Outlook Web Access에 대한 폼 기반 인증 구성

  • 아티클

 

적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

마지막으로 수정된 항목: 2008-11-24

이 항목에서는 Microsoft Exchange Server 2007에서 Microsoft Office Outlook Web Access의 폼 기반 인증에 대해 설명합니다. 폼 기반 인증은 쿠키를 사용하는 Outlook Web Access 로그온 페이지가 인터넷 브라우저에서 사용자의 암호화된 로그온 자격 증명을 저장할 수 있도록 합니다. 이 쿠키의 사용을 추적하면 Exchange 서버에서 공용 및 개인 컴퓨터의 Outlook Web Access 세션 활동을 모니터링할 수 있습니다. 세션에서 너무 오랫동안 아무 작업도 하지 않으면 사용자가 다시 인증될 때까지 서버에서 액세스를 차단합니다.

쿠키를 사용하여 액세스 제어

Outlook Web Access 세션을 인증하기 위해 처음으로 사용자 이름과 암호가 클라이언트 액세스 서버로 전송될 때 사용자 활동을 추적하는 데 사용되는 암호화된 쿠키가 만들어집니다. 사용자가 인터넷 브라우저를 닫거나 로그오프를 클릭하여 Outlook Web Access 세션을 로그오프하면 쿠키가 지워집니다. 사용자 이름과 암호는 사용자가 처음 로그온할 때만 클라이언트 액세스 서버로 전송됩니다. 최초 로그온이 완료된 후에는 클라이언트 컴퓨터와 클라이언트 액세스 서버 간 인증에 쿠키만 사용됩니다.

공용 컴퓨터에서 쿠키 시간 제한 값 설정

기본적으로 사용자가 Outlook Web Access 로그온 페이지에서 공개 또는 공유 컴퓨터입니다. 옵션을 선택한 경우에는 15분 동안 Outlook Web Access를 사용하지 않으면 컴퓨터의 쿠키가 자동으로 만료되고 사용자는 로그오프됩니다.

자동 시간 제한은 사용자의 계정을 무단으로 액세스하지 못하게 보호하는 데 도움이 되므로 중요합니다. 조직의 보안 요구 사항에 맞도록 Exchange 클라이언트 액세스 서버에 비활동 시간 제한 값을 구성할 수 있습니다.

자동 시간 제한이 권한이 없는 사용자의 액세스 위험을 상당히 줄여 주지만 세션이 공용 컴퓨터에서 계속 실행되는 경우 권한이 없는 사용자가 Outlook Web Access 계정에 액세스할 가능성을 제거하지는 못합니다. 따라서 Outlook Web Access 사용을 다 마쳤으면 Outlook Web Access에서 로그오프하고 웹 브라우저를 닫으라고 알려 주는 등 사용자에게 위험을 방지하기 위해 예방 조치를 취하도록 경고해야 합니다.

공용 컴퓨터의 쿠키 시간 제한 값을 구성하는 방법에 대한 자세한 내용은 폼 기반 인증 공용 컴퓨터의 쿠키 시간 제한 값을 설정하는 방법을 참조하십시오.

개인 컴퓨터에서 쿠키 시간 제한 값 설정

사용자가 Outlook Web Access 로그온 페이지에서 개인 컴퓨터입니다. 옵션을 선택한 경우에는 활동이 없을 때 Exchange 서버에서 Outlook Web Access 세션을 자동으로 종료하기 전까지의 시간이 조금 더 길어집니다 개인 로그온에 대한 기본 시간 제한 값은 8시간입니다. 개인 컴퓨터 쿠키 시간 제한 옵션은 개인 컴퓨터나 회사 네트워크상의 컴퓨터를 사용하는 Outlook Web Access 사용자에게 유리하도록 되어 있습니다.

사용자에게 개인 컴퓨터입니다. 옵션 선택과 관련된 위험에 대해 경고해야 합니다. 사용자가 컴퓨터의 유일한 운영자이고 컴퓨터가 조직의 보안 정책을 준수하는 경우에만 개인 컴퓨터 옵션을 선택해야 합니다.

개인 컴퓨터의 쿠키 시간 제한 값을 구성하는 방법에 대한 자세한 내용은 폼 기반 인증 개인 컴퓨터의 쿠키 시간 제한 값을 설정하는 방법을 참조하십시오.

사용자 활동 확인

Outlook Web Access 세션에서 특정 시간 동안 아무런 활동이 없으면 클라이언트 액세스 서버에는 쿠키를 읽을 수 있는 암호 해독 키가 더 이상 존재하지 않게 되고 사용자는 다시 인증될 때까지 액세스가 거부됩니다.

Exchange 2007은 다음 정보를 사용하여 사용자 활동을 확인합니다.

  • 클라이언트 컴퓨터 및 사용자가 초기화한 클라이언트 액세스 서버 간의 상호 작용이 활동으로 간주됩니다. 예를 들어 사용자가 항목을 열거나 보내거나 저장하거나, 폴더 또는 모듈을 전환하거나, 보기 또는 웹 브라우저 창을 업데이트하는 경우 Exchange 2007은 이를 활동으로 간주합니다.

    참고

    클라이언트 액세스 서버에 의해 자동으로 생성된 서버와 클라이언트 컴퓨터 간의 상호 작용은 활동으로 간주되지 않습니다. 예를 들어 Outlook Web Access 세션에서 클라이언트 액세스 서버가 생성한 미리 알림 및 새로운 전자 메일 알림은 활동으로 간주되지 않습니다.

  • Outlook Web Access Light에서는 텍스트 입력 이외의 모든 사용자 활동이 활동으로 간주됩니다. Outlook Web Access Premium에서는 전자 메일 메시지 또는 모임 요청에 텍스트를 입력하는 등의 사용자 조작이 활동으로 간주됩니다.

폼 기반 인증에 의해 사용되는 로그온 프롬프트 구성

폼 기반 인증은 팝업 창 대신 Outlook Web Access에 대한 로그온 페이지를 만듭니다. Exchange 관리 콘솔이나 Exchange 관리 셸을 사용하여 폼 기반 인증으로 제공되는 로그온 프롬프트 텍스트를 구성할 수 있습니다. 사용자가 변경한 구성은 로그온 프롬프트의 텍스트만 변경합니다. 사용자가 로그온해야 하는 형식은 변경되지 않습니다. 예를 들어, 도메인\사용자 이름 형식으로 로그온 정보를 입력하라는 메시지가 표시되도록 폼 기반 인증 로그온 페이지를 구성할 수 있습니다. 단, 사용자는 자신의 UPN(User Principal Name)을 입력해서 로그온할 수도 있습니다.

다음 유형의 로그온 프롬프트는 Outlook Web Access 로그온 페이지에서 폼 기반 인증에 의해 사용될 수 있습니다. 사용자가 이해하고 사용하기에 가장 쉬운 프롬프트를 선택합니다.

  • FullDomain   domain\user name 형식으로 된 사용자 도메인 및 사용자 이름입니다. 예: Contoso\Kweku

  • PrincipalName    UPN입니다. UPN은 사용자 계정 이름인 UPN 접두사와 DNS 도메인 이름인 UPN 접미사로 되어 있습니다. 접두사와 접미사는 (@) 기호로 결합되어 완전한 UPN을 구성합니다. 예를 들어, Kweku@contoso.com을 입력합니다. 사용자는 기본 전자 메일 주소를 입력하거나 UPN을 입력하여 Outlook Web Access에 액세스할 수 있습니다.

  • UserName    사용자 이름입니다. 도메인 이름은 포함되지 않습니다. 예: Kweku. 이 로그온 형식은 도메인 이름이 구성되어 있는 경우에만 사용할 수 있습니다.

    참고

    필요한 경우 Active Directory 디렉터리 서비스와 인터넷 정보 서비스(IIS)를 구성하여 사용자가 Outlook Web Access에 로그온하는 데 사용해야 하는 형식을 변경할 수 있습니다. Active Directory 및 IIS를 사용하여 사용자가 인증을 위해 입력할 수 있는 사용자 이름 형식을 설정하는 것은 앞에서 설명한 Outlook Web Access 폼 기반 인증 프롬프트와는 별개의 문제입니다.

공용 및 개인 컴퓨터에서 사용자 로그온에 대한 암호화 이해

공용 및 개인 Outlook Web Access 로그온 유형에 대한 사용자 로그온 자격 증명 암호화에는 6개의 해시된 메시지 인증 코드(HMAC) 집합이 있습니다. HMAC는 클라이언트 액세스 서버에서 생성되는 160비트 키입니다. HMAC는 해시 알고리즘과 암호화 기능을 결합하여 사용자 로그온 자격 증명을 암호화함으로써 로그온 보안을 향상시킵니다. 쿠키의 암호화 및 암호 해독은 동일한 클라이언트 액세스 서버에서 수행됩니다. 인증 키를 생성한 클라이언트 액세스 서버에만 해당 쿠키의 암호를 해독하는 키가 있습니다.

Outlook Web Access에 대한 폼 기반 인증이 사용될 때 클라이언트 액세스 서버는 각 유형의 로그온, 즉 공용 및 개인별로 세 가지 키 집합을 설정된 비율로 순환합니다. 이를 재순환 시간이라고 합니다. 키에 대한 재순환 시간은 로그온의 시간 제한 값의 절반입니다. 예를 들어 공용 로그온에 대한 시간 제한 값이 15분으로 설정된 경우 공용 키 재순환 시간은 7.5분입니다.

Outlook Web Access 가상 디렉터리가 시작될 때 클라이언트 액세스 서버에서 여섯 개의 로그온 키를 만듭니다. 세 개는 공용 컴퓨터 로그온에 사용되고 세 개는 개인 컴퓨터 로그온에 사용됩니다. 사용자가 로그온할 때 해당 로그온 유형에 대한 현재 키가 사용자의 인증 정보를 쿠키로 암호화하는 데 사용됩니다.

재순환 시간이 지나면 클라이언트 액세스 서버는 다음 키로 이동합니다. 로그온 유형에 대한 세 개의 키가 모두 사용되면 클라이언트 액세스 서버는 가장 오래된 키를 삭제하고 새 키를 만듭니다. 클라이언트 액세스 서버는 각 로그온 유형에 대해 사용할 수 있는 세 개의 키, 즉, 현재 키 하나와 가장 최근의 키 두 개를 항상 보존합니다. Outlook Web Access가 클라이언트 액세스 서버에서 실행되고 있는 동안에는 키의 재순환이 계속됩니다. 동일한 키가 모든 사용자에게 사용됩니다.

작업 키를 사용하여 암호화된 쿠키가 수락됩니다. 클라이언트 액세스 서버에서 사용자 작업 요청을 수신하면 해당 요청에 대한 쿠키가 최신 키로 암호화된 새 쿠키로 대체됩니다. 사용자 세션에 연결된 쿠키가 삭제된 오래된 키로 암호화된 것일 경우에는 사용자 세션이 시간 초과됩니다.

서버에 구성된 사용자 시간 제한과 암호화 키의 재순환 시간 간의 관계 때문에 사용자의 실제 시간 제한 기간은 구성된 시간 제한(최소)부터 구성된 시간 제한에 이 시간 제한 값의 절반을 더한 값(최대) 사이일 수 있습니다. 예를 들어 구성된 시간 제한이 30분인 경우 사용자 세션에 대한 실제 시간 제한은 30분에서 45분 사이일 수 있습니다.

표 1은 공용 또는 개인 컴퓨터의 사용자 로그온에 따른 쿠키 시간 제한 및 인증 키 재순환 시간에 대한 정보를 제공합니다.

표 1   각 사용자 로그온 유형별 기본 쿠키 시간 제한 및 인증 키 재순환 시간

로그온 쿠키 시간 제한 값 기본 시간 제한 값을 사용하는 경우 인증 키에 대한 재순환 시간

공용

1분에서 30일 사이입니다. 기본값은 15분입니다.

7.5분

개인

1분에서 30일 사이입니다. 기본값은 8시간입니다.

4시간

참고

레지스트리를 사용하여 쿠키 시간 제한 값(분)을 구성할 수 있습니다. 인증 키의 재순환 값은 최소한 쿠키 시간 제한 값의 1/3을 초과하며 이 값의 1/2보다는 크지 않습니다.

SSL을 사용하여 Outlook Web Access 보안 강화

기본적으로 SSL(Secure Sockets Layer) 암호화는 클라이언트 액세스 서버 역할을 설치하면 설정되어 있습니다. SSL이 사용되지 않는 경우 사용자 이름과 암호는 최초로 로그인할 때 일반 텍스트로 전송됩니다. SSL이 사용되면 클라이언트 컴퓨터와 클라이언트 액세스 서버 간의 모든 통신을 암호화하고 사용자 이름, 암호 및 전자 메일 메시지 같은 중요한 정보를 제3자가 볼 수 없도록 하는 데 도움이 됩니다.

기본 SSL 인증서가 클라이언트 액세스 서버 역할과 함께 설치되지만 신뢰할 수 없습니다. 기본 SSL 인증서를 사용하는 경우 이를 신뢰할 수 있어야 하며, 그렇지 않은 경우 Outlook Web Access에 로그온할 때마다 이 인증서를 신뢰할 것인지 묻는 메시지가 표시됩니다. 기본 SSL 인증서를 사용하는 방법에 대한 자세한 내용은 기본 SSL 인증서를 신뢰할 수 있는 다른 인증서와 바꾸는 방법을 참조하십시오.

자세한 내용