• 아티클

The Cable Guy무선 SSO(Single Sign-On)

Joseph Davies

무선 연결을 설정한 다음 사설 네트워크에 인증하는 환경은 사용자와 관리자 모두에게 또 다른 부담이 될 수 있습니다. Active Directory 도메인의 구성원인 Windows 기반 무선 클라이언트는 반드시 IEEE 802.1X-기반 인증을 수행해야 보호된 무선 연결과 도메인 로그온을 얻을 수 있습니다.

인증 과정에는 사용자 또는 컴퓨터의 자격 증명이 필요하고 도메인 로그온은 네트워크 연결에 달려 있기 때문에, 인증이 수행될 순서를 구성할 때와 어느 자격 증명을 사용할지 지정할 때 문제가 발생합니다. 이러한 모든 부분이 도메인 로그온에 영향을 줄 수 있으며 한 사용자가 여러 차례 자격 증명을 입력해야 하는 경우가 발생할 수 있습니다.

다행히 Windows Vista®의 무선 SSO에서는 WPA2(Wi-Fi Protected Access 2)-Enterprise 및 WPA-Enterprise에 대한 IEEE 802.1X 인증, WEP(Wireless Equivalency Privacy)에 대한 802.1X 인증이 사용자 로그온 프로세스 이전에 이루어지도록 지정할 수 있습니다. 이렇게 하면 특정 구성의 도메인 로그온 문제를 해결할 수 있습니다. 무선 SSO는 또한 Windows® 로그온 과정에 무선 인증을 완벽하게 통합함으로써 사용자들의 전반적 만족도를 향상시켰습니다. 이러한 이유로, 이번 달에는 무선 SSO의 기능과 구성 방법, 사용자 로그온 과정에서 무선 SSO가 작동하는 방식 등을 살펴보고자 합니다.

SSO의 기초

Windows 무선 클라이언트는 컴퓨터 또는 사용자 자격 증명 중 하나만 사용하거나 둘 모두를 조합하여 무선 네트워크 인증을 수행할 수 있습니다. 컴퓨터 자격 증명만 사용할 경우, Windows에서는 Windows 로그온 화면을 표시하기 전에 802.1X 인증을 수행합니다. 따라서 무선 클라이언트 컴퓨터는 Active Directory® 도메인 컨트롤러와 같은 네트워크 자원에 일찍 액세스할 수 있습니다.

사용자 자격 증명만 사용할 경우, SSO가 없는 Windows는 사용자 로그온 과정이 완료된 이후에 802.1X 인증을 수행합니다. 그림 1은 이 시나리오의 시작 및 로그온 시간 표시줄을 보여 줍니다.

그림 1 무선 인증에 사용자 자격 증명만 사용할 경우의 시간 표시줄

그림 1** 무선 인증에 사용자 자격 증명만 사용할 경우의 시간 표시줄 **(더 크게 보려면 이미지를 클릭하십시오.)

무선 인증에 사용자 자격 증명만 사용하게 되면 컴퓨터에 대한 초기 도메인 로그온을 수행할 수 없게 됩니다. 그것은 그 사용자의 계정에 대한 자격 증명이 로컬 캐시에 저장되어 있지 않고 새로운 로그온 자격 증명을 인증할 도메인 컨트롤러에 대한 연결이 없기 때문입니다. 더욱이 이 시점에서는 Active Directory 도메인의 도메인 컨트롤러에 대한 연결이 없기 때문에 일부 도메인 로그온 작업은 실패합니다. 로그온 스크립트, 그룹 정책 업데이트, 사용자 프로필 업데이트 등이 실패하여 Windows 이벤트 로그 오류가 발생합니다.

사용자 자격 증명과 컴퓨터 자격 증명을 조합하게 되면 Windows에서는 Windows 로그온 화면이 표시되기 전에 컴퓨터 자격 증명으로 802.1X 인증을 수행합니다. 이 사용자가 로그온한 후, Windows는 사용자 자격 증명으로 또 다른 802.1X 인증을 수행합니다. 일부 네트워크 인프라에서는 컴퓨터 자격 증명을 통해 인증된 컴퓨터와 사용자 자격 증명을 통해 인증된 컴퓨터에 대해 서로 다른 가상 LAN(VLAN)을 사용합니다. 사용자 자격 증명을 이용한 무선 네트워크 인증과 사용자 인증이 이루어진 VLAN으로의 전환이 사용자 로그온 프로세스 이후에 이루어지면, Windows 무선 클라이언트는 사용자 로그온 프로세스 중에는 사용자 인증 VLAN의 Active Directory 도메인 컨트롤러와 같은 네트워킹 리소스를 액세스할 수 없게 됩니다. 이 경우에도, 도메인 로그온 작업이 실패로 돌아갑니다.

사용자 자격 증명을 이용한 무선 인증에서 사용자 로그온 자격 증명과는 다른 보안 자격 증명 세트를 사용하면 또 다른 문제가 발생합니다. 그러한 구성을 위해 Windows에서는 무선 인증 과정이 시작되면 사용자 자격 증명을 추가로 묻는데, 이것이 혼란과 번거로움을 야기할 수 있습니다.

Windows Vista의 SSO 기능은 도메인 로그온 문제, 컴퓨터 인증과 사용자 인증이 분리된 VLAN의 문제, 사용자에게 상이한 시점에 상이한 자격 증명을 묻는 문제 등을 해결하기 위해 개발되었습니다. SSO 기능을 통해, 네트워크 관리자들은 사용자 자격 증명을 이용한 무선 인증 작업이 사용자 로그온 과정 이전에 이루어지도록 지정할 수 있습니다. 사용자 로그온에 필요한 사용자 자격 증명과 무선 인증에 필요한 사용자 자격 증명이 서로 다를 경우, 필요한 자격 증명이 모두 요청되며 Windows 로그온 화면에 수집됩니다.

SSO를 이용하면, 사용자 로그온 과정 이전에 사용자 자격 증명을 통해 무선 네트워크 인증을 수행하도록 Windows Vista 무선 클라이언트를 구성할 수 있습니다. 그림 2는 새로운 시작 및 로그온 시간 표시줄을 보여 줍니다.

그림 2 사용자 로그온 이전에 사용자 자격 증명을 통해 무선 네트워크 인증이 이루어질 경우의 시간 표시줄

그림 2** 사용자 로그온 이전에 사용자 자격 증명을 통해 무선 네트워크 인증이 이루어질 경우의 시간 표시줄 **(더 크게 보려면 이미지를 클릭하십시오.)

이렇게 하면 기능 손실 없이, 서로 구분된 VLAN에 사용자 자격 증명만 사용하거나 사용자 및 컴퓨터 자격 증명 조합을 사용하는 구성이 가능합니다. 이를 통해 무선 클라이언트는 사용자 로그온 프로세스가 시작되기 전에 네트워크 연결 또는 사용자 인증 VLAN에 대한 연결을 활용하여 도메인 로그온 작업을 성공적으로 완료할 수 있습니다. "Windows Vista 무선 클라이언트의 도메인 참가"(microsoft.com/technet/network/wifi/vista_bootstrap_wireless.mspx)에 그 예가 나와 있습니다.

무선 프로필의 구성을 기반으로, SSO는 무선 인증에 필요한 사용자 자격 증명의 입력 필드를 통합하여 Windows 로그온 화면에 추가합니다. 따라서, 사용자 로그온을 위한 모든 사용자 자격 증명과 사용자 자격 증명을 이용한 무선 인증을 사용자가 동시에 제공합니다.

Windows Vista의 새로운 EAPHost 아키텍처를 위해 작성된 EAP(Extensible Authentication Protocol) 메서드는 EAP PLAP(Pre-Logon Authentication Provider) Support API를 사용하여 인증에 필요한 입력 필드를 Windows 로그온 화면에 포함시킬 수 있습니다. 더 자세한 정보는 msdn2.microsoft.com/bb530584의 SSO 및 PLAP API를 참고하십시오.

SSO 세션의 한 예로서, 도메인 로그온과 802.1X 인증 모두에 사용자 자격 증명과 사용자 이름 및 암호만 사용하여 인증을 수행하도록 구성된 Windows Vista 무선 클라이언트를 고려해보겠습니다. Windows Vista 초기 화면에서 Ctrl+Alt+Del을 누르면 SSO에서는 사용자 로그온 이전에 반드시 802.1X 인증이 이루어져야 하는 것으로 판단합니다. 사용자 이름과 암호를 입력하면 SSO는 사용자 기반 무선 네트워크 인증을 먼저 수행하고 이름을 이용하여 무선 네트워크에 연결하는 중이라는 메시지를 표시합니다. 무선 인증 이후, Windows Vista는 사용자 로그온을 수행하고 사용자의 바탕 화면을 표시합니다.

Single Sign-On 구성

배후 작업

무선 인증 프로세스에 대한 이해를 더욱 돕기 위해, 사용자가 적극적으로 로그온을 시도할 경우 어떤 일이 벌어지는지 더 자세히 살펴보겠습니다. Windows Vista를 실행하는 무선 클라이언트에서 사용자 로그온을 위해 Ctrl+Alt+Del을 누르면 다음과 같은 절차가 실행됩니다.

  1. '무선 자동 구성'에서 사용할 무선 네트워크 프로필을 결정합니다. 무선 클라이언트에서 이미 컴퓨터 자격 증명을 통해 인증을 성공적으로 수행했다면 현재 연결된 무선 네트워크 프로필이 사용됩니다. 결정된 무선 프로필이 컴퓨터 자격 증명만 사용하여 인증을 수행하도록 구성되어 있다면 사용자 자격 증명을 이용한 무선 인증은 추가로 필요하지 않습니다. 2단계에서 6단계까지는, 선택된 무선 프로필이 사용자 자격 증명을 통해 인증을 수행하도록 구성되어 있고, SSO 기능이 켜져 있으며, '사용자 로그온 전에 즉시 수행' 설정이 선택된 것으로 가정합니다.
  2. 사용자는 사용자 로그온과 (필요한 경우) 무선 인증을 위해 자신의 자격 증명을 입력하고 사용자 로그온을 시작합니다.
  3. Windows는 무선 네트워크 이름으로 연결을 시도하고 있음을 사용자에게 메시지로 알립니다.
  4. Windows는 사용자 자격 증명을 통해 무선 네트워크 인증을 시도합니다. 'SSO 중 추가 대화 상자 표시 허용' 설정이 켜져 있고 EAP 유형이 사용자에게 추가 대화 상자의 표시를 필요로 할 경우, Windows는 그 대화 상자를 표시합니다. '연결의 최대 지연 시간(초)' 안에 무선 인증이 올바로 이루어지지 않으면 무선 인증을 포기합니다. '이 네트워크에서 컴퓨터와 사용자 자격 증명 인증에 다른 VLAN 사용' 설정이 선택되면 Windows는 무선 인증에 성공했을 때 무선 네트워크 어댑터의 IP 주소 구성에 대한 DHCP 갱신을 수행합니다.
  5. Windows에서 사용자 로그온 프로세스를 수행합니다.
  6. Windows에서 바탕 화면을 표시합니다.

'사용자 로그온 후에 즉시 수행' 설정이 선택되면 Windows에서는 1, 2, 5, 3, 4, 6의 순서로 각 단계를 수행합니다.

SSO 기능을 켜고 구성하려면 무선 네트워크(IEEE 802.11) 정책 그룹 정책 확장을 사용하고 Windows Vista 정책의 무선 프로필에 대한 고급 보안 설정을 구성하면 됩니다. 이에 대한 자세한 정보는 "Windows Vista의 무선 그룹 정책 설정"(technetmagazine.com/issues/2007/04/CableGuy)을 참고하십시오.

고급 보안 설정 대화 상자에서 '이 네트워크에 SSO 사용'을 선택하고 필요에 따라 SSO 옵션을 구성하십시오. 그림 3에는 기본 설정으로 SSO를 사용하는 예가 나와 있습니다.

그림 3 기본 SSO 설정

그림 3** 기본 SSO 설정 **

사용자 로그온 프로세스 이전 또는 이후에 즉시 802.1X 무선 인증을 수행하는 SSO 설정과 사용자 로그온 프로세스 시작 전에 802.1X 인증 완료에 걸리는 지연 시간을 지정하는 SSO 설정이 있습니다. Windows 로그온 화면에 입력 필드가 통합된 이후에도 대화 상자를 표시할 것인지 여부도 지정할 수 있습니다. 예를 들어 EAP 유형이 인증 과정에서 RADIUS(Remote Authentication Dial-in User Service) 서버로부터 전송된 인증서를 사용자가 확인하도록 요구할 경우, EAP 유형은 그 대화 상자를 표시할 수 있습니다.

또한 사용자 기반 인증을 수행한 이후 무선 클라이언트가 무선 어댑터의 TCP/IP 구성에 대한 DHCP(동적 호스트 구성 프로토콜) 갱신을 반드시 시작하도록 지정할 수도 있습니다. 컴퓨터 기반 인증 및 사용자 기반 인증 무선 클라이언트에 대해 각기 별도의 VLAN이 있고 그 VLAN들이 서로 다른 IPv4 또는 IPv6 서브넷일 경우에 이 옵션을 선택하십시오.

정책 내에서 SSO 설정이 들어 있는 무선 프로필을 만든 후에는 프로필을 XML 파일로 내보낸 다음 Windows Vista 무선 클라이언트에서 XML 프로필 가져오기를 수행하여 Windows Vista 무선 클라이언트도 구성할 수 있습니다.

SSO XML 무선 프로필을 만들려면, 적절한 SSO 설정이 있는 무선 프로필을 만드십시오. Windows Vista 무선 정책의 '일반' 탭에서 SSO 설정이 있는 무선 프로필을 클릭한 다음, '내보내기'를 클릭합니다. 화면 표시에 따라 프로필 XML 파일 이름과 위치를 지정합니다.

이 SSO XML 프로필을 이용하여 다른 Windows Vista 무선 클라이언트를 구성하려면 다음 명령을 사용하여 XML 프로필을 가져옵니다.

netsh wlan add profile filename=
    "[FileName].xml"

무선 프로필에서 SSO를 사용하는지 파악하려면 다음을 이용합니다.

netsh wlan show profile=[ProfileName]

SSO 설정은 netsh wlan show profile 명령 표시의 "보안 설정" 섹션과 Windows 이벤트 로그에 있는 무선 연결 이벤트의 텍스트에 수록되어 있습니다. 또한 이벤트 뷰어 스냅인을 사용하여 응용 프로그램 및 서비스 로그의 Microsoft\Windows\WLAN-AutoConfig 폴더에서 원본이 "WLAN-AutoConfig"이고 이벤트 ID가 13001, 13002, 13003 및 13004인 이벤트를 볼 수 있습니다.

무선 네트워킹 웹 페이지(microsoft.com/wifi)에서 더 자세한 내용을 확인할 수 있습니다. 또한 "배후 작업" 추가 기사에서 SSO 프로세스에 대한 더 자세한 내용을 확인할 수 있습니다.

Joseph Davies는 Microsoft의 테크니컬 라이터로 1992년부터 Windows 네트워킹을 주제로 글을 쓰고 가르치는 일을 하고 있습니다. Microsoft Press에서 5권의 책을 저술한 그는 월간 TechNet Magazine Cable Guy 칼럼의 저자이기도 합니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..