내보내기(0) 인쇄
모두 확장

AD DS의 새로운 기능: 인증 메커니즘 보증

업데이트 날짜: 2009년 8월

적용 대상: Windows Server 2008 R2

주요 변경 내용

인증 메커니즘 보증은 Windows Server 2008 R2에서 AD DS(Active Directory Domain Services)의 새로운 기능입니다. 이 기능은 기본적으로 사용되지 않습니다. 이 기능을 사용하려면 도메인 기능 수준의 Windows Server 2008 R2와 함께 인증서 기반 인증 인프라와 추가 구성이 필요합니다.

인증 메커니즘 보증의 기능

인증 메커니즘 보증을 사용하는 경우 인증서 기반 로그온 방법으로 로그온할 때 사용자의 자격 증명이 인증되면 관리자가 지정한 유니버설 그룹 구성원 자격이 사용자의 액세스 토큰에 추가됩니다. 그러면 네트워크 리소스 관리자는 사용자가 인증서 기반 로그온 방법으로 로그온하는지 여부와 로그온에 사용된 인증서 유형을 기반으로 리소스(파일, 폴더, 프린터 등)에 대한 액세스를 제어할 수 있습니다. 예를 들어 사용자가 스마트 카드를 사용하여 로그온할 경우 네트워크의 리소스에 대한 사용자의 액세스 권한은 스마트 카드를 사용하지 않고 액세스할 때 즉, 사용자 이름과 암호를 입력하여 액세스할 때와 다르게 지정될 수 있습니다. 인증 메커니즘 보증을 사용하지 않으면 인증서 기반 인증을 사용하여 로그온하는 사용자와 다른 인증 방법으로 로그온하는 사용자의 액세스 토큰이 구별되지 않습니다.

이 기능의 대상 사용자

이 기능은 AD FS(Active Directory Federation Services)나 사용자 지정 권한 구성표 또는 둘 모두와 함께 사용됩니다. 따라서 AD FS 또는 사용자 지정 권한 구성표를 배포했거나 배포하려는 조직에 유용합니다.

이러한 변경 내용에 관심을 가질 수 있는 그룹 또는 사용자는 다음과 같습니다.

  • 정보 보안 관리자 또는 담당자

  • 엔터프라이즈 관리자

  • 보안 리소스 관리자

  • 정보 보안 및 규정 준수 감사자

  • CIO(최고 정보 관리 책임자)

특별 고려 사항

이 기능은 스마트 카드 또는 토큰 기반 인증 시스템과 같은 인증서 기반 인증 방법을 사용하는 조직에서 사용할 수 있습니다. 인증서 기반 인증 방법을 사용하지 않는 조직에서는 Windows Server 2008 R2 도메인 컨트롤러의 도메인 기능 수준을 Windows Server 2008 R2로 설정하더라도 인증 메커니즘 보증을 사용할 수 없습니다.

새로운 기능

인증 메커니즘 보증을 사용하면 특정 인증서 발급 정책에서 발급한 인증서를 사용하는 인증서 기반 로그온을 인식하도록 네트워크 리소스에 대한 액세스를 제어할 수 있습니다. 인증서 기반 로그온 방법(예: 스마트 카드 로그온)을 사용할 때 인증 메커니즘 보증을 사용하도록 지정하면 로그온 중에 추가 그룹 구성원 자격이 사용자의 액세스 토큰에 추가됩니다. 관리자는 인증서 템플릿에 포함되는 특정 인증서 발급 정책에 유니버설 그룹 구성원 자격을 연결합니다. 유니버설 그룹마다 다른 인증서 보증 정책이 연결될 수 있으므로 관리자는 그룹 구성원 자격을 사용하여 로그온 중에 인증서가 사용되었는지 여부를 확인할 수 있습니다. 또한 관리자는 인증서를 발급할 때 적용된 인증서 보증 정책에 해당하는 인증서 발급 정책 OID(개체 식별자)를 기반으로 인증서를 구별할 수 있습니다. 따라서 인증 메커니즘 보증을 사용하면 리소스 관리자가 그룹 구성원 자격을 통해 리소스를 보호할 수 있습니다. 그룹 구성원 자격은 특정 인증서 발급 정책에 따라 발급된 인증서를 사용하는 인증서 기반 인증 방법으로 사용자가 인증되었음을 의미합니다.

예를 들어, Tom이라는 사용자가 Top Secret이라는 인증서 발급 정책을 통해 발급된 인증서가 들어 있는 스마트 카드를 사용한다고 가정해 보겠습니다. Top Secret 인증서 발급 정책에 따라 발급된 인증서를 매핑하여 Top Secret Users라는 유니버설 그룹에 구성원 자격을 제공하기 위해 인증 메커니즘 보증을 사용할 경우 Tom이 스마트 카드를 사용하여 로그온하면 Top Secret Users 그룹의 구성원임을 나타내는 추가 그룹 구성원 자격이 부여됩니다. 리소스 관리자는 Top Secret Users의 구성원에게만 액세스를 허용하도록 리소스에 대한 권한을 설정할 수 있습니다. 즉, Tom이 스마트 카드를 사용하여 로그온하는 경우에는 Top Secret Users에게 액세스가 허용된 리소스에 액세스할 수 있지만, 스마트 카드를 사용하지 않고(예: 사용자 이름 및 암호 입력) 로그온하는 경우에는 해당 리소스에 액세스할 수 없습니다.

이 기능의 배포 준비 방법

인증 메커니즘 보증을 구현하려면 도메인 기능 수준을 Windows Server 2008 R2로 높여야 합니다. 또한 인증서 기반 인증 방법을 사용하거나 설정해야 합니다. 인증서 발급 정책 OID가 유니버설 보안 그룹 구성원 자격에 연결되어 있으므로 인증서 발급 정책에서 로그온에 사용할 인증서를 배포해야 합니다.

이 기능을 포함하는 버전

인증 메커니즘 보증을 사용할 수 있는 Windows Server 2008 R2 버전(Hyper-V™ 없는 버전 포함)은 다음과 같습니다.

  • Windows Server 2008 R2 Standard

  • Windows Server 2008 R2 Enterprise

  • Windows Server 2008 R2 Datacenter

Windows Web Server 2008 R2에는 AD DS(Active Directory Domain Services)가 포함되어 있지 않습니다. 따라서 Windows Web Server 2008 R2에서는 인증 메커니즘 보증을 사용하거나 구현할 수 없습니다. 하지만 Windows Web Server 2008 R2를 포함하여 Windows® 액세스 토큰을 해석할 수 있는 클라이언트 또는 서버 운영 체제에서는 인증 메커니즘 보증에서 사용자의 토큰에 추가하는 그룹 구성원 자격을 기준으로 액세스를 허용하거나 거부할 수 있습니다.

추가 참조

인증 메커니즘 보증을 구현하는 방법은 다음 단계별 가이드를 참조하십시오.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft