Windows 인증 체계
sm1252sp1kkr
IWA(Windows 통합 인증)는 Microsoft가 순수한 Windows 환경에서 사용자의 유효성을 검사하기 위해 개발한 전용 메커니즘입니다. 정책 서버에서 사용 가능한 Windows 인증 체계는 Microsoft Windows 통합 인증 인프라가 획득하는 사용자 자격 증명을 처리하여 리소스를 보호합니다.
제품의 이전 버전에서는 NTLM 인증 체계를 통해 Windows 인증을 지원했습니다. 그러나 이러한 지원은 NT 도메인을 사용하는 환경이나 Active Directory 서비스가 혼합 모드에서 레거시 NT 도메인을 지원하도록 구성된 환경으로 제한되었습니다.
Windows 인증 체계는 네이티브 모드에서 실행되는 Active Directory를 사용한 배포에서 액세스 제어를 제공합니다. 이 체계는 또한 NTLM 인증을 지원하도록 구성된 Active Directory도 지원합니다. Windows 인증 체계는 제품의 NTLM 인증 체계를 대체합니다. 기존 NTLM 인증 체계도 계속 지원되며 새 Windows 인증 체계를 사용하여 구성할 수 있습니다.
참고:
일부 경우에는 Windows 인증 체계를 사용하는 대신 Windows 사용자 보안 컨텍스트 기능과 다른 인증 체계를 함께 사용하는 것이 좋습니다.Windows 인증 체계는 IIS 웹 서버의 웹 에이전트가 보호하는 리소스에 사용됩니다. 이 경우 사용자는 Internet Explorer 웹 브라우저를 사용하여 리소스에 액세스합니다. 이 체계를 사용하려면 IIS 웹 서버가 사용자 자격 증명을 받아 확인할 수 있도록 올바르게 구성되어 있어야 합니다. 정책 서버는 IIS 서버에 의해 어설션될 때 사용자 아이덴티티를 기초로 권한 부여를 결정합니다.
Windows 인증 사전 요구 사항을 충족하는지 확인
Windows 인증 체계를 구성하기 전에 다음 사전 요구 사항을 충족하는지 확인하십시오.
- 혼합 모드의 레거시 WinNT 디렉터리 또는 Active Directory가 다음 조건을 충족하는지 확인합니다.
- 관리 UI에서 생성한 사용자 디렉터리 연결에 WinNT 네임스페이스가 지정되어 있습니다.
- 요청된 리소스는 어떤 유형의 웹 서버에 있든 관계없습니다. 하지만 이러한 리소스를 보호하는 인증 서버와 웹 에이전트는 Microsoft IIS 웹 서버에 있어야 합니다.
- 네이티브 모드에서 실행되는 Active Directory가 다음 조건을 충족하는지 확인합니다.
- 사용자 데이터가 Active Directory에 있습니다.
- 사용자 디렉터리 연결에 LDAP 또는 AD 네임스페이스가 지정되어 있어야 합니다.
- 요청된 리소스는 어떤 유형의 웹 서버에 있든 관계없습니다. 하지만 이러한 리소스를 보호하는 인증 서버와 웹 에이전트는 Microsoft IIS 웹 서버에 있어야 합니다.
- 클라이언트 및 서버 계정을 위임할 수 있습니다.
- 사용자는 Windows 자격 증명 전달을 지원하며 이러한 자격 증명을 자동으로 전달하도록 올바로 구성된 브라우저를 사용해야 합니다.
- Windows의 IIS에서 작업하려는 경우 "와일드카드 응용 프로그램 매핑"의 "파일이 있는지 확인" 옵션이 설정되어 있지 않아야 합니다.
- 또한 Windows 인증 체계에서는 creds.ntc 파일이 포함된 IIS 웹 서버의 모든 가상 디렉터리를 보호되지 않은 상태로 두어야 합니다.
- 사용자의 현재 사용자 이름 및 암호를 사용하여 자동으로 로그온하도록 Internet Explorer 브라우저 옵션이 구성되어 있습니다.
Windows 인증 체계 구성
Windows 환경에서 사용자를 인증하려면 Windows 인증 체계를 사용하십시오.
참고:
정책 서버가 아닌 IIS 웹 서버는 Internet Explorer 웹 브라우저에서 받은 자격 증명을 기반으로 인증을 수행합니다. 따라서 OnAuthAttempt 인증 이벤트를 사용하여 사용자 저장소에 없는 사용자를 리디렉션할 수 없습니다.참고:
다음 절차에서는 개체를 생성하고 있다고 가정합니다. 기존 개체의 속성을 복사하여 개체를 생성할 수도 있습니다. 자세한 내용은 "정책 서버 개체 복제"를 참조하십시오.다음 단계를 수행하십시오.
- "인프라", "인증"을 차례로 클릭합니다.
- "인증 체계"를 클릭합니다.
- "인증 체계 만들기"를 클릭합니다."인증 체계 유형의 새 개체 만들기"가 선택되어 있는지 확인합니다.
- "확인"을 클릭합니다.
- 이름 및 보호 수준을 입력합니다.
- "인증 체계 유형" 목록에서 "Windows 인증 템플릿"을 선택합니다.
- "서버 이름", "대상" 및 "사용자 DN" 정보를 입력합니다. 사용자 환경에 NT 챌린지/응답 인증이 필요한 경우 에이전트 소유자에게서 다음의 값을 가져옵니다.
- 서버 이름IIS 웹 서버의 정규화된 도메인 이름입니다(예: server1.myorg.com).
- 대상/siteminderagent/ntlm/smntlm.ntc참고:디렉터리는 설치 환경에서 이미 구성된 가상 디렉터리와 일치해야 합니다. 대상 파일인 smntlm.ntc는 없어도 되며 .ntc로 끝나는 모든 이름이나 기본값 대신 사용하는 사용자 지정 MIME 유형일 수 있습니다.
- 사용자 DN 조회cn=%{UID},cn=users,dc=%{DOMAIN},dc=com라이브러리
- smauthntlm
- 제출을 클릭합니다.인증 체계가 저장되고 이를 영역에 할당할 수 있습니다.