Книги, научные публикации
Pages: | 1 | ... | 4 | 5 | 6 | 7 | 8 | ... | 13 | Internetworking Guide Microsoft Windows 2000 Server R Microsoft Press Межсетевое взаимодействие Microsof Windows 2000 Server ...
-- [ Страница 6 ] --Если диапазон адресов статического пула относится к другой подсети, нужно либо включить соответствующий протокол маршрутизации па сервере удаленного дос тупа, либо добавить маршруты, соответствующие диапазонам IP-адресов, на марш рутизаторы Вашей интрасети. Подробнее см. раздел Выделение адресов из диапа зона внутри или вне подсети ранее в этой главе.
Удаленный доступ 262 ЧАСТЬ Назначение адресов DNS- и WINS-серверов В IPCP-процессе согласования сервер удаленного доступа назначает IP-адреса DNS- и WINS-серверов. Какой именно набор IP-адресов этих серверов будет на значен клиенту удаленного доступа, зависит от следующих факторов:
Х запрещено ли присвоение IP-адресов DNS- и WINS-серверов;
Х настраиваются ли IP-адреса этих серверов для клиентов удаленного доступа гло бально Ч с использованием данных, хранящихся в реестре;
Х имеется ли на сервере удаленного доступа более одного LAN-интерфейса;
Х настраиваются ли IP-адреса DNS- и WINS-серверов для сервера удаленного до ступа статически или назначаются динамически через DHCP, Запрещение присвоения IP-адресов DNS- и WINS-серверов Если Вы не хотите, чтобы сервер удаленного доступа назначал IP-адреса DNS- и WINS-серверов, присвойте значение 1 параметрам SuppressDNSNameServers и SuppressWINSNameServers в разделе реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services \RemoteAccess\Parameters\Ip Настройка глобального присвоения IP-адресов DNS- н WINS-серверов Чтобы глобально настроить IP-адреса DNS- и WINS-серверов для клиентов уда ленного доступа, укажите нужные IP-адреса в параметрах DNSNameServers и WINSNameServers в разделе реестра:
HKEY_LOCAL_MACHINE\Systeni\CurrentControlSet\Sen4ces \RemoteAccess\Parameters\Ip Несколько LAN-интерфейсов Если назначение IP-адресов DNS- и WINS-серверов не запрещено и они не настра иваются глобально, сервер удаленного доступа присваивает клиентам удаленного доступа IP-адреса DNS- и WINS-серверов, достижимые через LAN-интерфейс сер вера RAS. Если на сервере удаленного доступа только один LAN-интерфейс (ти пичная конфигурация), сервер назначает клиентам IP-адреса DNS- и WINS-серве ров, доступные через этот LAN-интерфейс. Если же таких интерфейсов несколько, нужно указать какой-то один из них.
При наличии нескольких LAN-интерфейсов (типичная конфигурация для VPN-сер веров удаленного доступа) служба маршрутизации и удаленного доступа случай ным образом выбирает один из них при запуске, и тогда сервер удаленного доступа назначает клиентам IP-адреса DNS- и WINS-серверов, достижимых через выбран ный LAN-интерфейс. Если Вы хотите самостоятельно выбрать нужный LAN-интер фейс, запустите оснастку Routing and Remote Access (Маршрутизация и удаленный доступ), откройте окно свойств сервера удаленного доступа, перейдите на вкладку IP и укажите требуемый интерфейс. По умолчанию выбирается Allow RAS to select adapter.
Статическая настройка и конфигурирование через DHCP После того как LAN-адаптер для назначения IP-адресов DNS- и WINS-серверов определен, происходит следующее.
Сервер удаленного доступа ГЛАВА Х Если LAN-адаптер имеет статическую конфигурацию IP, клиентам удаленного доступа выделяются IP-адреса статически настроенных DNS- и WINS-серверов.
Х Если LAN-адаптер получает параметры конфигурации IP через DHCP, клиен там удаленного доступа выделяются IP-адреса DNS- и WINS-сериеров, получен ные от DHCP-сервера.
Как сервер удаленного доступа определяет набор IP-адресов DNS- и WINS-серве ров для выделения клиентам удаленного доступа в IPCP-пропессе согласования, показано на рис. 7-14.
Начало Hei Нет HIM Запрещено ли Указаны ли Существует ли назначение в реестре IP-адреса более одного IP-адресов DNS- LAN-интерфейса?
DNS- и WINS серверов?
и WINS-серверов?
Не назначать Назначить Да IP-адреса DNS- IP-адреса DNS- Выбран ли и WINS-серверов и WINS-сераеров, какой-нибудь указанные в реестре LAN-интерфейс?
Иг:
Выбрать один из LAN-интерфейсов случайным образом Назначить статически Нет-Ч-<Г У заданные IP-адреса Имеется ли | DNS-и WINS-серверов интерфейс, использующий I DHCP?
Да Назначить IP-адреса DNS-и WINS-серверов, полученные через DHCP Рис. 7-14. Определение IP-адресов DNS- и WINS-серверов ЧДСТЬ 2 Удаленный доступ Изменение IP-адресов DNS- и lA/INS-серверов, назначенных в IPCP-процессе согласования, с помощью DHCPInform По окончании ТРСР-процесса согласования клиенты удаленного доступа под уп равлением Windows 98 и Windows 2000 посылают серверу удаленного доступа со общение DHCPInform, Это DHCP-сообщение используется DHCP-клиентами для получения параметров DHCP. РРР-клиенты удаленного доступа не используют DHCP для получения адресов, но, если они работают под управлением Windows или Windows 2000, то получают IP-адреса DNS- и WINS-серверов, а также домен ное DNS-имя, посылая сообщение DHCPInform после IPCP-согласования.
Сообщение DHCPInform, полученное сервером удаленного доступа, пересылается на DHCP-сервер. Однако для этого на сервере удаленного доступа должен быть установлен агент ретрансляции DHCP, о котором будет рассказано в следующем разделе. Ответ на сообщение DHCPlnfonii пересылается обратно запрашивающе му клиенту.
Если в ответе DHCPInform содержатся параметры, указывающие IP-адреса DNS и WINS-серверов. новые адреса заменяют полученные в ТРСР-продессе согласова ния. Если клиент удаленного доступа работает под управлением Windows 2000 и в ответе DHCPInform указывается доменное DNS-имя, это имя используется в каче стве DNS-суффикса для конкретного адаптера при подключении клиента удален ного доступа. Подробнее о DNS-суффиксах ем. главу 6 DNS в Windows 2000 в книге Сети TCP/IP из серии Ресурсы Microsoft Windows 2000 Server.
Сервер удаленного доступа и агент ретрансляции DHCP Для подержки пересылки сообщений DUCPInform между клиентами удаленного доступа и DHCP-серверами на сервере удаленного доступа должен быть установ лен DHCP Relay Agent (Агент ретрансляции DHCP) Ч один из компонентов служ бы маршрутизации и удаленного доступа в Windows 2000. Чтобы настроить сервер удаленного доступа на использование: агента ретрансляции DHCP, в оснастке Routing and Remote Access раскройте узел IP Routing (IP-маршрутизация), укажи те DHCP Relay Agent (Агент DHCP-ретрансляции) и добавьте интерфейс Internal (Внутренний).
Если сервер удаленного доступа для получения IP-адресов, выделяемых клиентам удаленного доступа, использует DHCP, значит, для пересылки сообщений DHCPIn form между клиентами и DHCP-еервером, доступным через выбранный LAN-ин терфейс, используется агент ретрансляции DHCP. Это можно проверить на вклад ке IP в свойствах сервера удаленного доступа.
Если же сервер удаленного доступа для выделения IP-адресов клиентам использу ет статический пул IP-адресов, то для агента ретрансляции DHCP нужно указать IP-адрес хотя бы одного DHCP-сервера. Иначе сообщения DHCPInform, посылае мые клиентами удаленного доступа, будут молча отбрасываться.
IPX Для настройки IPX-клиента удаленного доступа в IPXCP-процсссе согласования сервер удаленного доступа присваивает ему номера IPX-сети и IPX-узла, Правила присвоения номера IPX-сети определяются параметрами на вкладке IPX (IPX) Сервер удаленного доступа ГЛАВА 7 окна свойств сервера удаленного доступа в оснастке Routing and Remote Access.
Ниже перечислены основные возможности настройки IPX.
Х Номера IPX-сетей для клиентов удаленного доступа присваиваются автомати чески или задаются администратором как диапазон. При автоматическом при своении номеров IPX-сетей сервер удаленного доступа должен убедиться, что данный номер не используется в межсетевой ТРХ-среде, и для этого посылает через все свои LAN-интерфейсы RIP-пакст GelLocalTarget. Если на RIP-заирос Get Local Target приходит ответ, значит, данный помер IPX-сети уже занят, и сер вер выбирает другой номер.
Х Всем клиентам удаленного доступа может быть присвоен один и тот же номер IPX-сет и, Х Клиенты удаленного доступа могут запрашивать определенные номера 1РХ-у. тов.
Если Вы хотите задать первый из номеров IPX-узлов, выделяемых клиентам уда ленного доступа, укажите его в виде 12-разрядного шестнадцатиричного числа в параметре FirstWanNode (тип REG_SZ), добавив его в раздел реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services \RemoteAccess\Parameters\Ipx Следующий IPX-клиент получит помер узла, увеличенный на 1, и т. д. Если в реес тре нет параметра FirstWanNode, клиент удаленного доступа, не требующий опреде ленного номера IPX-узла, получаст случайный номер в форме Qx2E-xx-xx-xx-xx-xx.
Политика удаленного доступа В Windows 2000 соединения удаленного доступа принимаются на основе парамет ров входящих звонков в свойствах пользовательской учетной записи и политиках удаленного доступа. Политика удаленного доступа Ч это набор условий и парамет ров соединения, определяющих характеристики входящих подключений и налага емый на них набор ограничений. Политики удаленного доступа позволяют давать разрешения на подключения, исходя из времени суток, дня недели, принадлежнос ти звонящего к той или иной группе Windows 2000, типа клиента удаленной.' дос тупа (соединение по коммутируемой линии или через VPN) и т.д. Политики уда ленного доступа используются и для ограничения значений таких параметров со единения, как максимальная длительность сеанса, время простоя до разрыва соеди нения, допустимые методы аутентификации, способы шифрования тт др.
Если определено сразу несколько политик удаленного доступа, к разным клиентам удаленного доступа применяются разные наборы условий, либо требования к од ному клиенту зависят от параметров соединения. Несколько политик удаленного доступа используется, например, чтобы:
Х разрешить или запретить соединения, если учетная запись пользователя отно сится к определенной группе;
Х определить расписание доступа для разных учетных записей в зависимости от принадлежности к той или иной группе:
Х применять разные методы аутентификации для клиентов удаленного доступа, подключающихся по коммутируемой линии и через VPN;
Удаленный доступ 26В ЧАСТЬ Х настроить разные параметры аутентификации и шифрования для РРТР- и Ь2ТР-соединений;
Х задать длительность сеансов для разных учетных записей на основе принадлеж ности к той или иной группе;
Х посылать клиенту RADIUS атрибуты RADIUS, специфичные для конкретного сервера доступа к сети (network access server, NAS).
Если у Вас несколько серверов удаленного доступа Windows 2000 или VPN-серве ров и Вы хотите, чтобы все они авторизовали входящие соединения по централи зованному набору политик удаленного доступа, нужно установить на каком-нибудь компьютере Windows 2000 и Internet Authentication Service (IAS) (Служба провер ки подлинности в Интернете). Затем следует настроить все серверы удаленного доступа или VPN-серверы на использование сервера IAS в качестве клиентов RADIUS.
Подробнее о политиках удаленного доступа, в том числе о типичных примерах та ких политик, см. справочную систему Windows 2000 Server.
Обработка запроса на соединение При обработке запроса на соединение его параметры сравниваются с именем поль зователя, паролем, параметрами входящих звонков в свойствах пользовательской учетной записи и в действующих политиках удаленного доступа.
Общая схема обработки запроса на соединение представлена ниже.
Х Если в запросе указано неправильное имя или пароль пользователя, запрос от клоняется.
Х Если не определена ни одна политика удаленного доступа, все запросы на со единение отклоняются.
Х Если параметры запроса не соответствуют хотя бы одной политике удаленного доступа, запрос отклоняется.
Х Если в параметрах входящих звонков в свойствах учетной записи пользователя выбран переключатель Deny Access (Запретить доступ), запросы данного поль зователя на удаленное соединение всегда отклоняются.
Х Запрос на соединение принимается, если его параметры отвечают всем услови ям политики удаленного доступа, если данному пользователю разрешен удален ный доступ (либо в свойствах учетной записи, либо в политике удаленного дос тупа) и если параметры запроса соответствуют параметрам входящих звонков (либо в свойствах учетной записи, либо в политике удаленного доступа).
Пример обработки запроса на соединение с использованием параметров входящих звонков в свойствах учетной записи и политик удаленного доступа показан на рис. 7-15. Здесь предполагается, что имя и пароль пользователя, переданные в про цессе аутентификации, соответствуют действительной учетной записи, Сервер удаленного доступа ГЛАВА Начала - Отклонить запрос Определены ли на соединение какие-нибудь политика Да удаленного доступа?
S\ Перейти к следующей Соответствуют ли Т политике параметры запроса условиям данной Да политики?
Запрещен ли Т Разрешен ли Запрещен ли Y удаленный удаленный удаленный да доступ jа доступ доступ да свойствах is в свойствах в данной учетной записи? учетной записи? политике?
Щ Отклонить 1 Отклонить запрос запрос на соединение на соединение 'W Отклонить ^ % "Х,Х НбТ запрос Соответствуют ли Т на соединение параметры запроса параметрам объекта пользователя и профиля?
Принять запрос на соединение Рис. 7-15. Обработка запроса на соединение Проблемы с политиками удаленного доступа Распространенная проблема, возникающая при использовании политик удаленно го доступа, Ч отказ в соединении, когда оно должно было бы быть принято. Если у Вас появились какие-нибудь сомнения, проверьте параметры запроса на соедине ние, параметры входящих звонков в свойствах учетной записи пользователя и по литиках удаленного доступа, придерживаясь схемы на рис. 7-15. При наличии не Удаленный доступ 268 ЧАСТЬ скольких политик удаленного доступа поиск причины отказа в соединении может занять очень много времени.
Если у Вас несколько политик удаленного доступа и Бы хотите определить, какая из них приводит к отказу в соединении, включите запись запросов на проверку подлинности (аутентификацию) в свойствах локального файла журнала удаленно го доступа;
для этого в оснастке Routing and Remote Access укажите папку Remote Access Logging (Ведение журнала удаленного доступа), щелкните правой кнопкой мыши нужный локальный файл и выберите команду Properties (Свойства). Запи санные в журнале запросы на аутентификацию содержат имя политики удаленно го доступа, приводящей к приему или отклонению соединения.
Multilink и ВАР Средства удаленного доступа в Windows 2000 поддерживают РРР-протоколы МР (Multilink Protocol). BAP (Bandwidth A l l o c a t i o n Protocol) и ВАСР (Bandwidth Allocation Control Protocol).
Х МР позволяет объединять несколько физических каналов в один логический канал, но которому передаются и принимаются данные.
Х ВАР Ч это управляющий протокол РРР, используемый для динамического до бавления или удаления дополнительных каналов к МР-соединению.
Х ВАСР Ч это РРР-протокол NCP, выбирающий предпочтительную сторону РРР соединепия в том случае, если обе стороны пытаются одновременно добавить или удалить канал.
Каждый из этих протоколов подробно рассматривается в следующих разделах.
РРР-протокол МР РРР-протокол МР ( M u l t i l i n k Protocol) определен в RFC 1990 и используется для объединения нескольких физических каналов в один логический. Один из приме ров его применения Ч объединение двух В-каналов соединения ISDN BRI (Basle Rate Interface). MP фрагментирует, формирует последовательности и переупорядо чивает пакеты, посылаемые по нескольким физическим каналам, так чтобы создать R результате один логический канал с полосой пропускания, равной сумме полос пропускания всех физических каналов. МР рекомендуется для объединения не скольких В-каналов BRI-соединения, поскольку аппаратная поддержка такого объединения может быть специфична для конкретного адаптера ISDN. МР должен поддерживаться обеими сторонами соединения.
Структура МР-кадра показана на рис. 7-16. Полезной нагрузкой такого пакета яв ляется РРР-кадр или его фрагмент. Фрагментация средствами Multilink не нужна, если размер МР-пакета меньше значения MRU данного канала. Чтобы не допус тить неправильного порядка следования дейтаграмм или фрагментов по несколь ким физическим каналам, между полем РРР-протокола и IP-дейтаграммой исполь зуются дополнительные поля. РРР-идентификатор протокола МР Ч Ox003D.
В RFC 1717 определено два формата пакета Ч с короткими и длинными номерами последовательностей. Эти номера используются для предотвращения неправильно го порядка кадров, посылаемых по нескольким каналам, а не для формирования последовательности фрагментов.
ГЛАВА 7 Сервер удаленного доступа Пакет с коротким номером Пакет с длинным номером последовательности последовательности Флаг Флаг VT Адрес Адрес FF Управление Управление Протокол Протокол 00 3D Разделитель/номер последовательности Разделитель Номер последовательности Данные фрагмента Данные фрагмента FCS Флаг FI Флаг = 1 байт Рис. 7-16. РРР-протокол Multilink В случае формата с короткими номерами последовательностей двухбайтовое поле разделителя/номера последовательности состоит из четырех битов отграничения и 1 2 битов номера последовательности. Внутри поля разделителя содержится два битовых флага. Первый (бит начала) укалывает, что данный фрагмент является первым в последовательности фрагментов, относящихся к пакету, а второй (бит конца) -- что этот фрагмент является последним в последовательности фра] мен тов, относящихся к пакету. Остальные два бита приравниваются нулю, Для РРР-кадров, посылаемых без фрагментации, оба флага (биты начала и конца) устанавливаются в 1. Если длина РРР-кадра больше MRU, он фрагментируется, и каждый фрагмент передается как отдельный РРР-иакст. Протокол МР выполняет фрагментацию па канальном уровне, которая не имеет никакого отношения к IP фрагментации.
В случае формата с длинными номерами последовательностей четырехбайтовое поле разделителя/номера последовательности состоит из восьми битов (одного бай та) отграничения и 24 битов (трех байтов) номера последовательности. Внутри поля разделителя присутствуют те же биты начала и конца, а остальные биты в первом байте равны 0, По умолчанию выбирается формат с длинными номерами последовательностей, если в LCP-процессе согласования не согласован формат с короткими номерами.
LCP-параметры Multilink, которые согласуются сторонами соединения, использу ющими Microsoft PPP, перечислены в таблице 7-16. С) других параметрах Multilink см. RFC 1990.
Таблица 7-16. LCP-параметры Multilink Имя параметра Длина Описание Тим Указывает число октетов, которые сторона Х оеди Multilink Maximum 17, нспия может восстановить из фрагментирован Receive Reconstructed или 0x ных МР-кадров Unit (см. след, стр.) Удаленный доступ 270 ЧАСТЬ Таблица 7-16. (продолжение) Длина Описание Имя параметра Тип 2 Указывает, что в МР-заголовке используется Short Sequence 18, короткий номер последовательности Number Header Format или 0x 9 Уникальный системный идентификатор, позво Multilink Endpoint 19, ляющий различать каналы от двух сторон Discriminator или 0x РРР-соединения с одним аутентификашюнным именем ВАР Хотя протокол МР позволяет объединять несколько физических каналов, в нем нет механизма адаптации к изменению условий, который был бы способен при необхо димости добавлять новые каналы или удалять существующие. Такая функциональ ность поддерживается протоколами ВАР (Bandwidth Allocation Protocol) и ВАСР (Bandwidth Allocation Control Protocol), определенными в RFC 2125. BAP Ч это управляющий протокол РРР, используемый при МР-соединениях для динамичес кого управления каналами. РРР-идентификатор протокола ВАР Ч ОхСОЗО.
Например, клиент и сервер удаленного доступа, поддерживающие протоколы МР и ВАР, устанавливают МР-подключение, которое состоит из одного физического канала. Как только нагрузка на капа,'! вырастает до заданного порогового значения, клиент удаленного доступа с помощью БАР-сообщения Call-Request запрашивает дополнительный канал. ВАР-сообщение Call-Request указывает нужный тип кана ла (например, аналоговая телефонная линия, ISDN или Х.25). В ответ сервер уда ленного доступа посылает ВАР-сообщепие Call-Response, содержащее телефонный номер свободного порта сервера удаленного доступа, тип которого соответствует типу, запрошенному клиентом.
Когда нагрузка на втором канале снижается до заданного порогового уровня, сер вер или клиент удаленного доступа посылает ВАР-сообщение Link-Drop-Query Request для отключения дополнительного канала.
ВАР также поддерживает сообщение Callback-Request, в котором запрашивающая сторона указывает тип канала и телефонный номер для приема ответного вызова.
Подробнее о сообщениях ВАР см. RFC 2125.
LCP-параметры ВАР, которые согласуются сторонами соединения, использующи ми Microsoft РРР, перечислены в таблице 7-17.
Таблица 7-17. LCP-параметры ВАР Имя параметра Длина Описание Тин ВАР Link Discriminator 23, или 0x17 4 Уникальный номер, идентифицирующий отдельные каналы МР-соединения Протоколы МР и ВАР включаются на сервере удаленного доступа через вкладку РРР (РРР) окна свойств сервера удаленного доступа (в оснастке Routing and Remote Access). Параметры многоканального подключения и ВАР настраиваются на вкладке Multilink (Многоканальное подключение) в свойствах профиля поли тики удаленного доступа.
ГЛАВА 7 Сервер удаленного доступа ^- Чтобы задать телефонный номер порта, посылаемый в ВАР-сообщенин Call-Response:
1. Запустите оснастку Routing and Remote Access (Маршрутизация и удаленный доступ) и откройте окно свойств объекта Ports (Порты).
2. Выберите требуемый порт и щелкните кнопку Configure (Настроить).
3. Введите номер телефона в поле Phone number of this device (Номер телес юна этого устройства).
ВАСР ВАСР (Bandwidth Allocation Control Protocol) Ч это РРР-протокол NCP, согласу ющий единственный параметр, который определяет предпочтительную сторону со единения. Если обе стороны, поддерживающие МР и ВАР, одновременно посыла ют ВАР-сообщения Call-Request или Link-Drop-Query-Request, то выполняется запрос от предпочтительной стороны.
РРР-идентификатор протокола ВАСР Ч ОхС02В. Структура ВАСР-пакетов точно повторяет структуру LCP-пакетов (с тем исключением, что определены лишь типы 1-7). В случае ВАСР-пакетов Configure-Request, Configure-Ack, Configure-Nack и Configure-Reject раздел данных ВАСР состоит из единственного параметра ВАСР, показанного в таблице 7-18.
Таблица 7-18. ВАСР-параметр Favored-Peer Имя параметра Тип Длина Описание Favored-Peer 1 6 Случайным образом присваиваемый 4-байтовый волшебный номер, который используется для выбора предпочтительной стороны (предпочтительной считается сторона с наимень шим волшебным номером) Сервер удаленного доступа и поддержка групповой IP-рассылки Сервер удаленного доступа Windows 2000 также поддерживает пересылку группо вого IP-трафика между клиентами удаленного доступа и сетями, к которым под ключен данный сервер удаленного доступа.
Поддержка групповой IP-рассылки для клиентов удаленного доступа требует трех элементов, показанных па рис 7-17.
1. На интерфейсе, к которому подключаются все клиенты удаленного доступа, дол жен быть включен режим IGMP-маршрутизатора. В оснастке Routing and Remo te Access это интерфейс Internal (Внутренний).
2. На отдельном интерфейсе должен быть включен режим IGMP-прокси.
3. Сеть, соответствующая интерфейсу, на котором включен режим IGMP-прокси, должна быть частью сети, поддерживающей пересылку группового 1Р-трафика.
В такой сети для передачи группового IP-трафика от источников, расположен ных в любой сети, узлам, расположенным и любой сети, используются протоко Удаленный доступ 272 ЧАСТЬ льт многоадресной маршрутизации. Например, та часть Интернета, где поддер живается пересылка группового IP-трафика, называется Multicast Backbone, или MB one.
Работает в режиме IGMP-маршрутизатора Г Работает в режиме IGMP-прокси Сервер удаленного Клиент доступа удаленного доступа Внутренний адаптер Сеть с поддержкой пересылки группового IP-трафика Рис. 7-17. Поддержка групповой IP-рассылки при удаленном доступе Подробнее о групповой IP-рассылке и ее поддержке в Windows 2000 Server см. гла ву \ Поддержка групповой IP-рассылки в ;
-зтой книге.
Примечание В зависимости от вариантов, выбранных Вами в Routing and Remote Access Server Setup Wizard (Мастер настройки сервера маршрутизации и удален ного доступа), режимы IGMP-марптрутизатора и IGMP-прокеи могут быть уже включены на соответствующих интерфейсах.
Групповой трафик, направляемый клиентам удаленного доступа Для пересылки группового IP-трафика от источников в сети с соответствующей поддержкой к клиентам удаленного доступа нужно, чтобы:
Х группы, прослушиваемые клиентами удаленного доступа, были зарегистрирова ны на маршрутизаторах группового IP-трафика, находящихся в сети с поддерж кой пересылки группового IP-трафика;
Х групповой IP-трафик от источников пересылался клиентам удаленного доступа.
Регистрация клиента удаленного доступа в группе Клиенты удаленного доступа регистрируют адреса групповой IP-рассылки, с кото рых они хотят получать трафик, путем посылки IGMP-сообщения Membership Report черен соединение удаленного доступа. Сервер удаленного доступа записы вает группы рассылки, регистрируемые каждым клиентом удаленного доступа, и пересылает IGMP-сообщение Membership Report через интерфейс, работающий в режиме IGMP-прокси.
Это сообщение принимают маршрутизаторы группового IP-трафика, подключенные к тому сегменту сети, с которым соединен сервер удаленного доступа. Маршрути заторы с помощью протоколов многоадресной маршрутизации создают записи в Сервер удаленного доступа ГЛАВА 7 своих таблицах многоадресной пересылки для перенаправления группового трафи ка, адресованного группам (зарегистрированным клиентами удаленного доступа), в сегмент сети с сервером удаленного доступа.
Пересылка группового трафика Когда источник посылает групповой трафик в группы, зарегистрированные клиен тами удаленного доступа, маршрутизаторы группового IP-трафика пересылают,тот трафик в сегмент сети сервера удаленного доступа на интерфейс, работающий в режиме IGMP-прокси.
Когда на этот интерфейс поступает групповой трафик, сервер проверяет, зарегист рирован ли какой-нибудь из подключенных клиентов удаленного доступа в да! пой группе многоадресной рассылки. Если полученный трафик относится к группе, за регистрированной клиентом удаленного доступа, он пересылается клиенту, Групповой трафик, передаваемый от клиентов удаленного доступа Для пересылки группового IP-трафика от клиентов удаленного доступа нужно, чт.>бы:
Х группы, прослушиваемые хостами, были зарегистрированы на маршрутизаторах группового IP-трафика, находящихся в сети с поддержкой пересылки гру : [но вого IP-трафика;
Х групповой IP-трафик от клиентов удаленного доступа пересылался членам групп.
Регистрация хоста в группе Хосты в сети с поддержкой пересылки группового IP-трафика регистрируют IP адреса групповой рассылки, с которых они хотят получать трафик, путем посылки IGMP-сообщений Membership Report в своих локальных сегментах сети. Маршру тизаторы группового ТР-трафика с помощью протоколов многоадресной маршру тизации создают записи в своих таблицах многоадресной пересылки для перенап равления группового трафика, адресованного группам (зарегистрированным хоста ми), в сегменты сети соответствующих хостов.
Пересылка группового трафика Когда клиент удаленного доступа посылает групповой'трафик через соединение удаленного доступа, этот трафик пересылается в сегмент сети сервера удален шго доступа на интерфейс, работающий в режиме IGMP-прокси. Маршрутизаторы группового IP-трафика в этом сегменте сети принимают пересылаемый групповой трафик и перенаправляют его в сетевые сегменты членов групп.
Кроме того, сервер удаленного доступа пересылает групповой IP-трафик от одних клиентов удаленного доступа другим (если они прослушивают такой трафик).
Передача группового IP-трафика через Интернет Если сервер удаленного доступа используется для предоставления доступа в Ин тернет клиентам, которые подключаются но коммутируемой линии, то пересылать групповой IP-трафик от клиентов и обратно позволит следующая конфигурация.
1. Сервер удаленного доступа имеет прямое (или непрямое по логическому тунне лю) к МВопе.
ЮЗак. Л Удаленный доступ 274 ЧАСТЬ 2. Интерфейс, соответствующий прямому или непрямому подключению к МВопе, добавляется к протоколу маршрутизации IGMP и переключается в режим IGMP-прокси.
3. К протоколу маршрутизации IGMP добавляется интерфейс Internal (Внутрен ний), и на нем включается режим IGMP-маршрутизатора.
Передача группового IP-трафика через интрасеть организации Если сервер удаленного доступа используется для предоставления доступа в инт расеть клиентам, которые подключаются по коммутируемой линии, то пересылать групповой IP-трафик от клиентов и обратно позволит следующая конфигурация.
1. У сервера удаленного доступа имеется LAN-интерфейс, подключенный к инт расети организации с поддержкой групповой IP-пересылки.
2. LAN-интерфейс, подключенный к иптрасети организации, добавляется к прото колу маршрутизации IGMP и переводится в режим IGMP-прокси.
3. К протоколу маршрутизации IGMP добавляется интерфейс Internal (Внутрен ний), на котором включается режим IGMP-маршрутизатора.
Выявление и устранение проблем Выявление и устранение проблем с удаленным доступом заключается в проверке возможности IP-соединений, адресации, маршрутизации и телефонного оборудова ния. Вы должны хорошо разбираться в каждой из перечисленных областей. В сле дующих разделах поясняются наиболее частые проблемы, возникающие при орга низации удаленного доступа, и рассматриваются средства Windows 2000, предназ наченные для устранения таких проблем.
О выявлении и устранении проблем с VPN-соединениями см. главу 9 Виртуаль ные частные сети в этой книге;
о выявлении и устранении проблем, относящихся к маршрутизации с соединением по требованию, см. главу 6 Маршрутизация с со единением по требованию в этой книге.
Наиболее распространенные проблемы с удаленным доступом При удаленном доступе нередко возникают следующие проблемы:
Х запрос на соединение отклоняется, хотя должен быть принят;
Х запрос на соединение принимается, хотя должен быть отклонен;
Х адреса за сервером удаленного доступа недостижимы;
Х прочие проблемы с удаленным доступом.
Далее будут даны рекомендации по устранению ошибок в конфигурации или инф раструктуре, вызывающих проблемы при организации удаленного доступа.
Запрос на соединение отклоняется, хотя должен быть принят Х Убедитесь, что на сервере удаленного доступа работает служба маршрутизации и удаленного доступа.
Х Убедитесь, что удаленный доступ разрешен на сервере удаленного доступа.
Х Убедитесь, что порты сервера удаленного доступа сконфигурированы па прием входящих подключений удаленного доступа.
Сервер удаленного доступа ГЛАВА 7 Убедитесь, что клиент и сервер удаленного доступа, на котором действует поли тика удаленного доступа, используют хотя бы один общий метод аутентифика ции и/или шифрования.
Убедитесь, что параметры запроса на соединение согласуются с текущими пара метрами входящих звонков в пользовательской учетной записи и в политиках удаленного доступа.
Для успешного установления соединения параметры в запросе на соединение должны;
Х соответствовать всем условиям по крайней мере одной политики удаленного доступа;
Х предоставлять право на удаленный доступ либо через Allow access (Разре шить доступ) в пользовательской учетной записи, либо через Control access through Remote Access Policy (Управление на основе политики удаленного доступа) в пользовательской учетной записи и Grant remote access per mission (Предоставить право удаленного доступа) в политике удаленного доступа;
Х соответствовать всем параметрам профиля;
Х соответствовать всем параметрам входящих звонков в свойствах пользова тельской учетной записи.
Убедитесь, что настройки в профиле политики удаленного доступа не конфлик туют со свойствами сервера удаленного доступа.
Профиль политики удаленного доступа и свойства сервера удаленного доступа предусматривают настройки для:
Х многоканальных подключений;
Х протокола ВАР;
Х протоколов аутентификации.
Если настройки в профиле соответствующей политики удаленного доступа кон фликтуют со свойствами сервера удаленного доступа, запрос на соединение бу дет отклонен. Например, если в профиле указан протокол аутентификации 1IAP TLS, но этот протокол в свойствах сервера удаленного доступа не включен, пос ледний будет отклонять запросы на соединение.
Если сервер удаленного доступа является рядовым сервером в домене Win dows 2000, который работает в смешанном или основном режиме и сконфигу рирован на аутентификацию через Windows 2000, убедитесь, что:
Х в службе каталогов Active Directory имеется группа безопасности RAS and IAS Servers (Серверы RAS и IAS). Если этой группы нет, создайте ее, указав тип Security (Безопасность) и область действия Domain local (Локальная доменная);
Х у группы безопасности RAS and IAS Servers имеется разрешение на чтение объекта RAS and IAS Servers Access Check;
Х учетная запись компьютера сервера удаленного доступа включена в группу безопасности RAS and IAS Servers. Для просмотра текущих регистрации ис пользуйте команду netsh ras show registeredserver, а для регистрации сер вера в определенном домене Ч команду netsh ras add registeredserver.
Удаленный доступ 276 ЧАСТЬ Если Вы добавляете компьютер сервера удаленного доступа в группу безопас ности RAS and IAS Servers или удаляете из нее, изменения не вступают в силу немедленно (из-за особенностей кэширования информации службы каталогов Active Directory в Windows 2000). Чтобы изменения немедленно вступили в силу, перезагрузите этот компьютер.
Убедитесь, что телефонное оборудование работает нормально.
Убедитесь, что на сервере удаленного доступа есть свободные порты.
Убедитесь, что LAN-протоколы, используемые клиентами удаленного доступа, настроены либо на маршрутизацию, либо на удаленный доступ.
Проверьте в удостоверениях клиеша удаленного доступа правильность имени и пароля пользователя, а также имени домена и убедитесь, что они могут быть проверены сервером удаленного доступа.
В случае соединений, для которых используется MS-CHAP vl и осуществляет ся попытка договориться о шифровании по методу МРРЕ с 40-битным ключом, убедитесь, что длина пароля не превышает 14 символов.
Убедитесь, что пользовательская учетная запись не отключена или не заблоки рована (в свойствах этой записи). Если срок действия пароля для данной учет ной записи истек, убедитесь, что клиент удаленного доступа использует MS CHAP vl или MS-CHAP v2. (MS-CHAP vl/v2 Ч единственный протокол аутен тификации в Windows 2000, который дозволяет сменить просроченный пароль в процессе установления соединения.) Если истек срок действия пароля в учетной записи уровня администратора, пе реустановите пароль, используя учетную запись другого администратора.
Убедитесь, что пользовательская учетная запись не заблокирована из-за блоки ровки учетной записи, предназначенной для удаленного доступа.
Если сервер удаленного доступа настроен на использование статического пула IP-адресов, проверьте, достаточно ли адресов в пуле.
Если все адреса из статического пула уже выделены клиентам удаленного дос тупа, сервер удаленного доступа не сможет назначить очередной IP-адрес. Если клиент удаленного доступа сконфигурирован на использование только TCP/IP в качестве LAN-протокола, запрос на соединение будет отклонен.
Если клиент удаленного доступа требует выделить ему определенный номер IPX-узла, убедитесь, что сервер удаленного доступа разрешает это делать.
Если сервер удаленного доступа настроен на диапазон номеров IPX-сетей, убе дитесь, что эти номера не используются где-нибудь в другой части межсетевой IPX-среды.
Проверьте конфигурацию службы аутентификации.
Сервер удаленного доступа может быть настроен на аутентификацию удостове рений клиентов удаленного доступа либо через Windows, либо через RADIUS.
Если сервер удаленного доступа является рядовым сервером в домене Win dows 2000 смешанного или основного режима, убедитесь, что он присоединился к домену.
Если сервер удаленного доступа под управлением Windows NT 4.0 с Service Pack и выше является членом домена Windows 2000 смешанного режима или если Сервер удаленного доступа ГЛАВА 7 Регистрация учетной и аутентификационной информации Сервер удаленного доступа под управлением Windows 2000 поддерживает регист рацию учетной и аутентификационной информации для подключений удаленного доступа в локальных файлах журналов, если Вы выбрали аутентификацию или учет через Windows. Соответствующие журналы ведутся отдельно от системных журна лов. Эта информация позволяет отслеживать попытки аутентификации и исполь зование сетевых ресурсов клиентами удаленного доступа. Она особенно полезна при устранении каких-либо проблем с политиками удаленного доступа. Для каж дой попытки аутентификации в журнал записывается имя политики удаленного доступа, благодаря которой запрос на соединение был принят или отклонен, Аутентификационная и учетная информация хранится в файле или файлах журна ла в папке %5у$етЙоо% \System32\LogFiles. Эти файлы записываются в формате IAS 1.0 или 2.0. Формат IAS 2.0 совместим с ODBC-форматом баз данных, и в этом случае любая программа, работающая с базами данных, может напрямую считывать файл журнала для последующего анализа.
Если сервер удаленного доступа настроен на аутентификацию или учет через RADIUS и сервером RADIUS является компьютер под управлением Windows и Internet Authentication Service (Служба проверки подлинности в Интернете), учетная и аутентификационная информация записывается в файлы в папке %Sys stem32\LogFiles па компьютере Ч сервере IAS*.
Протоколирование событий На вкладке Event logging (Журнал событий) окна свойств сервера удаленного дос тупа предлагается четыре уровня протоколирования. Выберите переключатель Log the maximum amount of information (Вести журнал всех событий) и повторите по пытку соединения. Как только попытка закончится неудачей, проверьте, какие со бытия были зарегистрированы в системном журнале при попытке соединения. Про смотрев события, выберите на вкладке Event logging переключатель Log errors and warnings (Вести журнал ошибок и предупреждений).
Трассировка Средства трассировки записывают последовательность вызываемых функиий в файл. Разрешите применение трассировки для записи детальной информации о процессах, выполняемых при установлении соединения компонентами удаленного доступа, и повторите попытку соединения. Закончив трассировку и просмотрев нужную информацию, верните параметрам трассировки исходные значения. Вы можете включить трассировку РРР на вкладке Event logging (Журнал событий) окна свойств сервера удаленного доступа.
Трассировочная информация может оказаться сложной и очень детальной. Часть ее полезна только инженерам службы технической поддержки Microsoft или сете вым администраторам, имеющим большой опыт работы со службой маршрутиза ции и удаленного доступа. Трассировочную информацию можно сохранить в виде файлов и послать в службу технической поддержки Microsoft для анализа.
* Это требует проверки, так как в аналогичном разделе главы 2 утверждается, что данная ин формация дублируется на сервере IAS. Ч Прим. перев.
Удаленный доступ 280 ЧАСТЬ Network Monitor Network Monitor (Сетевой монитор) Ч это программа для захвата пакетов и их ана лиза, которая позволяет наблюдать за трафиком, передаваемым между сервером и клиентом удаленного доступа в процессе установления соединения. Network Mo nitor не анализирует сжатый или шифрованный трафик, передаваемый через соеди нения удаленного доступа.
Правильная интерпретация трафика в процессе установления удаленного соедине ния с помощью Network Monitor требует понимания протоколов РРР, рассмотрен ных в этой главе. Информацию, захваченную Network Monitor, можно сохранить в виде файлов и послать в службу технической поддержки Microsoft для анализа.
ГЛАВА Служба проверки подлинности в Интернете Служба проверки подлинности в Интернете (Internet Authentication Service, IAS) это Microsoft-реализация сервера RADIUS (Remote Authentication Dial-In User Service). Служба IAS выполняет централизованную аутентификацию, авторизацию, аудит и учет (authentication, authorization, auditing and accounting, AAAA) для со единений по коммутируемым линиям и через виртуальные частные сети (virtual private networks, VPN). Эту службу можно использовать в сочетании со службой маршрутизации и удаленного доступа Windows 2000. Служба IAS позволяет рабо тать с оборудованием удаленного доступа или VPN как от одного, так и от несколь ких поставщиков.
В этой главе Обзор Протокол RADIUS Аутентификация в IAS Авторизация в IAS Учет в IAS Аутентификация в IAS и режимы работы доменок Windows Некоторые вопросы безопасности Настройка и оптимизация Выявление и устранение проблем См, также Х Об удаленном доступе Ч главу 7 Сервер удаленного доступа в этой книге.
Х О виртуальных частных сетях Ч главу 9 Виртуальные частные сети в этой книге, Х О политиках безопасности Ч книгу Распределенные системы? из серии Рг сурсы Microsoft Windows 2000 Server.
ЧАСТЬ 2 Удаленный доступ Обзор Провайдеры услуг Интернета (Internet service providers, ISP) и корпорации, под держивающие удаленный доступ для своих сотрудников, все острее нуждаются в централизованном управлении различными видами удаленного доступа незави симо от типа применяемого оборудования. Стандарт RADIUS поддерживает та кую функциональность как в однородных, так и в гетерогенных сетевых средах.
RADIUS Ч это клиент-серверный протокол, превращающий аппаратные средства удаленного доступа в клиенты RADIUS, передающие серверам RADIUS запросы на аутентификацию и регистрацию учетной информации.
Сервер RADIUS имеет доступ к информации об учетных записях пользователей и поэтому может проверять удостоверения удаленных клиентов. Если удостоверения пользователя являются подлинными (аутентичными) и запрос на соединение ус пешно авторизован, сервер предоставляет пользователю доступ в рамках заданных для него ограничений и регистрирует подключение удаленного доступа как собы тие учета.
Применение RADIUS позволяет хранить информацию, необходимую для аутенти фикации, авторизации и учета удаленных клиентов, централизованно, а не на каж дом сервере доступа в сеть (network access server, NAS). Пользователи подключа ются к RADIUS-совместимым серверам NAS (в их роли выступают компьютеры под управлением Windows 2000 Server и службы маршрутизации и удаленного до ступа), которые в свою очередь пересылают запросы на аутентификацию центра лизованному серверу IAS.
Подробнее о протоколе RADIUS см. RFC 2138 и 2139.
Служба IAS также позволяет компаниям использовать имеющуюся у провайдеров услуг Интернета инфраструктуру удаленного доступа, оставляя за собой контроль над аутентификацией, авторизацией и учетом клиентов удаленного доступа.
Служба IAS поддерживает разнообразные конфигурации с использованием Интер нет-технологий:
Х удаленный доступ к сети по коммутируемой линии;
Х доступ к экстрасети для партнеров по бизнесу;
Х доступ в Интернет;
Х аутсорсинговое управление корпоративным доступом через ISP.
Примечание Компании может предоставлять доступ к определенной части ресур сов своей сети другим компаниям, с которыми заключены партнерские соглашения.
Служба IAS позволяет ограничивать доступ к сетевым ресурсам корпорации на ос нове ограничений, определенных для каждого партнера.
Возможности 1AS Ниже перечислены основные возможности службы IAS.
Централизованная аутентификация пользователей Аутентификация пользователей, пытающихся установить соединение, Ч важный элемент в обеспечении безопасности. IAS поддерживает множество протоколов ГЛАВА 8 Служба проверки подлинности в Интернете аутентификации, что позволяет использовать любой метод аутентификации, соот ветствующий Вашим требованиям.
В Windows 2000 служба IAS поддерживает следующие методы аутентификации, Х РРР (Point-to-Point Protocol) Ч набор стандартных протоколов разбиения на кадры и аутентификации, обеспечивающий взаимодействие программных реше ний удаленного доступа в гетерогенной сетевой среде. TAS поддерживает такие РРР-протоколы аутентификации, как PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) версий 1 и 2, а также ЕАР (Exten sible Authentication Protocol).
Х EAP (Extensible Authentication Protocol) Ч инфраструктура поддержки ноиых (произвольных) методов аутентификации, например через смарт-карты, серти фикаты, одноразовые пароли или Token Cards.
Х DNIS (Dialed Number Identification Service) Ч метол аутентификации на основе телефонного номера, набранного пользователем.
Х ANI/CLI (Automatic Number Identification/Calling Line Identification) Ч метод аутентификации на основе телефонного номера, с которого зионит пользователь.
Метод ANI также называется идентификацией звонящего (Caller ID).
Х Аутентификация гостя Ч метод, при котором звонящий в процессе аутентифи кации не сообщает имя и пароль пользователя. Если разрешен неаутентйфици руемый доступ, то но умолчанию в качестве идентификации звонящего исполь зуется учетная запись Guest (Гость), Дутсорсинговый удаленный доступ Аутеорсинговый удаленный доступ (outsourced dialing) подразумевает заключение договора между организацией или частной компанией (заказчиком) и ISP, по усло виям которого сотрудники компании могут подключаться к сети ISP до установле ния VPN-туннеля с частной сетью своей компании. Когда сотрудник подключает ся к серверу удаленного доступа ISP, аутентификационная информация и данные об использовании сети пересылаются па сервер IAS компании. Последний дает воз можность управлять аутентификацией пользователей, отслеживать использование сетевых ресурсов и контролировать доступ сотрудников к сети ISP.
Преимущество аутсорсинга в потенциальной экономии средств. Так. используя мар шрутизаторы, серверы доступа к сети и линии Т1 Интернет-провайдера вместо по купки собственных, можно сэкономить значительные средства на оборудовании (инфраструктуре). Устанавливая связь с ISP, поддерживающим роуминг или под ключения к так называемым точкам присутствия (points of presence) других ISI* можно существенно снизить расходы на междугородные звонки. Таким образом, возложив поддержку системы на провайдера, Вы исключите большую статью рас ходов из своего бюджета.
Централизованная авторизация пользователей Чтобы предоставить пользователю соответствующий доступ к сети, служба IAS аутентифицирует пользователей в доменах Windows NT 4.0 и в локальной базе дан ных Security Accounts Manager (SAM) (Диспетчер учетных записей безопасности) Windows 2000. Кроме того, IAS поддерживает новые возможности Active Directory ЧАСТЬ 2 Удаленный доступ например основные имена пользователей (user principal names) и универсальные группы.
Политики удаленного доступа позволяют сетевым администраторам более гибко управлять предоставлением прав на удаленный доступ к Вашей сети. С ростом чис ленности персонала в организации метод управления доступом на основе разреше ний в учетных записях каждого пользователя становится неудобен, хотя техничес ки возможен. В таких случаях гораздо аффективнее использовать политики уда ленного доступа.
Эти политики дают возможность контролировать удаленный доступ на основе са мых разнообразных условий, например;
Х принадлежности пользователя к той или иной группе безопасности Win dows 2000;
Х времени суток или дня недели;
Х типа несущей среды, через которую осуществляется подключение пользователя (например, ISDN, коммутируемая линия или VPN-туннель);
Х типа протокола VPN-туннелирования (РРТР или L2TP);
Х телефонного номера, на который поступает вызов пользователя;
Х телефонного номера, с которого поступает вызов пользователя.
В каждой политике удаленного доступа имеется профиль (набор настроек), с по мощью которых Вы управляете параметрами соединения. Например, Вы можете:
Х разрешать или запрещать использование определенных методов аутентифи кации;
Х задавать время простоя до разрыва соединения;
Х указывать максимальную продолжительность одного сеанса;
Х управлять количеством каналов, используемых в сеансе многоканального под ключения;
Х определять параметры шифрования данных;
Х добавлять фильтры пакетов для управления доступом пользователей к сети (фильтры пакетов позволяют контролировать, с каких IP-адресов, хостов и пор тов пользователю разрешается передавать или принимать пакеты);
Х создавать обязательный туннель, который заставляет туннелировать все паке ты, передаваемые по данному соединению через Интернет в частную сеть;
Х выбирать, как назначаются IP-адреса клиентским компьютерам пользователей - по их запросу или Вашим сервером удаленного доступа.
Централизованное администрирование серверов удаленного доступа Поддержка стандарта RADIUS позволяет IAS контролировать параметры соедине ний для любого сервера доступа в сеть, использующего тот же стандарт. Кроме того.
RADIUS дает возможность поставщикам средств удаленного доступа создавать соб ственные расширения, называемые особыми атрибутами вендоров (vendor-specific attributes, VSA). В словаре вендоров службы IAS уже реализован ряд таких расши рений.
Служба проверки подлинности в Интернете ГЛАВА 8 Централизованный аудит и учет Поддержка стандарта RADIUS позволяет JAS собирать в одном месте записи об использовании сетевых ресурсов (учетную информацию), посылаемые сервером NAS. IAS регистрирует в файлах журналов данные аудита (например, успешные и неудачные попытки аутентификации) и учета (например, записи о входе в систему и выходе из нее). IAS поддерживает такой формат журналов, благодаря которому соответствующую информацию можно напрямую импортировать R какую-либо базу данных. Анализ этих данных возможен и с помощью программного обеспечения от сторонних разработчиков.
Интеграция со службой маршрутизации и удаленного доступа Служба маршрутизации и удаленного доступа в Windows 2000 конфигурируется на аутентификацию и учет через Windows или RADIUS. При выборе аутентификации и учета через RADIUS можно использовать любой сервер RADIUS, совместимый со стандартами RFC. Однако для достижения оптимального уровня интеграции с Windows 2000 и использования преимуществ централизованных политик удален ного доступа рекомендуется установить сервер IAS.
Так, в небольшой сети или в филиалах с малым числом серверов удаленного досту па, где не требуется централизованного управления удаленным доступом, службу маршрутизации и удаленного доступа можно настроить па аутентификацию и учет через Windows.
В транснациональных корпорациях с большим числом серверов удаленного досту па, развернутых по всему миру, централизованная аутентификация и учет с помо щью IAS дают очевидные выгоды. Однако, если малый филиал подключается к цен трализованному серверу IAS транснациональной корпорации по узкополосному каналу, конфигурацию аутентификации и учета через Windows можно скопировать из центрального участка на серверы удаленного доступа этого филиала.
IAS и служба маршрутизации и удаленного доступа используют одни и те же по литики удаленного доступа и средства регистрации аутентификационной и учет ной информации. Если служба маршрутизации и удаленного доступа настроена на аутентификацию через Windows, используются локальные политики и журнал. А если она работает как RADTUS-клиент сервера IAS. используются политики и жур нал па сервере IAS.
Такая интеграция обеспечивает согласованную работу IAS и службы маршрутиза ции и удаленного доступа. В небольших сетях можно обойтись одной службой мар шрутизации и удаленного доступа, не развертывая отдельный, централизованный сервер IAS. по возможность перехода на модель централизованного управления удаленным доступом в случае укрупнения сети все равно сохраняется. Тогда IAS вместе с серверами удаленного доступа позволит реализовать единую точку адми нистрирования различных видов удаленного доступа к Вашей сети Ч аутсорсинп вого, с соединением по требованию, через VPN. Политики, действующие в рамкг.х IAS, можно экспортировать с центрального сайта на независимый сервер удален ного доступа, находящийся на небольшом сайте.
Графический пользовательский интерфейс IAS предоставляет графический интерфейс (в виде оснастки), позволяющий на страивать локальные или удаленные серверы IAS.
Удаленный доступ 286 ЧАСТЬ Удаленный мониторинг Мониторинг 1AS можно вести либо средствами Windows 2000, например с помо щью Event Viewer (Просмотр событий) и System Monitor (Системный монитор), либо средствами SNMP (Simple Network Management Protocol).
Масштабируемость IAS применима в разных по своим масштабам сетевых конфигурациях Ч от малых сетей до больших корпоративных сетей или сетей ISP.
IAS SDK IAS Software Development Kit (SDK) можно использовать для:
Х управления числом сетевых сеансов пользователей;
Х расширения возможностей IAS в авторизации;
Х экспорта данных аудита и учетной информации в какую-либо базу данных;
Х создания собственных методов аутентификации для IAS (отличных от ЕАР).
ЕАР SDK Этот SDK позволяет использовать произвольные методы аутентификации на ос нове ЕАР.
Импорт/экспорт конфигурации для управления несколькими серверами IAS Конфигурация IAS импортируется или экспортируется командой netsh.
Протокол RADIUS RADIUS (Remote Authentication Dial-In User Service) Ч промышленный стандарт служб авторизации, идентификации, аутентификации и учета для сетей с поддер жкой удаленного доступа. Клиент RADIUS (обычно сервер удаленного доступа по коммутируемой линии, установленный у провайдера услуг Интернета) пересылает информацию о пользователе серверу RADIUS, который проверяет достоверность учетных данных, предоставленных клиентом.
Подробнее о протоколе RADIUS см. RFC 2138 и 2139.
Процесс аутентификации через RADIUS Процесс аутентификации через RADIUS начинается с предоставления удаленным пользователем аутентификационной информации клиенту RADIUS. Получив та кую информацию, клиент RADIUS может проверить ее подлинность средствами RADIUS.
Например, когда удаленный пользователь посылает свои удостоверения по прото колу CHAP, клиент RADIUS генерирует пакет Access-Request, содержащий такие атрибуты, как имя и пароль пользователя, идентификатор клиента и идентифика тор порта, к которому обращается клиент. При наличии пароля CHAP шифрует его методом RSA MD5.
RADIUS-пакет Access-Request посылается на сервер RADIUS. Если в течение оп ределенного времени ответ fie приходит, запрос повторяется заданное число раз.
Если основной сервер RADII'S не работает или недоступен, клиент RADIUS мо Служба проверки подлинности в Интернете ГЛАВА жет перенаправить запрос дополнительному серверу RADIUS. Обращение к допол нительному серверу возможно после определенного числа неудачных попыток свя заться с основным сервером или поочередно то к основному, то к дополнительному серверу.
При использовании службы маршрутизации и удаленного доступа можно добаиитъ несколько серверов RADIUS с разным приоритетом. Если основной сервер RADI US (с наивысшим приоритетом) не отвечает в течение 3 секунд, служба маршрути зации и удаленного доступа автоматически переключается на следующий сервер RADIUS (с меньшим приоритетом).
Получив запрос, сервер RADIUS аутонтифицирует клиент RADIUS, проверяя, пере дан ли RADIUS-пакет Access-Request подлинным клиентом RADIUS. Если это так и клиент RADIUS поддерживает цифровые подписи, сервер проверяет цифровую подпись в пакете, используя общий секрет. (Что такое общий секрет, см. в разделе Аутентификация в IAS далее в этой главе.) Запрос от клиента RADIUS, с кото рым у сервера RADIUS нет общего секрета, просто игнорируется. Если клиент RADIUS подлинный, сервер RADIUS обращается к базе данных учетных записей пользователей и ищет запись, имя пользователя в которой совпадает с именем, ука занным в запросе. Учетная запись пользователя содержит список условий, которые нужно соблюсти, чтобы данный пользователь получил разрешение на подключение.
Если хотя бы одно условие в процессе аутентификации или авторизации не выпол нено, сервер RADIUS отвечает клиенту RADIUS пакетом Access-Reject, сообшая, что запрос от данного пользователя следует отклонить.
Если все условия выполнены, клиент RADIUS получает пакет Access-Accept со списком значений конфигурационных параметров Ч атрибутов RADIUS и всех на строек, необходимых для получения пользователем запрещенного сервиса. В слу чае SLIP и РРР к таким параметрам относятся IP-адрес, маска подсети, MTU, па стройки сжатия данных, идентификаторы требуемых фильтров пакетов.
Формат RADIUS-пакетов Здесь представлена информация, которая может пригодиться при:
Х диагностике на основе трассировочной информации, полученной с помощыо Network Monitor;
Х ознакомлении с различными форматами пакетов для анализа журнала учета;
Х вводе номеров особых атрибутов вендоров.
RADIUS-пакеты посылаются на сервер RADIUS как UDP-сообщения через UDP порты 1812 (для аутентификации) и 1813 (для учета). Некоторые старые серверы доступа в сеть используют с теми же целями соответственно UDP-порты 1645 и 1646. IAS поддерживает прием RADIUS-сообщений на оба набора UDP-портов. В качестве полезной нагрузки в UDP-сообщение инкапсулируется только один RA DIUS-пакет.
Общая структура пакетов Общая структура RADIUS-пакетов показана на рис. 8-1.
Удаленный доступ 288 ЧАСТЬ Код Идентификатор Длина 1 баи Аутентификационная информация Ш J Х- L, 1^ Щ Атрибуты П Рис. 8-1. Общая структура RADIUS-пакета Код Однобайтовое поле, указывающее тип RADIUS-пакета. Пакет с недопустимым зна чением в этом поле игнорируется. Значения, определенные для поля кода, перечис лены в таблице 8-1.
Таблица 8-1. Значения поля кода в RADlUS-пакете Код (десятичный) Пакет i Access-Request Access-Accept '.' 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (экспериментальный) 13 Status-Client (экспериментальный) 255 Зарезервировано Идентификатор Однобайтовое поле, используемое для сопоставления запроса с соответствующим ответом.
Длина Поле длиной в два октета, указывающее полный размер пакета и RADIUS-сообще ния, в том числе полей кода, идентификатора, длины и аутентификационной ин формации, а также раздела атрибутов. Значение этого ноля может варьироваться от 20 до 4096 байтов.
Аутентификационная информация Поле длиной в шесть октетов, содержащее информацию, на основе которой клиент и сервер RADIUS аутентифицируют друг друга.
Атрибуты Раздел атрибутов RADIUS-пакета содержит один или более атрибутов RADIUS, которые указывают параметры аутентификации и авторизации, а также конфигу рационную информацию. Если у атрибута имеется более одного экземпляра, необ ходимо соблюдать порядок следования экземпляров. А если у атрибута только один экземпляр, порядок следования не имеет значения.
Служба проверки подлинности в Интернете ГЛАВА 8 Атрибуты RADIUS Структура атрибута RADIUS показана на рис. 8-2. Атрибуты RADIUS имеют фор мат тип-длина-значение, часто применяемый и в других протоколах.
Тим Длина Значение - = 1 байт Рис. 8-2. Структура атрибута RADIUS Тип Однобайтовое поле, указывающее тип атрибута RADIUS. Некоторые атрибуты ге речислены в таблице 8-2. О других атрибутах RADIUS и их предназначении см.
RFC 2138 и 2139;
о новых атрибутах RADIUS см. ссылку Radius Types на странице Web Resources по адресу resources.
Таблица 8-2. Типы атрибутов RADIUS Тип Описание User-Name I User- Pass word С HAP- Password 4 NAS- IP- Address NAS-Port.
Service-Type Framed- Protocol Framed -IP- Address Framed- IP-Netmask Framed -Routing LO Filter-ID I Framed -MTU !!
Framed- Compression Reply -Message State>
Длина Поле, указывающее длину атрибута (вместе с его полями типа, длины и значения).
Значение Поле длиной в ноль или несколько октетов, содержащее информацию, специфич ную для конкретного атрибута. Формат и длина этого ноля зависят от типа атри бута.
Особые атрибуты вендоров Особые атрибуты вендоров (vendor specific attributes, VSA) позволяют поставщи кам использовать собственные атрибуты, не определенные в RFC 2138. В словаре вендоров службы IAS содержатся VSA от различных поставщиков. Этот список постоянно пополняется новыми атрибутами и вендорами.
Чтобы использовать атрибуты, не включенные в словарь вендоров, IAS предусмат ривает возможность их добавления как атрибутов Vendor-Specific (тип 26) на вклад ке Advanced (Дополнительно) профиля политики удаленного доступа. Для исполь зования атрибута типа 26 администратору нужно знать его формат и точное значе ние. Форматы VSA описываются ниже, а информацию о том, какие данные следует вводить для конкретного VSA, см. в документации на Bain сервер NAS.
Структура особого атрибута вендора показана на рис. 8-3.
Тип И = Длина Идентификатор вендора [00_ Строка =1 байт Рис. 8-3. Структура особого атрибута вендора Тип Значение этого поля устанавливается в 26 (OxlA), что указывает на атрибут VSA.
Длина Значение этого поля зависит от числа байтов в атрибуте VSA.
Идентификатор вендора Поле длиной в 4 октета, где старший октет всегда равен 0 (0x00), а младшие 3 ок тета представляют код SMI (Structure and Identification of Management Information) Network Management Private Enterprise Code вендора.
Строка Это поле состоит из одного или более октетов. В соответствии с рекомендациями RFC 2138 поле строки должно состоять из полей, показанных на рис. 8-4.
Служба проверки подлинности в Интернете ГЛАВА 8 Тип вендора Длина строки Данные, специфичные для конкретного атрибута Рис. 8-4. Структура поля строки Тип вендора Идентифицирует конкретный VSA.
Длина строки Сообщает размер строки в байтах.
Данные, специфичные для конкретного атрибута Содержит данные особого атрибута вендора.
Вендоры, атрибуты которых не соответствуют RFC 2138, идентифицируют свой VSA как тип 26, но не используют поля, показанные на рис. 8-4. В этом случае фор мат особого атрибута вендора соответствует формату, приведенному на рис. 8-3.
Добавляя VSA для конкретного сервера NAS как тип 26, Вы должны знать, соот ветствует ли этот атрибут RFC 2138. Информацию о том. использует ли Ваш сер вер NAS формат VSA, приведенный на рис. 8-4, см. в документации на этот сервер Атрибуты VSA настраиваются в диалоговом окне Vendor-Specific Attribute Infor mation (Сведения об атрибуте вендора);
о том, как открыть данное диалоговое окш >, см. раздел Профили вендоров далее в этой главе. Если формат VSA соответству ет RFC 2138, выберите переключатель Yes, it conforms (Да, соответствует) и на стройте поля атрибута, как указано в документации на Ваш сервер NAS. Если фор мат VSA не соответствует RFC 2138, выберите переключатель No, it does not conform (Нет, не соответствует) и введите шестнадцатеричное значение атрибута, которое включает строку в формате VSA (все, что находится за полем идентифика тора вендора);
подробнее о настройке особых атрибутов вендоров см. раздел Про фили вендоров* далее в этой главе.
Пример RADfUS-пакета Допустим, клиент РРТР под управлением Windows 2000 пытается создать соеди нение удаленного доступа с VPN-сервером под управлением Windows 2000. IP-ад рес VPN-сервера - 10.10.210.13, а сервера IAS - 10.10.210.12.
Пакет Access-Request В трассировочной информации, полученной с помощью Network Monitor и пока занной ниже, можно увидеть содержимое пакета Access-Request, посланного VPN сервером серверу IAS.
+ IP: ID = 0x850;
Proto = UDP;
Len: + UDP: Src Port: Unknown, (1327);
Dst Port: Unknown (1812);
Length = COxE4) RADIUS: Message Type: Access Requestd) RADIUS: Message Type = Access Request RADIUS: Identifier = 2 (0x2) Удаленный доступ 292 ЧАСТЬ RADIUS: Length = 220 (OxDC) RADIUS: Authenticates = 8A 6F DC 03 23 5F 4B 62 CA 40 92 38 DC CB RADIUS: Attribute Type: NAS IP Address(4) RADIUS: Attribute type = NAS IP Address RADIUS: Attribute length = 6 (0x6) RADIUS: HAS IP address = 10,10.210. RADIUS: Attribute Type: Service Type(6) RADIUS: Attribute type = Service Type RADIUS: Attribute length = 6 (0x6) RADIUS: Service type = Framed RADIUS: Attribute Type: Framed Protocol(7) RADIUS: Attribute type = Framed Protocol RADIUS: Attribute length = 6 (0x6) RADIUS: Framed protocol = PPP RADIUS: Attribute Type: NAS Port(5) RADIUS: Attribute type = NAS Port RADIUS: Attribute length = 6 (0x6) RADIUS;
NAS port = 32 (0x20) RADIUS: Attribute Type: Vendor Specific(2B) RADIUS: Attribute type = Vendor Specific RADIUS'. Attribute length = 12 (OxC) RADIUS;
Vendor ID = 311 (0x137) RADIUS: Vendor string = n RADIUS: Attribute Type: Vendor Specific(26) RADIUS: Attribute type = Vendor Specific RADIUS: Attribute length = 18 (0x12) RADIUS: Vendor ID = 311 (0x137) RADIUS: Vendor string = MSRASV5. RADIUS: Attribute Type: NAS Port Type(61) RADIUS;
Attribute type = NAS Port Type RADIUS: Attribute length = 6 (0x6) RADIUS: NAS port type * Virtual RADIUS: Attribute Type;
Tunnel Type(64) RADIUS: Attribute type = Tunnel Type RADIUS: Attribute length = 6 (0x6) RADIUS: Tag = 0 (0x0) RADIUS: Tunnel type = Point-to-Point Tunneling Protocol(PPTP) RADIUS;
Attribute Type: Tunnel Media Type(65) RADIUS: Attribute type - Tunnel Media Type RADIUS: Attribute length = 6 (0x6) RADIUS: Tag = 0 (0x0) RADIUS: Tunnel media type = IP (IP version 4) RADIUS: Attribute Type: Calling Station ID(31) RADIUS: Attribute type = Calling Station ID RADIUS: Attribute length = 14 (OxE) RADIUS: Calling station ID = 10.10.14. RADIUS: Attribute Type: Tunnel Client Endpoint(66) RADIUS: Attribute type = Tunnel Client Endpoint RADIUS: Attribute length = 14 (OxE) RADIUS: Tunnel client endpoint = 10.10.14. RADIUS: Attribute Type: User Named) RADIUS: Attribute type = User Name RADIUS: Attribute length = 18 (0x12) RADIUS: User name = NTRESKIT\Johndoe ГЛАВА 8 Служба проверки подлинности в Интернете RADIUS: Attribute Type: Vendor Specific(26) RADIUS: Attribute type = Vendor Specific RADIUS: Attribute length = 24 (0x18) RADIUS: Vendor ID = 311 (0x137) RADIUS: Vendor string = QM1/2+-_;
en$+fN
Пакет Access-Accept В трассировочной информации, полученной с помощью Network Monitor и пока занной ниже, можно увидеть содержимое пакета Access-Accept, переданного серве ром IAS серверу VPN.
+ IP: ID = OxB18;
Proto = UDP;
Len: + UDP: Src Port: Unknown, (1812);
Dst Port: Unknown (1327);
Length = (OxE4) RADIUS: Message Type: Access Accept(2) RADIUS: Message Type = Access Accept RADIUS: Identifier = 2 (0x2) RADIUS: Length = 220 (OxDC) RADIUS: Authenticator = 52 E2 19 98 2E F8 E2 D3 B7 3B E1 24 5B 55 9E RADIUS: Attribute Type: Framed Protocol(7) RADIUS: Attribute type = Framed Protocol RADIUS: Attribute length = 6 (0x6) RADIUS: Framed protocol = PPP RADIUS: Attribute Type: Service Type(6) RADIUS: Attribute type = Service Type RADIUS: Attribute length = 6 (0x6) RADIUS: Service type = Framed RADIUS: Attribute Type:>
,S~c7a_x:+afW_tO-qxF!
С-+!Хрв RADIUS: Attribute Type: Vendor Specific(26) RADIUS: Attribute type = Vendor Specific RADIUS: Attribute length = 42 (Ox2A) RADIUS: Vendor ID = 311 (0x137) RADIUS: Vendor string = 0$D RADIUS: Attribute Type: Vendor Specific(26) RADIUS;
Attribute type = Vendor Specific Удаленный доступ 294 ЧАСТЬ RADIUS: Attribute length = 51 (0x33) RADIUS: Vendor ID = 311 (0x137) RADIUS: Vendor string = П RADIUS: Attribute Type: Vendor Specific(26) RADIUS: Attribute type = Vendor Specific RADIUS: Attribute length = 21 (0x15) RADIUS: Vendor ID = 311 (0x137) RADIUS: Vendor string = Атрибуты RADIUS, переданные сервером IAS, содержат имя пользователя, тип сер виса, протокол разбиения на кадры, класс сервиса, а также набор особых атрибутов вендора для аутентификации по MS-CHAP.
Аутентификация в IAS В процессе идентификации удаленных пользователей и их допуска в защищенную сеть или на сайт разные аспекты этой задачи выполняются разными серверами.
Сервер доступа в сеть (Network Access Server, NAS) выступает в роли клиента сер вера IAS. Этот клиент отвечает за передачу информации о пользователе на задан ные серверы IAS и реагирование на получаемые ответы, Сервер TAS отвечает за прием запросов на соединение, аутентификацию пользова телей, авторизацию попыток соединения и определение всех конфигурационных параметров, необходимых клиенту RADIUS для предоставления пользователю зап рошенного сервиса. Общая схема процесса аутентификации средствами IAS пока зана на рис. 8-5, Каталог, содержащий учетные данные -зэпросы пользователя Сервер Конечный каталога пользователь доступа в сеть Сервер IAS Рис. 8-5. Процесс аутентификации в IAS Когда пользователь пытается подключиться к сети через соединение удаленного доступа по коммутируемой линии или через виртуальную частную сеть (VPN), аутентификация осуществляется следующим образом.
1. Сервер NAS согласует параметры соединения с клиентом удаленного доступа, сначала пытаясь использовать самый защищенный протокол, затем менее защи щенный и так до наименее безопасного протокола (например, в такой последо вательности: ЕАР, MS-CHAP, CHAP, PAP).
2. Сервер NAS пересылает запрос па аутентификацию серверу IAS в виде RA DIUS-пакета Access-Request, ГЛАВА 8 Служба проверки подлинности в Интернете 3. Сервер IAS сначала проверяет, отправлен ли данный RADIUS-пакет Access Request тем клиентом RADIUS, на который он настроен, и для этого определя ет IP-адрес источника пакета. Если пакет Access-Request отправлен подлинным клиентом RADIUS и этот клиент поддерживает цифровые подписи, то сервер IAS проверяет в пакете цифровую подпись, используя общий секрет. (Общий секрет Ч это текстовая строка, служащая особым паролем между сервером RADIUS и подключенным к нему клиентом. Общий секрет должен существо вать между каждым сервером IAS и сервером NAS или другим сервером IAS, пересылающим RADIUS-пакеты.) Существует ряд правил, соблюдение которых необходимо для успешной на стройки общего секрета;
Х общий секрет должен быть абсолютно одинаковым на обоих серверах;
Х секреты чувствительны к регистру букв;
Х в секретах могут присутствовать стандартные алфавитно-цифровые знаки и любые специальные символы.
4. Если применение цифровых подписей разрешено, но проверка подписи закон чилась неудачей, сервер IAS молча отбрасывает соответствующий пакет. Если по истечении заданною периода ожидания сервер NAS не получает ответ, он повторяет попытку, а затем отключает пользователя. Если сервер IAS не можгт подключиться к контроллеру домена или найти домен, к которому относится пользователь, он молча отбрасывает пакет. Это позволяет RADIUS-проксп передавать запрос резервному серверу IAS, который таким образом получает возможность попытаться аутентифицировать пользователя на основе доменной базы данных.
5. Если применение цифровых подписей разрешено и проверка подписи прошла успешно, сервер IAS обращается к контроллеру домена Windows 2000, которьш проверяет удостоверения пользователя.
6. Если эти удостоверения действительны, сервер IAS Ч чтобы определить, мож но ли авторизовать запрос на соединение, Ч сравнивает его параметры с усло виями действующих политик удаленного доступа и параметрами входящих звонков в учетной записи пользователя. Если параметры.запроса на соединение отвечают условиям хотя бы одной политики и параметрам входящих звонков, соединение авторизуется, и сервер IAS посылает RADIUS-coo6uj;
emie Access Accept серверу NAS, от которого было получено сообщение Access-Request. Со общение Access-Accept не только авторизует запрос на соединение, но и указы вает параметры соединения, заданные в профиле политики удаленного доступа и в свойствах входящих звонков учетной записи данного пользователя. Сервер NAS интерпретирует эти данные и определяет, какие параметры соединения раз решил использовать сервер IAS.
Если же удостоверения недействительны либо запрос на соединение не соответ ствует условиям хотя бы одной политики или, напротив, соответствует услови ям какой-либо политики, запрещающей данному пользователю удаленный дос туп, IAS посылает RADIUS-сообщение Access-Reject, и сервер NAS разрывает соединение с пользователем.
Удаленный доступ 296 ЧАСТЬ Аутентификация и авторизация в IAS: шаг за шагом Схема, показанная на рис. 8-6а и рис. 8-66, иллюстрирует, как проходит процесс аутентификации и авторизации средствами IAS.
Примечание При настройке службы маршрутизации и удаленного доступа на аутен тификацию и авторизацию через Windows упомянутый выше процесс ограничива ется этапами 4-14. На этих этапах RADIUS-пакеты не пересылаются. Признак ус пешного или неудачного проведения аутентификации и авторизации возвращается в качестве значения функции, вызываемой службой маршрутизации и удаленного доступа. Содержимое журнала локальных событий или аутентификации зависит от параметров протоколирования, установленных в свойствах этой службы (см. гла ву 2 Служба маршрутизации и удаленного доступа в этой книге).
1. Проверить RADIUS-пакет.
Во входящем пакете Ac cess-Request проверяется IP-адрес источника, цифровая подпись, атрибуты и т. д.
2. Проверить на Auto Reject.
Auto Reject используется для немедленной посылки пакета Access-Reject, если атрибут User-Name в пакете Access-Request совпадает с определенным значени ем. Периодически посылая такие пакеты Access-Request и принимая пакеты Access-Reject (отправляемые в режиме Auto Reject), клиент RADIUS определя ет, присутствует ли еще сервер RADIUS в сети. Эти сообщения Access-Reject требуют особой обработки, поскольку их не нужно ни аутентифицировать, ни авторизовать. Кроме того, для них не создается никаких записей в журнале аутентификации, чтобы они попусту не заполняли этот журнал.
Для настройки IAS на Auto Reject присвойте параметру Ping User-Name в раз деле реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ IAS\Pararaeters имя пользователя Ч получателя пакетов Access-Reject от Auto Reject. Сообщение Access-Reject посылается, когда атрибут User-Name в пакете Access-Request совпадает со значением параметра Ping User-Name.
3. Идентифици ровать гюлыювател я.
Если атрибут User-Name в пакете Access-Request не является именем для Auto Reject, 1AS определяет идентификацию пользователя для последующей аутен тификации и авторизации. Обычно идентификацию пользователя описывает строковое значение RADIUS-атрибута User-Name. Если атрибута User-Name нет, пользователь идентифицируется как соответствующий учетной записи Guest (Гость) или учетной записи, которая указывается параметром Default User Identity в разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControl Set\Services\ Remote Access\Policy.
Однако для идентификации IAS может использовать любой атрибут RADIUS.
Номер атрибута RADIUS, который служба IAS задействует для идентификации пользователя, указывается в параметре User Identity Attribute в разделе реес тра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Remote Access\Policy. По умолчанию параметру User Identity Attribute присваивается значение 1, что соответствует RADIUS-атрибуту User-Name. Подробнее о пара метре User Identity Attribute см. раздел Неаутентифицируемый доступ далее в этой главе.
ГЛАВА 8 Служба проверки подлинности в Интернете Начало Записать событие а журнал Послать пакет Access-Reject Совпадает ли атрибут I User-Name со значением параметра реестра Нет \ Ping User-Name?
3. Идентифицировать пользователя 4. Разобрать имя Записать в журнал 5. Проверить наличие факт неудачной Послать пакет дополнительных средств попытки аутентификации Access-Reject аутентификации Отказать Принять Есть ли Применить дополнительные дополнительные средства средства?
Продолжить 6. Проверить наличие блокировки учетной записи удаленного доступа Учетная запись } блокирована?
Нет 7. Проверить возможность использования MS-CHAP. CHAP и PAP Рис. 8-fia. Процесс аутентификации и авторизации средствами IAS Удаленный доступ 298 ЧАСТЬ Провести аутентификацию пользователя Используется ли Т MS-CHAP. CHAP или PAP?
Нет / >_ЧНет Аутентификация I прошла удачно?
пппшпя \/лячнп?
Х Да-** 8. Проверить учетную запись пользователя Нет Действительна ли учетная запись пользователя?
9. Проанализировать действующие политики / чЧДДт..
Подходит ли Т какая-либо политика?
10. Полунить параметры входящих звонков и объединить их с параметрами профиля 11. Проверить наличие ЕАР Провести аутентификацию по ЕАР Возможна ли Т Нет v ">Ч-Ч-Нет по ЕАР?
Аутентификация Т прошла удачно?
12. Проверить параметры учетной записи пользователя и свойства профиля с : ^~-Чл-мямл Нет Х Позволяют ли эти Т параметры осуществить да подключение?
13. Проверить наличие дополнительных средств авторизации < Отказать | Есть ли Применить Нет дополнительные средства? дополнительные средства Продолжить 14. Поспать пакет Access-Accept и зарегистрировать успешную попытку аутентификации Рис. 8-66. Процесс аутентификации и авторизации средствами IAS ГЛАВА 8 Служба проверки подлинности в Интернете 4. Разобрать имя.
Разбор имени (name cracking) Ч это разрешение идентификации пользователя в его учетную запись с применением основных имен пользователя (user principal names), LDAP (Lightweight Directory Access Protocol), составных имен (disiin guished names, DNA), канонических имен и т. д. Получив основное имя, IAS зап рашивает Global Catalog (Глобальный каталог) службы каталогов Active Direc tory. Для ускорения этого процесса копия глобального каталога должна нахо диться на контроллере домена в пределах того сайта Active Directory, где распо ложен сервер IAS.
Если в идентификации пользователя нет имени домена, IAS добавляет такое имя. По умолчанию это имя домена, в который входит сервер IAS. Имя домеаа, предоставляемое IAS, можно указать в параметре DefaultDomain в разделе рее стра HKEy_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\ PPP\ControlProtocols\BuiltIn.
5. Проверить наличие дополнительных средств аутентификации.
Проверяется существование дополнительных средств аутентификации, которое представляют собой необязательные компоненты, создаваемые с помощью IAS SDK. Каждый такой компонент возвращает Accept (принять), Reject (откло нить) или Continue (продолжить). Если дополнительный компонент аутентифи кации возвращает Accept, считается, что пользователь аутентифицирован, и на чинается проверка его учетной записи. Если компонент аутентификации возвра щает Reject, IAS посылает пакет Access-Reject, и в зависимости от параметров протоколирования неудачная попытка аутентификации фиксируется либо в си стемном журнале событий, либо в журнале аутентификации IAS. Если компо нент возвращает Continue, происходит переключение на следующий компонент.
Если других компонентов больше нет, пользователь считается аутентифициро ван ным.
Дополнительный компонент аутентификации может также возвращать атрибу ты RADIUS, которые включаются в пакет Access-Accept.
6. Проверить наличие блокировки учетной записи удаленного доступа.
После того как заканчивается работа дополнительных компонентов аутентифи кации, считывается содержимое реестра на сервере IAS, чтобы выяснить, не бло кирована ли учетная запись пользователя. Если да, IAS посылает серверу NAS сообщение Access-Reject и регистрирует в журнале попытку аутентификации.
Примечание Блокировка учетной записи пользователя Ч одна из функций за щиты, включаемая через реестр Windows 2000. Она предотвращает словарные атаки против учетных записей пользователей. Подробнее о блокировке учетньи.
записей см. главу 7 Сервер удаленного доступа в этой книге. Функция блоки ровки учетных записей удаленного доступа не связана с флажком Account locked out (Отключить учетную запись) на вкладке General (Общие) окна свойств пользовательской учетной записи и не имеет никакого отношения к управлению политиками блокировки учетных записей через политики групп Windows 2000.
300 ЧАСТЬ 2 Удаленный доступ 7. Проверить возможность использования MS-CHAP, CHAP и PAP.
Если для аутентификации удаленного клиента используется протокол MS CHAP (версии 1 или 2), CHAP или PAP, IAS обращается к соответствующему подмодулю аутентификации. На основе локальной или доменной базы данных учетных записей проверяются удостоверения пользователя (имя и пароль), а также определяется его принадлежность к группам. Конкретный метод аутен тификации зависит от применяемого протокола.
Если аутентификация закончилась неудачно, посылается сообщение Access Reject, и в зависимости от параметров протоколирования неудачная попытка аутентификации фиксируется либо в системном журнале событий, либо в жур нале аутентификации IAS.
Если применяется ЕАР или неаутентифицируемый доступ, процесс аутентифи кации пользователя пропускается. В случае ЕАР аутентификация осуществля ется позже, а в случае неаутентифицируемого доступа Ч вообще не выполняется.
8. Проверить учетную запись пользователя, Учетная запись, определенная при разборе имени, проверяется на предмет того, не отключена ли она (это не имеет отношения к блокировке) и не истек ли срок действия пароля пользователя. Если учетная запись недействительна, посыла ется сообщение Access-Reject, и в зависимости от параметров протоколирова ния неудачная попытка аутентификации фиксируется либо в системном журна ле событий, либо в журнале аутентификации 1AS.
9. Проанализировать действующие политики.
Для поиска политики удаленного доступа, соответствующей параметрам соеди нения, анализируются политики удаленного доступа, действующие на сервере IAS. Если подходящая политика не найдена, посылается сообщение Access Reject, и данное событие фиксируется в журнале. Подробнее о политиках уда ленного доступа и алгоритме их анализа см. раздел Политики удаленного дос тупа* далее н этой главе.
10. Получить параметры входящих звонков и объединить их с параметрами профиля.
Параметры входящих звонков в свойствах учетной записи пользователя и свои ства профиля подходящей политики удаленного доступа объединяются в набор свойств соединения.
И. Проверить наличие ЕАР.
Если при попытке соединения используется ЕАР, происходит аутентификация по этому протоколу. Начальное согласование о применении ЕАР требует выбо ра ЕАР в качестве РРР-протокола аутентификации и указания типа ЕАР. Что бы убедиться, что использование данного типа ЕАР разрешено, проверяются параметры в профиле соответствующей политики. Если использование выбран ного типа ЕАР не разрешено в этом профиле, посылается сообщение Access Reject, и в зависимости от параметров протоколирования неудачная попытка аутентификации фиксируется либо в системном журнале событий, либо в жур нале аутентификации 1AS.
Если применение выбранного типа ЕАР разрешено, то для него проводится ЕАР-аутентификация. IAS посылает серверу NAS вызов, чтобы начать согла ГЛАВА 8 Служба проверки подлинности в Интернете сование ЕАР. При этом взаимодействие между DLL-модулями ЕАР на клиент ской и серверной стороне осуществляется путем туннелировапия с использова нием протокола RADIUS. По окончании согласования провайдер ЕАР может вернуть атрибуты, отсылаемые серверу NAS в пакете Access-Accept. Если ЕАР аутентификация закончилась неудачей, посылается сообщение Access-Reject, и в зависимости от параметров протоколирования неудачная попытка аутентш ш капии фиксируется либо в системном журнале событий, либо в журнале аутен тификации JAS.
12. Проверить параметры учетной записи пользователя и свойства профиля.
Чтобы убедиться, что соединение разрешено, параметры входящих звонков в свойствах учетной записи пользователя и свойства профиля соответствующей политики удаленного доступа сравниваются с параметрами запроса на соедине ние. Если соединение не разрешено, посылается сообщение Access-Reject, j-i в зависимости от параметров протоколирования неудачная попытка аутентифи кации фиксируется либо в системном журнале событий, либо в журнале аутен тификации IAS.
13. Проверить наличие дополнительных средств авторизации.
Проверяется наличие дополнительных средств авторизации Ч необязательных компонентов, создаваемых с помощью IAS SDK. Каждый такой компонент воз вращает либо Reject (отклонить), либо Continue (продолжить). Если дополни тельный компонент авторизации возвращает Reject, JAS посылает пакет Access Reject, и в зависимости от параметров протоколирования неудачная попытка авторизации фиксируется либо в системном журнале событий, либо в журнале аутентификации JAS. Если компонент возвращает Continue, происходит пере ключение на следующий компонент. Если других компонентов больше пег, пользователь считается авторизованным.
Дополнительный компонент авторизации может также возвращать атрибут],!
RADIUS, которые включаются в пакет Access-Accept.
14. Послать пакет Access-Accept и зарегистрировать успешную попытку аутентифи кации.
Если параметры входящих звонков в свойствах учетной записи пользователя, свойства профиля соответствующей политики удаленного доступа и условия, заданные дополнительными компонентами авторизации, разрешают соединение., серверу NAS посылается пакет Access-Accept с набором атрибутов RADIUS, со держащих информацию об ограничениях для данного соединения. Б зависимости от параметров протоколирования удачная попытка аутентификации фиксирует ся либо в системном журнале событий, либо в журнале аутентификации IAS.
IAS и туннелирование Преимущество использования IAS e туннелями в том, что эту службу можно на строить так, чтобы она направляла трафик от клиента через туннель к определен ной части корпоративной сети (в зависимости от категории пользователя).
Примечание О туннелировании и его применении в Windows 2000 см. главу 9 Вир туальные частные сети в этой книге.
Удаленный доступ 302 ЧАСТЬ Туннели создаются различными способами. В следующих разделах поясняются два основных тина туннелирования Ч произвольное (voluntary tunneling) и принуди тельное (compulsory tunneling).
Произвольное туннелирование Пользователь или клиентский компьютер может послать VPN-запрос для создания и настройки произвольного туннеля. В этом случае компьютер пользователя явля ется конечной точкой туннеля и работает как клиент туннелирования, Произволь ное туннелирование происходит, когда рабочая станция или маршрутизатор исполь зует клиентское программное обеспечение туннелирования для создания VPN-со единения с целевым сервером туннелирования. Для этого на клиентском компью тере должен быть установлен подходящий протокол туннелирования.
В ситуации с удаленным доступом по коммутируемой линии клиент должен уста новить удаленное соединение, прежде чем создавать туннель. Это наиболее распро страненный случай. Пример Ч пользователь услуг доступа в Интернет по комму тируемой линии, который перед тем, как создать туннель через Интернет, должен сначала связаться с провайдером (ISP) и установить соединение с Интернетом.
Рис. 8-7 иллюстрирует произвольный туннель, созданный между клиентом удален ного доступа по коммутируемой линии и сервером туннелирования.
Клиент I' i удаленного доступа Active Directory РРР-соединение Брандмауэр RADIUS прокси Рис. 8-7. Произвольный туннель, созданный удаленным пользователем На рис. 8-7 показано использование IAS в сценарии с аутсорсинговым управлени ем удаленным доступом для произвольного туннелирования. Клиент удаленного доступа устанавливает по коммутируемой линии соединение с ISP. который обес печивает всем сотрудникам некоей организации удаленный доступ к ее интрасети.
На основе параметров соединения сервер NAS, с которым соединился удаленный клиент, формирует пакет Access-Request и посылает его на заданный компьютер RADIUS-прокси. RADIUS-прокси, исходя из содержимого атрибута User-Name, пересылает этот пакет серверу 1AS организации, доступной в Интернете через бран дмауэр. Ее сервер IAS аутентифицирует и авторизует запрос удаленного клиента на соединение и возвращает RADIUS-прокси пакет Access-Accept. RADIUS-прокси Служба проверки подлинности в Интернете ГЛАВА пересылает этот пакет серверу NAS провайдера, и тот подключает клиента к Ин тернету.
После подключения к Интернету клиент удаленного доступа инициирует создание туннеля с сервером туннелирования организации. На основе параметров соедине ния сервер туннелирования генерирует пакет Access-Request н посылает его на сер вер IAS. Последний аутентифицирует и авторизует запрос клиента туннелирова ния на соединение и возвращает серверу туннелирования пакет Access-Accept. Сер вер туннелирования создает туннель, и с этого момента клиент может передавать пакеты в интрасеть организации по туннелю.
Примечание Метод аутентификации и стойкость шифрования для соединения уда ленного доступа и туннеля могут различаться. Так, для удаленного соединения с ISP может использоваться CHAP, а для туннеля Ч более безопасный метод аутен тификации вроде MS-CHAP v2 или EAP-TLS.
Принудительное туннелирование Принудительное туннелирование Ч создание защищенного туннеля другим компь ютером или сетевым устройством в интересах клиентского компьютера. Принуди тельные туннели создаются и настраиваются автоматически Ч без участия пользо вателя. При принудительном туннелировании конечной точкой туннеля является не клиентский компьютер, а другое устройство, находящееся между клиентским компьютером и сервером туннелирования. Это устройств*} работает как клиент тун нелирования. Таким устройством служит сервер удаленного доступа по коммути руемой линии, вызываемый удаленным клиентом.
Многие поставщики серверов удаленного доступа предусматривают возможность создания туннелей в интересах клиентов удаленного доступа. Компьютер или сете вое устройство, предоставляющее туннель для клиентского компьютера, в РРТР называется FEP (Frant End Processor), в L2TP - LAC (L2TP Access Concentrator).
а в IPSec Ч IP Security Gateway. В этой главе независимо от протокола туннелиро вания используется термин FEP. На FKP должен быть установлен подходящий про токол туннелирования;
кроме того, он должен быть способен создавать туннель, когда клиентский компьютер пытается установить соединение, Организация может заключить договор с JSP о развертывании набора FEP по всей стране. Эти FEP будут создавать туннели через Интернет с сервером туннелирова ния, подключенным к частной сети организации, и тем самым консолидировать вызовы с территориально распределенных участков в единую точку Интернет-вхо да в корпоративную сеть.
На рис. 8-8 показан клиентский компьютер, вызывающий сервер NAS провайдера с поддержкой туннелирования с целью аутентификации на сервере IAS, который находится на другом конце туннеля.
Рис. 8-8 иллюстрирует применение IAS в сценарии с аутсорсипговым управлением удаленным доступом для принудительного туннелирования. Клиент удаленного доступа устанавливает по коммутируемой линии соединение с ISP, который обес печивает всем сотрудникам некоей организации удаленный доступ к ее интрасети.
На основе параметров соединения сервер NAS. с которым соединился удаленный клиент, формирует пакет Access-Request и посылает его на заданный сервер IAS.
Удаленный доступ 304 ЧАСТЬ Сервер IAS провайдера авторизует запрос удаленного клиента на соединение и воз вращает пакет Access-Accept с набором атрибутов туннелирования. При необходи мости сервер NAS провайдера создает через Интернет туннель с сервером туннели рования организации.
Active Directory Клиент Клиент туннелирования удаленного доступа Туннель Сервер IAS Рис. 8-8. Принудительный туннель, созданный сервером NAS, который поддерживает туннелирование Примечание Обычно IAS обеспечивает как аутентификацию, так и авторизацию.
Однако в данном случае сервер IAS Интернет-провайдера, как правило, отвечает только за авторизацию. Поскольку клиент удаленного доступа проходит аутенти фикацию на сервере тунпслирования организации, в аутентификации на сервере IAS провайдера нет необходимости.
Далее сервер NAS провайдера передает клиенту удаленного доступа РРР-сообще ние о перезапуске процесса аутентификации, чтобы этот клиент мог пройти аутен тификацию на сервере туннелирования своей организации. Клиент удаленного до ступа посылает аутентификационную информацию на сервер NAS провайдера, ко торый инкапсулирует эти данные и посылает их по туннелю на сервер туннелиро вания.
Получив аутентификационную информацию, сервер туннелирования посылает сер веру IAS организации пакет Access-Request. Сервер IAS организации аутентифи цирует и авторизует соединение удаленного доступа с сервером туннелирования и посылает пакет Access-Accept на сервер туннелирования, который после этого принимает запрос на соединение от клиента удаленного доступа. Теперь все дан ные, посылаемые клиентом удаленного доступа, автоматически передаются через туннель на сервер туннелирования с использованием сервера NAS провайдера.
Такое туннелирование называется принудительным потому, что клиент вынужден использовать туннель, созданный FEP. Как только соединение установлено, весь сетевой трафик от клиента автоматически передается по туннелю. Сервер IAS мож но настроить так, чтобы он заставлял FEP для разных клиентов удаленного досту па создавать туннели с разными серверами туннелирования.
В отличие от произвольных туннелей принудительные туннели между FEP и сер вером туннелирования могут совместно использоваться несколькими клиентами Служба проверки подлинности а Интернете ГЛАВА удаленного доступа. Когда второй клиент подключается к сервер}' доступа (FEP) и обращается к адресату, туннель к которому уже с о;
* дан, его трафик перелается по существующему туннелю.
Примечание Применять RADIUS-прокси при принудительном туннелировании не рекомендуется. Прокси может расшифровать пароль туннеля, так как для шифро вания паролей между прокси и сервером IAS используется общий секрет.
Для передачи информации о туннелировании от сервера IAS серверу NAS исполь зуются следующие атрибуты RADIUS.
Только при авторизации:
Х Tunnel -Private-Group-ID;
Х Tunnel-Assignment-ID;
Х Тн nnel - P reteren ce;
Х Tunnel-Password (с прокси не используется).
При авторизации и учете:
Х Tunnel-Type (PPTP, L2TP и т. д.);
Х Tunnel-Medium-Type (X.25, ATM, Frame Relay, IP и т. д.);
Х Tunnel-Client-End point;
Х Tunnel-Server-Endpoint.
Только при учете:
Х Acct-Timnel-Connection.
Служба маршрутизации и удаленного доступа Windows 2000 не может выступать в роли FEP при принудительном тупнелировании.
Методы аутентификации Протокол RADIUS поддерживает ряд РРР-протоколов аутентификации. У каждо го из них свои плюсы и минусы. Конкретный протокол определяется устройством NAS. Если Вы настраиваете сеть на поддержку удаленного доступа по коммутируе мым линиям, прочтите документацию на свой сервер NAS, а если удаленный дос туп к Вашей сети поддерживается через ISP, обратитесь к нему.
В следующих разделах рассматриваются преимущества и недостатки протоколои аутентификации, поддерживаемых IAS в настоящее время. Эта информация будет полезна при настройке конкретного протокола аутентификации, РАР PAP (Password Authentication Protocol) передает пароль от компьютера пользова теля устройству NAS в виде строки. NAS, пересылая пароль, шифрует его, исполь зуя п качестве криптографического ключа общий секрет RADIUS. PAP Ч самый гибкий протокол, так как передача нешифрованного пароля на сервер аутентифи кации позволяет этому серверу оперировать практически с любым форматом дан ных. Например, пароли UNIX хранятся в виде необратимо зашифрованных строк, и для сравнения паролей РАР с этими строками нужно всего лишь воспользовать ся тем же методом шифрования.
I! Зак Удаленный доступ 306 ЧАСТЬ Однако из-за того, что РАР имеет дело с нешифрованными паролями, этот прото кол весьма уязвим с точки зрения безопасности. Хотя пароль все же шифруется протоколом RADIUS, по телефонной линии он передается открытым текстом.
Включение РАР Чтобы выбрать аутентификацию по протоколу РАР, выполните следующую про цедуру.
1. Разрешите применение РАР в качестве протокола аутентификации на сервере удаленного доступа. Об исходных настройках конкретного сервера NAS см. до кументацию на этот сервер. В службе маршрутизации и удаленного доступа про токол РАР по умолчанию отключен.
2. Разрешите применение РАР в нужной политике удаленного доступа. По умол чанию протокол РАР отключен.
3. Разрешите применение РАР на клиенте удаленного доступа.
Примечание Включение РАР в качестве протокола аутентификации означает, что пароль пересылается от клиента серверу NAS открытым текстом. Сервер NAS шиф рует пароль, используя общий секрет, и передает его в пакете Access-Request.
RADIUS-прокси должен шифровать РАР-пароль на основе секрета, общего с пере сылающим сервером RADIUS, и расшифровывать его на основе секрета, общего с сервером NAS. Злоумышленник, получив доступ к RADIUS-прокси, может опре делить имена и пароли пользователей для РАР-соединений. Таким образом, исполь зовать протокол РАР настоятельно не рекомендуется Ч особенно при VPN-подклю чениях.
CHAP CHAP (Challenge Handshake Authentication Protocol) разработан для безопасной передачи паролей. При использовании CHAP сервер NAS посылает клиентскому компьютеру вызов со случайным образом генерируемой строкой. Строка вызова и пароль пользователя хэшируются по MD5. Далее клиентский компьютер посылает хэш на сервер NAS, а тот пересылает серверу аутентификации и строку вызова, и ответ на него в виде RADIUS-пакета Access-Request.
Получив этот пакет, сервер аутентификации создаст собственную версию ответа.
Если версия сервера совпадает с ответом от клиентского компьютера, запрос на соединение принимается.
СНАР-ответы нельзя использовать повторно, так как устройства NAS каждый раз посылают клиенту уникальную строку вызова. Поскольку алгоритм вычислений при генерации СНАР-ответов хорошо известен, очень важно тщательно выбирать пароли и заботиться о том, чтобы их длина была достаточной. Пароли CHAP на основе распространенных слов или имен уязвимы перед словарными атаками. А пароли недостаточной длины могут быть раскрыты простым перебором возможных комбинаций.
Исторически сложилось так, что CHAP стал самым распространенным протоколом аутентификации при удаленном доступе. Однако, если на сервере не хранится тот же пароль, что и использованный для генерации СНАР-ответа, создать свою вер сию ответа этот сервер не сможет. Поскольку для создания ответа на вызов стан Служба проверки подлинности в Интернете ГЛАВА 8 дартные СНАР-клиенты используют нешифрованную версию пароля, то и на сер вере пароли должны храниться в незашифрованном виде.
Хотя сервер IAS поддерживает CHAP, контроллер домена Windows NT 4.0 не мо жет проверять СНАР-запросы без поддержки хранения обратимо шифруемых па ролей. Такая поддержки имеется в Windows 2000, а на контроллерах домена Win dows NT 4.0 нужно устанавливать специальное обновление.
Включение CHAP Чтобы выбрать аутентификацию по протоколу CHAP, выполните следующую про цедуру.
1. Разрешите применение CHAP и качестве протокола аутентификации на серве ре удаленного доступа. Об исходных настройках конкретного сервера NAS см.
документацию на этот сервер. В службе маршрутизации и удаленного доступа протокол CHAP включен по умолчанию.
2. Разрешите применение CHAP в нужной политике удаленного доступа. По умол чанию протокол CHAP включен.
3. Разрешите хранение паролей пользователей в обратимо шифруемом виде. В слу чае автономного сервера под управлением Windows 2000 Server храпение обра тимо шифруемых паролей для всех пользователей данного компьютера следует разрешить через политики групп. В доменах Windows 2000 можно использовать политики групп на уровне доменов или организационных единиц. Об активиза ции обратимого шифрования паролей см. справочную систему Windows Server.
4. Принудительно сбросьте пароли для их преобразования в обратимо зашифро ванную форму. Когда Вы разрешаете хранение паролей в обратимо зашифрован ном виде, пароли, уже хранящиеся в необратимо зашифрованной форме, авто матически не изменяются. Вы должны либо сбросить пароли, либо потребовать смены паролей при следующем входе в систему.
Если Вы выбрали второй вариант, пользователи должны войти в сеть через LAN-соединение и сменить свои пароли Ч только после этого они смогут под ключаться к серверу удаленного доступа и аутсптифицироваться по протоколу CHAP CHAP не поддерживает смену паролей в процессе аутентификации, и такие попытки заканчиваются неудачей. Это ограничение можно обойти, вре менно подключившись к серверу удаленного доступа с использованием MS CHAP, который допускает смену пароля в процессе соединения.
5. Разрешите применение CHAP на клиенте удаленного доступа.
MS-CHAP MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) Ч разновид ность протокола CHAP, tie требующая хранения пароля пользователя на сервере аутентификации в незашифрованном виде. В MS-CHAP ответ на вызов генериру ется на основе МО4-хэша пароля и строки вызова сервера NAS. Это обеспечивает аутентификацию через Интернет на контроллере домена Windows 2000 (или Win dows NT 4.0 без установки специального обновления).
Пароли в MS-CHAP хранятся на сервере более безопасным образом, но, как и па роли в CHAP они уязвимы перед словарными атаками и атаками с подбором паро ЧАСТЬ 2 Удаленный доступ лей. Используя MS-CHAP, важно тщательно выбирать пароли (чтобы их не было в стандартном словаре) и заботиться о том, чтобы их длина была достаточной. Мно гие крупные компании требуют, чтобы длина пароля была не менее шести симво лов и чтобы в пароле присутствовали буквы верхнего и нижнего регистра, а также минимум одна цифра, О поддержке MS-CHAP можно узнать из документации на сервер NAS или у Ин тернет-провайдера.
Примечание По умолчанию MS-CHAP vl в Windows 2000 поддерживает аутенти фикацию LAN Manager. Бели Вы хотите отключить такую поддержку в MS-CHAP vl для старых операционных систем вроде Windows NT 3.5 и Windows 95, присвойте нулевое значение параметру Allow LM Authentication в разделе реестра HKEY_LO CALMACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy иа сер вере аутентификации.
Если пользователь пытается пройти аутентификацию по MS-CHAP с просрочен ным паролем, ему предлагается сменить пароль в процессе соединения с сервером.
Другие протоколы аутентификации не поддерживают такую возможность, просто блокируя доступ.
Включение MS-CHAP Чтобы выбрать аутентификацию по протоколу MS-CHAP, выполните следующую процедуру.
1. Разрешите применение MS-CHAP в качестве протокола аутентификации на сер вере удаленного доступа. Об исходных настройках конкретного сервера NAS см.
документацию на этот сервер. В службе маршрутизации и удаленного доступа протокол MS-CHAP включен но умолчанию.
2. Разрешите применение MS-CHAP в нужной политике удаленного доступа. По умолчанию протокол MS-CHAP включен.
3. Разрешите применение MS-CHAP na клиенте удаленного доступа.
MS-CHAP v MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol версии 2) поддерживает взаимную аутентификацию, более стойкие шифровальные ключи и применение раздельных ключей для передачи и приема данных. Для VPN-соеди нении серверы Windows 2000 предлагают сначала MS-CHAP v2 и только потом более старый протокол MS-CHAP. Клиенты под управлением новых версий Win dows всегда соглашаются на использование MS-CHAP v2. если это предлагается сервером.
В MS-CHAP v2 используются необратимо шифруемые пароли. Процесс взаимной аутентификации проходит в последовательности, описанной в разделе MS-CHAP v2*> главы 7 Сервер удаленного доступа в этой книге.
Если пользователь пытается пройти аутентификацию по MS-CHAP v2 с просро ченным паролем, ему предлагается сменить пароль в процессе соединения с серве ром. Другие протоколы аутентификации пе поддерживают такую возможность, про сто блокируя доступ.
Служба проверки подлинности в Интернете ГЛАВА 8 Включение MS-CHAP v Чтобы выбрать аутентификацию по протоколу MS-CHAP v2, выполните следую щую процедуру.
1. Разрешите применение MS-CHAP v2 в качестве протокола аутентификация на сервере удаленного доступа. Об исходных настройках конкретного сервера XAS см. документацию на этот сервер. В службе маршрутизации и удаленного дос тупа протокол MS-CHAP v2 включен по умолчанию.
2. Разрешите применение MS-CHAP v2 в нужной политике удаленного доступа.
По умолчанию протокол MS-CHAP v2 включен.
3. Разрешите применение MS-CHAP v2 на клиенте удаленного доступа.
Примечание Windows 95 и Windows 98 поддерживают MS-CHAP v2 только для VPN- соединении, ЕАР ЕАР (Extensible Authentication Protocol) Ч это расширение РРР (Point-to-point Protocol), поддерживающее клиенты доступа по коммутируемым линиям, а также РРТР- и Е2ТР-клиенты, ЕАР позволяет добавлять новые методы аутентификации, называемые типами КАР. Для успешной аутентификации данный тип ЕАР должен поддерживаться как сервером удаленного доступа, так и клиентом.
В Windows 2000 имеется инфраструктура ЕАР и встроено два типа ЕАР: EAP-MD CHAP и EAP-TLS. Реализация IAS в Windows 2000 позволяет передавать ЕАР-со общения на сервер RADIUS (EAP-RADIUS).
EAP-MD5 CHAP EAP-MD5 CHAP (Message Digest 5 Challenge Handshake Authentication Protocol) является обязательным типом ЕАР, который использует тот же протокол вызова ответа, что и РРР CHAP, но вызовы и ответы посылаются в виде ЕАР-сообщениЙ, Обычно EAP-MD5 CHAP применяется для проверки удостоверений клиентов уда ленного доступа в системах защиты на основе имен и паролей пользователей. Кро ме того, этот тип ЕАР позволяет проверять возможность взаимодействия по ЕАР.
ЕДР-TLS EAP-TLS (EAP-Tran.sport Level Security) Ч тип ЕАР, применяемый в системах за щиты на основе сертификатов. Вы должны использовать EAP-TLS, если аутенти фицируете клиенты удаленного доступа с помощью смарт-карт. Обмен сообщения ми EAP-TLS обеспечивает взаимную аутентификацию, согласование метода шиф рования и безопасный обмен закрытыми ключами между клиентом удаленного до ступа и сервером аутентификации. EAP-TLS Ч самый защищенный метод аутен тификации и обмена ключами. Он поддерживается только серверами удаленного доступа под управлением Windows 2000, которые входят в домен Windows 2000 ос новного или смешанного режима.
EAP-RADIUS EAP-RADIUS Ч это не тип ЕАР, а способ передачи сообщений любого типа ЕАР сервером удаленного доступа на сервер RADIUS для аутентификации. Сообщения ЕАР, пересылаемые между клиентом и сервером удаленного доступа, инкапсулиру Удаленный доступ 310 ЧАСТЬ ются и форматируются как сообщения RADIUS, которыми обмениваются сервер удаленного доступа и сервер RADIUS. Подробнее об EAP-RADIUS см. раздел EAP-RADIUS главы 7 Сервер удаленного доступа в этой книге, Включение ЕАР Чтобы выбрать аутентификацию но ЕАР, выполните следующую процедуру.
1. Разрешите применение ЕАР в качестве протокола аутентификации на сервере удаленного доступа.
2. Разрешите применение ЕАР в нужной политике удаленного доступа.
3. Разрешите применение ЕАР на клиенте удаленного доступа.
В дополнение к типам ЕАР, определенным и поддерживаемым в Windows 2000, ЕАР Software Development Kit (SDK) позволяет добавлять новые ЕАР-методы аутенти фикации, Неаутентифицируемый доступ Неаутентифицируемый доступ позволяет удаленным клиентам входить в сеть без проверки удостоверений. Например, сервер IAS не будет проверять имя и пароль пользователя. Единственная проверка, выполняемая при таком тине доступа, Ч ав торизация. К использованию неаутентифицируемых соединений следует относить ся очень внимательно, так как они предоставляются без проверки идентификации удаленных клиентов.
В этом разделе рассматриваются три варианта неаутентифшшруемого доступа:
Х гостевой доступ;
Х авторизация на основе DNIS (Dialed Number Identification Service);
Х авторизация на основе AN1/CLI (Automatic Number Identification/Calling Line Identification).
Гостевой доступ для РРР-клиентов Гостевой доступ Ч это возможность входа в домен, не указывая имя пользователя и/или пароль. При этом IAS и служба маршрутизации и удаленного доступа долж ны быть настроены на поддержку неаутентифицируемого доступа.
Когда сервер удаленного доступа получает запрос на соединение, начинается про цесс согласования с клиентом метода аутентификации из числа поддерживаемых сервером. Если клиент принимает один из них, он посылает удостоверения, требу емые согласованным методом аутентификации. Если же пользователь отказывает ся проходить аутентификацию, служба маршрутизации и удаленного доступа про веряет возможность доступа без аутентификации. Если такой доступ разрешен, она пересылает IAS пакет Access-Request. В этом пакете не содержится ни атрибут User Name, ни какие-либо другие удостоверения.
IAS, получив пакет Access-Request без атрибута User-Name, считает, что пользова тель хочет войти в сеть через гостевой доступ. В этом случае в качестве идентифи кации пользователя IAS принимает имя гостевой учетной записи в домене. Далее IAS анализирует действующие политики, чтобы найти нужный профиль, Если та ковой найден и гостевой доступ & нем разрешен, IAS выполняет остальные опера ции, связанные с авторизацией, и возвращает пакет Access-Accept. В файле журна ла учета регистрируется идентификация пользователя и тип аутентификации, Служба проверки подлинности в Интернете ГЛАВА 8 Впоследствии на основе этой информации можно будет определить, входил ли пользователь по гостевой учетной записи.
Включение гостевого доступа Чтобы разрешить гостевой доступ, выполните следующие операции.
1. Разрешите неаутентифицируемый доступ на сервере удаленного доступа.
2. Разрешите неаутентифицируемый доступ с подходящей политике удаленного доступа.
3. Разрешите использование учетной записи Guest (Гость).
4. В зависимости от административной модели удаленного доступа укажите в ос тевой учетной записи Allow Access (Разрешить доступ) или Control access through Remote Access Policy (Управление на основе политики удаленного до ступа).
Если Вы не хотите разрешать использование учетной записи Guest, создайте поль зовательскую учетную запись и укажите в пой Allow Access или Control access through Remote Access Policy. Затем на сервере аутентификации (сервере удален ного доступа или сервере IAS) присвоите параметру Default User Identity в разде ле реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Remote Access\Policy имя только что созданной учетной записи.
Подробнее о включении и настройке протоколов аутентификации, а также об ак тивизации отключенных пользовательских учетных записей см. справочную систе му Windows 2000 Server.
Пример гостевого доступа 1. При РРР-согласовании клиент отвергает все протоколы РРР-аутентификации, поддерживаемые NAS.
2. Если NAS настроен на возможность неаутентифицируемого доступа, он посы лает пакет Access-Request без атрибута User-Name и без пароля. В службе мар шрутизации и удаленного доступа Windows 2000 неаутентифицируемый доступ разрешается на вкладке Authentication* окна свойств сервера в оснастке Ron ting and Remote Access (Маршрутизация и удаленный доступ).
3. Так как в пакете Access-Request нет атрибута User-Name, идентификацией пользователя для IAS служит учетная запись Guest (Гость) или значение пара метра реестра Default User Identity.
4. С идентификацией пользователя в качестве гостя и попыткой подключения без проверки аутентификация и авторизация проходят так, как это было показано ранее в этой главе. Если параметры запроса па соединение соответствуют какой либо политике, в профиле которой разрешен доступ без аутентификации, если учетная запись Guest не отключена и если она разрешает удаленный доступ, то JAS посылает серверу KAS пакет Access-Accept.
* Такой вкладки в окне свойств сервера удаленного доступа нет. По крайней мере н русской вер сии Windows 2000 Server Вы должны открыть в окне свойств сервера удаленного доступа вкладку Безопасность, щелкнуть кнопку Методы проверки подлинности и в появившемся одноименном диалоговом окне в разделе Доступ без проверки установить флажок Разрешить подключение уда ленных систем без проверки. Ч Прим. персе.
Удаленный доступ 312 ЧАСТЬ Авторизация на основе DNIS Авторизация на основе DNIS (Dialed Number Identification Service) Ч это метод, при котором авторизация попытки соединения осуществляется на основе;
набран ного клиентом номера. Соответствующий атрибут называется идентификатором вызываемой станции (Called-Station-TD). DNIS используется большинством теле коммуникационных компаний. Эта служба возвращает набранный телефонный но мер получателю вызова. На основе атрибута Called-Station-ID сервер IAS опреде ляет, какие услуги могут быть предоставлены данному клиенту удаленного доступа.
Включение авторизации на основе DNIS Для этого выполните следующие операции.
1. Разрешите неаутентифицируемый доступ на сервере удаленного доступа, 2. Создайте на сервере аутентификации (т. е. на сервере удаленного доступа или на сервере IAS) политику удаленного доступа, которая предназначена для DNIS авторизации и в которой атрибут Called-Station-ID хранит нужный телефонный номер.
3. Разрешите неаутентифицируемый доступ в свойствах созданной политики уда ленного доступа.
Авторизация на основе ANI Этот метод авторизации базируется на определении телефонного номера, с которо го звонит пользователь. Соответствующий атрибут называется идентификатором вызывающей станции (Calling-Station-ID), или идентификатором звонящего (Caller ID). На основе атрибута Calling-Station-ID сервер IAS определяет, какие услуги могут быть предоставлены данному клиенту удаленного доступа.
Авторизация на основе ANI отличается от функции Caller ID (Идентификация зво нящего) параметрами входящих звонков в свойствах учетной записи пользователя.
ANI-авторизация выполняется в том случае, если пользователь не вводит свое имя или пароль и отказывается от любых поддерживаемых методов аутентификации.
Тогда IAS получает атрибут Calling-Station-ID без имени и пароля пользователя.
Поддержка авторизации на основе ANI требует, чтобы в Active Directory хранились учетные записи, где вместо имен пользователей указываются их Caller ID (проще говоря, телефонные номера). Эта разновидность аутентификации применяется при удаленном доступе из сетей сотовой связи, а также Интернет-провайдерами в Гер мании и Японии.
Если в учетной записи задано значение свойства Caller ID, то для нхода в сеть пользователь вводит свои учетные данные (имя и пароль) и аутентифицируется по одному из поддерживаемых методов. После аутентификации пользователя на ос нове его имени и пароля IAS сравнивает атрибут Calling-Station-ID в пакете Access Request со свойством Caller ID учетной записи этого пользователя для авториза ции запроса на соединение.
Включение авторизации на основе ANI \. Разрешите неаутентифицируемый доступ на сервере удаленного доступа.
2. Разрешите неаутентифицируемый доступ в свойствах политики удаленного до ступа, созданной для проверки подлинности на основе ANI/CLI.
ГЛАВА 8 Служба проверки подлинности в Интернете 3. Создайте пользовательскую учетную запись для каждого номера, с которого зво нят удаленные клиенты и для которого Вы хотите настроить авторизацию на основе ANT/CLI. Имя учетной записи должно совпадать с телефонным номером, с которого звонит пользователь. Например, если пользователь звонит с номера 555-0100, создайте учетную запись л5550100.
4. На сервере аутентификации присвойте параметру User Identity Attribute в раз доле реестра HKEY_LOCAL_MACHINE\System\CurrentControISet\Services\ RemoteAccess\Policy значение, равное 31.
Этот параметр сообщает серверу аутентификации, что для идентификации зво нящего следует использовать его телефонный номер (RADIUS-атрибут 31, Calling-Station-ID). Телефонный номер служит идентификацией пользователя, только если в запросе на соединение отсутствует имя пользователя.
Чтобы телефонный номер звонящего всегда применялся в качестве идентж ш кации пользователя, на сервере аутентификации присвойте параметру Override User-Name в разделе реестра HKEYLOCAL_MACHINE\System\CurrentCont rolSet\Services\RemoteAccess\PoIicy значение, равное 1.
Учтите: если Вы записываете в параметр Override User-Name значение 1, а в User Identity Attribute Ч 31, сервер аутентификации выполняет лишь автори зацию на основе AN1/CL1. Обычные протоколы аутентификации типа MS CHAP, CHAP и PAP отключаются.
Пример ANI-авторизации В этом пример показано, как осуществляется авторизация на основе ANI/CLI для клиента удаленного доступа, звонящего с номера 55.5-0100 (при этом на сервере аутентификации имеется учетная запись 5550100).
1. При РРР-согласовании клиент отвергает все протоколы РРР-аутентификации, поддерживаемые NAS.
2. Если NAS настроен па возможность неаутентифицируемого доступа, он посы лает пакет Access-Request без атрибута User-Name и без пароля. В службе мар шрутизации и удаленного доступа Windows 2000 пеаутентифицируемый доступ разрешается на вкладке Authentication* окна свойств сервера в оснастке Rou ting and Remote Access (Маршрутизация и удаленный доступ).
3. Так как в пакете Access-Request пет атрибута User-Name, a IAS настроена на идентификацию пользователя по атрибуту CalHng-Station-ID, пользователь идентифицируется по учетной записи 5550100.
4. Далее аутентификация и авторизация проходят так, как это было показано ра псе и этой главе. Если параметры запроса на соединение соответствуют какой либо политике, в профиле которой разрешен доступ без аутентификации, если учетная запись 5550100 не отключена и если она разрешает удаленный доступ, то IAS посылает серверу NAS пакет Access-Accept.
См. предыдущее iтримеча!ше переводчика. Ч Прим. перев.
Удаленный доступ 314 ЧАСТЬ Авторизация в IAS Администратор может использовать средства авторизации в IAS, чтобы разрешать или запрещать подключения на основе параметров соединения. В следующих раз делах подробно рассказывается о настройке политик удаленного доступа и особых атрибутов вендоров.
Политики удаленного доступа В Windows NT 4.0 привилегии на удаленный доступ выдавались исключительно на основе разрешений, связанных с входящими звонками и закрепляемых за пользо вателем. В Windows 2000 соединения удаленного доступа принимаются на основе свойств входящих звонков в объекте пользователя и политиках удаленного досту па. Политика удаленного доступа Ч это набор условий и параметров соединения, позволяющих администраторам более гибко выдавать разрешения на удаленный доступ и использование сетевых ресурсов. Политики удаленного доступа хранятся на локальном компьютере и разделяются IAS и службой маршрутизации и удален ного доступа.
Используя политики удаленного доступа, администратор может указывать разре шения на основе времени суток, дня недели, принадлежности к группе Win dows 2000, типа запрашиваемого соединения (по коммутируемой линии или через VPN) и т.д. Кроме того, можно ограничивать максимальную длительность сеанса, задавать конкретные методы аутентификации и шифрования, настраивать полити ки ВАР и др.
Важно помнить, что запрос на соединение удаленного доступа принимается, толь ко если его параметры совпадают с параметрами хотя бы одной политики удален ного доступа. В ином случае запрос на соединение отклоняется независимо от па раметров входящих звонков в свойствах учетной записи данного пользователя.
При наличии серверов IAS под управлением Windows 2000 управление политика ми удаленного доступа осуществляется через оснастку Routing and Remote Access (Маршрутизация и удаленный доступ), если Вы выбрали аутентификацию черем Windows, или средствами Internet Authentication Service (IAS) (Служба проверки подлинности в Интернете).
Примечание Windows 2000 поддерживает нестандартные процессы авторизации, разрабатываемые с помощью IAS SDK.
Локальное и централизованное управление политиками Политики удаленного доступа хранятся локально на сервере удаленного доступа или сервере IAS. Чтобы организовать централизованное управление единым набо ром политик удаленного доступа для нескольких серверов удаленного доступа или VPN-серверов, Вы должны выполнить следующие операции.
1. Установить на компьютере с Windows 2000 службу IAS в качестве сервера RADIUS.
2. Настроить IAS на клиенты RADIUS, соответствующие серверам удаленного до ступа или VPN-серверам под управлением Windows 2000.
ГЛАВА 8 Служба проверки подлинности в Интернете 3. Создать на сервере IAS централизованный набор политик, используемый всеми серверами удаленного доступа Windows 2000.
4. Сконфигурировать все серверы удаленного доступа Windows 2000 в качестве клиентов RADIUS сервера IAS.
После настройки сервера удаленного доступа в качестве RADIUS-клиента сервера IAS локальные политики удаленного доступа, хранящиеся на этом сервере удален ного доступа, больше не действуют.
Централизованное управление политиками удаленного доступа применяется и при наличии серверов удаленного доступа под управлением Windows NT 4.0 и службы Routing and Remote Access Service (RRAS). Сервер Windows NT 4.0 с работающей службой RRAS можно настроить в качестве RADIUS-клиента сервера IAS. (Без службы RRAS на сервере Windows NT 4.0 централизованное управление политика ми удаленного доступа не поддерживается.) Свойства входящих звонков объекта пользователя В Windows 2000 объект пользователя на автономном сервере или сервере, управ ляемом Active Directory, содержит набор свойств входящих звонков, на основе зна чений которых определяется, принять или отклонить запрос на соединение от дан ного пользователя. В случае автономных серверов параметры входящих звонков доступны на вкладке Dial-in (Входящие звонки) окна свойств учетной записи пользователя в оснастке Computer Management (Управление компьютером) или в локальном User Manager (если сервер работает под управлением Windows NT 4.0), В случае серверов на основе Active Directory параметры входящих звонков настра иваются на той же вкладке окна свойств объекта пользователя в оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры].
Средство администрирования User Manager из Windows NT 4.0 неприменимо к сер верам на основе Active Directory.
Ниже перечислены свойства входящих звонков объекта пользователя.
Х Remote Access Permission (Dial-in or VPN) [Разрешение на удаленный доступ (VPN или модем)].
Это свойство позволяет либо явно разрешить/запретить удаленный доступ, либо управлять удаленным доступом на основе политик. Даже если доступ явно раз решен, условия политики удаленного доступа, свойства объекта пользователя или параметры профиля могут переопределить данную настройку. Переключа тель Control access through Remote Access Policy (Управление на основе по литики удаленного доступа) доступен только для объектов пользователей на автономных серверах под управлением Windows 2000 и службы маршрутизации и удаленного доступа или на серверах, входящих в домен Windows 2000 основ ного режима.
По умолчанию в учетных записях Administrator (Администратор) и Guest (Гость) на автономных серверах удаленного доступа или входящих в домен Windows 2000 основного режима это свойство устанавливается как Control access through Remote Access Policy, а в домене Windows 2000 смешанного ре жима Ч как Deny access (Запретить доступ), В новых учетных записях, созда ваемых на автономных серверах или входящих в домен Windows 2000 основно го режима, свойство Remote Access Permission (Dial-in or VPN) устанавдива Удаленный доступ 31В ЧАСТЬ стоя как Control access through Remote Access Policy, а в новых учетных запи сях, создаваемых в домене Windows 2000 смешанного режима, Ч как Deny access.
Х Verify Caller ID (Проверять идентификатор).
Если это свойство (представленное в пользовательском интерфейсе флажком) включено, сервер проверяет телефонный номер звонящего. Если он не совпада ет с заданным, запрос на соединение отклоняется.
Функция идентификации звонящего должна поддерживаться клиентом, теле фонной сетью между клиентом и сервером удаленного доступа, а также самим сервером удаленного доступа. Для поддержки этой функции на сервере удален ного доступа необходимо оборудование, отвечающее на вызовы и способное пе редавать информацию об идентификации звонящего, и соответствующий драй вер в Windows 2000.
Если Вы включаете для пользователя функцию идентификации звонящего, но на одном из перечисленных выше участков поддержка передачи информации об идентификации звонящего не реализована, запрос на соединение будет откло няться.
Х Callback Options (Ответный вызов сервера).
Если это свойство включено, то в процессе установления соединения сервер пе резванивает клиенту по указанному номеру.
Х Assign a Static IP Address (Статический IP-адрес пользователя).
Если это свойство включено, то при установлении соединения клиентскому ком пьютеру присваивается конкретный IP-адрес, назначенный администратором.
Х Apply Static Routes (Использовать статическую маршрутизацию).
Если это свойство включено, серия статических IP-маршрутов, определенных администратором, добавляется и таблицу маршрутизации на сервере удаленно го доступа после установления соединения с клиентом. Эта настройка предназ начена для учетных записей, используемых маршрутизаторами Windows для маршрутизации с соединением по требованию.
Если сервер Windows 2000 со службой маршрутизации и удаленного доступа вхо дит в домен Windows NT 4.0 или Windows 2000 смешанного режима, то:
Х из всех свойств входящих звонков доступны лишь Remote Access Permission (Dial-in or VPN) и Callback Options;
Х для разрешения или запрета удаленного доступа и настройки параметров ответ ного вызова можно использовать User Manager for Domains (Диспетчер пользо вателей для доменов).
Если сервер является автономным или состоит в домене Windows 2000 основного режима, длина номера ответного вызова не ограничена. Если сервер входит в до мен Windows NT 4.0 или Windows 2000 смешанного режима, длина номера ограни чена 128 символами. Телефонные номера ответного вызова, длина которых превы шает 128 символов, набираются не полностью, и установить соединение ие удается.
Когда сервер RAS под управлением Windows NT 4.0 получает параметры входящих звонков учетной записи пользователя из домена Windows 2000 основного режима.
ГЛАВА 8 Служба проверки подлинности в Интернете параметр Control access through Remote Access Policy интерпретируется как Deny access. Параметры ответного вызова распознаются правильно.
Сервер RAS под управлением Windows NT 4.0 не поддерживает политики удален ного доступа. Рекомендуется обновить такие серверы до Windows 2000 Server, что позволит использовать преимущества политик удаленного доступа.
Элементы политики удаленного доступа Политика удаленного доступа Ч,:>го именованное правило, включающее элементы, которые перечислены ниже.
Условия Условия политики удаленного доступа Ч один или несколько атрибутов, сравнива емых с параметрами запроса на соединение. При наличии нескольких условий все они должны совпадать с параметрами запроса на соединение, а иначе запрос откло няется.
Атрибуты, используемые как условия в политике удаленного доступа, перечисле ны в таблице 8-3.
Таблица 8-3. Атрибуты, используемые как условия в политике удаленного доступа Описание Атрибут NAS-IP-Address JP-адрсс серн ера доступа в есть (KAS). Этот атрибут представ ляет собой строку символов, передаваемую серверу IAS. Для задания набора IP-сетей используется синтаксис с подстанов кой по шаблону.
Pages: | 1 | ... | 4 | 5 | 6 | 7 | 8 | ... | 13 | Книги, научные публикации