은 다음과 같이 자세히 설명됩니다.

인증

성공적인 상호 PEAP-MS-CHAP v2 인증에는 다음 두 가지 주요 부분이 있습니다.

  1. 클라이언트는 NPS를 인증합니다. 상호 인증의 이 단계에서 NPS는 클라이언트가 인증서를 사용하여 NPS의 ID를 확인할 수 있도록 해당 서버 인증서를 클라이언트 컴퓨터로 보냅니다. NPS를 성공적으로 인증하려면 클라이언트 컴퓨터가 NPS 인증서를 발급한 CA를 신뢰해야 합니다. 클라이언트는 CA의 인증서가 클라이언트 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 있는 경우 이 CA를 신뢰합니다.

    자체 프라이빗 CA를 배포하는 경우 CA 인증서는 도메인 구성원 클라이언트 컴퓨터에서 그룹 정책을 새로 고칠 때 현재 사용자 및 로컬 컴퓨터에 대한 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 자동으로 설치됩니다. 공용 CA에서 서버 인증서를 배포하려는 경우 공용 CA 인증서가 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 이미 있는지 확인합니다.

  2. NPS는 사용자를 인증합니다. 클라이언트가 NPS를 성공적으로 인증한 후 클라이언트는 사용자의 암호 기반 자격 증명을 NPS로 보내 AD DS(Active Directory Domain Services)의 사용자 계정 데이터베이스에 대해 사용자의 자격 증명을 확인합니다.

자격 증명이 유효하고 인증에 성공하면 NPS는 연결 요청을 처리하는 권한 부여 단계를 시작합니다. 자격 증명이 유효하지 않고 인증이 실패하면 NPS에서 액세스 거부 메시지를 보내고 연결 요청이 거부됩니다.

권한 부여

NPS를 실행하는 서버는 다음과 같이 권한 부여를 수행합니다.

  1. NPS는 AD DS의 사용자 또는 컴퓨터 계정 전화 접속 속성에 대한 제한을 확인합니다. Active Directory 사용자 및 컴퓨터의 모든 사용자 및 컴퓨터 계정에는 전화 접속 탭에 있는 속성을 포함하여 여러 속성이 포함됩니다. 이 탭의 네트워크 액세스 권한에서 값이 액세스 허용인 경우 사용자 또는 컴퓨터가 네트워크에 연결할 수 있는 권한이 부여됩니다. 값이 액세스 거부, 사용자 또는 컴퓨터가 네트워크에 연결할 권한이 없습니다. 값이 NPS 네트워크 정책을 통해 액세스를 제어, NPS는 사용자 또는 컴퓨터는 네트워크에 연결할 수 있는 권한이 있는지 확인 하는 구성 된 네트워크 정책을 평가 합니다.

  2. 그런 다음 NPS는 네트워크 정책을 처리하여 연결 요청과 일치하는 정책을 찾습니다. 일치하는 정책이 발견되면 NPS는 해당 정책의 구성에 따라 연결을 부여하거나 거부합니다.

인증과 권한 부여가 모두 성공하고 일치하는 네트워크 정책이 액세스 권한을 부여하는 경우 NPS는 네트워크에 대한 액세스 권한을 부여하고 사용자와 컴퓨터는 권한이 있는 네트워크 리소스에 연결할 수 있습니다.

참고

무선 액세스를 배포하려면 NPS 정책을 구성해야 합니다. 사용 하는 지침을 제공 하는이 가이드는 구성 802.1 X 마법사 802.1 X 인증 무선 액세스에 대 한 NPS 정책 만들기를 NPS에서.

부트스트랩 프로필

802.1X 인증 무선 네트워크에서 무선 클라이언트는 네트워크에 연결하기 위해 RADIUS 서버에서 인증하는 보안 자격 증명을 제공해야 합니다. 보호된 EAP [PEAP]-Microsoft Challenge 핸드셰이크 인증 프로토콜 버전 2 [MS-CHAP v2]의 경우 보안 자격 증명은 사용자 이름과 암호입니다. EAP-Transport 계층 보안 [TLS] 또는 PEAP-TLS의 경우 보안 자격 증명은 클라이언트 사용자 및 컴퓨터 인증서 또는 스마트 카드와 같은 인증서입니다.

PEAP-MS-CHAP v2, PEAP-TLS 또는 EAP-TLS 인증을 수행하도록 구성된 네트워크에 연결할 때 기본적으로 Windows 무선 클라이언트는 RADIUS 서버에서 보낸 컴퓨터 인증서의 유효성도 검사해야 합니다. 모든 인증 세션에 대해 RADIUS 서버에서 보낸 컴퓨터 인증서를 일반적으로 서버 인증서라고 합니다.

앞에서 설명한 것처럼 RADIUS 서버의 서버 인증서는 상용 CA(예: VeriSign, Inc.) 또는 네트워크에 배포하는 프라이빗 CA의 두 가지 방법 중 하나로 발급할 수 있습니다. RADIUS 서버에서 클라이언트의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 설치 된 루트 인증서를 이미가지고 있는 상용 CA에서 발급 하는 컴퓨터 인증서를 보내는 경우 무선 클라이언트가 무선 클라이언트가 Active Directory 도메인에 연결 하는 여부에 관계 없이 RADIUS 서버의 컴퓨터 인증서를 확인할 수 있으며 무선 클라이언트가 무선 네트워크에 연결할 수는 경우 및 다음 컴퓨터를 도메인에 조인할 수 있습니다.

참고

클라이언트가 서버 인증서의 유효성을 검사하도록 요구하는 동작은 사용하지 않도록 설정할 수 있지만 프로덕션 환경에서는 서버 인증서 유효성 검사를 사용하지 않도록 설정하는 것이 좋습니다.

무선 부트스트랩 프로필은 컴퓨터가 도메인에 가입되기 전 및/또는 사용자가 지정된 무선 컴퓨터를 처음으로 사용하여 도메인에 성공적으로 로그온하기 전에 무선 클라이언트 사용자가 802.1X 인증 무선 네트워크에 연결할 수 있도록 하는 방식으로 구성된 임시 프로필입니다. 이 섹션에서는 무선 컴퓨터를 도메인에 가입하려고 할 때 또는 사용자가 도메인에 처음으로 가입된 무선 컴퓨터를 사용하여 도메인에 로그온할 때 발생하는 문제를 요약합니다.

배포는 사용자 또는 IT 관리자는 컴퓨터를 도메인에 가입 하려면 유선된 이더넷 네트워크에 컴퓨터를 물리적으로 연결할 수 없습니다 했으며 컴퓨터에 필요한 발급 CA 인증서가 설치 되어 루트에 대 한 해당 신뢰할 수 있는 루트 인증 기관 인증서 저장소를 호출 하는 임시 무선 연결 프로필 무선 클라이언트를 구성할 수는 프로필 부트스트랩, 무선 네트워크에 연결 합니다.

A 프로필 부트스트랩 RADIUS 서버의 컴퓨터 인증서의 유효성을 검사 하는 요구 사항을 제거 합니다. 이 임시 구성을 사용하면 무선 사용자가 컴퓨터를 도메인에 가입할 수 있으며, 이때 무선 네트워크(IEEE 802.11) 정책이 적용되고 해당 루트 CA 인증서가 컴퓨터에 자동으로 설치됩니다.

상호 인증에 대 한 요구 사항을 적용 하는 무선 연결 프로필을 하나 이상의 컴퓨터에 적용 됩니다 그룹 정책이 적용 되는 경우 부트스트랩 프로필은 더 이상 필요 하 고 제거 됩니다. 컴퓨터를 도메인에 가입하고 컴퓨터를 다시 시작한 후 사용자는 무선 연결을 사용하여 도메인에 로그온할 수 있습니다.

이러한 기술을 사용 하 여 무선 액세스 배포 프로세스의 개요를 참조 하십시오. 무선 액세스 배포 개요합니다.