연결 요청 정책

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 토픽을 통해 NPS 연결 요청 정책을 사용하여 NPS를 RADIUS 서버, RADIUS 프록시 또는 둘 다로 구성하는 방법을 알아볼 수 있습니다.

참고 항목

이 주제와 더불어, 아래에서 연결 요청 정책에 관한 문서를 확인할 수 있습니다.

연결 요청 정책은 네트워크 관리자가 원격 인증 전화 접속 사용자 서비스 (RADIUS) 서버가 네트워크 정책 서버 (NPS) 를 실행하는 서버가 RADIUS 클라이언트로부터 수신하는 연결 요청의 인증 및 권한 부여를 수행할지를 지정할 수 있는 조건 및 설정 집합입니다. 연결 요청 정책은 RADIUS 계정에 사용되는 RADIUS 서버를 지정하도록 구성할 수 있습니다.

RADIUS 클라이언트에서 보낸 일부 RADIUS 요청 메시지가 로컬로 처리되고(NPS가 RADIUS 서버로 사용됨) 다른 유형의 메시지가 다른 RADIUS 서버로 전달되도록 연결 요청 정책을 만들 수 있습니다(NPS는 RADIUS 프록시로 사용됨).

연결 요청 정책을 사용하면 다음과 같은 요인에 따라 NPS를 RADIUS 서버 또는 RADIUS 프록시로 사용할 수 있습니다.

  • 하루 중 특정 시간과 일주일 중 특정 요일
  • 연결 요청의 영역 이름
  • 요청한 연결의 형식
  • RADIUS 클라이언트 IP 주소

RADIUS 액세스 요청 메시지는 들어오는 메시지의 설정이 NPS에 구성된 연결 요청 정책 중 하나 이상과 일치하는 경우에만 NPS에서 처리되거나 전달됩니다.

정책 설정이 일치하고 정책에서 NPS가 메시지를 처리하도록 요구하는 경우 NPS는 RADIUS 서버 역할을 하여 연결 요청을 인증하고 권한을 부여합니다. 정책 설정이 일치하고 정책에서 NPS가 메시지를 전달하도록 요구하는 경우 NPS는 RADIUS 프록시 역할을 하며 처리를 위해 원격 RADIUS 서버에 연결 요청을 전달합니다.

들어오는 RADIUS 액세스 요청 메시지의 설정이 연결 요청 정책 중 하나 이상과 일치하지 않으면 ACCESS 거부 메시지가 RADIUS 클라이언트로 전송되고 네트워크에 연결하려는 사용자 또는 컴퓨터의 액세스가 거부됩니다.

구성 예

다음 구성 예제에서는 연결 요청 정책을 사용하는 방법을 보여 줍니다.

RADIUS 서버로 작동하는 NPS

기본 연결 요청 정책은 유일하게 구성된 정책입니다. 이 예제에서, NPS는 RADIUS 서버로 구성되고 모든 연결 요청은 로컬 NPS에서 처리됩니다. NPS는 계정이 NPS 도메인의 도메인 및 신뢰할 수 있는 도메인에 있는 사용자를 인증하고 권한을 부여할 수 있습니다.

RADIUS 프록시로 작동하는 NPS

기본 연결 요청 정책이 삭제되고 두 개의 다른 도메인에 요청을 전달하기 위해 두 개의 새 연결 요청 정책이 만들어집니다. 이 예제에서, NPS는 RADIUS 프록시로 구성됩니다. NPS는 로컬 서버에서 연결 요청을 처리하지 않습니다. 대신 원격 RADIUS 서버 그룹의 구성원으로 설정된 NPS 또는 다른 RADIUS 서버에 연결 요청을 전달합니다.

RADIUS 서버 및 RADIUS 프록시인 NPS

기본 연결 요청 정책 외에도 신뢰할 수 없는 도메인의 NPS 또는 다른 RADIUS 서버에 연결 요청을 전달하는 새 연결 요청 정책이 만들어집니다. 이 예제에서는, 프록시 정책이 순서가 지정된 정책 목록에 먼저 나타납니다. 연결 요청이 프록시 정책과 일치하면, 연결 요청이 원격 RADIUS 서버 그룹의 RADIUS 서버로 전달됩니다. 연결 요청이 프록시 정책과 일치하지 않지만 기본 연결 요청 정책과 일치하는 경우, NPS는 로컬 서버에서 연결 요청을 처리합니다. 연결 요청이 두 정책과 일치하지 않으면 폐기됩니다.

원격 계정 서버가 있는 RADIUS 서버로서의 NPS.

이 예제에서는 로컬 NPS가 계정을 수행하도록 구성되지 않으며 RADIUS 계정 메시지가 원격 RADIUS 서버 그룹의 NPS 또는 다른 RADIUS 서버로 전달되도록 기본 연결 요청 정책이 수정됩니다. 계정 메시지는 전달되지만 인증 및 권한 부여 메시지는 전달되지 않으며 로컬 NPS는 로컬 도메인 및 모든 신뢰할 수 있는 도메인에 대해 이러한 기능을 수행합니다.

NPS와 원격 RADIUS를 사용한 Windows 사용자 매핑

이 예제에서 NPS는 권한 부여를 위해 로컬 Windows 사용자 계정을 사용하는 동안 원격 RADIUS 서버에 인증 요청을 전달하여 각 개별 연결 요청에 대한 RADIUS 서버 및 RADIUS 프록시 역할을 합니다. 이 구성은 연결 요청 정책의 조건으로 Windows 사용자 매핑 특성에 원격 RADIUS를 구성하여 구현됩니다. (또한, 원격 RADIUS 서버 인증을 위해서는 동일한 사용자 이름을 가진 로컬 사용자 계정 생성이 필요합니다.)

연결 요청 정책 조건

연결 요청 정책 조건은 들어오는 RADIUS 액세스 요청 메시지의 특성과 비교되는 하나 이상의 RADIUS 특성입니다. 여러 조건이 있는 경우 NPS에서 정책을 적용하려면 연결 요청 메시지와 연결 요청 정책의 모든 조건이 일치해야 합니다.

다음은 연결 요청 정책에서 구성할 수 있는 사용 가능한 조건 특성입니다.

연결 속성 특성 그룹

연결 속성 특성 그룹에는 다음 특성이 포함됩니다.

  • 프레임 프로토콜. 들어오는 패킷의 프레이밍 유형을 지정하는 데 사용. 예를 들어 지점 간 프로토콜 (PPP), 직렬 회선 인터넷 프로토콜 (SLIP), 프레임 릴레이 및 X.25가 있습니다.
  • 서비스 유형. 요청되는 서비스 유형을 지정하는 데 사용됩니다. 예를 들어 프레임(예: PPP 연결) 및 로그인(예: 텔넷 연결)이 있습니다. RADIUS 서비스 유형에 대한 자세한 내용은 RFC 2865" "Remote Authentication Dial-in User Service (RADIUS)"를 참조하세요.
  • Tunnel Type. 요청 클라이언트에서 생성되는 터널 유형을 지정하는 데 사용됩니다. 터널 유형에는 지점 간 터널링 프로토콜 (PPTP) 및 계층 2 터널링 프로토콜 (L2TP)가 포함됩니다.

일 및 시간 제한 속성 그룹

일 및 시간 제한 속성 그룹에는 일 및 시간 제한 속성이 포함됩니다. 이 속성을 사용하여 요일 및 연결 시도 시간을 지정할 수 있습니다. 날짜와 시간은 NPS의 날짜와 시간을 기준으로 합니다.

게이트웨이 속성 그룹

게이트웨이 속성 그룹에는 다음 특성이 포함됩니다.

  • Called Station ID. 네트워크 액세스 서버의 전화 번호를 지정하는 데 사용. 이 속성은 문자열입니다. 패턴 일치 구문을 사용하여 지역 코드를 지정할 수 있습니다.
  • NAS 식별자. 네트워크 액세스 서버의 이름을 지정하는 데 사용됩니다. 이 속성은 문자열입니다. 패턴 일치 구문을 사용하여 NAS 식별자를 지정할 수 있습니다.
  • NAS IPv4 address. 네트워크 액세스 서버(RADIUS 클라이언트)의 인터넷 프로토콜 버전 4 (IPv4) 주소를 지정하는 데 사용됩니다. 이 속성은 문자열입니다. 패턴 일치 구문을 사용하여 IP 네트워크를 지정할 수 있습니다.
  • NAS IPv6 address. 네트워크 액세스 서버(RADIUS 클라이언트)의 인터넷 프로토콜 버전 6 (IPv6) 주소를 지정하는 데 사용됩니다. 이 속성은 문자열입니다. 패턴 일치 구문을 사용하여 IP 네트워크를 지정할 수 있습니다.
  • NAS 포트 유형. 액세스 클라이언트에서 사용하는 미디어 유형을 지정하는 데 사용됩니다. 예를 들어 아날로그 전화선(비동기), 통합 서비스 디지털 네트워크 (ISDN), 터널 또는 가상 사설망 (VPNs), IEEE 802.11 무선 및 이더넷 스위치가 있습니다.

컴퓨터 ID 속성 그룹

컴퓨터 ID 특성 그룹에는 컴퓨터 ID 특성을 포함합니다. 이 특성을 사용하여 정책에서 클라이언트가 식별되는 메서드를 지정할 수 있습니다.

RADIUS 클라이언트 속성 특성 그룹

RADIUS 클라이언트 특성 속성 그룹에는 다음 특성을 포함합니다.

  • Calling Station ID. 호출자 (액세스 클라이언트)에서 사용하는 전화 번호를 지정하는 데 사용됩니다. 이 속성은 문자열입니다. 패턴 일치 구문을 사용하여 지역 코드를 지정할 수 있습니다. 802.1x 인증에서 MAC 주소는 일반적으로 채워지고 클라이언트에서 일치시킬 수 있습니다. 이 필드는 일반적으로 연결 요청 정책이 '자격 증명의 유효성을 검사하지 않고 사용자 허용'에 대해 구성된 경우 Mac 주소 바이패스 시나리오에 사용됩니다.
  • 클라이언트 친화적 이름. 인증을 요청하는 RADIUS 클라이언트 컴퓨터의 이름을 지정하는 데 사용. 이 속성은 문자열입니다. 패턴 일치 구문을 사용하여 클라이언트 이름을 지정할 수 있습니다.
  • 클라이언트 IPv4 주소. 네트워크 액세스 서버(RADIUS 클라이언트)의 IPv4 주소를 지정하는 데 사용. 이 속성은 문자열입니다. 패턴 일치 구문을 사용하여 IP 네트워크를 지정할 수 있습니다.
  • 클라이언트 IPv6 주소. 네트워크 액세스 서버(RADIUS 클라이언트)의 IPv6 주소를 지정하는 데 사용. 이 속성은 문자열입니다. 패턴 일치 구문을 사용하여 IP 네트워크를 지정할 수 있습니다.
  • 클라이언트 공급업체. 인증을 요청하는 네트워크 액세스 서버의 공급업체를 지정하는 데 사용. 라우팅 및 원격 액세스 서비스를 실행하는 컴퓨터는 Microsoft NAS 제조업체입니다. 이 특성을 사용하여 다른 NAS 제조업체에 대해 별도의 정책을 구성할 수 있습니다. 이 속성은 문자열입니다. 패턴 일치 구문을 사용할 수 있습니다.

사용자 이름 특성 그룹

사용자 이름 특성 그룹에는 사용자 이름 특성이 포함되어 있습니다. 이 특성을 사용하면, RADIUS 메시지에서 액세스 클라이언트에서 제공하는 사용자 이름과 일치해야 하는 사용자 이름 또는 사용자 이름의 일부를 지정할 수 있습니다. 이 특성은 일반적으로 영역 이름과 사용자 계정 이름을 포함하는 문자열입니다. 패턴 일치 구문을 사용하여 사용자 이름을 지정할 수 있습니다.

연결 요청 정책 설정

연결 요청 정책 설정은 들어오는 RADIUS 메시지에 적용되는 속성 집합입니다. 설정은 다음 속성 그룹으로 구성됩니다.

  • 인증
  • 회계업
  • 특성 조작
  • 전달 요청
  • 고급

다음 섹션은 이러한 옵션에 대한 추가 정보를 제공합니다.

인증

이 설정을 통해, 모든 네트워크 정책에 구성된 인증 설정을 재정의할 수 있으며 네트워크에 연결하는 데 필요한 인증 방법 및 유형을 지정할 수 있습니다.

Important

연결 요청 정책에서 네트워크 정책에서 구성하는 인증 방법보다 덜 안전한 인증 방법을 구성하는 경우 네트워크 정책에서 구성하는 보다 안전한 인증 방법이 재정의됩니다. 예를 들어 보안 무선을 위한 암호 기반 인증 방법인 보호된 확장 가능 인증 프로토콜-Microsoft Challenge 핸드셰이크 인증 프로토콜 버전 2(PEAP-MS-CHAP v2)를 사용해야 하는 네트워크 정책이 하나 있고 인증되지 않은 액세스를 허용하도록 연결 요청 정책을 구성하는 경우 PEAP-MS-CHAP v2를 사용하여 인증할 클라이언트가 없는 것입니다. 이 예제에서는, 네트워크에 연결하는 모든 클라이언트에 인증되지 않은 액세스를 허용합니다.

회계업

이 설정을 통해, 원격 RADIUS 서버 그룹이 계정을 수행하도록 원격 RADIUS 서버 그룹의 NPS 또는 다른 RADIUS 서버에 계정 정보를 전달하도록 연결 요청 정책을 구성할 수 있습니다.

참고 항목

RADIUS 서버가 여러 개 있고 한 중앙 RADIUS 회계 데이터베이스에 저장된 모든 서버에 대한 회계 정보를 원하는 경우, 각 RADIUS 서버의 정책에서 연결 요청 정책 계정 설정을 사용하여 모든 서버의 계정 데이터를 하나의 NPS 또는 회계 서버로 지정된 다른 RADIUS 서버로 전달할 수 있습니다.

연결 요청 정책 계정 설정은 로컬 NPS의 회계 구성과는 별개로 작동합니다. 즉, 로컬 파일 또는 Microsoft SQL Server 데이터베이스에 RADIUS 계정 정보를 로그하도록 로컬 NPS를 구성하는 경우 계정 메시지를 원격 RADIUS 서버 그룹으로 전달하도록 연결 요청 정책을 구성하는지 여부에 관계없이 이 작업을 수행합니다.

계정 정보를 원격으로 로그하지만 로컬로 로그하지 않으려면, 계정 데이터를 원격 RADIUS 서버 그룹으로 전달하도록 연결 요청 정책에서 회계를 구성하는 동시에 계정을 수행하지 않도록 로컬 NPS를 구성해야 합니다.

특성 조작

다음 특성 중 하나의 텍스트 문자열을 조작하는 찾기 및 바꾸기 규칙 집합을 구성할 수 있습니다.

  • 사용자 이름
  • Called Station ID
  • Calling Station ID

RADIUS 메시지에 인증 및 계정 설정이 적용되기 전에 이전 특성 중 하나에 대해 찾기 및 바꾸기 규칙 처리가 수행됩니다. 특성 조작 규칙은 단일 특성에만 적용됩니다. 각 특성에 대한 특성 조작 규칙을 구성할 수 없습니다. 또한 조작할 수 있는 특성 목록은 정적 목록입니다. 조작에 사용할 수 있는 특성 목록에 추가할 수 없습니다.

참고 항목

MS-CHAP v2 인증 프로토콜을 사용하는 경우 연결 요청 정책을 사용하여 RADIUS 메시지를 전달하는 경우 사용자 이름 특성을 조작할 수 없습니다. 유일한 예외는 백슬래시() 문자를 사용할 경우에 발생하며, 조작은 왼쪽 정보에만 영향을 줍니다. 백슬래시 문자는 일반적으로 도메인 이름(백슬래시 문자의 왼쪽 정보) 및 도메인 내의 사용자 계정 이름(백슬래시 문자의 오른쪽 정보)을 나타내는 데 사용됩니다. 이 경우, 도메인 이름을 수정하거나 바꾸는 특성 조작 규칙만 허용됩니다.

사용자 이름 특성에서 영역 이름을 조작하는 방법에 대한 예제는, NPS에서 정규식 사용 항목의 "사용자 이름 특성에서 영역 이름 조작 예제" 섹션을 참조하세요.

전달 요청

RADIUS 액세스 요청 메시지에 사용하는 다음 전달 요청 옵션을 설정할 수 있습니다.

  • 이 서버에서 요청을 인증. NPS는 이 설정을 사용하여 Windows NT 4.0 도메인, Active Directory 또는 로컬 보안 계정 관리자 (SAM) 사용자 계정 데이터베이스를 사용하여 연결 요청을 인증합니다. 또한 이 설정은 NPS에서 구성된 일치하는 네트워크 정책과 사용자 계정의 전화 접속 속성을 NPS가 사용하여 연결 요청을 승인하도록 지정합니다. 이 경우, NPS는 RADIUS 서버로 수행하도록 구성됩니다.

  • 다음 원격 RADIUS 서버 그룹에 요청을 전달. NPS는 이 설정을 통해, 지정한 원격 RADIUS 서버 그룹에 연결 요청을 전달합니다. NPS가 Access-Request 메시지에 해당하는 유효한 Access-Accept 메시지를 수신하는 경우 연결 시도는 인증되고 권한이 부여된 것으로 간주됩니다. 이 경우, NPS는 RADIUS 프록시 역할을 합니다.

  • 자격 증명의 유효성을 검사하지 않고 사용자를 허용. 이 설정을 통해 NPS는 네트워크에 연결하려는 사용자의 ID를 확인하지 않으며 NPS는 사용자 또는 컴퓨터가 네트워크에 연결할 권한이 있는지 확인하지 않습니다. NPS가 인증되지 않은 액세스를 허용하도록 구성되고 연결 요청을 받으면 NPS는 즉시 RADIUS 클라이언트에 Access-Accept 메시지를 보내고 사용자 또는 컴퓨터에 네트워크 액세스 권한이 부여됩니다. 이 설정은 사용자 자격 증명을 인증하기 전에 액세스 클라이언트가 터널링되는 일부 유형의 강제 터널링에 사용됩니다.

참고 항목

액세스 클라이언트의 인증 프로토콜이 MS-CHAP v2 또는 확장 가능한 인증 프로토콜-전송 계층 보안 (EAP-TLS)인 경우 이 인증 옵션을 사용할 수 없으며, 둘 다 상호 인증을 제공합니다. 상호 인증에서 액세스 클라이언트는 인증 서버(NPS)에 대한 유효한 액세스 클라이언트임을 증명하고 인증 서버는 액세스 클라이언트에 대한 유효한 인증 서버임을 증명합니다. 이 인증 옵션을 사용하면 Access-Accept 메시지가 반환됩니다. 그러나 인증 서버는 액세스 클라이언트에 대한 유효성 검사를 제공하지 않으며 상호 인증이 실패합니다.

정규식을 사용하여 지정된 영역 이름의 RADIUS 메시지를 원격 RADIUS 서버 그룹으로 전달하는 라우팅 규칙을 만드는 방법에 대한 예제는 NPS에서 정규식 사용 항목의 "프록시 서버에서 RADIUS 메시지 전달 예제" 섹션을 참조하세요.

고급

고급 속성을 설정하여 다음과 같은 일련의 RADIUS 특성을 지정할 수 있습니다.

  • NPS가 RADIUS 인증 또는 계정 서버로 사용되는 경우 RADIUS 응답 메시지에 추가됩니다. 네트워크 정책과 연결 요청 정책 둘 다에 지정된 특성이 있는 경우 RADIUS 응답 메시지에서 전송되는 특성은 두 특성 집합의 조합입니다.
  • NPS가 RADIUS 인증 또는 계정 프록시로 사용되는 경우 RADIUS 응답 메시지에 추가됩니다. 전달된 메시지에 특성이 이미 있는 경우 연결 요청 정책에 지정된 특성 값으로 바뀝니다.

또한 고급 범주의 연결 요청 정책 설정 탭에서 구성에 사용할 수 있는 일부 특성은 특수 기능을 제공합니다. 예를 들어, 두 사용자 계정 데이터베이스 간에 연결 요청의 인증 및 권한 부여를 분할하려는 경우 원격 RADIUS에서 Windows 사용자 매핑 특성으로 구성할 수 있습니다.

Windows에 대한 원격 RADIUS 사용자 매핑 특성은 원격 RADIUS 서버에서 인증된 사용자에 대해 Windows 권한 부여가 발생하도록 지정합니다. 즉, 원격 RADIUS 서버는 원격 사용자 계정 데이터베이스의 사용자 계정에 대해 인증을 수행하지만 로컬 NPS는 로컬 사용자 계정 데이터베이스의 사용자 계정에 대한 연결 요청에 권한을 부여합니다. 이는 방문자가 네트워크에 액세스할 수 있도록 허용하려는 경우에 유용합니다.

예를 들어 파트너 조직의 방문자는 자체 파트너 조직 RADIUS 서버에서 인증한 다음 조직의 Windows 사용자 계정을 사용하여 네트워크의 게스트 로컬 영역 네트워크 (LAN)에 액세스할 수 있습니다.

특수 기능을 제공하는 다른 특성은 다음과 같습니다.

  • MS-Quarantine-IPFilter 및 MS-Quarantine-Session-Timeout. 이러한 특성은 라우팅 및 원격 액세스 VPN 배포를 사용하여 네트워크 액세스 격리 제어 (NAQC)를 배포할 때 사용됩니다.
  • Passport-User-Mapping-UPN-Suffix. 이 특성을 사용하면 Windows Live™ ID 사용자 계정 자격 증명을 사용하여 연결 요청을 인증할 수 있습니다.
  • 터널-태그. 이 특성은 가상 로컬 영역 네트워크 (VLAN)을 배포할 때 NAS에서 연결을 할당해야 하는 VLAN ID 번호를 지정합니다.

기본 연결 요청 정책

NPS를 설치할 때 기본 연결 요청 정책이 만들어집니다. 이 정책은 다음 구성이 있습니다.

  • 인증이 구성되지 않습니다.
  • 계정 정보는 원격 RADIUS 서버 그룹으로 전달되도록 설정되어 있지 않습니다.
  • 원격 RADIUS 서버 그룹에 연결 요청을 전달하는 특성 조작 규칙으로 특성이 설정되어 있지 않습니다.
  • 전달 요청은 로컬 NPS에서 연결 요청이 인증되고 권한이 부여되도록 구성됩니다.
  • 고급 특성이 구성되어 있지 않습니다.

기본 연결 요청 정책은 NPS를 RADIUS 서버로 사용합니다. NPS를 실행하는 서버를 RADIUS 프록시로 사용하도록 구성하려면 원격 RADIUS 서버 그룹도 구성해야 합니다. 새 연결 요청 정책을 생성할 경우,, 새 연결 요청 정책 마법사를 통해 새로운 원격 RADIUS 서버 그룹 생성이 가능합니다. 기본 연결 요청 정책을 삭제하거나 기본 연결 요청 정책이 순서가 지정된 정책 목록에 마지막에 배치하여 NPS에서 마지막으로 처리한 정책인지 확인할 수 있습니다.

참고 항목

NPS 및 원격 액세스 서비스가 동일한 컴퓨터에 설치되어 있고 원격 액세스 서비스가 Windows 인증 및 계정에 대해 구성된 경우 원격 액세스 인증 및 계정 요청을 RADIUS 서버로 전달할 수 있습니다. 원격 액세스 인증 및 계정 요청이 원격 RADIUS 서버 그룹으로 전달하도록 구성된 연결 요청 정책과 일치할 때 발생할 수 있습니다.