HOWTO: Windows 2000에서 IIS 웹 인증 구성

작업 내용

요약
참조

요약

본 문서에서는 Microsoft Internet Information Services(IIS) 5.0에서 웹 기반 요청에 대한 인증을 구성하는 방법을 단계별로 설명합니다.

웹 인증 작동 방법

웹 인증은 웹 브라우저와 웹 서버 간의 통신으로, 몇 가지 HTTP(Hyper Text Transfer Protocol) 헤더와 오류 메시지를 포함합니다.

통신의 흐름은 다음과 같습니다.

웹 브라우저가 요청(예: HTTP GET)을 합니다.
웹 서버는 인증 검사를 수행합니다. 인증이 필요하기 때문에 인증 검사에 실패한 경우 서버는 다음과 같은 오류 메시지를 다시 보냅니다.

이 페이지를 볼 수 있도록 승인되지 않았습니다.

제공한 자격 증명을 사용하여 이 디렉터리 또는 페이지를 볼 수 있는 권한이 없습니다.

이 메시지에 포함된 정보는 웹 서버에서 요청을 인증된 요청으로 다시 전송하는 데 사용할 수 있습니다.
웹 브라우저는 서버의 응답을 사용하여 인증 정보가 포함된 새로운 요청을 구성합니다.
웹 서버는 인증 검사를 수행합니다. 검사에 성공하면 웹 서버는 초기에 요청한 데이터를 웹 브라우저에 보냅니다.

인증 방법

참고: 다음 인증 방법 중 일부는 NTFS 파일 시스템으로 포맷된 드라이브를 사용해야 하는데, 이는 NTFS 포맷 드라이브가 가장 높은 수준의 보안을 유지하기 때문입니다.

IIS는 다음과 같은 다섯 가지 웹 인증 방법을 지원합니다.

익명 인증

IIS는 IUSR_computername 계정(여기서 computername은 컴퓨터 이름입니다)을 만들어 익명 사용자가 웹 콘텐트를 요청하면 해당 사용자를 인증합니다. 이 계정으로 사용자는 로컬에서 로그온할 수 있습니다. 익명 사용자 액세스에서 유효한 Windows 계정을 사용하도록 다시 설정할 수도 있습니다.

참고: 다른 웹 사이트, 가상 또는 실제 디렉터리 및 파일에 대해 다른 익명 계정을 설정할 수 있습니다.

Windows 2000 기반 컴퓨터가 독립 실행형 서버인 경우 IUSR_computername 계정은 로컬 서버에 있습니다. 서버가 도메인 컨트롤러인 경우 IUSR_computername 계정은 도메인에 대해 정의됩니다.

기본 인증

NTFS으로 포맷된 웹 서버에서 파일 액세스를 제한하기 위해 기본 인증을 사용할 수 있습니다. 기본 인증이 있는 상태에서 사용자는 반드시 자격 증명을 입력해야 하며 액세스는 사용자 ID를 기반으로 이루어집니다.

기본 인증을 사용하려면 사용자마다 로컬로 로그온하여 관리 작업을 손쉽게 수행할 수 있는 권한을 부여하고 이들을 필요한 파일에 액세스할 수 있는 그룹에 추가합니다.

참고: 사용자 자격 증명은 Base64 인코딩으로 인코드되지만 네트워크를 통해 전송될 때 암호화되지 않기 때문에 기본 인증은 안전하지 못한 인증 형식으로 간주됩니다.

Windows 통합 인증

Windows 통합 인증은 기본 인증보다 안전하며 사용자가 Windows 도메인 계정을 갖는 인트라넷 환경에 더욱 적합합니다. Windows 통합 인증에서 브라우저는 도메인 로그온에서 현재 사용자의 자격 증명을 사용하려 시도하고, 실패할 경우 사용자 이름과 암호를 입력하라는 메시지가 나타납니다. Windows 통합 인증을 사용하면 사용자 암호를 서버로 전송되지 않습니다. 사용자가 로컬 컴퓨터에 도메인 사용자로 로그온하는 경우 해당 도메인의 네트워크 컴퓨터에 액세스할 때 다시 인증을 거칠 필요가 없습니다.

참고: 프록시 서버에서는 Windows 통합 인증을 사용할 수 없습니다.

다이제스트 인증

다이제스트 인증은 기본 인증의 취약점 대부분을 해결합니다. 다이제스트 인증을 사용하면 암호는 일반 텍스트로 보내지지 않습니다. 뿐만 아니라 다이제스트 인증은 프록시 서버를 통해 사용할 수 있습니다. 다이제스트 인증은 암호화된 형태로 암호를 보내는 Windows 통합 인증처럼 Challenge/Response 메커니즘을 사용합니다. 다이제스트 인증을 사용하려면:

Windows 2000 기반 서버가 도메인에 있어야 합니다.
IISSuba.dll 파일은 도메인 컨트롤러에 설치해야 합니다. 이 파일은 Windows 2000 Server를 설치하는 동안 자동으로 복사됩니다.
사용자 계정은 가역 암호화를 사용하여 암호를 저장합니다 계정 옵션을 설정한 상태로 구성해야 합니다. 이 계정 옵션을 사용하면 암호를 다시 설정하거나 다시 입력해야 합니다.

참고: 다이제스트 인증을 사용하는 경우 Microsoft Internet Explorer 5.0 이상을 웹 브라우저로 사용해야 합니다.

클라이언트 인증서 매핑

클라이언트 인증서 매핑은 인증서와 사용자 계정 간에 "매핑"을 만드는 방법입니다. 이 모델에서 사용자가 인증서를 제시하면 시스템은 어떤 사용자 계정을 로그온해야 하는지 결정하기 위해 매핑을 확인합니다. Windows 사용자 계정에 인증서를 매핑하려면 다음 두 가지 방법 중 하나를 수행하면 됩니다.

Active Directory를 사용합니다.

또는
IIS에 정의된 규칙을 사용합니다.

사용자 계정에 클라이언트 인증서를 매핑하는 방법에 대한 자세한 내용은 IIS 설명서에서 클라이언트 인증서 매핑을 검색하십시오. IIS가 설치되어 있는 경우 웹 브라우저의 주소 표시줄에 다음 URL을 입력하면 IIS 설명서를 볼 수 있습니다. 여기서 localhost는 로컬 호스트의 이름입니다.

http://localhost/iisHelp/iis/misc/default.asp인증서를 사용하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

290625 Certificate Server 2.0을 사용하여 Windows 2000 IIS 5.0 테스트 환경에서 SSL을 구성하는 방법각 인증 방법을 구성하여 IIS 서버의 다음 항목에 대한 액세스를 제어할 수 있습니다.

IIS 서버에서 호스트되는 모든 웹 컨텐트
IIS 서버에서 호스트되는 개별 웹 사이트
웹 사이트에 있는 개별 가상 또는 실제 디렉터리
웹 사이트에 있는 개별 페이지 또는 파일

IIS 웹 사이트 인증 구성 방법

관리자 계정을 사용하여 웹 서버 컴퓨터에 로그온합니다.
시작을 누르고 프로그램, 관리 도구를 차례로 가리킨 다음 인터넷 서비스 관리자를 누릅니다.

인터넷 정보 서비스 스냅인이 시작됩니다.
콘솔 트리에서 다음을 누릅니다. * computer name 여기서 computer name은 컴퓨터의 이름입니다.
다음 항목 중 하나를 마우스 오른쪽 단추로 누른 다음 등록 정보를 누릅니다.
- IIS 서버에서 호스트되는 모든 웹 컨텐트에 대한 인증을 구성하려면 다음을 마우스 오른쪽 단추로 누릅니다. * computer name.
- 개별 웹 사이트에 대한 인증을 구성하려면 원하는 웹 사이트를 마우스 오른쪽 단추로 누릅니다.
- 웹 사이트의 가상 또는 실제 디렉터리에 대한 인증을 구성하려면 해당 웹 사이트를 누른 다음 _vti_pvt 같이 원하는 디렉터리를 마우스 오른쪽 단추로 누릅니다.
- 웹 사이트의 개별 페이지 또는 파일에 대한 인증을 구성하려면 해당 웹 사이트를 누르고 원하는 파일 또는 페이지가 들어 있는 폴더를 누른 후 해당 파일 또는 페이지를 마우스 오른쪽 단추로 누릅니다.
Item Name 등록 정보 대화 상자(여기서 Item Name은 선택한 항목 이름)에서 디렉터리 보안 탭을 누릅니다.

참고: 선택한 항목이 개별 파일이면 파일 보안 탭을 누릅니다.
인증 및 액세스 제어에서 편집을 누릅니다.
익명 액세스 확인란을 선택하여 익명 액세스를 사용합니다. 익명 액세스를 사용하지 않으려면 이 확인란의 선택을 취소합니다.

참고: 익명 액세스를 사용하지 않는 경우 몇 가지 형식의 인증된 액세스를 구성해야 합니다.
1. 이 리소스에 대한 익명 액세스에 사용되는 계정을 변경하려면 익명 액세스에 사용하는 계정 옆에 있는 편집을 누릅니다.
2. 익명 사용자 계정 대화 상자에서 익명 액세스에 사용할 사용자 계정을 누릅니다.
3. 사용자 인증을 위해 Windows LogonUser() 응용 프로그래밍 인터페이스(API)를 사용하는 경우 IIS에서 암호를 제어할 수 있음 확인란의 선택을 취소합니다.
  
  참고: 이 암호 제어 옵션을 끄면 IIS는 강제로 일반 인증을 사용하며 로컬로 계정에 로그온합니다. 사용자가 네트워크 컴퓨터에 있는 파일이나 Microsoft Access 데이터베이스 같은 리소스에 액세스하는 데 문제가 있는 경우 이 옵션을 해제해야 합니다.
4. 확인을 누릅니다.
인증된 액세스에서 기본 인증(암호를 일반 텍스트로 보냄) 확인란을 선택하여 기본 인증을 사용합니다. 다음과 같은 메시지가 나타나면 예를 누릅니다.

선택한 인증 옵션은 데이터를 암호화하지 않고 네트워크를 통해 암호를 전송합니다. 시스템 보안을 해치려는 누군가가 인증 과정에서 프로토콜 분석기를 사용하여 인증에 사용되는 사용자 암호를 알아낼 수 있습니다. 사용자 인증에 대한 자세한 사항은 온라인 도움말을 참조하십시오. 이 경고는 HTTPS(또는 SSL) 연결에는 적용되지 않습니다.

계속하시겠습니까?
1. 기본 인증을 사용하여 사용자를 인증할 도메인을 선택하려면 기본 도메인 선택 옆에 있는 편집을 누릅니다.
2. 도메인 이름 상자에 원하는 도메인 이름을 입력한 다음 확인을 누릅니다.
다이제스트 인증을 사용하려면 Windows 도메인 서버의 다이제스트 인증 확인란을 선택합니다. 다음 메시지가 나타나면 예를 누릅니다.

다이제스트 인증은 Windows 2000 도메인 계정에서만 작동하고 암호를 암호화된 일반 텍스트로 저장할 계정이 필요합니다.

계속하시겠습니까?참고: 사용자 계정은 가역 암호화를 사용하여 암호를 저장합니다 계정 옵션을 설정한 상태로 구성해야 합니다.
Windows 통합 인증을 사용하려면 Windows 통합 인증 확인란을 선택합니다.

참고: 이전에는 이 인증 방법을 Microsoft Windows NT Challenge/Response 또는 NTLM(NT LAN Manager)이라고 했습니다.
확인을 누른 다음 Item Name 등록 정보 대화 상자에서 확인을 누릅니다. 상속 무시 대화 상자가 나타날 수 있습니다.
1. 새 인증 설정을 사용자가 변경한 항목 내에 있는 모든 파일이나 폴더에 적용하려면 모두 선택을 누릅니다.
2. 확인을 누릅니다.
인터넷 정보 서비스를 종료합니다.

참조

자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

297954 HOW TO: Windows 2000에서 웹 서버 문제를 해결하는 방법

299970 HOWTO: NTFS 보안 기능을 사용하여 IIS 4.0 또는 5.0에서 실행되고 있는 웹 페이지 보호

216705 IIS에 있는 FrontPage 웹에서의 권한 설정 방법

222028 Information Services 5.0에 사용할 다이제스트 인증 설정

158229 INFO: IIS 응용 프로그램의 보안 효과

Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.