HTTP 인증 메커니즘
마지막으로 수정된 항목: 2005-05-24
프런트 엔드 서버는 사용자를 직접 인증(기본 또는 폼 기반 인증 사용)하거나 백 엔드 서버에 요청을 익명으로 전달하는 두 가지 방법으로 인증을 처리합니다. 어느 방법을 사용하든 백 엔드 서버도 인증을 수행합니다.
참고
프런트 엔드 서버의 익명 인증은 프런트 엔드 서버가 주변 네트워크에 있고 원격 프로시저 호출을 사용할 수 없는 경우에 필요합니다. 프런트 엔드 서버에서 사용자 액세스를 차단하지 못하므로 이는 권장되는 시나리오가 아닙니다. 경유 인증에 대한 자세한 내용은 이 항목 뒷부분의 "경유 인증"을 참조하십시오.
중요
프런트 엔드 서버와 백 엔드 서버 모두에서 사용자를 인증하도록 구성하는 이중 인증을 사용하는 것이 좋습니다. 자세한 내용은 이 항목 뒷부분의 "이중 인증"을 참조하십시오.
이중 인증
기본적으로 이중 인증은 프런트 엔드 서버 및 백 엔드 서버에서 사용됩니다. 이중 인증에서는 프런트 엔드 서버와 백 엔드 서버가 모두 사용자를 인증하도록 구성됩니다. 가능할 때마다 인증을 수행하도록 프런트 엔드 서버를 구성해야 합니다. 프런트 엔드 서버에서 인증을 사용할 수 없는 경우 암시적 로그온이 적용되지 않고 공용 폴더 요청의 부하를 분산시킬 수 없습니다. 인증이 구성되는 방법에 관계없이 명시적 로그온을 사용하여 액세스할 수 있습니다.
참고
Exchange는 IIS를 사용하여 HTTP 요청을 인증합니다. IIS는 디렉터리 서버에 대한 RPC를 사용하여 인증을 수행합니다. 프런트 엔드 서버와 디렉터리 서버 사이에 RPC가 허용되지 않는 경우 경유 인증을 사용해야 합니다. 경유 인증을 사용하는 방법과 그렇게 할 경우의 위험에 대한 자세한 내용은 이 항목 뒷부분의 "경유 인증"을 참조하십시오.
경유 인증
경유 인증에서는 역명 인증을 통해 프런트 엔드 서버가 구성되기 때문에 사용자에게 인증 헤더를 묻지 않습니다. 프런트 엔드 서버는 사용자의 요청을 백 엔드 서버에 전달하고 사용자에게 인증에 대한 질문을 합니다. 백 엔드 서버의 인증 요청과 사용자의 응답은 프런트 엔드 서버를 통해 변경되지 않은 상태로 라우팅됩니다.
참고
통과 인증을 사용할 경우 익명 HTTP 요청이 인증되는 백 엔드 서버로 바로 전달됩니다. 경유 인증은 절대적으로 필요한 경우에만 사용해야 합니다. 내부 네트워크에 대한 전체 RPC 액세스 권한을 갖도록 주변 네트워크에 고급 방화벽을 배치하고 내부 방화벽 뒤에 프런트 엔드 서버를 배치하는 것이 좋습니다. 경유 인증은 유효하거나 유효하지 않은 모든 소스의 요청을 백 엔드 서버로 전달할 수 있기 때문에 프런트 엔드 서버를 주변 네트워크에 배치하면 익명 요청을 백 엔드 서버에 전달하는 것보다 RPC를 더 안전하게 허용할 수 있습니다. 자세한 내용은 프런트 엔드/백 엔드 토폴로지 배포 시나리오를 참조하십시오.
경유 인증을 사용하는 경우 프런트 엔드 서버는 해시 알고리즘을 수행할 인증 토큰이 없기 때문에 공용 폴더 요청을 부하 분산시킬 수 없습니다. 또한, 암시적 로그온이 작동하지 않습니다. 사용자는 로그온하려면 사용자 이름을 포함한 전체 URL을 입력해야 합니다.
인증 방법
사용 중인 Exchange 버전에 따라 프런트 엔드/백 엔드 서버 아키텍처에 대한 여러 가지 인증 방법이 있습니다. 또한, 클라이언트와 프런트 엔드 서버 간의 인증은 프런트 엔드/백 엔드 서버 간에 사용되는 인증과 비교하여 다른 옵션이 사용됩니다. 다음 섹션에서는 두 인증 방법에 대해 간략하게 설명합니다.
클라이언트/프런트 엔드 서버 인증
참고
프런트 엔드 서버는 통합 Windows 인증(NTLM 및 Kerberos 인증을 모두 포함) 또는 HTTP 1.1 다이제스트 인증을 지원하지 않습니다.
기본 인증
기본 인증은 사용자의 사용자 이름과 암호를 서버로 보내기 전에 인코드하도록 HTTP 사양에 정의된 단순 인증 메커니즘입니다. 프런트 엔드/백 엔드 토폴로지에서 암호 보안을 실현하려면 클라이언트와 프런트 엔드 서버 사이에서 SSL 암호화를 사용해야 합니다.
참고
기본 인증은 Exchange 2000 Server 및 Exchange Server 2003에서 지원됩니다.
기본 인증은 단일 사인온을 지원하지 않습니다. 단일 사인온은 사용자가 Windows를 실행 중인 컴퓨터에 로그온하고, 도메인에 대해 인증한 다음 해당 자격 증명을 다시 입력하지 않고 도메인에 있는 모든 리소스와 응용 프로그램에 액세스할 수 있는 경우입니다. Microsoft Internet Explorer 4.0 이상 버전은 액세스하는 서버에서 통합 Windows 인증을 사용할 경우 Outlook Web Access를 포함한 웹 응용 프로그램에 대해 단일 사인온을 허용합니다. 프런트 엔드 서버는 통합 Windows 인증을 지원하지 않기 때문에 사용자가 HTTP 응용 프로그램에 액세스할 경우 프런트 엔드 서버는 사용자에게 인증을 위한 프롬프트를 항상 표시합니다. 따라서 사용자는 Windows에 이미 로그온했더라도 해당 자격 증명을 다시 입력해야 합니다. 자격 증명은 브라우저 프로세스에 캐시되기 때문에 사용자는 브라우저 세션별로 자격 증명을 한 번씩만 입력하면 됩니다.
중요
키오스크를 사용 중일 때 자격 증명을 캐싱하면 브라우저를 닫을 수 없거나 세션 도중에 브라우저 프로세스를 종료할 수 없는 경우 보안 위험이 발생할 수 있습니다. 이 위험은 다음 사용자가 키오스크에 액세스할 때 해당 사용자의 자격 증명이 캐시에 남아 있기 때문에 발생합니다. 키오스크에서 Outlook Web Access를 사용하려면 세션 도중에 브라우저를 닫고 브라우저 프로세스를 종료할 수 있어야 합니다. 그렇지 않은 경우 사용자가 키오스크에서 Outlook Web Access를 사용하려면 암호와 함께 물리적 토큰을 입력해야 하는 2요소 인증을 포함하는 타사 제품을 사용해 보십시오.
폼 기반 인증
참고
폼 기반 인증은 Exchange Server 2003에서만 지원됩니다. 그러나, Exchange2003 Server 프런트 엔드를 Exchange2000 Server 백 엔드와 함께 사용하여 폼 기반 인증을 활용할 수 있습니다.
폼 기반 인증은 사용자가 처음 로그온할 때 쿠키를 사용하여 사용자를 식별합니다. Exchange에서는 이 쿠키 사용을 추적하여 비활성 세션을 시간 제한할 수 있습니다. 그러나, 기본 인증과 마찬가지로 초기 사용자 이름과 암호가 일반 텍스트로 전송됩니다. 따라서 SSL 암호화를 폼 기반 인증과 함께 사용해야 합니다. 폼 기반 인증을 구성하는 방법은 기본 도메인을 사용하도록 프런트 엔드 서버 구성의 "Exchange Server 2003에 대한 폼 기반 인증 구성" 섹션을 참조하십시오.
프런트 엔드/백 엔드 인증
백 엔드 서버가 데이터에 액세스할 수 있도록 프런트 엔드 서버는 사용자 자격 증명을 웹 요청과 함께 백 엔드 서버에 보내야 합니다.
통합 인증
Exchange 2003 프런트 엔드 서버는 Kerberos 인증을 사용하여 프런트 엔드 서버와 백 엔드 서버 간의 사용자 자격 증명을 보호합니다. Kerberos 인증이 실패할 경우 경고 이벤트가 기록되고 프런트 엔드는 NTLM을 대신 시도합니다. NTLM이 실패하면 오류가 기록되고 기본 인증이 사용됩니다.
프런트 엔드에서 통합 인증을 사용하려면 통합 인증을 허용하도록 백 엔드 가상 서버를 구성해야 합니다(기본적으로 허용).
참고
Exchange 2003 백 엔드 서버와 Exchange 2000 백 엔드 서버는 모두 Exchange 2003 프런트 엔드 서버의 통합 인증을 지원합니다.
기본 인증
프런트 엔드는 기본 인증 자격 증명을 백 엔드 서버에 프록시합니다. 이 정보를 보안하려면 프런트 엔드 서버와 백 엔드 서버 사이에서 IPSec를 사용하는 것이 좋습니다.
참고
프런트 엔드 서버와 백 엔드 서버 간의 기본 인증은 Exchange 2000 프런트 엔드 서버와 Exchange 2003 프런트 엔드 서버 모두에서 지원됩니다.
사용자 로그온 정보
프런트 엔드 서버에 대해 인증할 때 기본적으로 사용자는 사용자 이름을 domain\username 형식으로 입력해야 합니다. 사용자가 도메인을 기억할 필요가 없도록 기본 도메인을 사용하도록 프런트 엔드 서버를 구성할 수 있습니다.
추가 인증 옵션으로 사용자에 대한 UPN(사용자 이름)을 구성할 수 있습니다. 일반적으로 사용자의 UPN은 사용자의 전자 메일 주소와 같게 설정됩니다. 따라서 UPN/전자 메일 주소를 사용자 이름으로 입력할 수 있습니다. 자세한 내용은 Exchange 프런트 엔드 서버 구성을 참조하십시오.