OTP 인증을 통한 원격 액세스 배포

  • 아티클

 

적용 대상: Windows Server 2012 R2, Windows Server 2012

Windows Server 2012에는 DirectAccess와 RRAS(Routing and Remote Access Service) VPN이 단일 원격 액세스 역할로 통합되어 있습니다. 원격 액세스는 다양한 엔터프라이즈 시나리오를 통해 배포될 수 있습니다. 이 개요에서는 OTP(1회용 암호) 사용자 인증이 사용된 Windows Server 2012 DirectAccess를 배포하기 위한 엔터프라이즈 시나리오에 대해 소개합니다.

시나리오 설명

이 시나리오에서 DirectAccess를 사용하는 원격 액세스 서버는 표준 Active Directory 자격 증명 이외에 2단계 OTP 인증을 통해 DirectAccess 클라이언트 사용자를 인증하도록 구성됩니다.

필수 구성 요소

이 시나리오의 배포를 시작하기 전에 중요한 요구 사항에 대한 다음 목록을 검토하세요.

  • Windows 7 클라이언트는 DCA 2.0을 사용하여 OTP를 지원해야 합니다.
  • OTP는 PIN 변경을 지원하지 않습니다.
  • DirectAccess 관리 콘솔 또는 PowerShell cmdlet 외부에서 정책을 변경하는 것은 지원되지 않습니다.

이 시나리오의 내용

OTP 인증 시나리오는 다음과 같은 단계로 구성됩니다.

  1. 고급 설정을 사용하여 단일 DirectAccess 서버 배포 - OTP를 구성하기 전에 단일 원격 액세스 서버가 배포되어 있어야 합니다. 단일 서버를 계획하고 배포하는 과정에는 네트워크 토폴로지 설계 및 구성, 인증서 계획 및 배포, DNS와 Active Directory 설정, 원격 액세스 서버 설정 구성, DirectAccess 클라이언트 배포 및 인트라넷 서버 준비가 포함됩니다.

  2. OTP 인증을 통한 원격 액세스 계획 - OTP에는 단일 서버에 필요한 계획뿐만 아니라 Microsoft CA(인증 기관)와 OTP용 인증서 템플릿, RADIUS 지원 OTP 서버에 대한 계획도 필요합니다. 계획에는 강력한 OTP 또는 스마트 카드 인증에서 특정 사용자를 제외하도록 하는 보안 그룹 요구 사항이 포함될 수도 있습니다. 다중 포리스트 환경의 OTP 구성에 대한 자세한 내용은 다중 포리스트 배포 구성을 참조하세요.

  3. OTP 인증을 통한 DirectAccess를 구성 합니다. - OTP 배포는 인프라 OTP 인증 준비, OTP 서버 구성, 원격 액세스 서버의 OTP 설정 구성 및 DirectAccess 클라이언트 설정 업데이트를 포함하여 다양한 구성 단계로 이루어집니다.

  4. OTP 배포 문제를 해결합니다 - 이 문제 해결 섹션에서는 OTP 인증을 사용하여 원격 액세스를 배포할 때 발생할 수 있는 가장 일반적인 여러 오류를 설명합니다.

유용한 팁

보안 향상—OTP를 사용하면 DirectAccess 배포의 보안성이 향상됩니다. 사용자가 내부 네트워크에 대한 액세스 권한을 얻으려면 OTP 자격 증명이 있어야 합니다. 사용자는 Windows 8 클라이언트 컴퓨터에서 네트워크 연결 시 사용할 수 있는 작업 공간 연결을 통해 또는 Windows 7을 실행하는 클라이언트 컴퓨터에서 DCA(DirectAccess 연결 길잡이)를 사용하여 OTP 자격 증명을 제공합니다. OTP 인증 프로세스는 다음과 같습니다.

  1. DirectAccess 클라이언트는 인프라 터널을 통해 DirectAccess 인프라 서버에 액세스하기 위해 도메인 자격 증명을 입력합니다. 특정 IKE 오류로 인해 내부 네트워크에 대한 연결을 사용할 수 없는 경우, 클라이언트 컴퓨터의 작업 공간 연결에서 자격 증명이 필요함을 사용자에게 알립니다. Windows 7을 실행하는 클라이언트 컴퓨터에서는 스마트 카드 자격 증명을 요청하는 팝업이 표시됩니다.

  2. 입력된 OTP 자격 증명은 단기 스마트 카드 로그온 인증서 요청과 함께 SSL을 통해 원격 액세스 서버로 전송됩니다.

  3. 원격 액세스 서버는 RADIUS 기반 OTP 서버를 사용하여 OTP 자격 증명의 유효성 검사를 시작합니다.

  4. 성공하면 원격 액세스 서버가 해당 등록 기관 인증서를 사용하여 인증서 요청에 서명하고 다시 DirectAccess 클라이언트 컴퓨터로 보냅니다.

  5. DirectAccess 클라이언트 컴퓨터는 서명된 인증서 요청을 CA에 전달하고 Kerberos SSP/AP에서 사용할 수 있도록 등록된 인증서를 저장합니다.

  6. 클라이언트 컴퓨터는 이 인증서를 사용하여 표준 스마트 카드 Kerberos 인증을 투명하게 수행합니다.

이 시나리오에 포함된 역할 및 기능

다음 표에는 시나리오에 필요한 역할 및 기능이 나와 있습니다.

역할/기능

이 시나리오를 지원하는 방법

원격 액세스 관리 역할

이 역할은 서버 관리자 콘솔을 사용하여 설치 및 제거됩니다. 이 역할에는 DirectAccess(이전의 Windows Server 2008 R2 기능)와 라우팅 및 원격 액세스 서비스(이전의 NPAS(네트워크 정책 및 액세스 서비스) 서버 역할의 역할 서비스)가 모두 포함되어 있습니다. 원격 액세스 역할은 다음의 두 가지 구성 요소로 구성됩니다.

  1. DirectAccess 및 RRAS(Routing and Remote Access Service) VPN—DirectAccess와 VPN은 원격 액세스 관리 콘솔에서 함께 관리됩니다.

  2. RRAS 라우팅—RRAS 라우팅 기능은 레거시 라우팅 및 원격 액세스 콘솔에서 관리됩니다.

원격 액세스 역할은 다음과 같이 서버 기능에 종속됩니다.

  • IIS(인터넷 정보 서비스) 웹 서버 – 이 기능은 네트워크 위치 서버를 구성하고, OTP 인증을 활용하고, 기본 웹 프로브를 구성하는 데 필요합니다.

  • Windows 내부 데이터베이스—원격 액세스 서버의 로컬 계정에 사용됩니다.

원격 액세스 관리 도구 기능

이 기능은 다음과 같이 설치됩니다.

  • 원격 액세스 역할이 설치될 때 원격 액세스 서버에 기본적으로 설치되며, 원격 관리 콘솔의 사용자 인터페이스를 지원합니다.

  • 이 기능은 선택적으로 원격 액세스 서버 역할을 실행하지 않는 서버에 설치될 수도 있습니다. 이 경우 이 기능은 DirectAccess 및 VPN을 실행하는 원격 액세스 컴퓨터를 원격으로 관리하는 데 사용됩니다.

원격 액세스 관리 도구 기능의 구성 요소는 다음과 같습니다.

  • 원격 액세스 GUI 및 명령줄 도구

  • Windows PowerShell용 원격 액세스 모듈

이 기능은 다음 요소에 종속됩니다.

  • 그룹 정책 관리 콘솔

  • RAS CMAK(연결 관리자 관리 키트)

  • Windows Powershell 3.0

  • 그래픽 관리 도구 및 인프라

하드웨어 요구 사항

이 시나리오의 하드웨어 요구 사항은 다음과 같습니다.

  • Windows Server 2012의 하드웨어 요구 사항을 충족하는 컴퓨터가 한 대 필요합니다.

  • 시나리오를 테스트하려면 Windows 8 또는 Windows 7을 실행하는 한 대 이상의 컴퓨터가 DirectAccess 클라이언트로 구성되어 있어야 합니다.

  • RADIUS를 통해 PAP를 지원하는 OTP 서버가 하나 필요합니다.

  • OTP 하드웨어 또는 소프트웨어 토큰이 필요합니다.

소프트웨어 요구 사항

이 시나리오에 필요한 요구 사항은 다음과 같이 다양합니다.

  1. 단일 서버 배포에 필요한 소프트웨어 요구 사항. 자세한 내용은 고급 설정을 사용하여 단일 DirectAccess 서버 배포를 참조하세요.

  2. 단일 서버 배포에 필요한 소프트웨어 요구 사항 이외에, 다음과 같은 OTP 특정 요구 사항이 있습니다.

    1. IPsec 인증용 CA—OTP 배포 시 DirectAccess는 CA에서 발급된 IPsec 컴퓨터 인증서를 사용하여 배포되어야 합니다. 원격 액세스 서버를 Kerberos 프록시로 사용하는 IPsec 인증은 OTP 배포에서 지원되지 않습니다. 내부 CA가 필요합니다.

    2. OTP 인증용 CA—OTP 클라이언트 인증서를 발급하려면 Windows 2003 Server 이상 버전에서 실행되는 Microsoft 엔터프라이즈 CA가 필요합니다. IPsec 인증을 위한 인증서 발급에 사용된 것과 같은 CA를 사용할 수도 있습니다. 첫 번째 인프라 터널을 통해 CA 서버를 사용할 수 있어야 합니다.

    3. 보안 그룹—강력한 인증에서 사용자를 제외하려면 이러한 사용자를 포함하는 Active Directory 보안 그룹이 필요합니다.

    4. 클라이언트 쪽 요구 사항 - Windows 8 클라이언트 컴퓨터의 경우 NCA(네트워크 연결 길잡이) 서비스를 사용하여 OTP 자격 증명이 필요한지 여부를 검색합니다. 필요한 경우 DirectAccess 미디어 관리자가 자격 증명을 묻는 메시지를 표시합니다. NCA는 Windows 8 운영 체제에 포함되어 있으므로 설치 및 배포할 필요가 없습니다. Windows 7 클라이언트 컴퓨터에는 DCA(DirectAccess 연결 길잡이) 2.0이 필요합니다. 이 응용 프로그램은 Microsoft 다운로드 센터에서 다운로드할 수 있습니다.

    5. 참고 사항:

      1. OTP 인증은 스마트 카드 및 TPM(신뢰할 수 있는 플랫폼 모듈) 인증과 병행하여 사용할 수 있습니다. 원격 액세스 관리 콘솔에서 OTP 인증을 사용하도록 설정하면 스마트 카드 인증도 사용할 수 있습니다.

      2. 원격 액세스를 구성할 때 지정된 보안 그룹의 사용자는 2단계 인증에서 제외될 수 있으므로 사용자 이름/암호로만 인증됩니다.

      3. OTP의 새 PIN 및 다음 토큰 코드 모드는 지원되지 않습니다.

      4. 원격 액세스 멀티 사이트 배포 시, OTP 설정은 전역적이며 모든 진입점을 식별합니다. OTP용으로 구성된 RADIUS 또는 CA 서버가 여러 대인 경우 가용성 및 근접성에 따라 원격 액세스 서버별로 정렬됩니다.

      5. 원격 액세스 다중 포리스트 환경에서 OTP를 구성하는 경우, OTP CA는 리소스 포리스트에만 속해 있어야 하며 포리스트 트러스트 간에 인증서 등록이 구성되어야 합니다. 자세한 내용은 AD CS: Windows Server 2008 R2로 포리스트 간 인증서 등록을 참조하세요.

      6. KEY FOB OTP 토큰 사용자는 DirectAccess OTP 대화 상자에서 PIN과 토큰 코드를 구분 기호 없이 삽입해야 합니다. PIN PAD OTP 토큰 사용자는 대화 상자에 토큰 코드만 삽입해야 합니다.

      7. WEBDAV를 사용하는 경우 OTP를 사용하도록 설정할 수 없습니다.

알려진 문제

OTP 시나리오를 구성할 때의 알려진 문제는 다음과 같습니다.

  • 원격 액세스는 프로브 메커니즘을 사용하여 RADIUS 기반 OTP 서버에 대한 연결을 확인합니다. 이로 인해 OTP 서버에서 오류가 발생하는 경우가 있습니다. 이 문제를 방지하려면 OTP 서버에서 다음을 수행합니다.

    • 프로브 메커니즘에 대한 원격 액세스 서버에서 구성된 사용자 이름 및 암호와 일치하는 사용자 계정을 만듭니다. 사용자 이름이 Active Directory 사용자를 정의하면 안 됩니다.

      기본적으로 원격 액세스 서버의 사용자 이름은 DAProbeUser이고 암호는 DAProbePass입니다. 원격 액세스 서버의 레지스트리에서 다음 값을 사용하여 이러한 기본 설정을 수정할 수 있습니다.

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbeUser

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\ RadiusProbePass

  • 구성되어 실행 중인 DirectAccess 배포에서 IPsec 루트 인증서를 변경하면 OTP 작동이 중지됩니다. 이 문제를 해결하려면 각 DirectAccess 서버의 Windows PowerShell 창에서 iisreset 명령을 실행합니다.