• 아티클

Communications

스마트 카드를 이용한 Outlook Web Access 로그온

Victor Akinnagbe and Ted Dressel and Jason Opdycke

 

한 눈에 보기:

  • 2단계 인증
  • Kerberos 제한 위임
  • ISA Server 및 Exchange 구성

모바일 직원의 존재는 IT 조직에 고유한 보안 과제를 제기합니다. 원격 사용자는 전자 메일 등의 서비스와 데이터에 안전하게 액세스해야 합니다. 그러나 취약한 암호, 원격 컴퓨터를 통해 회사의 내부 리소스에 액세스하는 맬웨어(키 로거 등), 바이러스 등이

보안 사슬에서 가장 취약한 고리인 것이 현실입니다.

이와 같은 모바일 환경의 보안을 강화하는 방법의 하나가 바로 이러한 취약한 고리 중 하나인 암호를 아예 없애는 것입니다. 물론, 암호 인증 없이 계정 액세스를 허용한다는 발상이 불안감을 야기하는 것은 사실입니다. 암호와 관련된 문제를 근원적으로 제거하는 주요 기술 중 하나로 바로 2단계 인증 또는 다단계 인증이라고 하는 잘 알려진 방법이 있습니다. 2단계 인증은 암호라는 단 하나의 방법에 의존하여 액세스를 제공하는 것이 아니라, 사용자 이름과 암호의 조합, 스마트 카드와 같은 물리적 장치, 지문 등의 생체 식별 수단 등 다양한 인증 수단을 추가로 사용토록 하는 방식입니다.

회사에 원격 사용자가 있다면 회사 네트워크에 원격 액세스를 허용하기 위해 방화벽을 약간 열어야 할 것입니다. 표준 방화벽은 내부 네트워크와 외부 네트워크를 분리함으로써 기본적인 위험 완화 효과를 제공합니다(그림 1). 보안을 강화하기 위해 포트를 닫고 내부 네트워크의 장치와 통신이 필요한 경우에는 적절한 곳으로 포트를 전달합니다. 이러한 기술들이 기본적인 네트워크 수준 보호 효과를 제공하는 것은 사실이지만 지금은 나날이 정교해지는 공격으로 인해 다층적 네트워크 보안이 반드시 필요한 상황입니다.

그림 1 포트를 차단하거나 전달하는 표준 방화벽

그림 1** 포트를 차단하거나 전달하는 표준 방화벽 **(더 크게 보려면 이미지를 클릭하십시오.)

이동이 잦은 직원들이 가장 흔히 사용하는 회사 서비스는 전자 메일과 메시징이므로, Exchange 인프라를 안전하게 구성하는 것이 그 어느 때보다 중요한 과제가 되었습니다. Outlook® Web Access(OWA)를 통한 전자 메일 액세스 제공은 이동이 잦은 직원들에게 안전한 서비스를 제공하는 방법의 하나이며, 스마트 카드를 통해 OWA에 더욱 안전한 2단계 인증 방식을 제공하는 것은 또 하나의 중요한 진전입니다. 이 문서에서는 스마트 카드를 사용하는 OWA 시스템을 배포할 때 반드시 알고 있어야 하는 구성 및 설치 문제를 자세히 살펴보겠습니다.

방화벽보다 우수한 솔루션

네트워크에서 Microsoft® Internet Security and Acceleration(ISA) Server 2006을 실행하면 원격 사용자에게 더욱 안전한 방식으로 네트워크를 개방하는 작업을 간단히 처리할 수 있습니다. ISA Server 2006에는 스마트 카드를 이용하는 VPN(가상 사설망), Active Directory®에 대한 LDAP(Lightweight Directory Access Protocol) 인증, Kerberos 제한 위임 등의 보안 강화 기능이 포함되어 있습니다. ISA Server는 기존의 방화벽과는 다소 다릅니다. ISA Server는 표준 방화벽 하드웨어를 대체하거나 그와 연동하여 네트워크 계층에서 작동할 뿐만 아니라, 응용 프로그램 필터처럼 기존 방화벽에서는 일반적으로 지원되지 않는 보안 기능을 추가로 제공함으로써 다층적 보안을 구현합니다. 호스팅하는 특정 웹 사이트에 누군가가 HTTP POST 방법을 사용하는 것을 원치 않습니까? RFC 사양을 준수하는 SMTP 메시지만 Exchange 서버로 들어오도록 허용하고 싶습니까? 암호화된 SSL(Secure Sockets Layer) HTTP 패킷이 네트워크에 들어오기 전에 검사하고자 합니까? ISA Server는 이러한 작업을 비롯한 다양한 작업을 관리함으로써 완전히 필터링된 무해한 트래픽만 DMZ 또는 내부 네트워크에 전달되도록 합니다.

SSL 세션은 표준 방화벽에 다소 문제가 될 수 있습니다. 패킷은 방화벽을 통과하는 동안 암호화된 상태로 유지되는데 이는 SSL이 올바로 작동함을 나타냅니다. 따라서 SSL을 사용하는 하드웨어 또는 소프트웨어 방화벽을 통해 OWA와 같은 응용 프로그램이 게시되면 표준 방화벽은 상태 기반 패킷 검사 외에는 실질적인 효과가 있는 검사를 수행할 수 없습니다. 포트를 그냥 열어서 전달하게 되면 상당한 위험에 노출되는 부담이 있습니다. 네트워크 경계에서 실질적인 검사가 이루어지지 않으므로 검사 및 인증을 받지 않은 패킷이 내부 네트워크로 흘러들어올 수 있습니다.

ISA Server 2006은 HTTP 클라이언트에 대해 SSL 끝점 기능을 수행함으로써 인증된 트래픽만 게시된 Exchange 서버에 도달하도록 합니다. ISA Server는 SSL 브리징이라는 유용한 기능을 지원합니다. 일반적으로 패킷은 표준 SSL 세션을 통해 ISA Server와 통신하는 클라이언트에 의해 암호화됩니다. SSL 브리징 기능을 통해 ISA Server는 SSL 암호화를 로컬에서 종료하여 암호화를 해제한 상태에서 패킷을 검사하고 필요한 경우 Active Directory에 대해 사용자를 인증하며 SSL을 사용하여 패킷을 다시 암호화한 다음 이를 적절한 Exchange 서버로 전달합니다(그림 2 참조). SSL 브리징은 이러한 기법을 통해, 응용 프로그램을 인식하지 못하는 방화벽에는 암호화된 데이터 덩어리로밖에 보이지 않는 SSL 세션 내부의 숨겨진 위험을 줄일 수 있는 것입니다.

그림 2 트래픽을 응용 프로그램 계층의 관점에서 파악하는 ISA Server

그림 2** 트래픽을 응용 프로그램 계층의 관점에서 파악하는 ISA Server **(더 크게 보려면 이미지를 클릭하십시오.)

Kerberos 제한 위임을 언급할 때 반드시 짚고 넘어가야 할 것이 바로 인증되지 않은 상태에서 트래픽이 서버에 도달하는 것입니다. 표준 방화벽의 경우 포트가 단순히 Exchange 서버로 전달될 뿐이며 악의적일 수 있는 사용자에 대한 인증 작업을 수행하는 것은 이 프런트 엔드 서버의 책임입니다. 인증이 필요할 경우, ISA Server는 Active Directory에 직접 연결하여 사용자 대신 자격 증명을 요청합니다. 사용자에 대한 인증이 정상적으로 이루어지면 ISA Server는 해당 메시지를 Exchange 프런트 엔드 서버로 전달합니다. 프런트 엔드 서버는 임의의 알려지지 않은 사용자 요청을 인증할 필요가 없습니다. 즉, 프런트 엔드 서버는 백 엔드 서버로 요청을 프록시하는 용도로만 사용할 수 있습니다. 또한 ISA Server 2006은 Kerberos 제한 위임 기능을 통해 자격 증명을 기반으로 Windows SharePoint Services 및 Exchange ActiveSync 등의 기술에 액세스할 수 있도록 지원합니다.

Exchange Server 2003에는 OWA 로그인에 대해 프런트 엔드 서버와 백 엔드 서버 간 Kerberos 기반 인증을 지원하는 기능이 포함되어 있습니다. 혹시 이러한 클라이언트 트래픽을 보호하기 위해 IPsec을 사용하고 있지 않습니까? Exchange Server는 클러스터링된 사서함 서버에 대해서도 Kerberos 인증을 지원합니다.

스마트 카드 인증 사용

지금까지는 OWA에 스마트 카드 기반 인증을 구현하는 것이 쉽지 않은 일이었습니다. 하지만 ISA Server 2006의 Kerberos 제한 위임 기능을 기반으로 하는 솔루션이 개발되었습니다. 이 솔루션을 사용하면 사용자가 인증서를 통해 자격 증명을 제출하여 OWA에 대한 인증을 수행할 수 있습니다. Kerberos 제한 위임은 무제한 위임을 사용했던 Windows® 2000의 Kerberos 위임에 비해 대폭 개선된 것으로, 많은 환영을 받고 있습니다. Kerberos 제한 위임은 보다 안전하며 가장 기법을 이용하는 정교한 공격의 위험을 크게 줄여 줍니다.

스마트 카드를 사용하는 방식의 경우, 사용자가 외부 네트워크에서 KDC(키 배포 센터)로 라우팅될 수 있는 권한이 없으므로 ISA Server 2006이 Active Directory에 연결하여 사용자를 인증합니다. ISA Server는 인증서-사용자 매핑 작업을 Active Directory에 위임하여 사용자를 인증한 다음, UPN(User Principal Name)을 기반으로 해당 Kerberos 티켓을 받습니다. 이 경우 ISA Server는 응용 프로그램 수준 필터링 및 역방향 프록시 서비스를 통해 Exchange 프런트 엔드 서버에 Kerberos 제한 위임 기능을 제공합니다. 역방향 프록시 없이 위임을 시도하는 경우 이를 악용할 수 있는 위험성이 증가하여 네트워크 또는 Active Directory 도메인의 무결성에 영향을 줄 수 있습니다.

Exchange Server 2003과 Exchange Server 2007 모두 기본 인증과 통합 인증을 지원합니다. 그러나 OWA에 스마트 카드 기반 인증을 사용하려면 Exchange Server 2003에 소프트웨어 업데이트를 적용해야 합니다. 자세한 내용은 "Outlook Web Access에 스마트 카드 인증을 지원하는 Exchange Server 2003의 새로운 기능에 대한 설명"을 참조하십시오. Windows Server® 2003 기본 기능 모드의 도메인이 있어야 하고 관련된 모든 Exchange Server 2003 서버에는 SP2 이상이 적용되어 있어야 하며 OWA 사이트에 대해 역방향 프록시로 작동하는 ISA Server 2006 서버가 있어야 합니다.

소프트웨어 업데이트를 설치하고 ISA 및 Exchange 서버를 구성하고 나면 스마트 카드를 이용한 OWA 세션 인증이 가능합니다. 그림 3에는 스마트 카드 인증에 필요한 이벤트가 순서대로 나와 있습니다. 인증 과정은 사용자가 Internet Explorer®에서 OWA 사이트를 여는 것으로 시작합니다(1). 실제로는 사용자가 ISA Server에 연결하는 것이며 이때 OWA 세션을 시작하려면 사용자 이름과 암호 대신 인증서를 제공하라는 메시지가 표시됩니다. 해당 인증서는 스마트 카드에 저장되어 있으며 사용자는 인증서 PIN을 입력해야 합니다.

그림 3 스마트 카드를 이용한 OWA 인증

그림 3** 스마트 카드를 이용한 OWA 인증 **(더 크게 보려면 이미지를 클릭하십시오.)

인증서 유효성 검사(2)는 ISA Server의 구성과 기타 설치된 소프트웨어에 따라 CRL(인증서 해지 목록) 또는 OCSP(온라인 인증서 상태 프로토콜) 요청을 통해 처리됩니다. ISA Server는 DC(도메인 컨트롤러)에 사용자의 자격 증명 확인을 요청합니다. 이 요청이 실패하면 ISA Server는 이 사용자에게 오류 페이지를 표시하며 Exchange 프런트 엔드 서버에는 어떠한 요청도 도착하지 않습니다.

자격 증명이 확인되면 Kerberos 티켓이 생성되고, 통합 인증을 통해 Exchange 프런트 엔드 서버로 요청이 전달됩니다(3). Exchange 프런트 엔드 서버는 이 요청을 받아서 Kerberos 티켓이 유효한지 확인하고 해당 사용자의 백 엔드 사서함 서버를 찾아냅니다(4).

프런트 엔드 서버는 Kerberos 제한 위임을 통해 해당 백 엔드 서버에 대한 Kerberos 티켓을 요청하고 통합 인증을 통해 백 엔드 서버에 사서함 요청을 프록시합니다(5). 이 요청이 백 엔드 서버에 의해 처리되고(6) 사서함 데이터가 Exchange 프런트 엔드 서버로 반환됩니다(7). 해당 OWA 페이지에 대한 HTML 데이터가 ISA Server로 전달되고(8), 이는 다시 클라이언트 컴퓨터로 전달됩니다(9).

Exchange 환경 구성

앞서 언급한 기술 자료 문서에는 Exchange Server 2003용 소프트웨어 업데이트에 관한 설명과 ISA Server 2006 및 Exchange Server 2003을 이용한 Kerberos 제한 위임 구현 과정에 지침이 될 수 있는 설명이 들어 있습니다.

소프트웨어 업데이트가 수행하는 주된 작업은 Exchange 프런트 엔드 서버에서 해당 백 엔드 서버로 이루어지는 Kerberos 제한 위임 과정을 자동화하는 것입니다. ISA Server는 Exchange 조직에 속하지 않으므로 ISA Server에서 프런트 엔드 서버로 이루어지는 Kerberos 제한 위임 과정은 이 업데이트를 통해 자동화되지 않습니다. 따라서 각 ISA Server 인스턴스에서 각 Exchange 프런트 엔드 서버로 이루어지는 이 위임 과정은 직접 구현해야 합니다.

소프트웨어 업데이트를 수행하면 Exchange 프런트 엔드 서버를 KCD-FE(그림 4 참조)로 지정하고 이 서버를 해당 Exchange 백 엔드 서버의 위임 탭에 넣을 수 있게 해 주는 새로운 탭이 ESM(Exchange System Manager)에 추가됩니다.

그림 4 Kerberos 제한 위임 사용

그림 4** Kerberos 제한 위임 사용 **

또한 새로운 UI에서는 관리 그룹의 속성에서 msDS-AllowedToDelegateTo(A2D2) 특성을 채우는 작업에 사용할 자격 증명을 지정할 수 있습니다(그림 5 참조). 이 특성이 Kerberos 제한 위임을 담당하는 특성입니다.

그림 5 위임을 제어하는 계정 설정

그림 5** 위임을 제어하는 계정 설정 **

GPO(그룹 정책 개체)를 통해 사용자와 컴퓨터를 위임하는 능력을 특정한 표준 사용자 계정에 부여하면 최소 권한의 원칙을 따를 수 있습니다. 표준 사용자 계정에 이처럼 높은 권한을 부여하면 이를 서비스 계정으로 활용하여 해당 관리 그룹에 대한 Kerberos 제한 위임 과정을 자동화할 수 있습니다.

이 경우 악의적인 사용자가 Kerberos 제한 위임 서비스 계정을 도용할 수 없도록 적절한 조치를 취해야 합니다. 이 계정이 도메인 관리자 계정이 아니더라도 악의적인 사용자가 이 계정에 액세스하면 Kerberos 위임을 이용하여 정교한 공격을 수행할 수 있습니다. 이 계정은 새로운 Kerberos 연결을 설정할 수 있으므로 각별히 주의를 기울여 사용해야 합니다. 복잡하고 긴 암호, 감사 강화, 계정 해제 등 이 계정의 보안과 무결성을 확고히 하는 데 필요한 예방 조치를 취해야 합니다.

또한 Exchange 소프트웨어 업데이트는 통합 인증과 관련하여 ESM 인터페이스에 매우 중요한 변경을 수행합니다. 이전의 Exchange Server 2003에서는 서버를 프런트 엔드 서버로 지정하면 HTTP 가상 서버의 HTTP 가상 디렉터리에 Windows 통합 인증을 사용하는 옵션이 비활성화되었습니다(그림 6 참조).

그림 6a 통합 인증을 사용할 수 있게 해 주는 업데이트

그림 6a** 통합 인증을 사용할 수 있게 해 주는 업데이트 **

그림 6b 통합 인증을 사용할 수 있게 해 주는 업데이트

그림 6b** 통합 인증을 사용할 수 있게 해 주는 업데이트 **

이는 프록시 서버가 NTLM 세션을 중단시킨다는 점, 사용자가 Kerberos 인증을 사용하는 경우 Active Directory에 연결해야 한다는 점, 인터넷 사용자는 일반적으로 도메인에 속하지 않는다는 점 등의 기술적 문제로 인해 Exchange 프런트 엔드 서버에서는 통합 인증이 지원되지 않았기 때문입니다. 앞서 기술 자료 문서에서 설명하는 업데이트는 이러한 한계를 없애줍니다. 이 업데이트를 설치하고 나면 가상 디렉터리로 가서 Windows 통합 인증을 사용자 자격 증명 확인 메커니즘으로 사용하는 옵션의 확인란을 선택할 수 있습니다. 이 확인란을 선택하면 Active Directory의 가상 디렉터리 개체에 msexchAuthenticationFlags라는 특성이 설정되며, 이는 Microsoft Management Console의 Adsiedit.msc 스냅인에서 확인할 수 있습니다.

OWA를 통해 전자 메일을 확인하는 사용자는 Exchange 백 엔드 서버의 이름을 알고 있을 것이고 따라서 회사 인트라넷에 접속해 있는 동안 통합 인증을 이용하여 그 서버에 연결할 수 있습니다. 사용자의 입장에서 통합 인증과의 차이점은, Internet Explorer에서 이 웹 사이트에 사용자를 자동으로 인증해 주기 때문에 회사 네트워크에 로그온되어 있는 경우에는 사용자 이름과 암호를 따로 입력할 필요가 없다는 데 있습니다. 이는 회사 네트워크에 속해 있는 사용자에게는 매우 편리한 기능입니다. 하지만 대개 외부 사용자인 OWA 사용자는 도메인에 로그온되지 않은 상태로 네트워크 외부에서 Exchange 프런트 엔드 서버로 들어오는 것이 일반적입니다. 이 과정은 기술 자료 문서 "IIS에서 브라우저 클라이언트를 인증하는 방법"에 자세히 설명되어 있습니다.

이 업데이트는 Active Directory의 SPN(서비스 사용자 이름) 특성이 아닌 A2D2 특성을 사용하도록 Exchange Server의 위임 탭을 채웁니다. Adsiedit.msc를 사용하는 Exchange 컴퓨터 개체를 살펴보면 두 가지 구별되는 특성, 즉 A2D2 특성(Kerberos 제한 위임 목록)과 SPN 특성(Kerberos 로케이터와 계정 지정 위치 역할 수행)을 볼 수 있습니다. 두 특성이 함께 Kerberos 제한 위임을 가능하게 하는 것이 사실이지만, 그래픽 인터페이스를 통해 A2D2 특성을 수정해야 합니다.

Windows는 기본 제공하는 HOST SPN을 별칭으로 사용하여 다른 서비스를 찾을 수 있습니다. 이는 Exchange 프런트 엔드에서 백 엔드로 위임하는 경우 Kerberos 제한 위임에 setspn.exe를 사용하지 않아도 된다는 뜻입니다. 이 솔루션에서도 SPN 특성 목록에 HTTP/Servername을 명시적으로 지정할 수 있으나 관리자의 실수를 유발할 여지가 커지며 Kerberos 제한 위임에는 필요하지 않습니다. Kerberos 제한 위임은 Active Directory에서 A2D2 특성을 찾습니다. 이 특성이 채워지지 않거나 잘못된 SPN 값으로 채워지면 관련 서버 간에 Kerberos 제한 위임이 작동하지 않습니다. 그러나 Exchange 클러스터에서는 프런트 엔드 서버의 A2D2 특성에 클러스터 노드 컴퓨터 계정을 지정해 주기만 하면 됩니다.

앞서 언급했듯이 Exchange 2003 서버가 포함된 Windows Server 2003 도메인은 Windows Server 2003 기본 기능 모드로 운영되어야 합니다. 도메인 기능이 이러한 수준이 되지 않으면 Kerberos 제한 위임을 사용할 수 없습니다. 도메인이 여전히 혼합 모드인 상태에서 앞서 언급한 소프트웨어 업데이트를 설치하면 작동은 하는 것처럼 보이지만 실제로는 SPN 등록이 실패하게 됩니다. 또한 Kerberos 제한 위임은 도메인 기능이지 포리스트 수준 기능이 아닙니다. 즉, Exchange Server 2003의 경우 ISA Server와 Exchange 프런트 엔드 및 백 엔드 서버가 같은 도메인의 구성원이어야 한다는 뜻입니다. 물론 서로 다른 도메인의 사용자들도 Kerberos 제한 위임에 인증할 수는 있습니다. 도메인 구성원이 아니거나 다른 도메인의 구성원인 ISA Server 인스턴스는 이 솔루션의 일부로 작동하지 않습니다.

OWA 사이트 구성

IIS Admin은 OWA에 대한 어떠한 종류의 인증 변경에도 사용하지 않아야 합니다. OWA는 IIS에 속해서 운영되며 다른 웹 사이트처럼 메타베이스에서 이루어지는 변경에 응답하지만, Exchange는 DS2MB(Directory Services to Metabase) 프로세스에 다소 복잡한 문제를 가져다 줍니다. DS2MB 프로세스는 변경 내용을 Active Directory에서 IIS 메타베이스로 단방향 프로세스를 통해 복제하므로 IIS에 직접 변경한 모든 내용을 덮어쓰게 됩니다. 따라서 관리자가 IIS 메타베이스를 직접 변경할 경우(예: 통합 인증 설정) 당장은 솔루션이 정상적으로 작동하는 것처럼 보여도 다음 DS2MB 복제 주기가 시작되면 문제가 발생합니다.

HTTP 가상 디렉터리에 Windows 통합 인증을 사용할 수 있도록 하는 옵션은 ESM에서 제공된 것입니다. 이는 ESM이 그 편집 내용을 Active Directory에 직접 전달한 다음, 그 변경 내용이 IIS 메타베이스로 복제되도록 하기 때문입니다. 시스템 수행자 서비스를 중단하는 방법 역시 DS2MB 프로세스를 중단하여 IIS 메타베이스를 변경하되 덮어쓰지는 않도록 할 수 있지만 바람직한 방법은 아니라는 점을 기억해야 합니다. 다음번에 시스템 수행자 기능이 시작되면 Active Directory로부터 변경 내용을 폴링하게 되고 솔루션은 자동으로 작동이 중지될 것입니다.

위임 탭에는 Kerberos만 사용하는 옵션과 모든 인증 프로토콜을 사용하는 옵션이 표시됩니다. 단순한 논리에 따르자면 여기서 논의하고 있는 솔루션은 제한 위임을 사용하고 있으므로 Kerberos만 사용하는 옵션을 선택해야겠지만, 이는 일반적인 논리가 적용되지 않는 수많은 IT 상황 가운데 하나일 뿐입니다. 따라서 모든 인증 프로토콜을 사용하는 옵션을 선택해야 합니다(그림 7 참조). 그 이유는 요청이 Kerberos 요청으로서 들어오는 것이 아니라 Active Directory 계정에 매핑된 해당 인증서를 가진 HTTP 요청으로서 들어오기 때문입니다.

그림 7 스마트 카드에 적합한 인증 설정

그림 7** 스마트 카드에 적합한 인증 설정 **

이 경우 ISA Server는 SSL을 통해 사용자에게 PKI 인증서를 요청합니다. 들어오는 요청이 Kerberos 티켓이 아니므로 Kerberos 제한 위임 기능이 올바르게 작동하려면 적절한 전환이 이루어져야 합니다. 따라서 Kerberos만 사용하도록 설정하면 ISA Server에서 통신의 연쇄가 끊어집니다. 그러나 위임이 Exchange 프런트 엔드 서버와 백 엔드 서버 간에 이루어지는 경우에는 Kerberos만 사용하는 설정도 정상적으로 작동합니다. 이는 Exchange 프런트 엔드 서버가 ISA Server로부터 Kerberos 티켓을 받기만 하기 때문입니다.

\Exchange 및 \Public 가상 디렉터리는 개인 사용자 폴더 및 공용 폴더 정보가 있는 유일한 위치입니다. Exchange의 SSL 구성은 Kerberos 제한 위임 또는 2단계 인증에 새로운 것은 아니지만 기본 인증 자격 증명으로 SSL을 통해 OWA를 사용할 수 있도록 하는 표준 방법으로부터 전환하는 작업이 필요합니다. SSL을 잘못 강제하면 OWA의 작동을 중단시킬 수 있고 ESM에도 문제를 일으킬 수 있으므로 문서화된 방법에 따라 OWA에 SSL을 사용할 수 있도록 해야 합니다.

기타 세부 구성

이 솔루션을 구현할 때는 먼저 표준 방식으로 ISA Server와 Exchange를 배포하는 것이 좋습니다. 특히, 이전에 ISA Server를 배포한 적이 없다면 모든 설정을 구성한 상태로 Kerberos 제한 위임 솔루션 전체를 한 번에 배포하지 마십시오. 배포 과정에서 구성 요소 또는 단계 하나가 잘못될 경우 문제 해결 과정이 복잡해질 수 있습니다. 먼저 표준 방식(사용자 이름과 암호는 사용하되 양식 기반 인증은 사용하지 않는 방식)으로 ISA Server와 Exchange를 배포하고 정상적으로 작동하는지 확인한 다음 Kerberos 제한 위임 및 인증서 인증으로 전환하는 것이 훨씬 쉽습니다.

일반적으로 양식 기반 인증은 스마트 카드를 사용하는 OWA와 함께 사용할 수 없습니다. 양식 기반 인증에서는 사용자가 표준 Outlook 양식을 통해 제출할 사용자 이름과 암호를 갖고 있어야 합니다. 그러나 스마트 카드 기반 2단계 인증에서는 사용자가 스마트 카드만 갖고 있고 암호는 갖고 있지 않습니다. 즉, 양식 기반 인증에서는 인증서만 접수 또는 제출하여 인증을 완료할 수 있는 방법이 없습니다. 보안 사슬의 어느 부분(예: ISA Server 뒤에 있는 프런트 엔드 서버)에라도 양식 기반 인증을 사용하면 스마트 카드를 사용하는 OWA 구성에 문제가 생깁니다. 양식 기반 인증을 사용하는 경우 Exchange 가상 디렉터리가 강제로 기본 인증으로 설정되며, 따라서 IIS 메타베이스 역시 기본 인증으로 설정됩니다.

사용자 이름/암호 방식을 이용하는 사용자와 스마트 카드를 이용하는 사용자가 혼합되어 있다면 ISA 웹 수신기에서 대체 인증 기능을 사용할 수 있습니다. 이 경우 인증서 기반 자격 증명을 제시하라는 화면 메시지가 표시될 때 사용자가 Esc 키를 누르면, ISA Server 뒤의 Exchange 서버에서 통합 인증 방식을 사용하더라도, 표준 사용자 이름/암호 형태의 인증서 요청 메시지가 표시됩니다. 또한 ISA Server는 양식 기반 인증 기능과 거의 같은 방식으로 SSL 세션의 시간을 제한할 수 있습니다.

결론

OWA 인증에 스마트 카드가 지원되는 것은 Exchange Server 2003과 Exchange Server 2007 모두에 중요한 진전으로서 환영받고 있습니다. 인증서를 이용하여 OWA에 로그인할 수 있게 되면 사용자는 길고 복잡한 암호를 기억하기 위해 애쓰지 않아도 되며, 관리자는 감염된 시스템에서 사용자의 자격 증명을 빼낼 수 있는 키 로거 및 기타 다양한 형태의 맬웨어를 효과적으로 차단할 수 있게 됩니다. 자세한 내용은 "리소스" 추가 기사를 참조하십시오.

스마트 카드를 이용하는 2단계 인증 방식에 맞게 ISA Server를 정확히 구성하면 게시된 OWA 응용 프로그램에 대해 응용 프로그램 수준 필터링이 수행됨으로써 전반적인 보안이 더욱 강화됩니다. 또한 ISA Server 2006은 간단한 게시 마법사를 통해 Exchange Server 2003과 Exchange Server 2007을 게시하는 기능을 기본적으로 지원하므로 Exchange Server 2007로 전환 중인 조직의 경우 ISA Server에 투자한다면 그 비용을 회수하고도 남을 것입니다.

리소스

Victor Akinnagbe는 워싱턴 D.C.에서 Microsoft의 수석 필드 엔지니어로 근무하고 있으며, 보안, 인프라 및 메시징 관련 업무를 중점적으로 수행하고 있습니다.

Ted Dressel은 워싱턴 D.C.에서 Microsoft의 컨설턴트로 근무하고 있으며, 보안 및 인프라 관련 업무를 중점적으로 수행하고 있습니다.

Jason Opdycke는 Charlotte에서 Microsoft의 수석 필드 엔지니어로 근무하고 있으며, 보안 및 인프라 관련 업무를 중점적으로 수행하고 있습니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..