윈도우 2000/2003 서비스를 운영하면서 AD(액티브 디렉터리)을 사용하고 있다면 한번쯤 아래와 같은 서비스를 진행 하는 것도 좋을 것입니다. 편리성의 대폭적인 향상이라고 할까…

회사에서 사용하는 사용자 아이디(계정) : 잘 생각해보면 생각 보다 많죠.

• 사용자 로그 온 : AD 접근, 자체 로컬 로그온
  
• 이메일 계정 : 각각 벤더 메일 계정(익스체인지, 윈도우 메일 서버등)
  
• 프린터 및 파일 서버 접속 시 계정 : 권한 설정 부분
  
• 사내 인트라넷 및 각종 업무를 위해 접근하는 기타 리소스
  
• 추가 : AD 을 사용하지 않을 경우 여러 개의 서비스에 각각 서버에 접근 시 필요 계정들(예 : 인트라넷, ERP )
  

위와 같이 2~3 개, 많으면 1명당 10개 수준까지의 접근 할 수 있는 아이디를 부여 받습니다. 물론 관리자라고 한다면 보통 사용자들 보다 더욱 더 많은 개수의 아이디와 더더욱 어려운 비밀번호를 기억해야 하며 이를 적절하게 배치하는 것만으로도 많은 어려움이 있지 않을까 생각 한다.

아래 사용 사례는 VPN 장비와 액티브 디렉터리 계정을 통합해서 관리 할 수 있는 방안을 설명 했으며 그 외 LDAP (Lightweight Directory Access Protocol) 프로토콜을 통해서 여러 부분을 통합할 수도 있을 것이다. (예 : 메라크 메일 서버의 LDAP)

IAS 주요 기능
인터넷 인증 서비스(IAS)는 원격 인증 전화 접속 로그인 사용자 서비스(RADIUS) 서버입니다. RADIUS(Remote Authentication Dial-In User Service)는 분산된 전화 접속/원격 엑세스 네트워킹에 대한 승인, 식별, 인증 및 계정 서비스를 제공하기 위한 산업표준입니다. IAS에서는 전화 접속 및 가상 사설망(VPN), 원격 액세스와 라우터 간 연결을 위한 중앙 집중식 연결 인증, 허가, 계정을 수행하며 IAS를 통해 원격 액세스 또는 VPN 장비의 단일 또는 다중 공급업체 네트워크를 사용할 수 있습니다. RADIUS는 원격 액세스 장비가 RADIUS 서버에 인증 및 계정 요청을 전송하는 RADIUS 클라이언트 역할을 할 수 있도록 하는 클라이언트/서버 프로토콜입니다. RADIUS를 사용하면 원격 액세스 사용자 인증, 허가, 계정 데이터를 각 장비가 아닌 중앙에서 유지 관리할 수 있습니다.

1. 중앙화된 사용자 인증
   연결을 시도하는 사용자를 인증하는 것은 보안에서 중요하게 관심을 가져야 할 부분이다. IAS는 다양한 인증 프로토콜을 지원하며, 사용자의 인증 요구 조건에 맞도록 임의 인증 방법을 사용할 수 있도록 한다
   
   
2. 중앙화된 사용자 승인
   사용자에게 적합한 네트워크 액세스 연결을 허용하기 위해, IAS는 NT도메인, Windows 로컬 보안 계정, Active Directory 서비스의 새로운 기능도 지원한다. 원격 액세스 정책은 네트워크 연결 통제를 보다 유연하게 하며, 보다 강력하고 손쉬운 관리 방법을 제공한다
   
   
3. 원격 액세스 서버의 중앙화된 관리
   RADIUS 표준 지원으로 IAS는 표준을 구현한 모든 네트워크 액세스 서버(NAS)에 대하여 연결 매개변수를 제어할 수 있다. 또한 개별 원격 액세스 공급 업체는 공급업체에만 해당하는 특성을 가진 독점적인 확장을 만들 수도 있다
   
   
4. 중앙화된 감시 및 사용 계정
   RADIUS 표준 지원으로 IAS가 한 지점에 있는 네트워크 액세스 서버(NAS)에서 전송한 계정 및 사용 기록을 얻을 수 있다. IAS는 로그 정보로 인증 허용 및 거부와 같은 감시 정보와 로그온 및 로그 오프 기록과 같은 사용 정보를 로그로 기록한다
   
   
5. 라우팅 및 원격 액세스와의 통합
   윈도우의 라우팅 및 원격 액세스 서비스는 윈도우 인증 및 계정을 사용하거나 RADIUS인증 및 계정을 사용하도록 구성된다. RADIUS 인증 또는 계정을 선택하면 RPC 호환되는 어떤 서버라도 사용할 수 있다
   
   
   [그림1] RADIUS 인증 절차
   
   

보안 부분
IAS 서비스를 이용한 암호 인증 프로토콜(PAP), Challenge Handshake 인증 프로토콜(CHAP), Microsoft Challenge Handshake 인증 프로토콜(MS-CHAP) 버전 1과 2, 확장할 수 있는 인증 프로토콜(EAP) 등의 여러 인증 프로토콜을 통해 보안성이 증가 하게 되었다.

관리 부분
기존 인증 체제에서는 원격 사용자 계정 생성과 관리, 인증을 ID, Password를 이용하여 VPN 장비에서 직접 담당했다. 현재는 원격 사용자를 위해 별도의 추가 작업 없이 DC 서버에 설정된 계정들을 그대로 이용하여 로그인 할 수 있게 되었다. 또한 계정 별 정책 관리와 보안 관리가 MMC의 화면 하나로 통합되어 관리적인 효율성이 향상 되었다.

윈도우 인증 서비스 설치
“시작 -> 설정 -> 제어판 -> 윈도우 구성요소 추가/제거”에서 “네트워킹 서비스 -> 인터넷 인증 서비스”를 선택한다


[그림2] 윈도우 인증 서비스 설치


[그림3] 전화 접속 로그인 프로필 편집 화면


[표1] IAS에서 기본 지원하는 벤더 목록
[표1]에서 지원하는 벤더 목록에 없다면 RADIUS Standard나 새로운 정책으로 구성하면 RADIUS를 지원하는 모든 벤더에 대해서 지원 가능하다.

[그림4] Active Directory 사용자 관리자 및 컴퓨터에서 관리하는 사용자의 접속 허가

참고 자료 :

• Windows 2000 분산 보안 기능
• Windows 2000의 인터넷 인증 서비스
• RADIUS 프로토콜 관련 RFC 문서
• RFC 2138 : http://www.ietf.org/rfc/rfc2138.txt
• RFC 2138 : http://www.ietf.org/rfc/rfc2139.txt

'윈도우 서버군 기술 강좌 > Windows Server 2003' 카테고리의 다른 글

윈도우 서버 2003 R2 파일서버의 마이그레이션  (0)	2007/02/02
현장 에세이 #1 (회선부분)  (0)	2007/02/01
VPN 장비 + 윈도우 2003(액티브 디렉터리) 통합 인증 서비스 진행  (0)	2007/01/31
Windows Server 2003 그 이후…  (0)	2007/01/17
Windows 2003 SP1 환경에서 R2를 설치하는 방법은 ?  (0)	2006/05/08
64-bit Windows ; 언제, 그리고 왜 써야 할까  (0)	2005/12/03