8장: RADIUS 인프라 구현
게시 날짜: 2004년 11월 20일 | 업데이트 날짜: 2004년 11월 24일
이 페이지에서
소개
RADIUS 인프라 계획 워크시트
서버 구축
IAS 설치 및 구성
주 IAS 서버 구성
다중 IAS 서버에 구성 배포
요약
소개
이 장에서는 Microsoft® Windows Server™ 2003 IAS(인터넷 인증 서비스)를 기반으로 WLAN(무선 LAN) 보안을 위한 RADIUS(Remote Authentication Dial-In User Service) 인프라를 구축하는 방법에 대한 자세한 지침을 제공합니다. 이러한 지침에는 RADIUS 서버 설치 및 구성, Active Directory® 디렉터리 서비스 준비, IAS 서버 설정의 구성이 포함됩니다. RADIUS 인프라는 다음 장에서 완벽한 무선 LAN 솔루션을 구축하는 데 사용됩니다.
이 장의 목표는 5장 "무선 LAN 보안을 위한 RADIUS 인프라 디자인"에서 설명한 RADIUS 디자인의 구현 지침에 대해 설명하는 것입니다. 따라서 이 장에서는 RADIUS의 일반적인 개념이나 IAS의 RADIUS 프로토콜 구현 방법에 대한 특정 내용은 설명하지 않습니다.
이 장은 RADIUS 및 WLAN 계획 설명서 및 운영 설명서 장과 함께 제공됩니다. 계획 설명서 장은 이 장에 사용되는 구현 결정의 기초가 되는 원칙을 설명하며, 운영 설명서 장은 RADIUS 인프라를 올바르게 유지 관리하는 데 필요한 작업과 프로세스를 설명합니다. 따라서 이 장을 계속하기 전에 계획 설명서를 읽어보는 것이 좋습니다. 또한 이 장의 지침을 사용해 RADIUS 인프라를 구현하기 전에 운영 설명서 장에 나와 있는 지원 요구 사항의 의미를 읽고 이해해야 합니다.
장 전제 조건
이 절에는 조직의 RADIUS 인프라를 구현할 준비 상태를 점검하는 데 도움이 되는 검사 목록이 들어 있습니다. (여기서 "준비 상태"란 업무상의 의미가 아니라 물류상의 의미입니다. 이 솔루션을 구현하려는 업무상의 동기는 계획 설명서 장 앞부분에서 다룹니다.)
지식 전제 조건
먼저, RADIUS와 IAS의 개념을 숙지하고 있어야 합니다. 또한 다음 영역에서는 Windows 2000 Server 또는 Windows Server 2003에 대한 지식이 있어야 합니다.
Microsoft Windows® 운영 체제 설치.
Active Directory 개념(Active Directory 구조 및 도구 포함, 사용자, 그룹 및 기타 Active Directory 개체 조작 및 그룹 정책 사용).
Windows 시스템 보안, 보안 개념(예: 사용자, 그룹 및 감사) 및 ACL(액세스 제어 목록), 보안 템플릿 사용, 그룹 정책 또는 명령줄 도구를 사용한 보안 템플릿 적용.
배치 파일 스크립트의 이해. Windows Scripting Host 및 Microsoft Visual Basic® Scripting Edition(VBScript) 언어를 이해하면 제공되는 스크립트를 최대한 활용하는 데 도움이 되지만 반드시 필요한 것은 아닙니다.
이 장을 읽기 전에 5장 "무선 LAN 보안을 위한 RADIUS 인프라 디자인"을 읽고 솔루션 아키텍처 및 디자인을 철저하게 이해하는 것이 좋습니다.
조직 전제 조건
다음과 같이 이 솔루션의 구현에 관여해야 하는 조직의 다른 구성원과 미리 의논해야 합니다.
회사 후원자.
보안 및 감사 담당자.
Active Directory 엔지니어링, 관리 및 운영 담당자.
DNS(Domain Name System) 및 네트워크 엔지니어링, 관리 및 운영 담당자.
IT 인프라 전제 조건
이 장의 기존 IT 인프라에 관한 전제 조건은 다음과 같습니다.
Windows Server 2003 Active Directory 도메인 인프라가 이미 배포되어 있습니다. 이 솔루션의 모든 RADIUS 인프라 사용자는 동일한 Active Directory 포리스트 내 도메인의 구성원이어야 합니다.
참고: Microsoft Windows 이전 버전과의 호환성에 대한 자세한 내용은 부록 A "Windows 버전 지원 매트릭스"를 참조하십시오.
이 솔루션에는 기존 RADIUS 인프라와의 통합에 관한 지침은 없습니다. 하지만 기존 RADIUS 인프라와 함께 배포하는 것을 금지하는 것은 아닙니다.
Windows Server 2003 IAS를 실행할 수 있는 서버 하드웨어가 있어야 합니다. 권장되는 구성은 지침의 일부로 제공됩니다.
Windows Server 2003 Standard Edition 및 Enterprise Edition 라이센스, 설치 미디어 및 제품 키를 사용할 수 있습니다.
장 개요
다음 그림은 이 장에 설명된 RADIUS 인프라 구축 프로세스를 나타냅니다.
그림 8.1 RADIUS 인프라 구축 프로세스의 다이어그램
이들 단계는 이 장의 구성에 반영되어 있으며 설명은 다음 목록에 나와 있습니다. 각각은 설치/구성 작업 및 다음 단계를 진행하기 전에 완료한 작업을 점검하기 위한 하나 이상의 확인 절차로 이루어져 있습니다.
IAS 계획 워크시트. IAS의 설치 및 구성을 위해 이 장에 사용된 구성 정보를 나열합니다. 이 워크시트에는 구현하기 전에 사용자가 제공해야 하는 정보가 표로 나와 있습니다.
서버 구축. 하드웨어 선택과 구성, Windows Server 2003 설치 및 옵션 구성 요소의 설치에 대해 설명합니다. 또한 Active Directory 관리 보안 그룹 작성, 관리 작업을 위임하기 위한 적절한 사용 권한 설정 및 보안 템플릿을 적용한 운영 체제 수준의 보안 구현을 다룹니다. 사용되는 템플릿은 Windows Server 2003 Security Guide(영문)에서 제공됩니다. 이 설명서를 받는 방법에 관한 정보는 이 장 마지막을 참조하십시오. 또한 이 절은 서버의 기본 설치를 완료하기 위해 일반적으로 수행해야 하는 몇 가지 작업도 다룹니다.
IAS 설치 및 구성. 준비 단계, 소프트웨어 설치 작업을 설명하고 IAS 데이터 디렉터리의 작성 및 보안 유지를 비롯한 IAS 구성 정보를 소개합니다.
주 IAS 서버 구성 작업 환경에서 비슷한 역할을 갖는 추가 IAS 서버에 대한 구성 템플릿으로 사용할 주 IAS 서버를 구성하는 작업을 설명합니다. 또한 다른 IAS 서버에서 사용할 수 있도록 IAS 구성을 내보내는 작업도 다룹니다. 이 절차는 더 광범위한 구성을 수행한 후 뒷장에서 다시 사용됩니다.
보조 IAS 서버 구성. 장애 복원 및 로드 균형 조정을 위해 주 IAS 서버와 함께 RADIUS 쌍을 이룰 보조 IAS 서버의 구성을 설명합니다. 또한 배포 자동화를 위해 주 IAS 구성을 가져오는 법을 설명합니다. 이 절차는 더 광범위한 구성을 수행한 후 뒷장에서 다시 사용됩니다.
지점 IAS 서버 구성. 분산 환경을 위한 예로 사용할 수 있는 지점 IAS 서버(옵션)를 구성하는 작업 및 배포 자동화를 위해 주 IAS 서버 구성을 가져오는 법을 설명합니다. 이 절차는 더 광범위한 구성을 수행한 후 뒷장에서 다시 사용됩니다.
RADIUS 인프라 계획 워크시트
아래 표는 이 솔루션에서 사용하는 구성 매개 변수를 설명합니다. 이것을 계획 결정에 대한 검사 목록으로 사용해야 합니다.
이 표의 매개 변수 중 상당 수는 이 장에서 다루는 문서화된 절차의 일부로 직접 설정됩니다. 상당 수는 절차 중 하나의 일부로 실행되는 스크립트에서 설정하거나 그 밖의 구성 또는 운영 작업을 완료하기 위해 스크립트에서 참조합니다.
참고: 구축 설명서에 사용된 스크립트는 스크립트와 함께 제공된 ToolsReadme.txt 파일에 자세히 설명되어 있습니다.
사용자 정의 구성 항목
다음 표는 가상의 Woodgrove 은행에서 가져온 조직별 매개 변수를 나열합니다. 설치를 시작하기 전에 다음 항목에 대한 조직의 관련 설정을 수집하거나 결정해야 합니다. 여기에 나오는 가상의 값은 이 장 전체에서 주어진 샘플 명령에 사용됩니다. 이 값들을 각 조직에 적합한 값으로 바꿔야 합니다. 기울임꼴로 표시된 모든 항목은 해당 조직에서 사용하는 값으로 바꿔야 합니다.
표 8.1. 사용자 정의 구성 항목
구성 항목 | 설정 |
---|---|
Active Directory 포리스트 루트 도메인의 DNS 이름 | woodgrovebank.com |
도메인의 NetBIOS(네트워크 기본 입/출력 시스템) 이름 | WOODGROVEBANK |
주 IAS 서버의 서버 이름 | HQ-IAS-01 |
보조 IAS 서버의 서버 이름 | HQ-IAS-02 |
보조 IAS 서버의 서버 이름 | BO-IAS-03 |
구성 항목 | 설정 |
---|---|
[계정] IAS의 구성을 제어하는 관리 그룹의 전체 이름 | IAS Admins |
[계정] IAS의 구성을 제어하는 관리 그룹의 Windows 2000 이전 버전 이름 | IAS Admins |
[계정] 보안을 위해 IAS 인증 및 계정 요청 로그를 검토하는 그룹의 전체 이름 | IAS Security Auditors |
[계정] 보안을 위해 IAS 인증 및 계정 요청 로그를 검토하는 그룹의 Windows 2000 이전 이름 | IAS Security Auditors |
[스크립트] 설치 스크립트 경로 | C:\MSSScripts |
[스크립트] IAS 구성 내보내기 배치 파일 | IASExport.bat |
[스크립트] IAS 구성 가져오기 배치 파일 | IASImport.bat |
[스크립트] IAS RADIUS 클라이언트 구성 내보내기 배치 파일 | IASClientExport.bat |
[스크립트] IAS RADIUS 클라이언트 구성 가져오기 배치 파일 | IASClientImport.bat |
[구성] 구성 백업 파일 경로 | D:\IASConfig |
[요청 로그] IAS 인증 및 감사 요청 로그의 위치 | D:\IASLogs |
[요청 로그] RADIUS 요청 로그의 공유 이름 | IASLogs |
리소스 | 요구 사항 |
---|---|
CPU | 듀얼 CPU 850MHz 이상 |
메모리 | 512MB |
네트워크 인터페이스 | 복원성을 위해 팀으로 구성한 단일 NIC(네트워크 인터페이스 카드) 2개 |
디스크 저장소 | IDE(integrated device electronics) 또는 SCSI(small computer system interface) RAID(redundant array of independent disks) 컨트롤러 RAID 1 볼륨(드라이브 C)으로 구성된 9GB(SCSI 또는 IDE) 2개 RAID 1 볼륨(드라이브 D)으로 구성된 18GB(SCSI 또는 IDE) 2개 네트워크 백업 기능이 없는 경우 이동식 로컬 미디어 저장소(CD-RW 또는 백업용 테이프) 데이터 전송용 1.44MB 디스크 드라이브 |
하드웨어 준비
하드웨어 공급업체에서 권장한 대로 모든 하드웨어 구성을 완료합니다. 이 구성은 공급업체로부터 받은 최신 BIOS(기본 입출력 시스템) 및 펌웨어 업데이트를 적용합니다.
하드웨어와 함께 제공된 디스크 컨트롤러 관리 소프트웨어를 사용하여 앞의 표에 나와 있는 RAID 1 볼륨을 만듭니다.
Windows Server 2003 설치
이 절은 IAS 서버의 Windows Server 2003 설치를 상세하게 다룹니다. 많은 조직에서는 이미 자동화된 서버 설치 프로세스를 구현하여 사용하고 있습니다. 다음 절차에 사용되는 매개 변수를 구축 과정에 적용한다고 가정하면 서버 구축에 이를 사용할 수 있습니다. Windows Server 2003 Standard Edition을 사용할지 또는 Windows Server 2003 Enterprise Edition을 사용할지 여부에 대한 내용은 5장 "무선 LAN 보안을 위한 RADIUS 인프라 디자인"을 참조하십시오.
다음 단계를 수행하여 IAS 서버에 Windows Server 2003을 설치합니다.
Windows Server 2003을 설치하려면 다음을 수행합니다.
서버 BIOS 설정에서 CD-ROM이 부팅 가능 장치로 설정되어 있는지 확인합니다. CD-ROM 드라이브에 Windows Server 2003 CD를 넣고 시스템을 다시 시작합니다.
기본 볼륨에 파티션을 만들어 NTFS 파일 시스템으로 포맷한 후 해당 파티션에 Windows 설치 옵션을 선택합니다.
적절한 국가별 설정을 선택합니다.
Windows가 등록될 이름과 회사 이름을 입력합니다.
로컬 관리자 계정에 대한 강력한 암호를 입력합니다. 암호는 10자 내외로 지정하고 대문자, 소문자, 숫자 및 문장 부호를 섞어서 사용합니다.
메시지가 나타나면 컴퓨터 이름을 입력합니다(이 값을 사용자 컴퓨터 이름으로 바꿉니다.).
주 IAS: HQ-IAS-01
보조 IAS: HQ-IAS-02
지점 IAS: BO-IAS-03
도메인 가입 여부를 묻는 메시지가 나타나면 가입하도록 선택합니다. 서버가 가입될 Active Directory 도메인의 이름을 입력합니다. 예: WOODGROVEBANK 이 값을 RADIUS 서버를 설치하는 도메인 이름으로 바꿉니다. 컴퓨터를 이 도메인에 가입시킬 수 있는 사용자의 자격 증명을 입력하라는 메시지가 표시되면 입력합니다.
참고: 다중 포리스트 도메인의 경우 IAS 서버는 보통 Kerberos 동작을 최적화하기 위해 포리스트 루트 도메인에 설치합니다. 구성이 반드시 위와 같을 필요는 없지만 이 솔루션에서는 이렇게 가정됩니다.
선택적 구성 요소를 설치하지 마십시오.
주 설치 프로세스가 끝나면 컴퓨터가 다시 시작됩니다. 다음 단계를 계속 진행합니다.
현재 가지고 있는 서비스 팩, 중요 업데이트 및 기타 모든 필요한 업데이트를 설치합니다.
CD ROM/DVD 드라이브를 드라이브 R로 다시 지정합니다.
두 번째 하드 드라이브 볼륨에 파티션을 만들고 이 파티션에 드라이브 문자 D를 지정한 후 NTFS로 포맷합니다.
Windows의 이 복사본을 정품 등록합니다.
네트워크 설정
복원성을 강화하기 위해 2개의 NIC를 쌍으로 묶어 구현할 수 있지만 IAS 서버는 단일 네트워크 인터페이스를 갖습니다. 네트워크 인터페이스는 네트워크에 맞게 고정 IP(인터넷 프로토콜) 주소 및 기타 IP 구성 매개 변수(기본 게이트웨이, DNS 설정 등)로 구성해야 합니다.
설치 확인
운영 체제 설치가 올바르게 완료되었으며 구성된 매개 변수가 예상 매개 변수와 일치하는지 확인해야 합니다.
현재 시스템 구성을 보려면 다음을 수행합니다.
명령 프롬프트에서 systeminfo 프로그램을 실행합니다.
systeminfo 출력의 다음 요소를 확인합니다. 출력의 기타 세부 사항은 간결하게 나타내기 위해 생략했습니다.
Host Name: HQ-IAS-01
OS Name: Microsoft® Windows® Server 2003, Enterprise Edition
...
OS Configuration: Member Server
Registered Owner: YourOwnerName
Registered Organization: YourOwnerOrganization
...
Windows Directory: C:\WINDOWS
System Directory: C:\WINDOWS\System32
Boot Device: \Device\HarddiskVolume1
System Locale: YourSystemLocale
Input Locale: YourInputLocale
Time Zone: YourTimeZone
...
Domain: woodgrovebank.com
Logon Server: \\DomainControllerName
Hotfix(s): X Hotfix(s) Installed.
[01]: Qxxxxxx
...
[nn]: Qnnnnnn
NetWork Card(s): 1 NIC(s) Installed.
[01]: ModelAndVendorofNetworkCard
Connection Name: Local Area Connection
DHCP Enabled: No
IP address(es)
[01]: xxx.xxx.xxx.xxx
이 설정이 예상과 다르면 제어판을 통해 서버를 다시 구성하거나 설치를 다시 실행해야 합니다.
서버에 구성 스크립트 설치
이 솔루션에서는 솔루션의 구성 및 작동의 다양한 측면을 간단히 수행할 수 있도록 다양한 지원 스크립트와 구성 파일이 제공합니다. 각 서버에 이러한 스크립트나 파일을 설치해야 합니다. 이 스크립트 일부는 12장 "RADIUS 및 WLAN 보안 인프라 관리"에서 다루는 작업에 필요하기 때문에 RADIUS 서버 설치 완료 후에 삭제하지 않는 것이 좋습니다.
각 서버에 설치 스크립트를 설치하려면 다음을 수행합니다.
C:\MSSScripts라는 폴더를 만듭니다.
배포 미디어에서 이 폴더로 스크립트를 복사합니다.
서비스 팩 및 보안 업데이트 확인
여기서 설치된 서비스 팩 및 보안 업데이트 목록을 다시 확인해야 합니다. MBSA(Microsoft Baseline Security Analyzer) 등의 도구를 사용하여 확인 작업을 수행하고 필요한 업데이트를 얻습니다. 필요한 테스트를 거친 후 서버에 설치합니다.
MBSA에 대한 자세한 내용은 이 장 마지막의 "추가 정보" 절을 참조하십시오.
추가 소프트웨어 설치
이 절은 IAS 서버에 필요한 추가 소프트웨어 설치를 다룹니다.
CAPICOM
CAPICOM 2.0은 이 솔루션과 함께 제공된 설정 및 관리 스크립트를 사용하기 위해 RADIUS 서버에 필요한 프로그램입니다. 최신 버전의 CAPICOM을 구하는 위치는 이 장 끝에 나오는 "추가 정보" 절을 참조하십시오.
지침에 따라 진행하기 전에 자동 압축 해제 실행 파일의 지시에 따라 CAPICOM DLL(동적 연결 라이브러리)을 설치 및 등록합니다.
네트워크 및 Active Directory 연결 확인
IAS의 작동은 올바른 네트워크 구성 및 Active Directory와의 연결에 따라 크게 좌우됩니다. 따라서 IAS를 배포하기 전에 서버에서 네트워크 진단을 실행하는 것을 고려하십시오.
Windows Server 2003 지원 도구의 Netdiag.exe 유틸리티로 네트워크 진단을 수행합니다. Windows Server 2003 지원 도구는 Windows Server 2003 CD에 있습니다. Netdiag.exe는 다음 명령으로 압축을 풉니다.
expand r:\support\tools\support.cab –f:netdiag.exe c:\mssscripts
완료 후 다음 명령을 입력하여 유틸리티를 실행합니다.
C:\mssscripts\netdiag.exe
발생한 오류나 경고가 있는지 조사하십시오.
도메인 기능 수준 확인
네트워크 액세스를 제어하기 위한 기본 설정 모델은 Active Directory 내에서 사용자 계정에 대해 원격 액세스 정책을 통해 액세스 제어 설정을 사용하는 것입니다. 원격 액세스 정책을 통해 액세스 제어 설정은 Windows 2000 원시 모드 이상에서 Active Directory가 실행되고 있을 때만 사용할 수 있습니다. 따라서 IAS에 RAP(원격 액세스 정책)를 배포하기 전에 도메인 기능 수준을 확인해야 합니다.
Active Directory 도메인 및 트러스트 도구 내에서 도메인의 속성을 확인하여 도메인 기능 수준을 확인할 수 있습니다. IAS의 대상 도메인이 Windows 2000 혼합 모드로 구성되어 있으면 해당 Active Directory 관리자에게 문의하여 원시 모드로의 마이그레이션을 계획하십시오.
이 항목에 대한 자세한 내용은 이 장 마지막의 "추가 정보" 절을 참조하십시오.
Active Directory 보안 그룹 구성
IAS는 네트워크 보안 인프라의 일부입니다. 따라서 IAS 구성 및 로그 파일에 대한 액세스는 엄격하게 제어해야 합니다. 필요한 액세스 제어를 구현하는 데 Active Directory 글로벌 그룹과 Windows Server 2003 로컬 그룹이 함께 사용됩니다.
IAS Administration 그룹 만들기
도메인 관리자 권한으로 다음 스크립트를 실행하여 IAS Administration 보안 그룹을 만듭니다.
Cscript //job:CreateIASGroups C:\MSSScripts\IAS_Tools.wsf
이 스크립트를 실행하면 다음 보안 그룹이 도메인 글로벌 그룹으로 만들어집니다.
IAS Admins
IAS Security Auditors
다중 도메인 포리스트의 경우 IAS 서버와 동일한 도메인에 이 그룹을 만들어야 합니다.
참고: 관리자가 여러 도메인에 위치한 조직은 여기서 만든 글로벌 그룹 대신 유니버설 그룹을 사용하는 것이 좋습니다. 보안 그룹을 만드는 스크립트는 다음 장의 그룹 원격 액세스 정책 - 무선 액세스를 만드는 데 사용한 구문을 사용하여 쉽게 수정할 수 있습니다(9장 "WLAN 액세스에 필요한 Active Directory 그룹 만들기" 참조).
IAS Administrators 그룹 구성
IAS는 Windows Server 2003 운영 체제의 핵심 구성 요소이고 IAS 구성 작업을 수행하려면 로컬 Administrators 보안 그룹의 구성원 자격이 필요합니다.
IAS Admins 도메인 글로벌 그룹을 각 IAS 서버의 로컬 Administrators 그룹에 추가해야 합니다. IAS를 도메인 컨트롤러에 설치한 경우 Active Directory 사용자 및 컴퓨터 MMC(Microsoft Management Console) 스냅인을 사용하여 도메인용 Administrators 그룹에 IAS Admins를 추가해야 합니다.
경고: 기본 제공되는 Administrators 도메인 그룹에 그룹을 추가하면 심각한 보안 문제가 생깁니다. 자세한 정보는 5장 "무선 LAN 보안을 위한 RADIUS 인프라 디자인"에서 도메인 컨트롤러에 IAS를 함께 배치하는 것에 관한 논의를 참조하십시오.
IAS Admins 및 IAS Security Auditors 그룹에 해당 관리자 계정을 만들어야 합니다. 이 그룹이 IAS의 관리 역할에 어떻게 매핑되는지에 관한 상세한 내용은 5장 "무선 LAN 보안을 위한 RADIUS 인프라 디자인"에서 관리 권한 계획에 대한 설명을 참조하십시오.
이 문서 나머지 부분에 나오는 설정 절차를 진행할 때는 IAS Admins 그룹 구성원인 사용자 계정을 사용해야 합니다.
IAS용 Windows Server 2003 보안 유지
IAS 서버를 무단 액세스로부터 보호하기 위해 필요한 모든 추가 단계를 수행해야 합니다. IAS 서버는 보안 인프라의 핵심이므로 방화벽 및 기타 보안 액세스 인프라와 동일한 비중으로 다루어야 합니다.
물리적 보안
IAS 서버는 실제 액세스가 엄격하게 제어되는 위치에 배치해야 합니다. IAS 서버는 계속해서 온라인 상태에 있어야 하므로 기온 및 통풍이 조절되고 소방 장치 등 일반적인 컴퓨터 서버실 시설이 구비된 위치에 보관해야 합니다.
가능하면 화재, 홍수 등과 같이 서버에 손상을 줄 수 있는 외부 위험이 초래되지 않는 장소에 서버를 보관해야 합니다.
백업, 문서 및 기타 구성 데이터를 안전하게 보관하는 일 또한 실제 액세스를 제어하는 것만큼 중요합니다. 이러한 정보는 서버가 아닌 다른 장소에 보관해야 합니다.
서버에 시스템 보안 설정 적용
IAS 서버는 Windows Server 2003 보안 설명서에 정의된 IAS 서버 역할을 사용하여 보안이 유지됩니다. 이 설명서 및 보안 템플릿을 다운로드하는 곳에 관한 자세한 정보는 이 장 마지막의 "추가 정보" 절에 있습니다.
IAS 서버는 도메인의 구성원이므로 도메인 기반 그룹 정책을 사용하여 보안 정책 설정을 적용합니다. IAS 서버 컴퓨터 개체를 보유할 적합한 OU(조직 구성 단위) 구조와 보안 설정을 적용할 GPO(그룹 정책 개체) 구조를 만들어야 합니다. 전용 서버에서 실행되는 IAS 서버용 GPO 두 개를 만들어야 합니다(즉, 도메인 컨트롤러에 설치하지 않음).
엔터프라이즈 클라이언트 - 구성원 서버 기준
엔터프라이즈 클라이언트 - 인터넷 인증 서비스
5장 "무선 LAN 보안을 위한 RADIUS 인프라 디자인"을 검토한 후 IAS 서비스 일부 또는 전부를 도메인 컨트롤러에서 실행할지 결정합니다. 도메인 컨트롤러 강화와 관련한 복잡성 때문에 이 문서에서는 도메인 컨트롤러 보안 템플릿 적용 방법에 대한 지침은 제공하지 않습니다. Windows Server 2003 보안 설명서에 도메인 컨트롤러의 템플릿이 들어 있는데 이는 구성원 서버 기준 정책과 유사한 잠금 기능을 수행합니다. 반드시 Windows Server 2003 보안 설명서를 주의 깊게 읽고 도메인 클라이언트 및 응용 프로그램에 미칠 잠재적 영향을 평가한 후에 도메인 컨트롤러 보안 템플릿을 기존 도메인 컨트롤러에 적용해야 합니다.
IAS 및 도메인 컨트롤러 서버를 통합한 서버에 엔터프라이즈 클라이언트 - 도메인 컨트롤러 보안 템플릿을 사용하는 경우 이 컴퓨터에도 엔터프라이즈 클라이언트 - IAS 서버 보안 템플릿을 적용해야 합니다. 이 템플릿은 IAS 서비스를 사용할 수 있는 추가 설정을 적용합니다. (IAS 서비스는 엔터프라이즈 클라이언트 - 도메인 컨트롤러 템플릿에서 사용하지 않습니다.) 이 템플릿을 적용하려면 GPO 하나를 추가로 만들어 도메인 컨트롤러 OU 아래 새로운 자녀 OU에서 적용해야 합니다.
- 엔터프라이즈 클라이언트 – 도메인 컨트롤러의 IAS
아래 절차에 따라 엔터프라이즈 클라이언트 - IAS 서버 템플릿을 이 GPO로 가져와야 합니다. 이 절차는 OU 및 GPO 만드는 법을 설명합니다. GPO 및 OU 이름은 단지 예에 불과하며 자체의 도메인 OU 및 GPO 표준에 맞게 절차를 조정해서 사용해야 합니다.
IAS 서버 OU 및 GPO를 만들려면 다음을 수행합니다.
Windows Server 2003 보안 설명서에서 다음 보안 템플릿을 가져옵니다.
엔터프라이즈 클라이언트 - 도메인
엔터프라이즈 클라이언트 - 구성원 서버 기준
엔터프라이즈 클라이언트 - IAS 서버
엔터프라이즈 클라이언트 - 도메인 컨트롤러
도메인 관리자의 구성원 또는 4단계에서 설명한 OU를 만들 수 있는 권한이 있는 사용자로 로그온합니다. GPO를 만들려면 도메인 관리자 또는 Group Policy Creator Owners 그룹의 구성원이어야 합니다.
Active Directory 사용자 및 컴퓨터 MMC 스냅인을 엽니다.
다음 OU 구조를 만듭니다.
woodgrovebank.com
구성원 서버
IAS
도메인 컨트롤러
IAS와 도메인 컨트롤러
경고: 5~7 단계는 도메인의 모든 컴퓨터에 로컬 계정 정책을 구성하는 도메인 정책을 적용합니다. 엔터프라이즈 클라이언트 - 도메인 보안 템플릿의 설정을 검사해야 합니다. 이 GPO를 도메인 전체에 적용하지 말고 IAS OU와 연결시켜 그 범위를 IAS 서버만으로 제한합니다.
도메인 컨트롤러의 속성을 엽니다. 그룹 정책 탭에서 새로 만들기를 클릭하여 새 GPO를 만들고 도메인 정책으로 명명합니다.
GPO를 편집한 후 컴퓨터 구성\Windows 설정\보안 설정을 찾아 이동합니다. 보안 설정 폴더를 마우스 오른쪽 단추로 클릭한 다음 가져오기를 클릭합니다. Enterprise Client - Domain.inf 파일을 찾아 가져올 템플릿으로 선택합니다.
GPO를 닫습니다.
다음 표에 표시된 OU, GPO 및 보안 템플릿 조합에 대해 앞의 세 단계를 반복합니다. (이 세 가지 GPO는 IAS 서버에만 영향을 주기 때문에 앞의 경고는 여기 적용되지 않습니다.)
표 8.4. 그룹 정책 개체 및 위치
OU GPO 보안 템플릿 구성원 서버 엔터프라이즈 클라이언트 - 구성원 서버 기준 엔터프라이즈 클라이언트 - Member Server Baseline.inf IAS 엔터프라이즈 클라이언트 - 인터넷 인증 서비스 엔터프라이즈 클라이언트 - IAS Server.inf IAS와 도메인 컨트롤러 엔터프라이즈 클라이언트 – 도메인 컨트롤러의 IAS (IAS가 도메인 컨트롤러에 있는 경우 옵션) 엔터프라이즈 클라이언트 - IAS Server.inf
GPO를 만들고 템플릿을 가져왔으면 다음 절차에 따라 GPO의 설정을 사용자 지정한 후 IAS 서버 컴퓨터에 적용해야 합니다.
엔터프라이즈 클라이언트 - 인터넷 인증 서비스 GPO를 사용자 지정하고 적용하려면 다음을 수행합니다.
Active Directory 사용자 및 컴퓨터에서 엔터프라이즈 클라이언트 - 인터넷 인증 서비스 GPO를 편집합니다. 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션에서 조직의 보안 표준에 맞게 다음 항목을 변경합니다.
계정: Administrator 계정 이름 바꾸기: NewAdminName
계정: Guest 계정 이름 바꾸기: NewGuestName
대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 텍스트: LegalNoticeText
대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 제목: LegalNoticeTitle
로컬 정책\사용자 권한 할당에서 로컬 로그온허용 권한에 다음의 로컬 및 도메인 그룹을 추가합니다.
(로컬) Administrators
(로컬) Backup Operators
(도메인) IAS Security Auditors
시스템 서비스 폴더에서 다음 서비스의 속성을 열고 템플릿에 이 정책 설정 정의를 클릭합니다. 확인을 클릭하여 기본 사용 권한을 그대로 적용합니다. 서비스 시작 모드 설정 값을 자동으로 설정합니다.
이동식 저장소
Volume Shadow Copy
MS Software Shadow Copy Provider
작업 스케줄러
참고: 이러한 서비스는 구성원 서버 기준 보안 템플릿에서는 해제되어 있지만 처음 세 개는 NTBackup.exe를 실행하려면 처음 세 서비스가 필요합니다. 일부 작업 스크립트에는 작업 스케줄러 서비스가 필요합니다.
IAS 서버 컴퓨터 계정을 IAS OU로 이동합니다.
IAS 서버에서 gpupdate 명령을 실행하여 컴퓨터에 GPO 설정을 적용합니다.
**참고:**Windows Server 2003 Security Guide에는 이러한 보안 설정에 대한 보다 자세한 정보가 포함되어 있습니다. 이 설명서를 구하는 방법에 관한 정보는 이 장 마지막의 "추가 정보" 절을 참조하십시오.
엔터프라이즈 클라이언트 - 도메인 컨트롤러의 IAS GPO를 사용자 지정하고 적용하려면 다음을 수행합니다.
Active Directory 사용자 및 컴퓨터에서 엔터프라이즈 클라이언트 - 도메인 컨트롤러의 IAS GPO를 편집합니다. 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션에서 조직의 보안 표준에 맞게 다음 항목을 변경합니다.
계정: Administrator 계정 이름 바꾸기: NewAdminName
계정: Guest 계정 이름 바꾸기: NewGuestName
대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 텍스트: LegalNoticeText
대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 제목: LegalNoticeTitle
로컬 정책\사용자 권한 할당에서 로컬 로그온허용 권한에 다음의 로컬 및 도메인 그룹을 추가합니다.
(빌트인) Administrators
(빌트인) Backup Operators
(도메인) IAS Security Auditors
시스템 서비스 폴더에서 다음 서비스의 속성을 열고 템플릿에 이 정책 설정 정의를 클릭합니다. 확인을 클릭하여 기본 사용 권한을 그대로 적용합니다. 서비스 시작 모드 설정 값을 자동으로 설정합니다.
이동식 저장소
Volume Shadow Copy
MS Software Shadow Copy Provider
작업 스케줄러
참고: 이러한 서비스는 구성원 서버 기본 보안 템플릿에서 비활성화되지만 NTBackup.exe를 실행하려면 처음 세 가지 서비스가 필요합니다. 일부 작업 스크립트에는 작업 스케줄러 서비스가 필요합니다.
IAS 서버 컴퓨터 계정을 IAS OU가 있는 도메인 컨트롤러로 이동합니다.
IAS 서버에서 gpupdate 명령을 실행하여 컴퓨터에 GPO 설정을 적용합니다.
**참고:**Windows Server 2003 Security Guide에는 이러한 보안 설정에 대한 보다 자세한 정보가 포함되어 있습니다. 이 설명서를 구하는 방법에 관한 정보는 이 장 마지막의 "추가 정보" 절을 참조하십시오.
보안 설정 확인
보안 설정이 올바르게 적용되었는지 확인하려면 다음 절차에 나오는 단계를 수행합니다.
IAS 서버 보안 설정을 확인하려면 다음을 수행합니다.
응용 프로그램 이벤트 로그에서 SceCli 소스에서 가져온 이벤트가 있는지 확인합니다. gpupdate 명령 다음에 이벤트 ID 1704가 있어야 합니다. 이벤트 텍스트는 다음과 같습니다.
그룹 정책 개체의 보안 정책이 올바르게 적용되었습니다.
서버를 다시 시작한 다음 모든 예상 서비스가 시작되었는지와 시스템 이벤트 로그에 오류가 기록되지 않았는지를 확인합니다.
로그온할 수 있어야 하며 사용권에 대한 고지 사항 텍스트가 나타나야 합니다.
터미널 서비스 보안 구성
RADIUS 클라이언트에서 사용하기 위해 일정에 따라 RADIUS 암호를 변경하는 경우 터미널 서비스를 사용해야 합니다. 터미널 서비스 트래픽 암호화는 네트워크를 통과하는 RADIUS 암호를 보호합니다.
중요: 네트워크를 통해 RADIUS 클라이언트 암호를 설정하거나 변경할 때 다른 방법(예: telnet 또는 기타 단순한 원격 실행 도구)을 사용하는 경우 IPSec(인터넷 프로토콜 보안) 또는 다른 적절한 기술을 사용하여 전송 중인 정보를 보호해야 합니다.
다음 터미널 서비스 설정을 IAS 서버에 적용할 엔터프라이즈 클라이언트 – 도메인 컨트롤러의 IAS GPO 및 엔터프라이즈 클라이언트 – 인터넷 인증 서비스 GPO에 구성해야 합니다.
표 8.5. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\터미널 서비스에서 구성하는 설정
경로 | 정책 | 설정 |
---|---|---|
콘솔 세션에 로그온한 관리자의 로그오프 거부 | 사용 | |
관리자의 권한 사용자 지정을 금지 | 사용 | |
터미널 서비스 사용자 세션의 원격 컨트롤 규칙을 설정 | 원격 제어를 사용하지 않음 | |
클라이언트\서버 데이터 리디렉션 | 표준 시간대 리디렉션 허용 | 사용 안 함 |
클립보드 리디렉션을 허용하지 않음 | 사용 | |
오디오 리디렉션 허용 | 사용 안 함 | |
COM 포트 리디렉션을 허용하지 않음 | 사용 | |
클라이언트 프린터의 리디렉션을 허용하지 않음 | 사용 | |
LPT 포트 리디렉션을 허용하지 않음 | 사용 | |
드라이브의 리디렉션을 허용하지 않음 | 사용 | |
클라이언트의 기본 프린터를 세션의 기본 프린터로 설정하지 않음 | 사용 | |
암호화 및 보안 | 클라이언트 연결 암호화 수준 설정 | 높음 |
연결 시 클라이언트에서 항상 암호 확인 | 사용 | |
암호화 및 보안\RPC 보안 | 보안 서버(보안 필요) | 사용 |
세션 | 연결이 끊긴 세션에 시간 제한 설정 | 10분 |
재연결을 원래의 클라이언트로부터만 허용 | 사용 |
설치할 선택적 구성 요소 | 설치 상태 |
---|---|
네트워크 서비스 | 선택 |
인터넷 인증 서비스 | 선택 |