NPS, 무선 LAN 컨트롤러 및 무선 네트워크 구성 예

소개

이 문서에서는 NPS(Microsoft Network Policy Server)를 RADIUS 서버로 사용하는 Cisco Unified Wireless 네트워크에서 Microsoft MS-CHAP(Challenge Handshake Authentication Protocol) 버전 2 인증을 사용하는 PEAP(Protected Extensible Authentication Protocol)에 대한 샘플 컨피그레이션을 제공합니다.

사전 요구 사항

요구 사항

이 컨피그레이션을 시도하기 전에 다음 절차를 숙지해야 합니다.

• 기본 Windows 2008 설치에 대한 지식
• Cisco 컨트롤러 설치 지식

이 컨피그레이션을 시도하기 전에 이러한 요구 사항이 충족되었는지 확인합니다.

• 테스트 실습의 각 서버에 Microsoft Windows Server 2008 운영 체제를 설치합니다.
• 모든 서비스 팩을 업데이트합니다.
• 컨트롤러 및 경량 액세스 포인트(LAP)를 설치합니다.
• 최신 소프트웨어 업데이트를 구성합니다.

Cisco 5508 Series Wireless Controller의 초기 설치 및 구성 정보는 Cisco 5500 Series Wireless Controller 설치 가이드를 참조하십시오.

참고: 이 문서는 PEAP-MS-CHAP 인증을 위해 Microsoft 서버에 필요한 구성에 대한 예를 독자에게 제공하기 위한 것입니다. 이 문서에 제시된 Microsoft Windows 서버 구성은 Lab에서 테스트되었으며 예상대로 작동하는 것으로 확인되었습니다. 구성에 문제가 있으면 Microsoft에 도움을 요청하십시오. Cisco TAC(Technical Assistance Center)는 Microsoft Windows 서버 구성을 지원하지 않습니다.

Microsoft Windows 2008 설치 및 구성 가이드는 Microsoft Tech Net에서 찾을 수 있습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 펌웨어 버전 7.4를 실행하는 Cisco 5508 Wireless Controller
• Cisco Aironet 3602 AP(Access Point) with Lightweight LWAPP(Access Point Protocol) 
• NPS, CA(Certificate Authority), DHCP(Dynamic Host Control Protocol) 및 DNS(Domain Name System) 서비스가 설치된 Windows 2008 Enterprise Server
• Microsoft Windows 7 클라이언트 PC
• Cisco Catalyst 3560 Series 스위치

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

PEAP 개요

PEAP는 TLS(Transport Level Security)를 사용하여 무선 랩톱과 같은 인증 PEAP 클라이언트와 Microsoft NPS 또는 RADIUS 서버와 같은 PEAP 인증자 간에 암호화된 채널을 만듭니다. PEAP는 인증 방법을 지정하지 않지만 PEAP에서 제공하는 TLS 암호화 채널을 통해 작동할 수 있는 EAP-MS-CHAP v2와 같은 다른 확장 가능 인증 프로토콜(EAP)에 대한 추가 보안을 제공합니다. PEAP 인증 프로세스는 두 가지 기본 단계로 구성됩니다.

PEAP 1단계: TLS 암호화 채널

무선 클라이언트가 AP와 연결됩니다. IEEE 802.11 기반 연결은 클라이언트와 액세스 포인트 간에 보안 연결이 생성되기 전에 오픈 시스템 또는 공유 키 인증을 제공합니다. 클라이언트와 액세스 포인트 간에 IEEE 802.11 기반 연결이 성공적으로 설정되면 TLS 세션이 AP와 협상됩니다. 무선 클라이언트와 NPS 간에 인증이 성공적으로 완료되면 클라이언트와 NPS 간에 TLS 세션이 협상됩니다. 이 협상 내에서 파생된 키는 모든 후속 통신을 암호화하는 데 사용됩니다.

PEAP 2단계: EAP 인증 통신

EAP 협상을 포함하는 EAP 통신은 PEAP 인증 프로세스의 첫 번째 단계 내에서 PEAP에 의해 생성된 TLS 채널 내에서 발생합니다. NPS는 EAP-MS-CHAP v2로 무선 클라이언트를 인증합니다. LAP와 컨트롤러는 무선 클라이언트와 RADIUS 서버 사이의 메시지만 전달합니다. WLC(Wireless LAN Controller) 및 LAP는 TLS 엔드포인트가 아니므로 이러한 메시지를 해독할 수 없습니다.

성공적인 인증 시도를 위한 RADIUS 메시지 시퀀스(사용자가 PEAP-MS-CHAP v2와 함께 유효한 비밀번호 기반 자격 증명을 제공함)는 다음과 같습니다.

1. NPS는 ID 요청 메시지를 클라이언트로 보냅니다. EAP 요청/ID.
2. 클라이언트는 ID 응답 메시지로 응답합니다. EAP-응답/ID.
3. NPS는 MS-CHAP v2 챌린지 메시지를 전송합니다. EAP-Request/EAP-Type=EAP MS-CHAP-V2(과제).
4. 클라이언트는 MS-CHAP v2 과제 및 응답으로 응답합니다. EAP-Response/EAP-Type=EAP-MS-CHAP-V2(응답).
5. 서버가 클라이언트를 성공적으로 인증하면 NPS는 MS-CHAP v2 성공 패킷을 다시 전송합니다. EAP-Request/EAP-Type=EAP-MS-CHAP-V2(성공).
6. 클라이언트가 서버를 성공적으로 인증하면 클라이언트는 MS-CHAP v2 성공 패킷으로 응답합니다. EAP-Response/EAP-Type=EAP-MS-CHAP-V2(성공).
7. NPS는 성공적인 인증을 나타내는 TLV(EAP-type-length-value)를 전송합니다.
8. 클라이언트가 EAP-TLV 상태 성공 메시지로 응답합니다.
9. 서버가 인증을 완료하고 일반 텍스트로 EAP-Success 메시지를 보냅니다. VLAN이 클라이언트 격리를 위해 구축된 경우 VLAN 특성이 이 메시지에 포함됩니다.

구성

이 섹션에는 PEAP-MS-CHAP v2를 구성하는 정보가 표시됩니다.

참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 섹션에 사용된 명령에 대한 자세한 내용을 확인하십시오.

네트워크 다이어그램

이 구성에서는 다음 네트워크 설정을 사용합니다.

이 설정에서 Microsoft Windows 2008 서버는 다음 역할을 수행합니다.

• domain wireless.com의 도메인 컨트롤러
• DHCP/DNS 서버
• CA 서버
• NPS ? 무선 사용자 인증
• Active Directory ? 사용자 데이터베이스 유지 관리

서버는 레이어 2 스위치를 통해 유선 네트워크에 연결됩니다. WLC와 등록된 LAP도 레이어 2 스위치를 통해 네트워크에 연결됩니다.

무선 클라이언트는 WPA2(Wi-Fi Protected Access 2) - PEAP-MS-CHAP v2 인증을 사용하여 무선 네트워크에 연결합니다.

구성

이 예제의 목적은 PEAP-MS-CHAP v2 인증을 사용하여 무선 클라이언트를 인증하도록 Microsoft 2008 서버, 무선 LAN 컨트롤러 및 경량 AP를 구성하는 것입니다. 이 프로세스에는 세 가지 주요 단계가 있습니다.

1. Microsoft Windows 2008 Server를 구성합니다.
2. WLC 및 경량 AP를 구성합니다.
3. 무선 클라이언트를 구성합니다.

Microsoft Windows 2008 Server 구성

이 예에서는 Microsoft Windows 2008 서버의 전체 컨피그레이션에 다음 단계가 포함됩니다.

1. 서버를 도메인 컨트롤러로 구성합니다.
2. DHCP 서비스를 설치하고 구성합니다.
3. 서버를 CA 서버로 설치 및 구성합니다.
4. 도메인에 클라이언트를 연결합니다.
5. NPS를 설치합니다.
6. 인증서를 설치합니다.
7. PEAP 인증을 위한 NPS를 구성합니다.
8. Active Directory에 사용자를 추가합니다.

Microsoft Windows 2008 서버를 도메인 컨트롤러로 구성

Microsoft Windows 2008 서버를 도메인 컨트롤러로 구성하려면 다음 단계를 완료하십시오.

1. 시작 > 서버 관리자를 클릭합니다.
   
   
   
   
2. Roles(역할) > Add Roles(역할 추가)를 클릭합니다.
   
   
   
   
3. Next(다음)를 클릭합니다.
   
   
   
   
4. 서비스 Active Directory 도메인 서비스를 선택하고 다음을 클릭합니다.
   
   
   
   
5. Introduction to Active Directory Domain Services(Active Directory 도메인 서비스 소개)를 검토하고 Next(다음)를 클릭합니다.
   
   
   
   
6. 설치 프로세스를 시작하려면 Install을 클릭합니다.
   
   
   
   설치가 진행 및 완료됩니다.
   
   
7. 이 마법사를 닫고 Active Directory 도메인 서비스 설치 마법사(dcpromo.exe)를 실행하여 Active Directory 설치 및 구성을 계속합니다.
   
   
   
   
8. 다음을 클릭하여 Active Directory 도메인 서비스 설치 마법사를 실행합니다.
   
   
   
   
9. 운영 체제 구성 요소에 대한 정보를 검토하고 다음을 클릭합니다.
   
   
   
   
10. 새 도메인을 생성하려면 Create a new domain in a new forest > Next를 클릭합니다.
    
    
    
    
11. 새 도메인(이 예에서 wireless.com)의 전체 DNS 이름을 입력하고 Next를 클릭합니다.
    
    
    
    
12. 도메인의 포리스트 기능 수준을 선택하고 다음을 클릭합니다.
    
    
    
    
13. 도메인의 도메인 기능 수준을 선택하고 다음을 클릭합니다.
    
    
    
    
14. DNS 서버가 선택되었는지 확인하고 Next(다음)를 클릭합니다.
    
    
    
    
15. 설치 마법사에서 예를 클릭하여 도메인에 대한 DNS에 새 영역을 생성합니다.
    
    
    
    
16. Active Directory가 해당 파일에 사용할 폴더를 선택하고 Next(다음)를 클릭합니다.
    
    
    
    
17. 관리자 비밀번호를 입력하고 다음을 클릭합니다.
    
    
    
    
18. 선택 사항을 검토하고 다음을 클릭합니다.
    
    
    
    설치가 진행됩니다.
    
    
19. 마침을 클릭하여 마법사를 닫습니다.
    
    
    
    
20. 변경 사항을 적용하려면 서버를 다시 시작하십시오.
    
    

Microsoft Windows 2008 Server에 DHCP 서비스 설치 및 구성

Microsoft 2008 서버의 DHCP 서비스는 무선 클라이언트에 IP 주소를 제공하는 데 사용됩니다. DHCP 서비스를 설치 및 구성하려면 다음 단계를 완료합니다.

1. 시작 > 서버 관리자를 클릭합니다.
   
   
   
   
2. Roles(역할) > Add Roles(역할 추가)를 클릭합니다.
   
   
   
   
3. Next(다음)를 클릭합니다.
   
   
   
   
4. 서비스 DHCP Server를 선택하고 Next(다음)를 클릭합니다.
   
   
   
   
5. Introduction to DHCP Server(DHCP 서버 소개)를 검토하고 Next(다음)를 클릭합니다.
   
   
   
   
6. DHCP 서버가 요청을 모니터링해야 하는 인터페이스를 선택하고 Next를 클릭합니다.
   
   
   
   
7. DHCP 서버가 클라이언트에 제공해야 하는 기본 DNS 설정을 구성하고 Next(다음)를 클릭합니다.
   
   
   
   
8. 네트워크에서 WINS를 지원하는 경우 WINS를 구성합니다.
   
   
   
   
9. 마법사를 사용하여 DHCP 범위를 만들려면 Add를 클릭하고 나중에 DHCP 범위를 만들려면 Next를 클릭합니다. Next(다음)를 클릭하여 계속합니다.
   
   
   
   
10. 서버에서 DHCPv6 지원을 활성화 또는 비활성화하고 Next(다음)를 클릭합니다.
    
    
    
    
11. 이전 단계에서 DHCPv6이 활성화된 경우 IPv6 DNS 설정을 구성합니다. Next(다음)를 클릭하여 계속합니다.
    
    
    
    
12. Active Directory에서 DHCP 서버에 권한을 부여할 도메인 관리자 자격 증명을 제공하고 Next를 클릭합니다.
    
    
    
    
13. 확인 페이지에서 구성을 검토하고 Install(설치)을 클릭하여 설치를 완료합니다.
    
    
    
    설치가 진행됩니다.
    
    
14. 닫기를 클릭하여 마법사를 닫습니다.
    
    
    
    DHCP 서버가 설치되었습니다.
    
    
15. Start(시작) > Administrative Tools(관리 도구) > DHCP를 클릭하여 DHCP 서비스를 구성합니다.
    
    
    
    
16. DHCP 서버(이 예에서는 win-mvz9z2umms.wireless.com)를 확장하고 IPv4를 마우스 오른쪽 버튼으로 클릭한 다음 New Scope를 선택합니다. DHCP 범위를 만듭니다.
    
    
    
    
17. Next(다음)를 클릭하여 새 범위 마법사를 통해 새 범위를 구성합니다.
    
    
    
    
18. 새 범위(이 예에서는 무선 클라이언트)의 이름을 입력하고 다음을 클릭합니다.
    
    
    
    
19. DHCP 임대에 사용할 수 있는 사용 가능한 IP 주소의 범위를 입력합니다. Next(다음)를 클릭하여 계속합니다.
    
    
    
    
20. 제외된 주소의 선택적 목록을 생성합니다. Next(다음)를 클릭하여 계속합니다.
    
    
    
    
21. 리스 시간을 구성하고 Next(다음)를 클릭합니다.
    
    
    
    
22. Yes, I want to configure these options now(예, 지금 이 옵션을 구성하겠습니다)를 클릭하고 Next(다음)를 클릭합니다.
    
    
    
    
23. 이 범위에 대한 기본 게이트웨이의 IP 주소를 입력하고 Add > Next를 클릭합니다.
    
    
    
    
24. 클라이언트에서 사용할 DNS 도메인 이름 및 DNS 서버를 구성합니다. Next(다음)를 클릭하여 계속합니다.
    
    
    
    
25. 네트워크가 WINS를 지원하는 경우 이 범위에 대한 WINS 정보를 입력합니다. Next(다음)를 클릭하여 계속합니다.
    
    
    
    
26. 이 범위를 활성화하려면 Yes, I want to activate this scope now(예, 지금 이 범위를 활성화하겠습니다.) > Next(다음)를 클릭합니다.
    
    
    
    
27. 마침을 클릭하여 마법사를 완료하고 닫습니다.
    
    

Microsoft Windows 2008 서버를 CA 서버로 설치 및 구성

EAP-MS-CHAP v2를 사용하는 PEAP는 서버에 있는 인증서를 기반으로 RADIUS 서버를 검증합니다. 또한 클라이언트 컴퓨터에서 신뢰하는 공용 CA에서 서버 인증서를 발급해야 합니다. 즉, 공용 CA 인증서가 클라이언트 컴퓨터 인증서 저장소의 신뢰할 수 있는 루트 인증 기관 폴더에 이미 있습니다. 

Microsoft Windows 2008 서버를 NPS에 인증서를 발급하는 CA 서버로 구성하려면 다음 단계를 완료하십시오.

1. 시작 > 서버 관리자를 클릭합니다.
   
   
   
   
2. Roles(역할) > Add Roles(역할 추가)를 클릭합니다.
   
   
   
   
3. Next(다음)를 클릭합니다.
   
   
   
   
4. 서비스 Active Directory 인증서 서비스를 선택하고 다음을 클릭합니다.
   
   
   
   
5. Introduction to Active Directory Certificate Services(Active Directory 인증서 서비스 소개)를 검토하고 Next(다음)를 클릭합니다.
   
   
   
   
6. Certificate Authority(인증 기관)를 선택하고 Next(다음)를 클릭합니다.
   
   
   
   
7. Enterprise를 선택하고 Next를 클릭합니다.
   
   
   
   
8. Root CA를 선택하고 Next를 클릭합니다.
   
   
   
   
9. 새 개인 키 만들기를 선택하고 다음을 클릭합니다.
   
   
   
   
10. Configuring Cryptography for CA에서 Next를 클릭합니다.
    
    
    
    
11. Next(다음)를 클릭하여 이 CA의 기본 Common(공통) 이름을 적용합니다.
    
    
    
    
12. 이 CA 인증서의 유효 기간을 선택하고 Next(다음)를 클릭합니다.
    
    
    
    
13. Next(다음)를 클릭하여 기본 인증서 데이터베이스 위치를 적용합니다.
    
    
    
    
14. 구성을 검토하고 Install(설치)을 클릭하여 Active Directory 인증서 서비스를 시작합니다. 
    
    
    
    
    
15. 설치가 완료되면 닫기를 클릭합니다.

도메인에 클라이언트 연결

클라이언트를 유선 네트워크에 연결하고 새 도메인에서 도메인별 정보를 다운로드하려면 다음 단계를 완료하십시오.

1. 직접 이더넷 케이블을 통해 클라이언트를 유선 네트워크에 연결합니다.
2. 클라이언트를 부팅하고 클라이언트 사용자 이름 및 비밀번호로 로그인합니다.
3. Start(시작) > Run(실행)을 클릭하고 cmd를 입력한 다음 OK(확인)를 클릭합니다.
4. 명령 프롬프트에서 ipconfig를 입력하고 Enter를 클릭하여 DHCP가 올바르게 작동하고 클라이언트가 DHCP 서버에서 IP 주소를 받았는지 확인합니다.
5. 클라이언트를 도메인에 가입시키려면 시작을 클릭하고 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택한 다음 오른쪽 하단에서 설정 변경을 선택합니다.
6. 변경을 클릭합니다.
7. Domain(도메인)을 클릭하고 wireless.com을 입력한 다음 확인을 클릭합니다.
   
   
   
   
8. 사용자 이름 관리자와 클라이언트가 조인하는 도메인과 관련된 비밀번호를 입력합니다. 서버의 Active Directory에 있는 관리자 계정입니다.
   
   
   
   
9. OK(확인)를 클릭하고 OK(확인)를 다시 클릭합니다.
   
   
   
   
10. Close(닫기) > Restart Now(지금 다시 시작)를 클릭하여 컴퓨터를 다시 시작합니다.
11. 컴퓨터가 다시 시작되면 다음 정보로 로그인합니다. 사용자 이름 = 관리자; 암호 = <도메인 암호>; 도메인 = 무선.
12. 시작을 클릭하고 컴퓨터를 마우스 오른쪽 단추로 클릭하고 속성을 선택한 다음 오른쪽 하단의 설정 변경을 선택하여 wireless.com 도메인에 있는지 확인합니다.
13. 다음 단계는 클라이언트가 서버에서 CA 인증서(신뢰)를 받았는지 확인하는 것입니다.
    
    
    
    
14. 시작을 클릭하고 mmc를 입력한 다음 Enter 키를 누릅니다.
15. 파일을 클릭하고 추가/제거 스냅인을 클릭합니다.
16. Certificates(인증서)를 선택하고 Add(추가)를 클릭합니다.
    
    
    
    
17. 컴퓨터 계정을 클릭하고 다음을 클릭합니다.
    
    
    
    
18. 로컬 컴퓨터를 클릭하고 다음을 클릭합니다.
    
    
    
    
19. 확인을 클릭합니다.
20. 인증서(로컬 컴퓨터) 및 신뢰할 수 있는 루트 인증 기관 폴더를 확장하고 인증서를 클릭합니다. 목록에서 무선 도메인 CA 인증서를 찾습니다. 이 예에서 CA 인증서를 wireless-WIN-MVZ9Z2UMNMS-CA라고 합니다. 
    
    
    
    
21. 도메인에 클라이언트를 더 추가하려면 이 절차를 반복합니다.

Microsoft Windows 2008 Server에 네트워크 정책 서버 설치

이 설정에서 NPS는 PEAP 인증을 사용하여 무선 클라이언트를 인증하는 RADIUS 서버로 사용됩니다. Microsoft Windows 2008 서버에 NPS를 설치하고 구성하려면 다음 단계를 완료하십시오.

1. 시작 > 서버 관리자를 클릭합니다.
   
   
   
   
2. Roles(역할) > Add Roles(역할 추가)를 클릭합니다.
   
   
   
   
3. Next(다음)를 클릭합니다.
   
   
   
   
4. 서비스 Network Policy and Access Services(네트워크 정책 및 액세스 서비스)를 선택하고 Next(다음)를 클릭합니다.
   
   
   
   
5. Introduction to Network Policy and Access Services(네트워크 정책 및 액세스 서비스 소개)를 검토하고 Next(다음)를 클릭합니다.
   
   
   
   
6. Network Policy Server를 선택하고 Next를 클릭합니다.
   
   
   
   
7. 확인을 검토하고 설치를 클릭합니다.
   
   
   
   설치가 완료되면 이와 유사한 화면이 표시됩니다.
   
   
   
   
8. 닫기를 클릭합니다.

인증서 설치

NPS용 컴퓨터 인증서를 설치하려면 다음 단계를 완료하십시오.

1. 시작을 클릭하고 mmc를 입력한 다음 Enter 키를 누릅니다.
2. 파일 > 스냅인 추가/제거를 클릭합니다.
3. Certificates(인증서)를 선택하고 Add(추가)를 클릭합니다.
   
   
   
   
4. 컴퓨터 계정을 선택하고 다음을 클릭합니다.
   
   
   
   
5. 로컬 컴퓨터를 선택하고 마침을 클릭합니다.
   
   
   
   
6. 확인을 클릭하여 MMC(Microsoft Management Console)로 돌아갑니다.
   
   
   
   
7. 인증서(로컬 컴퓨터) 및 개인 폴더를 확장하고 인증서를 클릭합니다.
   
   
   
   
8. CA 인증서 아래의 공백을 마우스 오른쪽 버튼으로 클릭하고 All Tasks(모든 작업) > Request New Certificate(새 인증서 요청)를 선택합니다.
   
   
   
   
9. Next(다음)를 클릭합니다.
   
   
   
   
10. Domain Controller를 선택하고 Enroll을 클릭합니다.
    
    
    
    
11. 인증서가 설치되면 Finish를 클릭합니다.
    
    
    
    NPS 인증서가 설치되었습니다. 
    
    
12. 인증서의 Intended Purpose(의도된 용도)가 Client Authentication(클라이언트 인증), Server Authentication(서버 인증)을 읽는지 확인합니다.
    
    

PEAP-MS-CHAP v2 인증을 위한 네트워크 정책 서버 서비스 구성

인증을 위해 NPS를 구성하려면 다음 단계를 완료합니다.

1. Start(시작) > Administrative Tools(관리 툴) > Network Policy Server(네트워크 정책 서버)를 클릭합니다.
2. NPS(로컬)를 마우스 오른쪽 단추로 클릭하고 Active Directory에서 서버 등록을 선택합니다.
   
   
   
   
3. 확인을 클릭합니다.
   
   
   
   
4. 확인을 클릭합니다.
   
   
   
   
5. NPS의 AAA(Authentication, Authorization, and Accounting) 클라이언트로 무선 LAN 컨트롤러를 추가합니다.
6. RADIUS Clients and Servers를 확장합니다. RADIUS Clients(RADIUS 클라이언트)를 마우스 오른쪽 버튼으로 클릭하고 New RADIUS Client(새 RADIUS 클라이언트)를 선택합니다.
   
   
   
   
7. WLC의 관리 IP 주소(이 예에서는 192.168.162.248)과 공유 암호를 입력합니다. 동일한 공유 암호를 사용하여 WLC를 구성합니다. 
   
   
   
   
8. 이전 화면으로 돌아가려면 확인을 클릭합니다.
   
   
   
   
9. 무선 사용자를 위한 새 네트워크 정책을 만듭니다. Policies(정책)를 확장하고 Network Policies(네트워크 정책)를 마우스 오른쪽 버튼으로 클릭한 다음 New(새로 만들기)를 선택합니다.
   
   
   
   
10. 이 규칙의 정책 이름(이 예에서는 Wireless PEAP)을 입력하고 Next를 클릭합니다.
    
    
    
    
11. 이 정책을 통해 무선 도메인 사용자만 허용하려면 다음 3가지 조건을 추가하고 Next(다음)를 클릭합니다.
    
    
• Windows 그룹 - 도메인 사용자
• NAS 포트 유형 - 무선 - IEEE 802.11
• 인증 유형 - EAP 
  
  
  
  
12. 이 정책과 일치하는 연결 시도를 부여하려면 Access granted를 클릭하고 Next를 클릭합니다.
    
    
    
    
13. Less secure authentication method(덜 안전한 인증 방법)에서 모든 인증 방법을 비활성화합니다.
    
    
    
    
14. Add(추가)를 클릭하고 PEAP를 선택한 다음 OK(확인)를 클릭하여 PEAP를 활성화합니다.
    
    
    
    
15. Microsoft 선택: PEAP(Protected EAP)를 클릭하고 Edit(수정)를 클릭합니다. 이전에 생성한 도메인 컨트롤러 인증서가 Certificate issued(인증서 발급) 드롭다운 목록에서 선택되었는지 확인하고 Ok(확인)를 클릭합니다.
    
    
    
    
16. Next(다음)를 클릭합니다.
    
    
    
    
17. Next(다음)를 클릭합니다.
    
    
    
    
18. Next(다음)를 클릭합니다.
    
    
    
    
19. 마침을 클릭합니다.
    
    

Active Directory에 사용자 추가

이 예에서는 사용자 데이터베이스가 Active Directory에서 유지 관리됩니다. Active Directory 데이터베이스에 사용자를 추가하려면 다음 단계를 완료하십시오.

1. Active Directory 사용자 및 컴퓨터를 엽니다. Start(시작) > Administrative Tools(관리 도구) > Active Directory Users and Computers(Active Directory 사용자 및 컴퓨터)를 클릭합니다.
2. Active Directory Users and Computers(Active Directory 사용자 및 컴퓨터) 콘솔 트리에서 도메인을 확장하고 Users(사용자) > New(새로 만들기)를 마우스 오른쪽 버튼으로 클릭한 다음 User(사용자)를 선택합니다.
3. 새 객체에서? 사용자 대화 상자에서 무선 사용자의 이름을 입력합니다. 이 예에서는 이름 필드에 Client1이라는 이름을 사용하고 사용자 로그온 이름 필드에 Client1을 사용합니다. Next(다음)를 클릭합니다.
   
   
   
   
4. 새 객체에서? 사용자 대화 상자의 비밀번호 및 비밀번호 확인 필드에 원하는 비밀번호를 입력합니다. User must change password at next logon(다음 로그온 시 사용자 암호 변경) 확인란의 선택을 취소하고 Next(다음)를 클릭합니다.
   
   
   
   
5. 새 객체에서? 사용자 대화 상자에서 마침을 클릭합니다.
   
   
   
   
6. 추가 사용자 계정을 생성하려면 2~4단계를 반복합니다.

무선 LAN 컨트롤러 및 LAP 구성

이 설정에 대한 무선 장치(무선 LAN 컨트롤러 및 LAPs)를 구성합니다.

RADIUS 인증을 위한 WLC 구성

NPS를 인증 서버로 사용하도록 WLC를 구성합니다. 사용자 자격 증명을 외부 RADIUS 서버로 전달하려면 WLC를 구성해야 합니다. 그런 다음 외부 RADIUS 서버가 사용자 자격 증명을 확인하고 무선 클라이언트에 대한 액세스를 제공합니다.

NPS를 RADIUS 서버로 추가하려면 Security(보안) > RADIUS Authentication(RADIUS 인증) 페이지에서 다음 단계를 수행합니다.

1. Security(보안) > RADIUS > Authentication(인증)을 컨트롤러 인터페이스에서 선택하여 RADIUS Authentication Servers(RADIUS 인증 서버) 페이지를 표시합니다. RADIUS 서버를 정의하려면 New(새로 만들기)를 클릭합니다.
   
   
   
   
2. RADIUS 서버 매개변수를 정의합니다. 이러한 매개변수에는 RADIUS 서버 IP 주소, 공유 암호, 포트 번호 및 서버 상태가 포함됩니다. Network User and Management(네트워크 사용자 및 관리) 확인란은 RADIUS 기반 인증이 관리 및 네트워크(무선) 사용자에게 적용되는지 결정합니다. 이 예에서는 IP 주소가 192.168.162.12인 RADIUS 서버로 NPS를 사용합니다. [적용]을 클릭합니다.
   
   

클라이언트에 대한 WLAN 구성

무선 클라이언트가 연결되는 서비스 세트 식별자(SSID)(WLAN)를 구성합니다. 이 예에서는 SSID를 생성하고 이름을 PEAP로 지정합니다.

클라이언트가 EAP 기반 인증(이 예에서는 PEAP-MS-CHAP v2)을 수행하고 고급 암호화 표준(AES)을 암호화 메커니즘으로 사용하도록 레이어 2 인증을 WPA2로 정의합니다. 다른 모든 값은 기본값으로 둡니다.

참고: 이 문서는 WLAN을 관리 인터페이스와 바인딩합니다. 네트워크에 여러 VLAN이 있는 경우 별도의 VLAN을 생성하여 SSID에 바인딩할 수 있습니다. WLC에서 VLAN을 구성하는 방법에 대한 자세한 내용은 Wireless LAN Controllers Configuration Example의 VLANs를 참조하십시오.

WLC에서 WLAN을 구성하려면 다음 단계를 완료합니다.

1. WLANs 페이지를 표시하려면 컨트롤러 인터페이스에서 WLANs를 클릭합니다. 이 페이지에는 컨트롤러에 있는 WLAN이 나열됩니다.
2. 새 WLAN을 생성하려면 New를 선택합니다. WLAN에 대한 WLAN ID 및 WLAN SSID를 입력하고 Apply(적용)를 클릭합니다.
   
   
   
   
3. 802.1x용 SSID를 구성하는 절차는 다음과 같습니다.
   1. General(일반) 탭을 클릭하고 WLAN을 활성화합니다.
      
      
      
      
   2. Security(보안) > Layer 2 탭을 클릭하고 Layer 2 보안을 WPA + WPA2로 설정하고 필요에 따라 WPA+WPA2 Parameters(예: WPA2 AES) 확인란을 선택한 다음 802.1x를 Authentication Key Management(인증 키 관리)로 클릭합니다.
      
      
      
      
   3. Security(보안) > AAA Servers(AAA 서버) 탭을 클릭하고 Server 1 드롭다운 목록에서 NPS의 IP 주소를 선택한 다음 Apply(적용)를 클릭합니다.
      
      

PEAP-MS-CHAP v2 인증을 위한 무선 클라이언트 구성

PEAP WLAN에 연결하기 위해 Windows Zero Config 도구를 사용하여 무선 클라이언트를 구성하려면 다음 단계를 완료합니다.

1. 작업 표시줄에서 네트워크 아이콘을 클릭합니다. PEAP SSID를 클릭하고 Connect를 클릭합니다.
   
   
   
   
2. 이제 클라이언트가 네트워크에 연결되어야 합니다. 
   
   
   
   
3. 연결이 실패하면 WLAN에 다시 연결해 보십시오. 문제가 계속되면 문제 해결 섹션을 참조하십시오.

다음을 확인합니다.

현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.

문제 해결

클라이언트가 WLAN에 연결하지 않은 경우 이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

802.1x 인증 실패를 진단하는 데 사용할 수 있는 두 가지 툴이 있습니다. debug client 명령 및 Windows의 이벤트 뷰어

WLC에서 클라이언트 디버깅을 수행하는 것은 리소스를 많이 사용하지 않으며 서비스를 손상시키지 않습니다. 디버그 세션을 시작하려면 WLC의 CLI(Command-Line Interface)를 열고 디버그 클라이언트 mac 주소를 입력합니다. 여기서 mac 주소는 연결할 수 없는 무선 클라이언트의 무선 MAC 주소입니다. 이 디버그가 실행되는 동안 클라이언트를 연결해 보십시오. WLC의 CLI에 다음 예와 유사한 출력이 있어야 합니다.

 

컨피그레이션 오류가 발생할 수 있는 문제의 예입니다. 여기서 WLC 디버그는 WLC가 인증 상태로 이동되었음을 표시하며, 이는 WLC가 NPS의 응답을 기다리고 있음을 의미합니다. 이는 일반적으로 WLC 또는 NPS의 공유 암호가 잘못되었기 때문입니다. Windows Server 이벤트 뷰어를 통해 확인할 수 있습니다. 로그를 찾지 못하면 요청이 NPS에 도달하지 않습니다.

WLC 디버깅에서 발견된 또 다른 예는 access-reject입니다. access-reject는 NPS가 클라이언트 자격 증명을 수신하고 거부했음을 나타냅니다. 다음은 액세스 거부를 수신하는 클라이언트의 예입니다.

액세스 거부가 표시되면 Windows Server 이벤트 로그의 로그를 확인하여 NPS가 액세스 거부를 사용하여 클라이언트에 응답한 이유를 확인합니다.

성공적인 인증에는 다음 예와 같이 클라이언트 디버그에 access-accept가 있습니다.

액세스 거부 및 응답 시간 제한을 해결하려면 RADIUS 서버에 액세스해야 합니다. WLC는 클라이언트와 RADIUS 서버 간에 EAP 메시지를 전달하는 인증자 역할을 합니다. 액세스 거부 또는 응답 시간 초과로 응답하는 RADIUS 서버를 RADIUS 서비스 제조업체에서 검사하고 진단해야 합니다.

참고: TAC에서는 서드파티 RADIUS 서버에 대한 기술 지원을 제공하지 않습니다. 그러나 RADIUS 서버의 로그는 일반적으로 클라이언트 요청이 거부되거나 무시된 이유를 설명합니다.

NPS의 액세스 거부 및 응답 시간 제한을 해결하려면 서버의 Windows 이벤트 뷰어에서 NPS 로그를 확인하십시오. 

1. 이벤트 뷰어를 시작하고 NPS 로그를 검토하려면 시작> 관리자 도구> 이벤트 뷰어를 클릭합니다.
2. Custom Views(사용자 지정 보기) > Server Roles(서버 역할) > Network Policy and Access(네트워크 정책 및 액세스)를 확장합니다.
   
   

이벤트 보기의 이 섹션에는 통과 및 실패 한 인증에 대한 로그가 있습니다. 이러한 로그를 검사하여 클라이언트가 인증을 통과하지 못하는 이유를 해결합니다. 통과 및 실패 한 인증 모두 정보 표시 됩니다. 로그를 스크롤하여 인증에 실패하고 WLC 디버그에 따라 액세스 거부를 받은 사용자 이름을 찾습니다.

다음은 사용자 액세스를 거부하는 NPS의 예입니다.

이벤트 뷰어에서 deny 문을 검토할 때 Authentication Details(인증 세부사항) 섹션을 검토합니다. 이 예에서는 잘못된 사용자 이름 때문에 NPS가 사용자 액세스를 거부했음을 확인할 수 있습니다.

NPS의 이벤트 보기는 WLC가 NPS로부터 응답을 받지 못할 경우 문제 해결을 지원합니다.  이는 일반적으로 NPS와 WLC 간의 잘못된 공유 암호로 인해 발생합니다.

이 예에서는 잘못된 공유 암호로 인해 WLC에서 요청을 무시합니다.

관련 정보

• 기술 지원 및 문서 − Cisco Systems

Revision History