Книги, научные публикации
Pages: | 1 | ... | 3 | 4 | 5 | 6 | 7 | ... | 11 | Internetworking Guide Microsoft 2000 Server R Microsoft Press Межсетевое взаимодействие Microsof 2000 Server 2002 УДК 004 Microsoft Corporation Межсетевое взаимодействие. Ресурсы Microsoft ...
-- [ Страница 5 ] --Обычно при использовании EAP-RADIUS сервер удаленного ется на ЕАР и RADIUS (в качестве службы аутентификации). При попытке ключения клиент удаленного доступа согласует применение ЕАР с сервером уда доступа. Когда клиент посылает ЕАР на сервер до тот инкапсулирует сообщение ЕАР в сообщение RADIUS и посылает его на 260 ЧАСТЬ 2 Удаленный доступ сервер RADHJS, Сервер RADIUS обрабатывает сообщение и серверу уда доступа ответное КАР, инкапсулированное в сообщение RA DIUS. Наконец, сервер удаленного пересылает ЕАР соединения Windows 2000 также поддерживает При установлении таких соединений этап пропускается. Ни клиент ни сервер удаленного доступа обмениваются своими удос К использованию соединений следует отно ситься очень так как без проверки идентифи удаленных Неаутентифицируемые соединения в двух случаях.
1. При аутентификации на Number Identification/ Line В этом случае осуществляется по номеру клиента. получателю вызова номер теле фона Ч такая услуга предоставляется большинством ком паний.
Аутентификация на основе отличается от аутентификации по иденти фикатору При аутентификации по идентификатору звонящего кли ент передает имя и Идентификатор звонящего, который настраивается в параметрах входящих звонков в свойств учетной записи должен совпадать с указываемым при попыт ке подключения;
в ином случае попытка подключения А аутентификации на имя и пароль пользователя не применяются.
2. гостей. В качестве идентификации клиента используется учет ная запись Guest (Гость).
о типичных соединений см. в справочной системе Windows 2000 Server.
Удаленный доступ и настройка TCP/IP и IPX В следующих разделах поясняется, как сервер удаленного доступа Windows параметры сетевой конфигурации для клиентов удаленного доступа, использующих TCP/IP и IPX.
TCP/IP Для доступа в согласования сервер удаленного доступа назначает клиенту IP-адрес и сообщает IP-адреса DNS и Назначение IP-адреса Чтобы выделить IP-адрес клиенту, сервер удаленного доступа либо DHCP (Dynamic Host Configuration Protocol), либо статический пул IP-адресов.
DHCP и автоматическое назначение IP-адресов Если сервер удаленного доступа настроен на IP-адресов через DHCP, то DHCP-сервер выделяет службе и удаленного доступа ГЛАВА 7 Сервер удаленного доступа сов. Сервер доступа использует для интерфейса сервера RAS первый полученный от DHCP адрес, а остальные адреса по подключения новых ТСР/1Р-клиентов доступа. Освобождающиеся при IP-адреса используются повторно.
Если все 10 IP-адресов заняты, сервер доступа получает от еще Количество IP-адресов, выдаваемых за нием параметра в разделе реестра:
В случае сервера удаленного доступа под управлением Windows NT 4.0 адрсеа, запоминаются и повторно используются после перезапуска этого сервера. Сервер удаленного под управлением Windows 2000 освобождает все IP-адреса (выданные посылая DHCPRelease при службы маршрутизации и доступа.
Если сервер удаленного доступа использует выданные DHCP, и недоступным, то выделение этих удаленного доступа Если при запуске службы маршрутизации и доступа не доступен, используются IP-адреса из диапазона 169.254.0.1-169.254.255.254. Этот диапазон зарезервирован для автоматического частных IP-адресов (Automatic Private IP Addressing, AP1PA). Функция для уда лепного доступа типа точка-LAN только если в сети, к которой подклю чен сервер удаленного доступа, тоже используется функция APIPA. Если в локаль ной сети АРТРА не применяется, клиенты могут установить лишь типа Если DHCP-сервер доступным, то в следующий раз, когда службе мар шрутизации и удаленного доступа понадобятся IP-адреса, будут получены от Сервер удаленного доступа, IP-адреса от DHCP для клиентов использует LAN-интерфейс. Вы можете выбрать (если у Вас не двух LAN-интерфейсов) через оснастку and Remote Access и удаленный на IP (IP) окна свойств сервера удаленного доступа. По умолчанию предлагается Allow RAS to select adapter;
это что служба маршрутизации и удаленного доступа вы бирает LAN-интерфейс случайным образом.
Статический пул Если сконфигурирован статический пул сервер удаленного ис пользует первый IP-адрес из первого адресов для интерфейса RAS-cep вера, а последующие адреса присваиваются по мере подключения новых доступа. IP-адреса, в результате клиентов доступа, используются повторно.
Если диапазон адресов статического пула относится к другой подсети, нужно либо соответствующий протокол па удаленного дос тупа, либо добавить маршруты, диапазонам IP-адресов, на рутизаторы Вашей Подробнее см. адресов из зона или вне ранее в этой главе.
262 ЧАСТЬ 2 Удаленный доступ Назначение адресов DNS- и В сервер удаленного доступа назначает DNS- и WINS-серверов. Какой именно набор IP-адресов этих серверов будет на значен клиенту удаленного зависит от следующих факторов:
Х запрещено ли присвоение IP-адресов DNS- и WINS-серверов;
Х настраиваются ли IP-адреса этих для клиентов удаленного доступа гло бально Ч с использованием данных, хранящихся в реестре;
Х имеется ли на сервере удаленного более одного LAN-интерфейса;
Х настраиваются ли IP-адреса DNS- и WINS-серверов для сервера удаленного до ступа статически или назначаются динамически через DHCP, присвоения IP-адресов DNS- и WINS-серверов Если Вы не хотите, чтобы сервер удаленного назначал IP-адреса DNS- и WINS-серверов, присвойте значение 1 параметрам и в разделе реестра:
Настройка глобального присвоения IP-адресов н WINS-серверов Чтобы глобально настроить IP-адреса DNS- и WINS-серверов для клиентов уда ленного доступа, укажите нужные IP-адреса в параметрах и WINSNameServers в разделе реестра:
Несколько LAN-интерфейсов Если назначение IP-адресов DNS- и WINS-серверов не и они не настра иваются глобально, сервер удаленного доступа присваивает клиентам удаленного доступа IP-адреса и WINS-серверов, достижимые через LAN-интерфейс сер вера RAS. Если на сервере удаленного доступа только один LAN-интерфейс (ти пичная конфигурация), сервер назначает клиентам IP-адреса DNS- и WINS-серве ров, доступные через этот Если же таких интерфейсов несколько, нужно указать какой-то один из При наличии нескольких LAN-интерфейсов (типичная для VPN-сер веров удаленного доступа) служба маршрутизации и удаленного доступа случай ным образом выбирает один из них при запуске, и тогда сервер удаленного доступа назначает клиентам DNS- и WINS-серверов, достижимых через выбран ный LAN-интерфейс. Если Вы хотите самостоятельно выбрать нужный фейс, запустите оснастку and Remote Access (Маршрутизация и доступ), откройте окно свойств сервера удаленного доступа, перейдите на вкладку IP и укажите требуемый интерфейс. По умолчанию выбирается Allow RAS to select adapter.
Статическая и через DHCP После того как LAN-адаптер для IP-адресов DNS- и WINS-серверов определен, происходит следующее.
ГЛАВА 7 Сервер удаленного доступа Х Если LAN-адаптер имеет статическую IP, клиентам доступа выделяются IP-адреса статически DNS- и Х Если LAN-адаптер получает конфигурации IP через DHCP, там удаленного выделяются IP-адреса DNS- и получен ные от Как сервер удаленного доступа определяет набор IP-адресов DNS- и ров для выделения клиентам удаленного доступа в показано на рис. 7-14.
Начало HIM Нет Запрещено ли Указаны ли Существует назначение реестре IP-адреса одного IP-адресов и WINS WINS-серверов? серверов?
Не назначать Назначить Да IP-адреса DNS- DNS Выбран ли WINS-серверов и какой-нибудь указанные в реестре LAN-интерфейс?
Выбрать один образом Назначить У заданные IP-адреса ли WINS-серверов интерфейс, I DHCP?
Да Назначить IP-адреса WINS-серверов, через DHCP Рис. 7-14. Определение IP-адресов DNS- и WINS-серверов 264 ЧДСТЬ 2 Удаленный доступ Изменение DNS- и назначенных в согласования, с помощью DHCPInform По доступа под уп Windows 98 и Windows 2000 посылают серверу удаленного доступа со общение DHCPInform, Это DHCP-клиентами для получения параметров DHCP. удаленного доступа не используют DHCP для но, если они работают под Windows или Windows 2000, то получают IP-адреса DNS- и WINS-серверов, а также домен ное посылая DHCPInform после Сообщение сервером удаленного доступа, на для этого на удаленного доступа должен быть ретрансляции DHCP, о котором будет рассказано в следующем разделе. Ответ на сообщение пересылается обратно запрашивающе му клиенту.
в ответе DHCPInform содержатся параметры, указывающие IP-адреса и WINS-серверов. новые адреса в ТРСР-продессе согласова ния. Если клиент доступа работает под Windows 2000 и в ответе DHCPInform доменное DNS-имя, это имя используется в каче стве для конкретного адаптера при подключении клиента удален ного доступа. Подробнее о ем. главу 6 в Windows в книге Сети TCP/IP из серии Ресурсы Microsoft 2000 Server.
Сервер удаленного доступа и агент ретрансляции DHCP Для пересылки сообщений между клиентами удаленного доступа и на сервере удаленного доступа должен быть установ лен DHCP Relay Agent (Агент DHCP) Ч один из компонентов служ бы и удаленного доступа в Windows 2000. Чтобы настроить сервер доступа на агента ретрансляции DHCP, в оснастке Routing and Remote Access раскройте узел IP Routing (IP-маршрутизация), укажи DHCP Relay Agent (Агент и добавьте интерфейс Internal Если сервер для получения IP-адресов, выделяемых клиентам удаленного доступа, использует DHCP, для пересылки сообщений DHCPIn form между клиентами и DHCP-еервером, доступным через выбранный LAN-ин используется агент DHCP. Это можно проверить на вклад ке IP в свойствах доступа.
Если же сервер удаленного доступа для выделения IP-адресов клиентам использу статический пул IP-адресов, то для DHCP указать хотя бы DHCP-сервера. Иначе сообщения DHCPInform, посылае мые клиентами удаленного доступа, будут отбрасываться.
IPX Для настройки IPX-клиента удаленного доступа в согласования сервер удаленного доступа присваивает ему IPX-сети и IPX-узла, Правила номера IPX-сети параметрами на IPX ГЛАВА 7 удаленного доступа окна свойств в оснастке Routing and Remote Ниже перечислены настройки IPX.
Х Номера IPX-сетей для клиентов удаленного доступа автомати чески или задаются администратором как При автоматическом своении номеров IPX-сетей сервер доступа убедиться, что данный номер используется в межсетевой и для посылает через все свои LAN-интерфейсы Если на Get приходит ответ, помер IPX-сети уже занят, и сер вер выбирает другой номер.
Х Всем клиентам может быть присвоен один и тот и, Х Клиенты удаленного доступа могут номера тов.
Если Вы хотите первый из IPX-узлов, выделяемых клиентам уда ленного доступа, укажите его в виде 12-разрядного числа в параметре REG_SZ), добавив его в раздел реестра:
Следующий IPX-клиент получит узла, на 1, и т. д. Если в реес тре нет параметра клиент доступа, требующий опреде ленного номера IPX-узла, получаст случайный номер в форме Политика удаленного доступа В Windows 2000 доступа на основе ров входящих звонков в свойствах учетной записи и удаленного доступа. Политика удаленного доступа Ч это набор условий и парамет ров характеристики входящих подключений и налага емый на них набор ограничений. Политики доступа разрешения на подключения, исходя из времени суток, дня недели, принадлежнос ти звонящего к той или иной Windows 2000, типа дос тупа (соединение по коммутируемой линии или через и уда ленного доступа используются и для ограничения значений таких параметров со как максимальная сеанса, время простоя до разрыва соеди нения, допустимые методы аутентификации, способы шифрования тт Если определено сразу несколько политик удаленного доступа, к разным клиентам удаленного доступа разные условий, либо требования к од ному клиенту зависят от параметров Несколько политик доступа например, чтобы:
Х разрешить или запретить если запись сится к определенной группе;
Х определить доступа для разных учетных записей в от к той или группе:
Х применять разные методы аутентификации для клиентов доступа, подключающихся по коммутируемой и 26В 2 Удаленный доступ Х настроить разные параметры аутентификации и шифрования для РРТР- и Х длительность сеансов для разных учетных записей на основе принадлеж ности к той или иной группе;
Х посылать клиенту RADIUS атрибуты специфичные для конкретного сервера доступа к сети (network access server, NAS).
Если у Вас несколько серверов удаленного Windows 2000 или ров и Вы хотите, чтобы все они авторизовали входящие соединения по зованному набору политик нужно установить на каком-нибудь компьютере Windows 2000 и Internet Authentication Service (IAS) (Служба провер ки подлинности в Интернете). Затем следует настроить все серверы удаленного доступа или на использование сервера IAS в качестве клиентов RADIUS.
Подробнее о политиках удаленного в том числе о примерах та ких см. справочную систему Windows 2000 Server.
Обработка запроса на соединение При обработке запроса на соединение его параметры с именем поль зователя, параметрами входящих звонков в свойствах пользовательской учетной записи и в действующих политиках удаленного доступа.
Общая схема обработки запроса на соединение ниже.
Х Если в запросе указано неправильное имя или пароль пользователя, запрос от клоняется.
Х Если не определена ни одна политика удаленного доступа, все запросы на со единение отклоняются.
Х Если параметры не соответствуют хотя бы одной политике удаленного доступа, запрос Х Если в параметрах входящих в свойствах учетной записи пользователя выбран переключатель Deny Access (Запретить доступ), запросы данного поль зователя на удаленное всегда отклоняются.
Х Запрос соединение принимается, если его параметры отвечают всем услови ям политики удаленного доступа, если пользователю разрешен удален ный доступ (либо в свойствах учетной записи, либо в политике удаленного дос и если параметры запроса параметрам входящих звонков (либо в свойствах учетной записи, либо в политике удаленного доступа).
Пример обработки запроса на с использованием параметров входящих звонков в свойствах учетной записи и политик удаленного доступа показан на рис. 7-15. Здесь предполагается, что имя и пароль пользователя, в про цессе аутентификации, учетной записи, ГЛАВА 7 Сервер удаленного доступа Начала - запрос Определены на соединение какие-нибудь Да удаленного доступа?
Перейти к Т ли политике параметры запроса Да условиям данной Т Разрешен ли Запрещен ли удаленный удаленный удаленный да доступ is свойствах в свойствах в данной учетной записи?
учетной Отклонить Отклонить запрос запрос на соединение на соединение Отклонить запрос Т Соответствуют ли на 1 параметры запроса параметрам и профиля?
Принять запрос на соединение Рис. 7-15. Обработка запроса на соединение Проблемы с политиками удаленного доступа возникающая при использовании политик го Ч отказ в соединении, когда оно должно было бы быть Если у Вас появились какие-нибудь сомнения, проверьте параметры запроса на ние, входящих звонков в свойствах учетной записи пользователя и по литиках удаленного доступа, придерживаясь на рис. 7-15. При наличии не 268 ЧАСТЬ 2 Удаленный доступ скольких политик доступа поиск причины отказа в соединении может очень много Если у Вас несколько политик удаленного доступа и Бы хотите определить, какая них приводит к отказу в включите запись запросов на проверку подлинности (аутентификацию) свойствах локального файла журнала удаленно го доступа;
для в оснастке and Remote Access папку Remote Access Logging (Ведение журнала удаленного доступа), щелкните правой кнопкой мыши локальный файл и выберите команду Properties (Свойства). Запи в журнале запросы на аутентификацию имя политики удаленно го доступа, приводящей к приему или отклонению соединения.
Multilink и ВАР Средства удаленного доступа в Windows 2000 поддерживают (Multilink BAP (Bandwidth и (Bandwidth Control Protocol).
Х МР объединять несколько физических каналов в один логический канал, но которому передаются и принимаются Х ВАР Ч это протокол РРР, используемый для динамического до или дополнительных каналов к МР-соединению.
Х ВАСР Ч это NCP, выбирающий сторону РРР в том случае, если обе стороны пытаются одновременно добавить или удалить канал.
из этих протоколов в разделах.
РРР-протокол МР РРР-протокол МР (Multilink Protocol) определен в RFC 1990 и для нескольких физических каналов в логический. из приме ров его применения Ч двух ISDN Rate Interface). формирует последовательности и чивает посылаемые по нескольким физическим каналам, так чтобы результате логический канал с полосой пропускания, равной сумме полос пропускания всех физических МР для не скольких В-каналов поскольку аппаратная поддержка такого объединения может быть для адаптера ISDN. МР должен обеими сторонами Структура показана на рис. Полезной нагрузкой такого яв ляется или его фрагмент. Фрагментация Multilink не если размер МР-пакета меньше значения MRU данного канала. Чтобы не тить неправильного порядка следования дейтаграмм или фрагментов по несколь ким физическим между полем РРР-протокола и исполь зуются поля. протокола МР Ч Ox003D.
В RFC 1717 два формата пакета Ч с короткими и номерами последовательностей. Эти номера для предотвращения го порядка кадров, посылаемых по каналам, а не для формирования последовательности ГЛАВА 7 Сервер удаленного доступа Пакет с коротким номером Пакет с длинным номером последовательности Флаг Адрес Адрес 03 Управление 00 3D Протокол Разделитель/номер последовательности Разделитель Номер последовательности Данные фрагмента Данные фрагмента FCS Флаг FI Флаг = 1 байт Рис. 7-16. Multilink В случае формата с номерами разделителя/номера состоит из четырех битов и битов номера последовательности. Внутри поля два битовых флага. Первый (бит начала) что фрагмент является первым в последовательности фрагментов, к а второй (бит -- что фрагмент является последним в фра] мен тов, к пакету. два бита приравниваются нулю, Для РРР-кадров, посылаемых без оба флага (биты начала и устанавливаются в 1. Если длина больше он и каждый фрагмент передается как отдельный Протокол канальном уровне, которая имеет никакого отношения к IP фрагментации.
В случае формата с последовательностей четырехбайтовое поле разделителя/номера последовательности состоит из восьми битов (одного бай та) и 24 битов (трех байтов) Внутри поля разделителя те биты начала и конца, а остальные в первом байте равны 0, По выбирается формат с последовательностей, если в согласования не формат с короткими номерами.
Multilink, которые согласуются сторонами ющими в таблице 7-16. параметрах Multilink см. RFC Таблица 7-16. LCP-параметры Multilink параметра Описание Multilink Maximum 17, Указывает октетов, которые Receive Reconstructed или может ных МР-кадров Unit (см. стр.) 270 ЧАСТЬ 2 Удаленный доступ Таблица 7-16. (продолжение) Имя Длина Описание Short Sequence 18, 2 Указывает, что в Number Header Format или 0x12 короткий номер последовательности Multilink 19, 9 системный идентификатор, или ляющий различать каналы от двух сторон с одним ВАР Хотя позволяет объединять несколько физических каналов, в нем нет механизма адаптации к условий, который был бы способен при необхо димости добавлять новые каналы или удалять Такая функциональ ность протоколами ВАР Protocol) и ВАСР (Bandwidth Allocation Control Protocol), определенными в RFC 2125. BAP Ч это управляющий протокол РРР, используемый при для динамичес кого управления каналами. протокола ВАР Ч Например, клиент и сервер удаленного доступа, протоколы МР и ВАР, устанавливают которое состоит из одного физического канала. Как только нагрузка на вырастает до заданного значения, клиент удаленного доступа с помощью канал. Call-Request указывает нужный тип кана ла (например, аналоговая линия, ISDN или Х.25). В ответ сервер уда ленного посылает Call-Response, содержащее телефонный номер свободного порта сервера удаленного доступа, тип которого соответствует типу, запрошенному клиентом.
Когда нагрузка на втором канале снижается до заданного порогового уровня, сер вер или клиент удаленного доступа посылает ВАР-сообщение Request для отключения дополнительного канала.
ВАР также поддерживает сообщение Callback-Request, в котором запрашивающая сторона указывает тип канала и телефонный номер для приема ответного вызова.
Подробнее о сообщениях ВАР см. RFC ВАР, которые согласуются сторонами соединения, использующи ми Microsoft РРР, перечислены в таблице Таблица 7-17. LCP-параметры ВАР Имя Тин Длина Описание ВАР Link Discriminator 23, или 0x17 4 Уникальный идентифицирующий каналы Протоколы МР и ВАР включаются на сервере удаленного доступа через вкладку РРР (РРР) окна свойств сервера доступа (в оснастке Routing and Параметры многоканального подключения и ВАР настраиваются на вкладке Multilink подключение) в свойствах профиля поли тики удаленного доступа.
ГЛАВА 7 Сервер удаленного доступа Чтобы задать телефонный номер порта, посылаемый в Call-Response:
1. Запустите оснастку Routing and Remote Access (Маршрутизация и удаленный доступ) и откройте окно свойств объекта Ports (Порты).
2. Выберите требуемый порт и щелкните кнопку Configure (Настроить).
3. Введите номер в поле Phone number of this device (Номер телес юна этого ВАСР ВАСР (Bandwidth Control Protocol) Ч это NCP, согласу ющий единственный параметр, который определяет предпочтительную сторону со единения. Если обе стороны, поддерживающие и ВАР, одновременно посыла ют Call-Request или Link-Drop-Query-Request, то выполняется от стороны.
протокола ВАСР Ч ОхС02В. Структура точно повторяет структуру (с тем исключением, что определены лишь типы 1-7). В случае ВАСР-пакетов и раздел данных ВАСР состоит из единственного параметра в таблице 7-18.
Таблица 7-18. ВАСР-параметр Favored-Peer Имя Тип Длина Описание 1 6 Случайным образом присваиваемый 4-байтовый волшебный номер, который используется для выбора предпочтительной стороны сторона с шим волшебным номером) Сервер удаленного доступа и поддержка групповой IP-рассылки Сервер удаленного доступа Windows 2000 также поддерживает пересылку группо вого IP-трафика между клиентами удаленного доступа и сетями, к которым под ключен данный удаленного доступа.
Поддержка групповой IP-рассылки для клиентов удаленного доступа трех элементов, показанных па рис 7-17.
1. На интерфейсе, к которому подключаются все клиенты удаленного доступа, дол жен быть включен режим В оснастке Routing and Remo te Access это Internal (Внутренний).
2. На отдельном интерфейсе должен быть включен режим 3. соответствующая интерфейсу, на котором включен режим IGMP-прокси, должна быть частью сети, поддерживающей пересылку группового В такой сети для передачи группового IP-трафика от источников, ных в любой сети, узлам, любой сети, используются 272 ЧАСТЬ 2 Удаленный доступ многоадресной та Интернета, где поддер живается пересылка группового называется Multicast Backbone, или Работает в режиме Г Работает в режиме Сервер удаленного Клиент доступа удаленного Внутренний адаптер Сеть с поддержкой пересылки группового IP-трафика Рис. 7-17. Поддержка групповой IP-рассылки при удаленном доступе Подробнее о групповой IP-рассылке и ее поддержке в Windows 2000 Server см. гла Поддержка IP-рассылки в книге.
Примечание В от выбранных Вами в Routing and Remote Access Server Setup (Мастер настройки сервера и удален ного доступа), режимы и могут уже включены на интерфейсах.
Групповой трафик, направляемый клиентам удаленного доступа Для группового IP-трафика от источников в сети с соответствующей поддержкой к клиентам удаленного доступа нужно, чтобы:
Х группы, доступа, были зарегистрирова ны на маршрутизаторах группового IP-трафика, находящихся в сети с поддерж кой пересылки IP-трафика;
Х групповой IP-трафик от источников пересылался клиентам удаленного доступа.
Регистрация клиента доступа в группе Клиенты доступа регистрируют адреса групповой IP-рассылки, с кото рых они хотят получать трафик, путем посылки Membership черен удаленного доступа. Сервер удаленного доступа вает регистрируемые каждым клиентом доступа, и пересылает Membership Report через интерфейс, работающий в режиме Это сообщение принимают маршрутизаторы группового IP-трафика, подключенные к тому сети, с которым соединен сервер доступа. Маршрути заторы с помощью протоколов многоадресной создают записи в ГЛАВА 7 Сервер удаленного доступа своих таблицах многоадресной пересылки для трафи ка, адресованного группам клиентами удаленного доступа), в сегмент сети с сервером удаленного доступа.
Пересылка группового трафика Когда источник посылает трафик в группы, зарегистрированные тами удаленного доступа, группового IP-трафика трафик в сегмент сети сервера доступа на интерфейс, в режиме Когда на этот интерфейс поступает групповой трафик, сервер зарегист рирован ли какой-нибудь из клиентов доступа в пой группе многоадресной рассылки. Если полученный трафик относится к группе, за регистрированной клиентом удаленного он Групповой трафик, передаваемый от клиентов удаленного доступа Для пересылки IP-трафика от клиентов удаленного доступа Х прослушиваемые хостами, были зарегистрированы на группового IP-трафика, находящихся в с поддержкой пересылки вого IP-трафика;
Х групповой IP-трафик от клиентов удаленного доступа членам групп.
хоста в группе Хосты в сети с поддержкой пересылки группового IP-трафика регистрируют IP групповой рассылки, с которых они хотят получать трафик, путем посылки Membership Report в своих локальных сегментах сети. Маршру тизаторы группового с помощью протоколов многоадресной маршру тизации создают записи в своих таблицах пересылки для перенап равления трафика, адресованного группам (зарегистрированным хоста ми), в сегменты сети соответствующих хостов.
Пересылка трафика Когда клиент удаленного доступа посылает через удаленного доступа, этот трафик пересылается в сегмент сети сервера удален на интерфейс, работающий в режиме IGMP-прокси.
группового IP-трафика в этом сегменте сети принимают пересылаемый групповой трафик и перенаправляют его в сетевые сегменты членов групп.
Кроме того, сервер удаленного доступа пересылает групповой IP-трафик от одних клиентов удаленного доступа другим (если они прослушивают такой трафик).
Передача группового IP-трафика через Интернет Если сервер удаленного доступа используется для предоставления доступа в Ин клиентам, которые но коммутируемой линии, то групповой IP-трафик от клиентов и обратно позволит следующая конфигурация.
1. Сервер удаленного доступа имеет прямое (или непрямое по логическому лю) к МВопе.
274 ЧАСТЬ 2 Удаленный доступ 2. Интерфейс, прямому или непрямому подключению к к протоколу маршрутизации и переключается в режим 3. К протоколу маршрутизации добавляется интерфейс Internal и на нем включается режим Передача IP-трафика через интрасеть организации Если сервер удаленного доступа используется для предоставления в инт расеть клиентам, которые подключаются по коммутируемой линии, то IP-трафик от клиентов и обратно позволит следующая конфигурация.
1. У сервера удаленного доступа имеется к инт с поддержкой групповой IP-пересылки.
2. LAN-интерфейс, подключенный к добавляется к колу маршрутизации IGMP и переводится в режим IGMP-прокси.
3. К протоколу IGMP добавляется интерфейс Internal (Внутрен ний), котором включается режим IGMP-маршрутизатора.
Выявление и устранение проблем Выявление и проблем с доступом заключается в проверке маршрутизации и телефонного оборудова ния. Вы должны хорошо в каждой из перечисленных областей. В сле дующих разделах поясняются частые проблемы, возникающие при орга удаленного и средства Windows предназ наченные для устранения таких проблем.
О и устранении проблем с VPN-соединениями см. главу 9 Виртуаль ные частные сети в этой книге;
о выявлении и устранении проблем, относящихся к маршрутизации с соединением по см. главу 6 с со единением по требованию в этой книге.
Наиболее распространенные проблемы с удаленным доступом При удаленном нередко следующие проблемы:
Х запрос на отклоняется, хотя должен быть принят;
Х запрос на соединение принимается, хотя должен быть отклонен;
Х адреса за сервером удаленного доступа Х прочие проблемы с удаленным доступом.
Далее будут даны рекомендации по устранению ошибок в конфигурации или инф раструктуре, вызывающих проблемы удаленного доступа.
Запрос на соединение отклоняется, хотя должен быть принят Х Убедитесь, что на сервере удаленного доступа работает служба маршрутизации и удаленного доступа.
Х Убедитесь, что удаленный доступ разрешен на сервере удаленного доступа.
Х Убедитесь, что порты сервера удаленного доступа сконфигурированы па прием входящих подключений доступа.
ГЛАВА 7 Сервер удаленного доступа что клиент и сервер удаленного доступа, на котором действует поли тика удаленного доступа, хотя бы один общий метод аутентифика ции и/или шифрования.
Убедитесь, что параметры запроса на согласуются с текущими пара метрами входящих в пользовательской учетной записи и в политиках удаленного доступа.
Для успешного установления соединения параметры в запросе на соединение должны;
Х соответствовать всем условиям по крайней одной политики доступа;
Х на удаленный либо через Allow access шить доступ) в пользовательской учетной записи, либо через Control access through Remote Access Policy (Управление на основе политики удаленного доступа) в пользовательской учетной записи и Grant remote access per mission (Предоставить право удаленного доступа) в доступа;
Х соответствовать всем параметрам профиля;
Х соответствовать всем входящих в свойствах пользова тельской учетной записи.
Убедитесь, что настройки в профиле политики удаленного доступа не конфлик туют со свойствами сервера доступа.
Профиль политики удаленного доступа и свойства сервера предусматривают настройки для:
Х многоканальных подключений;
Х протокола ВАР;
Х протоколов аутентификации.
Если настройки в профиле соответствующей политики удаленного доступа кон фликтуют со свойствами сервера удаленного доступа, запрос на дет отклонен. Например, если в профиле указан протокол аутентификации но этот протокол в свойствах сервера удаленного не пос ледний будет отклонять запросы Если сервер удаленного доступа является рядовым сервером в домене Win dows 2000, который работает в или основном режиме и сконфигу рирован на аутентификацию через Windows 2000, убедитесь, что:
Х в службе каталогов Active Directory группа безопасности RAS and IAS (Серверы RAS и IAS). Если этой нет, создайте ее, Security (Безопасность) и область действия Domain local (Локальная доменная);
Х у группы безопасности RAS and IAS Servers имеется разрешение на чтение объекта RAS and IAS Servers Access Check;
Х учетная запись компьютера сервера удаленного доступа включена в группу RAS and IAS Servers. Для просмотра текущих регистрации ис пользуйте команду netsh ras show а для регистрации сер вера в домене Ч команду netsh ras add registeredserver.
276 ЧАСТЬ 2 доступ Если Вы добавляете компьютер сервера удаленного доступа в группу ности RAS and Servers или удаляете из в силу (из-за особенностей информации службы каталогов Active Directory в Windows 2000). Чтобы изменения немедленно вступили в силу, перезагрузите этот Убедитесь, что телефонное оборудование работает нормально.
Убедитесь, что на сервере удаленного доступа есть свободные порты.
Убедитесь, что LAN-протоколы, клиентами удаленного доступа, настроены либо на маршрутизацию, либо на удаленный доступ.
Проверьте в удостоверениях клиеша доступа правильность имени и пароля пользователя, а также имени домена и убедитесь, что они могут быть проверены сервером удаленного доступа.
В случае соединений, для которых используется MS-CHAP и осуществляет ся попытка о по методу МРРЕ с 40-битным ключом, убедитесь, что длина пароля не превышает 14 символов.
что пользовательская учетная запись не или заблоки рована (в свойствах этой записи). Если срок действия пароля для данной учет ной истек, убедитесь, что удаленного доступа использует MS CHAP vl или MS-CHAP (MS-CHAP vl/v2 Ч единственный протокол аутен тификации в Windows 2000, который сменить просроченный пароль в процессе установления соединения.) Если истек срок действия пароля в учетной записи уровня администратора, пе реустановите пароль, используя учетную запись другого администратора.
Убедитесь, что пользовательская учетная запись не заблокирована из-за ровки учетной для удаленного доступа.
Если сервер удаленного доступа настроен на использование статического пула IP-адресов, проверьте, достаточно ли адресов в пуле.
Если все адреса из статического пула уже выделены клиентам удаленного дос тупа, сервер удаленного доступа не сможет назначить очередной IP-адрес. Если клиент удаленного доступа сконфигурирован на использование только TCP/IP в качестве запрос на будет отклонен.
Если клиент удаленного доступа требует выделить ему определенный номер IPX-узла, убедитесь, что сервер удаленного доступа разрешает это делать.
Если сервер доступа настроен на диапазон номеров IPX-сетей, убе дитесь, что эти номера не где-нибудь в другой части межсетевой IPX-среды.
Проверьте конфигурацию службы аутентификации.
доступа быть настроен на аутентификацию удостове рений клиентов удаленного доступа либо через Windows, либо через Если сервер доступа рядовым сервером домене Win dows 2000 смешанного или основного режима, убедитесь, что он присоединился к домену.
Если сервер удаленного доступа под управлением Windows NT 4.0 с Service Pack и выше является членом домена Windows 2000 режима или если ГЛАВА 7 Сервер удаленного доступа Регистрация учетной и Сервер доступа под управлением Windows 2000 поддерживает регист рацию учетной и аутентификационной для удаленного доступа в локальных файлах если Вы выбрали аутентификацию или учет через Windows. Соответствующие журналы ведутся отдельно от системных журна лов. Эта информация отслеживать аутентификации и сетевых ресурсов клиентами доступа. Она особенно полезна при устранении каких-либо проблем с политиками удаленного Для каж дой аутентификации в записывается имя политики удаленного доступа, благодаря которой запрос на был принят или Аутентификационная и учетная информация в файле или файлах журна ла в \System32\LogFiles. Эти файлы записываются в формате IAS 1.0 или 2.0. Формат IAS 2.0 совместим с ODBC-форматом баз данных, и в этом случае любая программа, работающая с базами данных, может напрямую считывать файл журнала для последующего анализа.
Если сервер удаленного доступа настроен на или учет через RADIUS и сервером RADIUS является компьютер Windows и Internet Authentication Service (Служба проверки подлинности в Интернете), учетная и в файлы в папке stem32\LogFiles па компьютере Ч сервере событий На вкладке Event (Журнал событий) свойств сервера удаленного дос тупа предлагается четыре уровня Выберите Log the maximum of information (Вести всех событий) и повторите по пытку соединения. Как только попытка закончится проверьте, какие со бытия были зарегистрированы в системном журнале при попытке соединения. Про смотрев события, выберите на вкладке Event logging переключатель Log errors and warnings (Вести журнал ошибок и предупреждений).
Трассировка Средства трассировки записывают последовательность вызываемых в файл. Разрешите трассировки для детальной информации о выполняемых при установлении компонентами удаленного доступа, и повторите попытку соединения. трассировку и просмотрев нужную верните параметрам трассировки исходные Вы можете включить трассировку РРР на вкладке Event logging (Журнал событий) окна свойств сервера удаленного доступа.
информация может оказаться и очень детальной. Часть ее полезна только инженерам службы технической поддержки Microsoft или сете вым администраторам, имеющим большой опыт работы со службой ции и удаленного доступа. Трассировочную информацию можно сохранить в файлов и послать в службу технической поддержки Microsoft для * Это требует проверки, так как в разделе главы 2 что ин формация дублируется на сервере IAS. Ч Прим.
280 ЧАСТЬ 2 Удаленный доступ Network Monitor (Сетевой монитор) Ч это программа для захвата пакетов и их ана которая позволяет за трафиком, передаваемым между сервером и клиентом удаленного доступа в установления Mo nitor не анализирует сжатый или шифрованный трафик, передаваемый через соеди нения удаленного доступа.
Правильная трафика в удаленного соедине ния с помощью Network Monitor требует понимания РРР, ных в этой главе. Информацию, Network Monitor, можно сохранить в виде файлов и послать в службу поддержки Microsoft для Служба проверки подлинности в Интернете Служба проверки в Интернете (Internet Authentication Service, IAS) это Microsoft-реализация сервера RADIUS (Remote Dial-In User Service). Служба IAS авторизацию, аудит и (authentication, and accounting, AAAA) для со единений по коммутируемым линиям и виртуальные частные сети (virtual private networks, VPN). Эту службу можно в со службой маршрутизации и удаленного доступа Windows 2000. Служба IAS тать с удаленного доступа или как от одного, так и от ких поставщиков.
В этой главе Обзор Протокол RADIUS в IAS Авторизация в IAS Учет в IAS в IAS и режимы работы доменок Windows Некоторые Настройка и оптимизация Выявление и устранение проблем См, также Х Об доступе Ч главу 7 Сервер удаленного доступа в книге.
Х О виртуальных частных сетях Ч главу 9 Виртуальные частные в этой книге, Х О политиках безопасности Ч из серии Microsoft Windows 2000 Server.
282 ЧАСТЬ 2 Удаленный Обзор Провайдеры услуг Интернета service providers, ISP) и держивающие удаленный доступ для своих сотрудников, все острее нуждаются в централизованном различными видами удаленного доступа незави симо от типа применяемого оборудования. Стандарт RADIUS поддерживает та кую функциональность как в однородных, так и в гетерогенных сетевых средах.
RADIUS Ч это клиент-серверный превращающий удаленного доступа в клиенты RADIUS, передающие серверам RADIUS запросы на аутентификацию и регистрацию учетной информации.
Сервер RADIUS имеет доступ к информации об учетных записях пользователей и поэтому может проверять удостоверения удаленных Если удостоверения пользователя являются подлинными (аутентичными) и запрос на соединение ус пешно авторизован, сервер доступ в рамках для него ограничений и регистрирует подключение удаленного доступа как собы тие учета.
RADIUS позволяет хранить информацию, необходимую для аутенти фикации, авторизации и учета удаленных клиентов, централизованно, а не на каж дом сервере доступа в сеть (network access server, Пользователи подключа ются к серверам NAS (в их роли выступают компьютеры под управлением Windows 2000 Server и службы и удаленного до которые в свою очередь пересылают запросы аутентификацию серверу IAS.
Подробнее о протоколе RADIUS см. RFC 2138 и 2139.
Служба IAS позволяет компаниям имеющуюся у провайдеров услуг Интернета доступа, оставляя за собой контроль над авторизацией и учетом клиентов удаленного доступа.
Служба IAS поддерживает конфигурации с использованием Интер нет-технологий:
Х удаленный доступ к сети по коммутируемой линии;
Х доступ к экстрасети для партнеров по Х доступ в Х корпоративным доступом через ISP.
Примечание Компании может предоставлять доступ к определенной части ресур сов своей сети другим с которыми заключены партнерские соглашения.
Служба IAS позволяет ограничивать доступ к сетевым ресурсам корпорации на ос нове ограничений, определенных для каждого Возможности 1AS Ниже службы IAS.
Централизованная аутентификация пользователей Аутентификация пользователей, пытающихся установить Ч важный элемент в обеспечении IAS поддерживает множество протоколов ГЛАВА 8 Служба проверки подлинности в аутентификации, что позволяет любой аутентификации, соот В Windows 2000 служба IAS поддерживает следующие методы Х РРР Protocol) Ч набор стандартных протоколов на и взаимодействие программных ний удаленного доступа в сетевой среде. TAS такие как PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MS-CHAP (Microsoft Challenge Handshake Protocol) версий 1 и 2, а также ЕАР sible Protocol).
Х EAP Protocol) Ч инфраструктура поддержки методов аутентификации, например смарт-карты, серти фикаты, одноразовые пароли или Token Cards.
Х (Dialed Number Identification Service) Ч аутентификации на основе телефонного пользователем.
Х (Automatic Number Identification/Calling Line Identification) Ч на основе телефонного номера, с Метод ANI также называется идентификацией (Caller ID).
Х Аутентификация гостя Ч метод, при котором звонящий в процессе аутентифи кации не имя и пароль пользователя. Если доступ, то но умолчанию в качестве идентификации звонящего исполь зуется Guest (Гость), удаленный доступ удаленный доступ (outsourced dialing) договора между организацией или частной (заказчиком) и ISP, по усло виям которого сотрудники компании могут подключаться к сети ISP до установле ния VPN-туннеля с частной сетью своей компании. Когда подключает ся к серверу доступа ISP, и об сети пересылаются па сервер IAS дает управлять аутентификацией пользователей, отслеживать использование сетевых ресурсов и контролировать доступ к сети ISP.
Преимущество аутсорсинга в потенциальной экономии средств. Так. используя доступа к сети и линии Т1 вместо по купки можно сэкономить значительные средства на оборудовании (инфраструктуре). Устанавливая связь с ISP, или под ключения к так называемым точкам присутствия (points of presence) других можно существенно снизить расходы на междугородные звонки. Таким возложив системы на провайдера, Вы исключите большую статью рас ходов из своего бюджета.
Централизованная Чтобы предоставить пользователю соответствующий доступ к сети, служба в Windows NT 4.0 и в локальной базе ных Security Accounts Manager (SAM) (Диспетчер записей безопасности) Windows 2000. Кроме того, IAS поддерживает новые Active Directory 284 ЧАСТЬ 2 доступ основные имена пользователей (user principal names) и универсальные группы.
Политики удаленного доступа сетевым администраторам более гибко управлять прав на удаленный доступ к Вашей сети. С ростом чис ленности персонала в организации метод управления доступом на основе разреше ний в учетных каждого пользователя становится неудобен, хотя техничес ки возможен. В таких случаях гораздо использовать политики уда ленного доступа.
Эти политики дают возможность контролировать удаленный доступ на основе мых разнообразных условий, например;
Х принадлежности пользователя к той или иной группе Win dows 2000;
Х времени суток или дня недели;
Х типа несущей среды, через которую подключение пользователя (например, ISDN, коммутируемая линия или VPN-туннель);
Х типа протокола (РРТР или Х номера, на который вызов пользователя;
Х телефонного номера, с которого поступает вызов пользователя.
В каждой удаленного имеется профиль (набор настроек), с по которых Вы параметрами соединения. Например, Вы можете:
Х разрешать или запрещать определенных аутентифи Х задавать время простоя до соединения;
Х указывать максимальную одного сеанса;
Х управлять количеством каналов, в сеансе многоканального под ключения;
Х определять параметры шифрования данных;
Х добавлять фильтры пакетов для управления доступом пользователей к сети (фильтры пакетов контролировать, с каких IP-адресов, и пор тов пользователю разрешается или пакеты);
Х обязательный туннель, который заставляет все ты, передаваемые по данному соединению через Интернет в частную сеть;
Х как назначаются IP-адреса клиентским компьютерам пользователей - по их запросу или Вашим удаленного администрирование серверов удаленного доступа Поддержка стандарта RADIUS позволяет IAS контролировать параметры соедине ний для любого сервера доступа в сеть, использующего тот же стандарт. Кроме того.
RADIUS дает возможность средств удаленного доступа соб ственные расширения, называемые особыми атрибутами вендоров (vendor-specific attributes, В словаре вендоров службы уже реализован ряд таких расши рений.
ГЛАВА 8 Служба проверки подлинности в Интернете Централизованный аудит и учет стандарта позволяет JAS в записи об использовании сетевых ресурсов (учетную посылаемые NAS. IAS регистрирует в файлах данные аудита (например, успешные и неудачные попытки аутентификации) и учета (например, записи о входе в и выходе из нее). IAS поддерживает такой формат журналов, благодаря которому информацию можно напрямую импортировать R какую-либо данных. Анализ этих и с помощью программного от сторонних разработчиков.
Интеграция со службой и доступа Служба маршрутизации и удаленного доступа в Windows 2000 конфигурируется на и учет через Windows или RADIUS. При выборе и учета через можно использовать любой RADIUS, со стандартами RFC. Однако для достижения оптимального уровня с Windows 2000 и использования централизованных политик ного доступа рекомендуется установить сервер IAS.
Так, в небольшой сети или в филиалах с малым числом серверов удаленного досту па, где не требуется централизованного управления удаленным доступом, службу маршрутизации и удаленного можно настроить па аутентификацию и учет через Windows.
В транснациональных корпорациях с большим числом серверов удаленного па, по всему миру, централизованная и учет с помо щью IAS дают очевидные выгоды. Однако, малый филиал подключается к цен трализованному серверу IAS транснациональной корпорации по узкополосному каналу, конфигурацию аутентификации и учета через Windows можно из центрального участка на серверы удаленного доступа этого филиала.
и служба и удаленного доступа используют одни и те же по литики доступа и средства регистрации аутентификационной и ной информации. Если служба маршрутизации и удаленного доступа настроена на аутентификацию через Windows, используются локальные политики и журнал.
если работает как сервера IAS. используются политики и жур нал па сервере Такая интеграция обеспечивает согласованную работу IAS и службы маршрутиза ции и удаленного доступа. В небольших можно обойтись одной службой мар и удаленного доступа, не развертывая отдельный, IAS. по возможность перехода на модель централизованного управления доступом в случае укрупнения все равно сохраняется. Тогда IAS вместе с серверами удаленного доступа позволит реализовать единую точку различных видов удаленного доступа к Вашей сети Ч вого, с соединением по требованию, через Политики, действующие в можно с центрального сайта на независимый сервер ного доступа, находящийся на небольшом сайте.
Графический пользовательский интерфейс IAS графический (в виде оснастки), позволяющий страивать или удаленные серверы IAS.
286 ЧАСТЬ 2 Удаленный Удаленный Мониторинг 1AS можно вести либо средствами Windows 2000, например с помо щью Event Viewer (Просмотр событий) и System Monitor (Системный монитор), либо средствами (Simple Network Management Protocol).
Масштабируемость IAS применима в по своим масштабам сетевых конфигурациях Ч от малых сетей до больших или сетей ISP.
IAS SDK IAS Software Development Kit (SDK) можно для:
Х управления числом сетевых пользователей;
Х возможностей IAS в авторизации;
Х экспорта данных аудита и учетной информации в какую-либо базу данных;
Х создания собственных методов аутентификации для IAS (отличных от ЕАР).
ЕАР SDK Этот SDK позволяет использовать методы аутентификации на ос нове ЕАР.
Импорт/экспорт для несколькими серверами IAS IAS импортируется или экспортируется командой netsh.
Протокол RADIUS RADIUS (Remote Authentication Dial-In User Service) Ч промышленный стандарт служб авторизации, идентификации, аутентификации и учета для сетей с поддер жкой доступа. Клиент сервер удаленного доступа по коммутируемой линии, установленный у провайдера услуг Интернета) пересылает о пользователе серверу RADIUS, который проверяет достоверность учетных данных, клиентом.
Подробнее о протоколе RADIUS см. RFC 2138 и Процесс аутентификации через RADIUS Процесс аутентификации через RADIUS начинается с предоставления удаленным пользователем информации клиенту RADIUS. Получив та кую информацию, клиент RADIUS может проверить ее подлинность RADIUS.
Например, когда удаленный пользователь посылает свои удостоверения по прото колу клиент RADIUS генерирует пакет Access-Request, содержащий такие атрибуты, как имя и пароль клиента и идентифика тор порта, к которому обращается клиент. При наличии пароля CHAP шифрует его методом RSA MD5.
Access-Request посылается на сервер RADIUS. Если в оп ределенного времени ответ приходит, запрос повторяется заданное число раз.
Если основной сервер не работает или недоступен, клиент RADIUS мо ГЛАВА 8 Служба проверки подлинности в Интернете запрос серверу RADIUS. Обращение к допол нительному серверу возможно после определенного числа неудачных попыток заться с основным сервером то к то к серверу.
При службы и доступа можно серверов RADIUS с разным Если сервер US (с приоритетом) не в 3 секунд, служба маршрути и удаленного автоматически переключается на сервер RADIUS (с меньшим Получив запрос, RADIUS клиент RADIUS, проверяя, пере дан ли Access-Request подлинным клиентом Если это так и клиент RADIUS поддерживает цифровые подписи, сервер проверяет в пакете, используя общий секрет. (Что такое общий секрет, см. в разделе в далее в этой главе.) от клиента RADIUS, с кото рым у сервера RADIUS нет общего секрета, просто игнорируется. Если клиент RADIUS подлинный, сервер RADIUS обращается к базе данных учетных записей и ищет запись, имя пользователя в которой совпадает с именем, ука в запись пользователя содержит список условий, которые нужно соблюсти, чтобы данный пользователь разрешение на подключение.
Если хотя бы одно условие в процессе аутентификации или авторизации не выпол нено, сервер RADIUS отвечает клиенту RADIUS пакетом Access-Reject, что запрос от данного пользователя следует отклонить.
Если все условия выполнены, RADIUS получает пакет Access-Accept со списком значений конфигурационных параметров Ч атрибутов RADIUS и всех на необходимых для получения сервиса. В слу чае SLIP и РРР к таким параметрам относятся маска подсети, па стройки сжатия данных, идентификаторы требуемых фильтров пакетов.
Формат RADIUS-пакетов Здесь представлена информация, которая может пригодиться Х диагностике на основе трассировочной информации, полученной с Network Monitor;
Х с форматами пакетов для анализа журнала учета;
Х номеров особых атрибутов на сервер RADIUS как через 1812 (для аутентификации) и 1813 (для учета). Некоторые старые серверы доступа в сеть используют с теми же 1645 и IAS поддерживает прием на оба набора В качестве полезной нагрузки в инкапсулируется только один Общая структура пакетов Общая структура показана на рис. 8-1.
288 ЧАСТЬ 2 доступ Код Идентификатор Длина J L Атрибуты Рис. 8-1. Общая структура RADIUS-пакета Код Однобайтовое указывающее тип RADIUS-пакета. Пакет с недопустимым зна чением в этом поле игнорируется. определенные для поля кода, перечис лены в таблице Таблица 8-1. Значения поля кода в Код (десятичный) Пакет i Access-Accept 3 Access-Reject 4 Accounting-Request 12 Status-Server 13 Status-Client (экспериментальный) 255 Зарезервировано Идентификатор Однобайтовое поле, используемое для сопоставления с соответствующим ответом.
Длина Поле длиной в два октета, указывающее полный размер и RADIUS-сообще в том числе кода, идентификатора, длины и ин а также раздела атрибутов. Значение этого может варьироваться от 20 до 4096 байтов.
Поле длиной в шесть октетов, содержащее информацию, на основе которой клиент и сервер RADIUS друг друга.
Атрибуты Раздел атрибутов RADIUS-пакета содержит один или более атрибутов RADIUS, которые указывают параметры аутентификации и авторизации, а также конфигу рационную информацию. Если у атрибута имеется более одного экземпляра, необ ходимо соблюдать порядок А если у атрибута только один экземпляр, следования имеет значения.
ГЛАВА 8 Служба проверки подлинности в Интернете Атрибуты RADIUS Структура атрибута RADIUS на рис. 8-2. имеют фор мат часто применяемый и в других протоколах.
Длина Значение 1 байт Рис. 8-2. Структура атрибута RADIUS Тип Однобайтовое поле, указывающее тип атрибута Некоторые атрибуты в таблице 8-2. О других атрибутах RADIUS и их см.
RFC 2138 и 2139;
о новых атрибутах RADIUS см. ссылку Radius Types на по адресу resources.
Таблица 8-2. Типы атрибутов RADIUS Тип Описание I 2 word 3 С 4 NAS- IP- Address Service-Type I Filter-ID ! !
24 State 25>
Значение Поле длиной в или несколько октетов, содержащее информацию, ную для конкретного атрибута. Формат и длина этого зависят от типа атри бута.
Особые атрибуты вендоров Особые атрибуты вендоров (vendor specific VSA) позволяют кам использовать атрибуты, не определенные в RFC 2138. В словаре вендоров службы IAS содержатся от различных поставщиков. Этот список постоянно пополняется новыми атрибутами и вендорами.
Чтобы атрибуты, не включенные в словарь вендоров, IAS предусмат ривает возможность их добавления как атрибутов (тип на вклад ке Advanced (Дополнительно) профиля удаленного доступа. Для исполь зования атрибута типа 26 администратору нужно знать его формат и точное значе ние. Форматы VSA описываются ниже, а информацию о том, какие данные следует вводить для VSA, см. в документации на сервер Структура особого атрибута вендора на рис. 8-3.
Тип = Длина вендора Строка Рис. 8-3. Структура особого атрибута вендора Тип Значение этого поля устанавливается в 26 что указывает на атрибут VSA.
Длина Значение поля зависит от числа байтов в атрибуте VSA.
Идентификатор вендора Поле в 4 октета, где старший октет равен 0 (0x00), а младшие 3 ок тета представляют код (Structure and Identification of Management Information) Network Private Enterprise Code вендора.
Строка Это поле состоит из одного или более октетов. В соответствии с рекомендациями RFC 2138 поле строки должно состоять из полей, показанных на рис. 8-4.
ГЛАВА 8 Служба проверки подлинности в Тип Длина строки специфичные для конкретного атрибута Рис. 8-4. Структура поля вендора конкретный Длина строки размер строки в байтах.
Данные, специфичные для конкретного атрибута Содержит особого атрибута вендора.
Вендоры, атрибуты которых не соответствуют RFC 2138, идентифицируют свой VSA как тип 26, но не используют поля, показанные на рис. 8-4. В этом случае мат особого атрибута вендора соответствует формату, на рис. 8-3.
Добавляя VSA для конкретного сервера NAS как тип 26, Вы должны знать, соот ветствует ли этот атрибут RFC 2138. Информацию о том. использует ли Ваш сер вер формат приведенный на рис. 8-4, см. в документации на этот Атрибуты VSA настраиваются в диалоговом окне Attribute Infor (Сведения об атрибуте вендора);
о том, как открыть данное диалоговое см. раздел Профили далее в этой главе. Если формат соответству ет RFC 2138, выберите переключатель Yes, it conforms (Да, и на стройте поля атрибута, как указано в документации на Ваш сервер NAS. Если мат VSA не соответствует RFC выберите переключатель No, it does not conform (Нет, не соответствует) и введите значение атрибута, которое включает строку в формате VSA (все, что за полем тора подробнее о особых атрибутов вендоров см. раздел фили далее в этой главе.
Пример Допустим, клиент РРТР под управлением Windows 2000 пытается создать нение доступа с под Windows 2000.
рес VPN-сервера - а сервера IAS - 10.10.210.12.
Пакет В трассировочной полученной с помощью Network Monitor и пока занной ниже, можно увидеть содержимое пакета посланного VPN серверу IAS.
+ IP: ID = 0x850;
= + UDP: Src Port: Unknown, (1327);
Dst Port: (1812);
Length = RADIUS: Type: Access RADIUS: Message Type = Access RADIUS: Identifier = 2 (0x2) 292 ЧАСТЬ RADIUS: 8A 6F DC 03 23 5F 62 CA 40 92 38 DC CB RADIUS: Attribute Type: NAS IP Attribute type = NAS IP Address RADIUS: Attribute length = 6 (0x6) RADIUS: IP address = 10,10.210. RADIUS: Attribute Type: Service Type(6) RADIUS: Attribute = Service Type RADIUS: Attribute length 6 (0x6) RADIUS: Service type = Framed Attribute Framed Attribute type = Framed Protocol RADIUS: Attribute length = 6 (0x6) RADIUS: Framed protocol = PPP RADIUS: Attribute Type: NAS RADIUS: type = NAS Port RADIUS: Attribute length = 6 (0x6) RADIUS;
NAS port = 32 (0x20) RADIUS: Attribute Type: Vendor RADIUS: Attribute type = Vendor Specific Attribute length = 12 (OxC) RADIUS;
Vendor ID = 311 (0x137) RADIUS: string = RADIUS: Attribute Type: Vendor RADIUS: Attribute type = Vendor Specific Attribute length = 18 (0x12) RADIUS: Vendor ID 311 (0x137) RADIUS: Vendor string = RADIUS: Attribute Type: NAS Port Type(61) Attribute type = NAS Port Type RADIUS: Attribute length = RADIUS: NAS port type Virtual RADIUS: Attribute Type;
Tunnel RADIUS: Attribute type = Tunnel RADIUS: Attribute length = 6 (0x6) RADIUS: Tag = 0 (0x0) RADIUS: Tunnel type = Tunneling Protocol(PPTP) RADIUS;
Attribute Type: Tunnel Media Type(65) Attribute type - Tunnel Type RADIUS: Attribute length = 6 (0x6) RADIUS: Tag = 0 (0x0) RADIUS: Tunnel media type IP (IP version 4) RADIUS: Attribute Type: Calling Station ID(31) RADIUS: Attribute type = Calling Station ID RADIUS: Attribute = 14 (OxE) RADIUS: Calling station ID = RADIUS: Attribute Type: Tunnel Client Endpoint(66) Attribute type = Tunnel Client Endpoint RADIUS: Attribute length 14 (OxE) Tunnel client endpoint = 10.10.14. RADIUS: Attribute Type: User Named) RADIUS: Attribute type = User Name RADIUS: Attribute length 18 (0x12) RADIUS: User name = ГЛАВА 8 Служба проверки подлинности в Attribute Type: Vendor RADIUS: Attribute type = Vendor Specific RADIUS: Attribute length = 24 (0x18) RADIUS: Vendor ID 311 (0x137) RADIUS: Vendor string = RADIUS: Attribute Type: Vendor RADIUS: Attribute type = Vendor Specific RADIUS: Attribute length = RADIUS: Vendor ID = 311 (0x137) RADIUS: Vendor string = Атрибуты RADIUS, посылаемые включают имя пользователя, тины сервисов, протокол разбиения на кадры, атрибуты для и набор особых вендора для аутентификации no MS CHAP. Подробнее об атрибутах Microsoft VSA см. RFC Access-Accept В трассировочной полученной с помощью Network Monitor и пока ниже, можно увидеть содержимое пакета Access-Accept, переданного серве ром IAS серверу VPN.
IP: = OxB18;
= UDP;
Len: + UDP: Src Port: Unknown, Dst Port: Unknown (1327);
Length = RADIUS: Message Type: Access Accept(2) RADIUS: Type = Access Accept RADIUS: Identifier = 2 (0x2) RADIUS: Length = RADIUS: = 52 E2 19 98 2E F8 E2 D3 B7 E1 24 55 9E RADIUS: Attribute Type: Framed RADIUS: Attribute type = Framed Protocol RADIUS: Attribute length = 6 (0x6) RADIUS: Framed protocol = PPP RADIUS: Attribute Type: Service Type(6) RADIUS: Attribute type = Service Type RADIUS: Attribute length = 6 (0x6) RADIUS: Service type = Framed RADIUS: Attribute Type:>
Attribute type = Vendor Specific 294 ЧАСТЬ RADIUS: length = 51 (0x33) RADIUS: Vendor ID = 311 (0x137) RADIUS: Vendor = Type: Vendor RADIUS: Attribute type = Vendor Specific RADIUS: Attribute length = 21 (0x15) RADIUS: Vendor ID = 311 (0x137) RADIUS: Vendor string Атрибуты переданные сервером IAS, содержат имя пользователя, тип сер протокол на кадры, сервиса, а также набор особых для аутентификации по MS-CHAP.
Аутентификация в IAS В процессе идентификации удаленных пользователей и их допуска в защищенную сеть или на сайт разные аспекты этой задачи выполняются разными серверами.
Сервер доступа в сеть (Network Server, NAS) выступает в роли клиента сер вера IAS. Этот клиент отвечает за передачу информации о на задан ные серверы IAS и реагирование на получаемые ответы, Сервер TAS отвечает за прием запросов на соединение, аутентификацию пользова телей, авторизацию попыток соединения и определение всех параметров, необходимых клиенту RADIUS для сервиса. Общая схема процесса аутентификации средствами IAS пока зана на рис. 8-5, содержащий учетные данные пользователя Сервер Конечный каталога доступа в сеть IAS Рис. 8-5. Процесс аутентификации в IAS Когда пользователь пытается подключиться к сети через соединение доступа по коммутируемой линии или виртуальную сеть (VPN), аутентификация осуществляется следующим образом.
1. Сервер NAS согласует параметры соединения с клиентом удаленного доступа, сначала использовать самый защищенный протокол, затем менее щенный и так до безопасного протокола (например, в такой последо вательности: ЕАР, MS-CHAP, PAP).
2. NAS пересылает па аутентификацию серверу IAS в виде RA Access-Request, ГЛАВА 8 Служба проверки подлинности в Интернете 3. Сервер IAS сначала проверяет, отправлен ли данный Access Request тем клиентом RADIUS, на который он настроен, и для этого ет IP-адрес источника пакета. Если пакет Access-Request отправлен клиентом RADIUS и этот клиент поддерживает цифровые подписи, то сервер IAS проверяет в пакете цифровую подпись, используя общий секрет. (Общий секрет Ч это текстовая строка, служащая особым паролем между RADIUS и к нему клиентом. Общий секрет должен вать между каждым сервером IAS и сервером или другим сервером пересылающим Существует ряд соблюдение которых необходимо для успешной на стройки общего секрета;
Х общий секрет должен быть абсолютно одинаковым обоих Х секреты чувствительны к регистру букв;
Х в секретах могут присутствовать стандартные алфавитно-цифровые знаки и любые специальные символы.
4. Если применение цифровых подписей разрешено, но проверка подписи чилась неудачей, IAS молча отбрасывает соответствующий пакет. Если по истечении заданною периода ожидания сервер не получает ответ, он повторяет а затем отключает пользователя. Если IAS не к контроллеру домена или найти домен, к которому он молча отбрасывает пакет. Это позволяет передавать запрос резервному серверу IAS, который таким образом получает возможность аутентифицировать пользователя на основе доменной базы данных.
5. Если применение цифровых и подписи прошла сервер обращается к контроллеру домена Windows 2000, проверяет удостоверения 6. Если эти действительны, сервер IAS Ч чтобы определить, мож но ли авторизовать запрос на соединение, Ч сравнивает его параметры с виями политик удаленного доступа и параметрами входящих звонков в учетной записи Если параметры на соединение отвечают условиям хотя бы одной политики и параметрам соединение авторизуется, и сервер IAS посылает Accept серверу NAS, от которого было получено сообщение Со общение Access-Accept не только авторизует запрос на соединение, но и указы вает соединения, заданные в профиле политики удаленного доступа и в свойствах входящих учетной записи данного Сервер эти данные и определяет, какие параметры соединения раз решил использовать сервер IAS.
Если же удостоверения недействительны либо запрос на соединение не соответ ствует условиям хотя бы одной политики или, напротив, соответствует услови ям какой-либо политики, запрещающей данному пользователю удаленный дос туп, IAS посылает Access-Reject, и сервер NAS разрывает соединение с 296 ЧАСТЬ 2 Удаленный доступ Аутентификация и авторизация в IAS: шаг за шагом Схема, показанная на рис. и рис. иллюстрирует, как процесс аутентификации и авторизации средствами IAS.
Примечание При службы маршрутизации и удаленного доступа на аутен тификацию и авторизацию Windows упомянутый выше процесс ограничива ется 4-14. На этих этапах не пересылаются. Признак ус пешного или неудачного аутентификации и авторизации возвращается в качестве функции, вызываемой службой маршрутизации и удаленного доступа. Содержимое журнала локальных событий или аутентификации зависит от параметров в свойствах этой службы (см. гла ву 2 маршрутизации и в этой книге).
1. Проверить пакете IP-адрес источника, цифровая атрибуты и т. д.
2. Проверить на Auto Reject.
Auto Reject для пакета Access-Reject, если атрибут User-Name в пакете Access-Request с значени ем. Периодически посылая такие пакеты и принимая пакеты Access-Reject в Auto клиент RADIUS ет, присутствует ли еще сервер RADIUS в сети. Эти требуют особой обработки, их не ни ни авторизовать. Кроме того, для них не создается никаких записей в журнале аутентификации, чтобы они попусту не этот журнал.
Для IAS на Auto Reject присвойте параметру Ping User-Name в раз деле реестра имя пользователя Ч пакетов Access-Reject Auto Reject. посылается, когда атрибут User-Name в пакете совпадает со значением параметра Ping User-Name.
3. ровать Если атрибут User-Name в Access-Request не является именем для Auto Reject, 1AS определяет идентификацию для последующей аутен и Обычно пользователя описывает строковое значение User-Name. Если атрибута нет, пользователь как соответствующий учетной записи Guest (Гость) или записи, которая указывается параметром Default User Identity в разделе Однако для идентификации IAS может использовать любой атрибут RADIUS.
Номер атрибута RADIUS, который служба IAS задействует для идентификации пользователя, указывается в параметре User Identity Attribute в реес тра Access\Policy. По умолчанию User Identity Attribute присваивается 1, что User-Name. Подробнее о пара метре User Identity Attribute см. раздел доступ далее в этой главе.
ГЛАВА 8 Служба проверки подлинности в Интернете Начало Записать событие а журнал Послать пакет Access-Reject Совпадает ли атрибут I со Нет \ 3. Идентифицировать 4. Разобрать имя Записать в журнал 5. Проверить наличие факт неудачной пакет дополнительных средств попытки аутентификации аутентификации Принять Есть ли Применить дополнительные средства средства?
Продолжить 6. наличие блокировки учетной записи удаленного доступа запись Нет 7. Проверить возможность использования MS-CHAP. CHAP и PAP Рис. Процесс аутентификации и авторизации средствами IAS 298 ЧАСТЬ 2 Удаленный доступ Провести аутентификацию Т ли Нет CHAP или PAP?
I Аутентификация Х прошла удачно?
8. Проверить учетную запись ли учетная запись пользователя?
9. Проанализировать действующие политики Т Подходит ли 10. Полунить параметры входящих звонков объединить их с параметрами профиля Проверить наличие ЕАР Провести аутентификацию по ЕАР Т Возможна ли ЕАР?
Т прошла удачно?
12. параметры учетной записи пользователя и свойства профиля :
Т Позволяют ли эти параметры осуществить 13. Проверить наличие средств авторизации Отказать < ли Применить Нет дополнительные средства? дополнительные средства Продолжить 14. Поспать пакет Access-Accept и зарегистрировать успешную попытку аутентификации Рис. Процесс аутентификации и авторизации средствами IAS ГЛАВА 8 Служба подлинности в Интернете 4. имя.
Разбор имени (name cracking) Ч это идентификации в его учетную запись с основных (user principal names), (Lightweight Access Protocol), составных имен guished names, канонических имен и т. д. Получив основное имя, IAS зап рашивает Global Catalog (Глобальный каталог) службы каталогов Active Direc tory. Для ускорения этого процесса копия глобального каталога должна нахо диться на контроллере домена в пределах того сайта Directory, где распо ложен сервер IAS.
Если в идентификации пользователя нет имени домена, IAS добавляет такое имя. По умолчанию это имя домена, в который сервер IAS. Имя предоставляемое IAS, можно указать в параметре DefaultDomain в разделе стра 5. Проверить наличие дополнительных средств Проверяется средств аутентификации, представляют собой компоненты, создаваемые с помощью SDK. Каждый такой компонент возвращает Accept (принять), Reject (откло нить) или Continue (продолжить). Если компонент кации возвращает считается, что и на чинается проверка его записи. Если компонент аутентификации возвра щает Reject, IAS посылает пакет Access-Reject, и в зависимости от протоколирования попытка аутентификации фиксируется либо в си стемном журнале событий, либо в журнале аутентификации IAS. Если нент Continue, происходит переключение на следующий компонент.
Если других компонентов больше нет, считается аутентифициро Дополнительный компонент аутентификации может также возвращать атрибу ты RADIUS, которые включаются в 6. Проверить наличие блокировки учетной записи удаленного После того как заканчивается работа компонентов кации, считывается содержимое реестра на сервере IAS, чтобы выяснить, не бло кирована ли учетная запись пользователя. Если да, IAS посылает серверу NAS сообщение Access-Reject и регистрирует в журнале попытку аутентификации.
Блокировка учетной пользователя Ч одна из функций за щиты, через реестр Windows 2000. Она предотвращает словарные атаки учетных Подробнее о блокировке записей см. главу 7 Сервер удаленного в книге. Функция записей удаленного доступа не связана с флажком locked out (Отключить учетную запись) на General (Общие) окна свойств пользовательской учетной записи и не имеет к политиками блокировки учетных записей политики Windows 2000.
300 ЧАСТЬ 2 Удаленный доступ 7. Проверить возможность MS-CHAP, CHAP и PAP.
Если для аутентификации удаленного клиента используется протокол MS CHAP (версии 1 или 2), CHAP или PAP, IAS обращается к соответствующему аутентификации. На основе локальной или доменной базы учетных записей проверяются удостоверения пользователя (имя и а также к Конкретный метод аутен тификации зависит от применяемого протокола.
Если закончилась неудачно, посылается Access и в зависимости от параметров протоколирования неудачная попытка аутентификации фиксируется либо в системном журнале событий, либо в жур нале аутентификации IAS.
Если ЕАР или доступ, процесс аутентифи кации пропускается. В случае ЕАР аутентификация осуществля ется позже, а в случае доступа не выполняется.
8. Проверить учетную запись запись, определенная при разборе имени, проверяется на предмет того, не отключена ли она (это не имеет отношения к блокировке) и не истек ли срок действия пароля Если учетная запись недействительна, посыла ется сообщение Access-Reject, и в зависимости от параметров протоколирова ния неудачная попытка аутентификации фиксируется либо в журна ле событий, либо в журнале аутентификации 1AS.
9. Проанализировать действующие политики.
Для поиска политики доступа, соответствующей параметрам соеди нения, анализируются политики доступа, действующие на сервере IAS. Если подходящая политика найдена, посылается сообщение Access и данное событие фиксируется в журнале. Подробнее о политиках уда ленного доступа и алгоритме их см. раздел Политики удаленного дос далее этой главе.
10. Получить параметры входящих звонков и их с параметрами профиля.
Параметры входящих в свойствах учетной записи пользователя и профиля подходящей политики удаленного доступа объединяются в набор свойств соединения.
И. Проверить наличие ЕАР.
Если при попытке соединения ЕАР, происходит аутентификация по этому протоколу. Начальное согласование о ЕАР требует выбо ра ЕАР в качестве РРР-протокола аутентификации и указания типа ЕАР. Что бы убедиться, что данного типа ЕАР проверяются параметры в профиле соответствующей Если использование выбран ного типа ЕАР не разрешено в профиле, посылается сообщение Access Reject, и в от параметров протоколирования неудачная аутентификации фиксируется либо в системном журнале либо в жур нале аутентификации Если применение типа ЕАР то для него проводится IAS посылает серверу NAS вызов, чтобы начать согла ГЛАВА 8 Служба подлинности в сование ЕАР. При этом между ЕАР на клиент ской и серверной стороне путем с нием протокола RADIUS. По согласования может вернуть атрибуты, отсылаемые серверу в Access-Accept. Если ЕАР посылается сообщение и в зависимости от неудачная попытка фиксируется либо в системном журнале событий, в журнале JAS.
Проверить параметры записи пользователя и свойства профиля.
Чтобы убедиться, что соединение параметры в свойствах учетной и свойства профиля соответствующей политики доступа сравниваются с запроса на ние. Если не разрешено, посылается сообщение в зависимости от протоколирования аутентифи кации фиксируется либо в системном журнале событий, либо в журнале аутен тификации IAS.
13. Проверить наличие дополнительных средств Проверяется наличие средств Ч создаваемых с помощью IAS SDK. Каждый такой вращает либо Reject (отклонить), либо Continue Если дополни тельный компонент возвращает Reject, JAS посылает Access Reject, и зависимости от параметров попытка авторизации фиксируется либо в системном журнале событий, либо в журнале JAS. Если компонент возвращает происходит пере ключение на следующий Если других компонентов больше пользователь считается авторизованным.
Дополнительный авторизации может также возвращать RADIUS, которые включаются в пакет 14. Послать пакет и зарегистрировать попытку кации.
Если параметры входящих звонков в свойствах учетной пользователя, свойства профиля соответствующей политики удаленного доступа и условия, компонентами авторизации, разрешают серверу NAS пакет с набором атрибутов RADIUS, со держащих информацию об ограничениях для данного соединения. Б зависимости от параметров удачная аутентификации ся либо в системном журнале событий, либо в журнале аутентификации IAS.
IAS и туннелирование Преимущество IAS e в том, что эту службу можно на строить так, чтобы она направляла трафик от клиента через туннель к определен части сети (в зависимости от категории пользователя).
О туннелировании и его в Windows 2000 см. главу 9 Вир частные в этой книге.
302 ЧАСТЬ 2 Удаленный доступ Туннели создаются различными способами. В следующих разделах поясняются два основных тина (voluntary tunneling) и принуди тельное (compulsory tunneling).
Произвольное или клиентский компьютер может послать VPN-запрос для создания и настройки туннеля. В этом случае компьютер пользователя явля ется конечной точкой туннеля и работает как клиент туннелирования, Произволь ное происходит, когда рабочая станция или маршрутизатор исполь зует клиентское обеспечение туннелирования для создания VPN-со единения с целевым сервером туннелирования. Для этого на клиентском тере должен быть установлен подходящий протокол туннелирования.
В ситуации с удаленным доступом по коммутируемой линии клиент должен уста новить соединение, чем создавать туннель. Это наиболее распро страненный случай. Пример Ч пользователь услуг в Интернет по комму тируемой линии, который перед тем, как создать туннель через должен сначала связаться с провайдером (ISP) и установить соединение с Интернетом.
Рис. 8-7 иллюстрирует туннель, созданный между удален ного доступа по коммутируемой линии и сервером туннелирования.
Клиент удаленного Active Directory Брандмауэр RADIUS Рис. 8-7. туннель, созданный удаленным пользователем На рис. 8-7 использование IAS в сценарии с управлени ем удаленным доступом для произвольного туннелирования. Клиент удаленного доступа устанавливает по коммутируемой линии соединение с ISP. который обес печивает всем сотрудникам некоей организации удаленный доступ к ее интрасети.
На основе параметров соединения сервер NAS, с которым соединился удаленный клиент, формирует пакет и посылает его на заданный компьютер исходя из содержимого атрибута User-Name, пересылает этот пакет серверу 1AS организации, доступной в Интернете через бран дмауэр. Ее сервер IAS и авторизует запрос удаленного клиента на соединение и возвращает пакет RADIUS-прокси ГЛАВА 8 Служба проверки подлинности Интернете пересылает этот пакет провайдера, и тот подключает клиента к Ин После подключения к Интернету клиент удаленного доступа инициирует туннеля с основе параметров соедине ния туннелирования генерирует пакет Access-Request посылает его на IAS. и клиента ния на соединение и возвращает серверу туннелирования пакет Access-Accept. Сер вер туннелирования создает туннель, и с этого момента клиент может пакеты в организации по туннелю.
Метод и стойкость шифрования для соединения ленного доступа и туннеля могут различаться. Так, для удаленного соединения с ISP может использоваться CHAP, а для туннеля Ч более метод тификации вроде MS-CHAP v2 или туннелирование Ч создание туннеля другим компь ютером или сетевым устройством в интересах клиентского компьютера. Принуди тельные туннели создаются и настраиваются автоматически Ч без участия пользо вателя. При точкой туннеля является не клиентский компьютер, а другое устройство, находящееся между клиентским и сервером туннелирования. Это как клиент тун нелирования. Таким устройством служит сервер удаленного по руемой линии, вызываемый удаленным клиентом.
Многие поставщики серверов удаленного доступа предусматривают возможность создания туннелей в интересах клиентов удаленного доступа. Компьютер или вое устройство, предоставляющее для клиентского компьютера, в РРТР называется FEP End в - LAC Access Concentrator).
а в Ч IP Security Gateway. В этой главе независимо от протокола туннелиро вания термин FEP. На должен быть установлен токол туннелирования;
кроме того, он должен быть способен когда клиентский компьютер пытается установить соединение, может заключить договор с JSP о развертывании набора FEP по всей стране. Эти FEP будут туннели через Интернет с сервером туннелирова ния, подключенным к частной сети и тем самым консолидировать вызовы с территориально распределенных участков в единую точку Интернет-вхо да в корпоративную сеть.
На рис. 8-8 показан клиентский компьютер, сервер провайдера с поддержкой туннелирования с целью аутентификации на сервере IAS, который находится на другом конце туннеля.
Рис. 8-8 применение IAS в сценарии с управлением удаленным доступом для принудительного Клиент удаленного доступа устанавливает по коммутируемой линии соединение с ISP, который обес печивает всем сотрудникам некоей удаленный доступ к ее На параметров соединения сервер с которым соединился клиент, формирует пакет Access-Request и его на заданный сервер IAS.
304 ЧАСТЬ 2 доступ IAS провайдера авторизует клиента на соединение и воз с набором атрибутов При необходи мости сервер NAS провайдера создает через туннель с туннели рования Active Directory доступа Туннель Сервер IAS Рис. 8-8. Принудительный туннель, созданный сервером NAS, который поддерживает Примечание Обычно IAS обеспечивает как аутентификацию, так и авторизацию.
Однако в данном случае сервер IAS Интернет-провайдера, как правило, отвечает только Поскольку клиент удаленного доступа проходит фикацию на сервере организации, в аутентификации на сервере IAS провайдера нет необходимости.
Далее сервер NAS провайдера передает клиенту удаленного доступа РРР-сообще о перезапуске процесса аутентификации, чтобы этот клиент мог пройти тификацию на сервере туннелирования своей организации. Клиент удаленного до ступа посылает информацию на сервер NAS провайдера, ко торый инкапсулирует эти данные и посылает их по туннелю на сервер туннелиро вания.
Получив аутентификационную сервер туннелирования посылает сер веру IAS организации Сервер IAS организации и авторизует соединение удаленного доступа с сервером туннелирования и посылает пакет Access-Accept на сервер туннелирования, который после этого принимает запрос на соединение от клиента удаленного доступа. Теперь все дан ные, посылаемые клиентом доступа, автоматически передаются через туннель на сервер туннелирования с сервера NAS провайдера.
Такое туннелирование называется принудительным потому, клиент использовать туннель, созданный Как только соединение установлено, весь сетевой трафик от клиента автоматически передается по туннелю. Сервер IAS мож но настроить так, чтобы заставлял FEP для разных клиентов удаленного досту па туннели с разными туннелирования.
В отличие от произвольных принудительные туннели между FEP и сер туннелирования могут совместно использоваться несколькими клиентами ГЛАВА Служба проверки подлинности а удаленного доступа. Когда второй клиент подключается к доступа (FEP) и обращается к адресату, туннель к которому уже дан, его трафик перелается по существующему туннелю.
Примечание при не рекомендуется. Прокси может расшифровать пароль туннеля, так как для шифро вания паролей между и сервером IAS используется общий секрет.
Для информации о туннелировании от сервера IAS серверу зуются атрибуты Только при авторизации:
Х Х Х P ce;
Х Tunnel-Password прокси не используется).
При и учете:
Х Tunnel-Type (PPTP, L2TP и т. д.);
Х Tunnel-Medium-Type (X.25, ATM, Frame Relay, IP и т. д.);
Х Х Tunnel-Server-Endpoint.
Только при учете:
Х Служба маршрутизации и доступа Windows 2000 не может выступать в роли при принудительном Методы аутентификации Протокол RADIUS поддерживает ряд аутентификации. У каждо го из них свои плюсы и минусы. Конкретный протокол определяется устройством Если Вы настраиваете сеть на поддержку удаленного доступа по линиям, прочтите документацию на свой сервер NAS, а если удаленный туп к Вашей сети через ISP, обратитесь к В следующих разделах рассматриваются и недостатки аутентификации, поддерживаемых IAS в настоящее время. Эта информация при настройке конкретного протокола аутентификации, РАР PAP (Password Authentication Protocol) передает от компьютера пользова теля устройству NAS в виде строки. пересылая пароль, его, исполь зуя качестве криптографического ключа общий RADIUS. PAP Ч самый гибкий протокол, так как нешифрованного на сервер аутентифи кации позволяет этому серверу оперировать практически с любым форматом дан ных. Например, пароли UNIX хранятся в виде необратимо зашифрованных строк, и для сравнения РАР с этими строками нужно всего лишь воспользовать ся тем методом шифрования.
306 ЧАСТЬ 2 Удаленный доступ Однако из-за что РАР имеет дело с нешифрованными паролями, этот прото кол уязвим с точки зрения Хотя пароль все же шифруется протоколом RADIUS, по телефонной линии он передается открытым текстом.
РАР Чтобы выбрать по протоколу РАР, выполните следующую про цедуру.
1. Разрешите применение РАР в качестве протокола аутентификации на сервере доступа. Об исходных настройках конкретного сервера NAS см. до кументацию на этот сервер. В службе маршрутизации и удаленного про токол РАР по умолчанию отключен.
2. Разрешите применение РАР в политике удаленного доступа. По умол чанию протокол РАР отключен.
3. применение РАР на клиенте удаленного доступа.
Примечание Включение РАР в качестве протокола аутентификации означает, что пересылается от серверу NAS открытым текстом. Сервер NAS шиф рует пароль, используя общий секрет, и передает его в пакете Access-Request.
RADIUS-прокси должен РАР-пароль на основе секрета, с сылающим сервером RADIUS, и расшифровывать его на основе секрета, общего с сервером NAS. Злоумышленник, получив доступ к RADIUS-прокси, может опре имена и пароли пользователей для РАР-соединений. Таким исполь зовать протокол РАР настоятельно рекомендуется Ч особенно при VPN-подклю чениях.
CHAP CHAP (Challenge Handshake Authentication Protocol) для безопасной передачи паролей. При CHAP сервер NAS посылает клиентскому компьютеру вызов со случайным образом генерируемой Строка и пароль пользователя по Далее клиентский компьютер посылает сервер NAS, а тот пересылает серверу аутентификации и строку вызова, и ответ на него в виде Получив этот пакет, сервер аутентификации создаст собственную версию ответа.
Если версия сервера совпадает с ответом от клиентского компьютера, запрос на соединение принимается.
нельзя так как устройства NAS каждый раз посылают клиенту уникальную строку вызова. Поскольку алгоритм вычислений при СНАР-ответов хорошо очень важно тщательно выбирать пароли и заботиться о том, чтобы их длина была достаточной. Пароли CHAP на основе распространенных слов или уязвимы перед словарными А пароли недостаточной длины могут раскрыты простым перебором возможных комбинаций.
Исторически сложилось так, что CHAP стал самым распространенным протоколом аутентификации при Однако, если на сервере не хранится тот же пароль, что и использованный для СНАР-ответа, создать свою вер сию ответа этот сервер не сможет. Поскольку для создания ответа на вызов стан ГЛАВА 8 Служба проверки подлинности в Интернете нешифрованную версию пароля, то и на сер вере пароли должны храниться в незашифрованном виде.
Хотя сервер IAS поддерживает CHAP, домена Windows не мо жет проверять без поддержки хранения обратимо шифруемых па ролей. Такая поддержки имеется в Windows 2000, а на контроллерах домена Win dows нужно устанавливать специальное обновление.
Чтобы выбрать аутентификацию по протоколу CHAP, выполните следующую цедуру.
1. Разрешите применение CHAP и качестве протокола на серве ре удаленного доступа. Об исходных конкретного сервера NAS см.
документацию на этот В службе и удаленного протокол CHAP включен по умолчанию.
2. Разрешите применение CHAP в нужной политике удаленного доступа. По чанию протокол CHAP включен.
3. Разрешите хранение паролей пользователей в обратимо шифруемом виде. В чае автономного сервера под управлением Windows 2000 Server обра тимо шифруемых паролей для всех пользователей данного следует разрешить через политики групп. В Windows 2000 можно использовать политики групп на уровне или организационных единиц. Об активиза ции обратимого шифрования паролей см. справочную систему Windows Server.
4. Принудительно сбросьте пароли для их преобразования в обратимо ванную форму. Когда Вы паролей в обратимо зашифрован ном виде, пароли, уже хранящиеся в необратимо зашифрованной форме, матически не Вы либо сбросить пароли, либо потребовать смены паролей при следующем входе в систему.
Если Вы выбрали второй пользователи должны войти в сеть LAN-соединение и сменить свои пароли Ч только после этого они смогут под ключаться к серверу удаленного доступа и по протоколу CHAP не смену паролей в процессе аутентификации, и такие попытки неудачей. Это ограничение можно обойти, вре менно подключившись к серверу удаленного доступа с использованием MS CHAP, который допускает смену пароля в процессе соединения.
5. Разрешите применение CHAP на удаленного доступа.
MS-CHAP MS-CHAP (Microsoft Authentication Protocol) ность протокола CHAP, требующая хранения пользователя на сервере аутентификации в незашифрованном виде. В MS-CHAP ответ на вызов генериру ется на основе пароля и строки NAS. Это аутентификацию через Интернет на контроллере домена Windows 2000 (или Win dows NT 4.0 без установки обновления).
Пароли в MS-CHAP хранятся на сервере более безопасным образом, но, как и па роли в CHAP они уязвимы перед атаками и атаками с подбором 308 ЧАСТЬ 2 Удаленный доступ лей. Используя важно выбирать (чтобы их не было в стандартном словаре) и заботиться о том, чтобы их длина была Мно гие крупные компании требуют, чтобы длина была не менее шести симво лов и чтобы в пароле буквы верхнего и нижнего регистра, а также минимум одна цифра, О поддержке MS-CHAP можно узнать из на сервер NAS или у Ин тернет-провайдера.
По умолчанию MS-CHAP в Windows фикацию LAN Manager. Вы хотите отключить такую поддержку в MS-CHAP vl для старых операционных систем вроде Windows NT 3.5 и Windows 95, присвойте нулевое значение параметру Allow в разделе реестра иа сер вере Если пытается аутентификацию по MS-CHAP с просрочен ным паролем, ему предлагается в процессе с сервером.
Другие протоколы аутентификации не поддерживают такую просто блокируя доступ.
Включение MS-CHAP Чтобы выбрать аутентификацию по протоколу MS-CHAP, следующую Разрешите MS-CHAP в качестве протокола на сер вере удаленного доступа. Об исходных настройках конкретного сервера NAS см.
документацию на этот сервер. В службе и удаленного доступа протокол MS-CHAP но умолчанию.
2. Разрешите применение MS-CHAP в нужной политике удаленного доступа. По протокол MS-CHAP включен.
применение клиенте доступа.
v MS-CHAP (Microsoft Handshake Authentication Protocol версии 2) поддерживает стойкие ключи и раздельных ключей для передачи и приема данных. Для серверы Windows 2000 предлагают сначала MS-CHAP и только потом старый протокол MS-CHAP. Клиенты под новых версий Win dows всегда на использование MS-CHAP если это предлагается сервером.
В MS-CHAP используются необратимо шифруемые пароли. Процесс аутентификации проходит в последовательности, в разделе главы 7 удаленного доступа в книге.
Если пользователь пытается пройти аутентификацию по MS-CHAP с просро паролем, ему пароль в процессе соединения с серве ром. Другие протоколы аутентификации такую про сто блокируя доступ.
ГЛАВА 8 Служба проверки подлинности в MS-CHAP v Чтобы выбрать аутентификацию по протоколу MS-CHAP следую MS-CHAP в качестве на сервере удаленного Об настройках конкретного сервера см. документацию на этот сервер. В службе маршрутизации и удаленного дос тупа протокол MS-CHAP включен по умолчанию.
2. применение MS-CHAP в нужной политике удаленного По умолчанию протокол MS-CHAP 3. Разрешите MS-CHAP на клиенте удаленного Примечание 95 и Windows 98 MS-CHAP v2 только для ЕАР ЕАР (Extensible Authentication Protocol) Ч это расширение РРР Protocol), поддерживающее клиенты доступа по коммутируемым линиям, а и ЕАР позволяет добавлять новые методы аутентификации, Для успешной аутентификации данный тип ЕАР должен поддерживаться как сервером доступа, так и клиентом.
В Windows 2000 имеется инфраструктура ЕАР и два типа ЕАР:
CHAP и Реализация IAS в Windows 2000 позволяет передавать на сервер RADIUS CHAP EAP-MD5 CHAP (Message Digest 5 Handshake Protocol) является обязательным типом который использует тот же протокол ответа, что и РРР но вызовы и ответы посылаются в виде ЕАР-сообщениЙ, Обычно CHAP применяется для удостоверений клиентов ленного доступа в системах защиты на основе имен и паролей ме этот тип ЕАР позволяет проверять по ЕАР.
EAP-TLS тип ЕАР, в системах за щиты на основе сертификатов. Вы должны EAP-TLS, если клиенты удаленного доступа с помощью смарт-карт. Обмен сообщения ми EAP-TLS взаимную аутентификацию, согласование метода шиф и обмен закрытыми ключами между клиентом удаленного до ступа и сервером аутентификации. EAP-TLS Ч самый защищенный метод аутен и обмена ключами. Он поддерживается только серверами доступа под управлением Windows 2000, которые входят в домен 2000 ос новного или смешанного режима.
EAP-RADIUS Ч это не тип ЕАР, а способ передачи сообщений любого типа ЕАР сервером удаленного доступа на сервер RADIUS для Сообщения ЕАР, пересылаемые между клиентом и сервером удаленного 310 ЧАСТЬ 2 доступ ются и форматируются как сообщения RADIUS, которыми обмениваются сервер удаленного доступа и сервер RADIUS. Подробнее об EAP-RADIUS см. раздел главы 7 удаленного в этой книге, Включение ЕАР Чтобы выбрать аутентификацию но ЕАР, выполните следующую процедуру.
Разрешите применение ЕАР в протокола аутентификации на сервере удаленного доступа.
2. Разрешите применение ЕАР в политике удаленного доступа.
Разрешите применение ЕАР на клиенте удаленного доступа.
В дополнение к типам ЕАР, определенным и поддерживаемым в Windows 2000, ЕАР Software Development Kit (SDK) позволяет добавлять новые аутенти фикации, доступ Неаутентифицируемый доступ позволяет удаленным входить в сеть без проверки удостоверений. Например, сервер IAS не будет проверять имя и Единственная проверка, выполняемая при таком тине доступа, Ч ав торизация. К соединений следует относить ся очень внимательно, так как они предоставляются без проверки идентификации клиентов.
В этом разделе рассматриваются три варианта доступа:
Х гостевой доступ;
Х авторизация на основе (Dialed Number Identification Х авторизация основе (Automatic Number Line Identification).
доступ для доступ Ч это входа в домен, не указывая имя пользователя и/или пароль. При этом IAS и служба маршрутизации и доступа долж ны быть настроены на поддержку доступа.
Когда сервер доступа получает запрос на соединение, начинается про цесс согласования с клиентом метода аутентификации из числа поддерживаемых сервером. Если клиент принимает один из них, он посылает удостоверения, требу емые согласованным методом Если же отказывает ся аутентификацию, служба и удаленного доступа про возможность доступа без Если такой доступ разрешен, она пересылает IAS пакет Access-Request. В пакете не содержится ни атрибут User Name, ни какие-либо другие IAS, получив пакет без атрибута User-Name, считает, что пользова тель хочет войти в сеть через гостевой доступ. В случае в качестве идентифи кации пользователя IAS принимает имя учетной записи в домене. Далее IAS анализирует действующие политики, чтобы найти нужный профиль, Если та ковой найден и гостевой доступ нем разрешен, IAS остальные опера ции, связанные с авторизацией, и возвращает Access-Accept. В файле журна ла учета регистрируется идентификация пользователя и тип ГЛАВА 8 Служба проверки подлинности в Интернете на основе этой информации можно будет определить, входил ли пользователь по гостевой учетной записи.
Включение гостевого доступа Чтобы гостевой выполните операции.
1. Разрешите доступ на сервере удаленного доступа.
2. Разрешите неаутентифицируемый доступ подходящей политике удаленного 3. Разрешите использование Guest (Гость).
4. В от административной модели удаленного доступа укажите в ос тевой учетной записи Allow Access (Разрешить доступ) или access through Remote Access Policy (Управление на основе до Если Вы не хотите использование записи Guest, создайте поль зовательскую учетную запись и укажите в пой Allow Access или Control access through Remote Access Policy. Затем сервере аутентификации (сервере ного доступа или сервере IAS) параметру Default User в ле реестра Access\Policy имя только что учетной записи.
о включении и настройке протоколов аутентификации, а также об пользовательских учетных записей см. справочную систе му Windows 2000 Server.
Пример гостевого доступа 1. При клиент отвергает все протоколы поддерживаемые NAS.
2. Если настроен на возможность доступа, он посы лает пакет Access-Request без атрибута User-Name и без В службе мар и удаленного доступа Windows 2000 неаутентифицируемый доступ на вкладке Authentication* окна свойств сервера в оснастке ting and Remote Access (Маршрутизация и удаленный доступ).
3. Так как в Access-Request нет атрибута User-Name, идентификацией пользователя для IAS служит запись Guest (Гость) или значение метра реестра Default User Identity.
4. С идентификацией в гостя и и авторизация проходят как это было показано в этой главе. Если параметры запроса па соединение какой либо политике, в профиле которой разрешен доступ без учетная запись Guest отключена и если она удаленный доступ, то JAS посылает серверу пакет * Такой вкладки в окне свойств сервера доступа нет. По крайней русской вер Windows 2000 Вы открыть в окне свойств удаленного Безопасность, Методы проверки подлинности и в появившемся диалоговом в без установить Разрешить подключение ленных без проверки. Ч Прим.
312 ЧАСТЬ 2 Удаленный доступ Авторизация на основе DNIS на основе DNIS (Dialed Number Identification Service) Ч это метод, при котором авторизация попытки осуществляется на ного клиентом номера. атрибут называется идентификатором вызываемой DNIS большинством теле коммуникационных компаний. Эта служба телефонный но мер получателю вызова. На основе атрибута IAS опреде ляет, какие услуги могут быть предоставлены данному клиенту удаленного доступа.
на основе DNIS Для этого выполните 1. Разрешите доступ на удаленного доступа, 2. Создайте на сервере (т. е. на сервере доступа или на сервере политику удаленного доступа, которая предназначена для DNIS и в которой атрибут хранит номер.
неаутентифицируемый доступ в свойствах созданной политики уда ленного доступа.
на основе ANI Этот метод базируется на определении телефонного номера, с которо го звонит пользователь. Соответствующий атрибут называется идентификатором вызывающей или идентификатором звонящего (Caller ID). На основе атрибута сервер IAS определяет, какие услуги могут быть предоставлены данному клиенту удаленного доступа.
Авторизация на основе отличается от функции Caller ID (Идентификация зво нящего) параметрами входящих звонков в свойствах учетной пользователя.
выполняется в том случае, если пользователь не вводит свое имя или пароль и отказывается от любых методов аутентификации.
Тогда IAS получает атрибут Calling-Station-ID без имени и пароля пользователя.
Поддержка авторизации на основе ANI требует, чтобы в Active Directory хранились учетные записи, где вместо имен пользователей указываются их Caller ID (проще говоря, телефонные номера). Эта разновидность аутентификации при удаленном доступе из сетей сотовой а также в Гер мании и Японии.
Если в учетной записи задано Caller ID, то для в пользователь вводит свои учетные (имя и пароль) и аутентифицируется по одному из поддерживаемых После аутентификации пользователя на ос нове его имени и пароля IAS атрибут Calling-Station-ID в пакете Access Request со свойством Caller ID учетной записи этого для авториза ции запроса на соединение.
Включение авторизации на основе ANI \. неаутентифицируемый доступ на сервере удаленного доступа.
2. Разрешите неаутентифицируемый в свойствах политики удаленного до созданной для проверки подлинности на 8 Служба проверки подлинности в 3. учетную запись для каждого номера, с которого зво удаленные и для которого Вы хотите настроить авторизацию на основе Имя учетной записи должно совпадать с с которого Например, если звонит с номера создайте учетную л5550100.
4. На аутентификации параметру User Identity Attribute в раз доле реестра значение, 31.
Этот параметр сообщает серверу аутентификации, что идентификации нящего следует использовать его номер 31, Телефонный номер служит идентификацией пользователя, только в запросе на соединение отсутствует имя Чтобы телефонный номер всегда применялся в пользователя, на присвойте параметру Override User-Name в разделе реестра равное 1.
если Вы в параметр Override User-Name значение 1, а в User Identity Attribute Ч 31, сервер аутентификации выполняет лишь автори на основе Обычные протоколы аутентификации типа MS CHAP и PAP отключаются.
Пример В этом пример как на основе для клиента удаленного доступа, звонящего с номера 55.5-0100 (при этом на сервере аутентификации имеется учетная запись 1. При клиент отвергает все протоколы 2. Если настроен па возможность доступа, он пакет без атрибута User-Name и без пароля. В службе мар шрутизации и удаленного Windows 2000 доступ на вкладке Authentication* окна сервера в оснастке ting and Remote (Маршрутизация и доступ).
3. Так как пакете Access-Request пет атрибута User-Name, a IAS настроена на идентификацию пользователя по атрибуту пользователь идентифицируется по учетной 5550100.
4. Далее аутентификация и так, как это было показано ра псе этой главе. Если параметры запроса на какой политике, в профиле которой разрешен доступ без аутентификации, если учетная запись 5550100 не и если она то IAS посылает серверу NAS пакет Access-Accept.
См. предыдущее переводчика. Ч Прим.
314 ЧАСТЬ 2 Удаленный доступ Авторизация в IAS Администратор может использовать авторизации в IAS, чтобы или запрещать подключения на основе параметров соединения. В следующих раз делах подробно рассказывается о настройке политик удаленного доступа и особых Политики удаленного доступа В Windows NT 4.0 привилегии на доступ выдавались исключительно на основе разрешений, связанных с входящими звонками и закрепляемых за пользо вателем. В Windows 2000 соединения удаленного доступа принимаются на основе свойств входящих звонков в объекте пользователя и политиках досту па. Политика удаленного доступа Ч это набор условий и параметров позволяющих администраторам более гибко выдавать разрешения на удаленный доступ и использование сетевых Политики удаленного доступа хранятся на локальном компьютере и разделяются IAS и службой маршрутизации и удален ного доступа.
Используя политики удаленного администратор может указывать разре шения на основе времени суток, недели, принадлежности к группе Win dows 2000, типа (по коммутируемой линии или VPN) и Кроме того, можно ограничивать максимальную длительность сеанса, задавать конкретные методы и шифрования, полити ки ВАР и др.
Важно помнить, что запрос на соединение удаленного принимается, толь ко если его совпадают с параметрами хотя бы одной политики удален ного доступа. В ином случае запрос на отклоняется от па раметров входящих звонков в свойствах учетной записи данного При наличии серверов IAS под Windows 2000 управление политика ми удаленного доступа осуществляется через оснастку Routing and Remote Access (Маршрутизация и удаленный доступ), если Вы аутентификацию Windows, или средствами Internet Service (IAS) (Служба проверки в Интернете).
Примечание Windows 2000 нестандартные процессы авторизации, разрабатываемые с помощью IAS SDK.
Локальное и централизованное управление политиками Политики удаленного доступа хранятся локально на сервере удаленного доступа или сервере IAS. Чтобы организовать централизованное управление единым набо ром политик удаленного доступа для нескольких серверов удаленного доступа или Вы должны выполнить следующие операции.
1. Установить на с Windows 2000 службу IAS в качестве сервера RADIUS.
2. Настроить на клиенты RADIUS, соответствующие серверам удаленного ступа или VPN-серверам под управлением Windows 2000.
ГЛАВА 8 Служба подлинности в Интернете 3. на сервере IAS централизованный набор политик, всеми серверами Windows 2000.
4. все серверы удаленного доступа Windows 2000 в качестве клиентов RADIUS сервера IAS.
После настройки сервера удаленного в качестве сервера локальные политики удаленного хранящиеся на этом сервере удален ного доступа, больше не действуют.
Централизованное управление удаленного и наличии серверов удаленного под управлением Windows и службы Routing and Remote Access Service (RRAS). Сервер Windows 4.0 с службой RRAS можно настроить в качестве RADIUS-клиента IAS.
службы RRAS на сервере Windows NT 4.0 централизованное управление политика ми удаленного доступа не Свойства входящих звонков объекта пользователя В Windows 2000 объект пользователя на сервере или сервере, управ ляемом Active Directory, содержит свойств звонков, на основе чений которых принять или отклонить запрос на от дан ного В случае автономных серверов параметры входящих доступны на вкладке Dial-in звонки) окна свойств записи пользователя в оснастке Computer Management компьютером) или в User Manager (если сервер работает под Windows NT 4.0), В случае серверов на основе Active Directory параметры входящих звонков иваются на той же вкладке окна свойств объекта пользователя в оснастке Active Directory Users Computers (Active Directory - пользователи и компьютеры].
Средство администрирования User Manager из Windows NT 4.0 к сер верам на основе Active Directory.
перечислены свойства входящих звонков объекта пользователя.
Х Remote Access Permission (Dial-in or VPN) на удаленный доступ (VPN или Это свойство позволяет либо явно разрешить/запретить удаленный доступ, либо удаленным доступом на основе политик. Даже если явно условия политики доступа, свойства объекта или параметры профиля могут переопределить настройку. Переключа тель Control access through Remote Access Policy (Управление на основе по литики удаленного доступа) доступен только объектов на автономных серверах под управлением Windows и службы маршрутизации и удаленного доступа или на входящих в домен Windows 2000 основ режима.
По умолчанию в учетных записях Administrator (Администратор) и (Гость) на автономных серверах удаленного доступа или входящих в домен Windows 2000 режима это свойство устанавливается как Control access through Remote Access а в домене Windows 2000 смешанного ре жима Ч как Deny access (Запретить доступ), В новых учетных записях, созда ваемых на автономных серверах или входящих в домен Windows го режима, свойство Remote Access Permission (Dial-in or VPN) 31В ЧАСТЬ 2 Удаленный доступ как access through Remote Access Policy, а в новых учетных запи сях, создаваемых в домене Windows 2000 смешанного режима, Ч как Deny access.
Х Verify Caller ID (Проверять идентификатор).
Если это свойство (представленное в интерфейсе флажком) сервер проверяет номер звонящего. Если он не совпада ет с запрос на соединение отклоняется.
Функция идентификации звонящего должна поддерживаться клиентом, теле фонной сетью между клиентом и удаленного доступа, а также самим сервером удаленного доступа. поддержки этой функции на сервере ного доступа оборудование, отвечающее на вызовы и способное пе редавать информацию об идентификации звонящего, и соответствующий драй вер в Windows 2000.
Если Вы включаете для функцию идентификации звонящего, но на одном из перечисленных участков поддержка передачи информации об идентификации звонящего не на соединение будет откло Х Callback Options (Ответный вызов сервера).
Если это свойство включено, то в процессе установления соединения сервер пе резванивает клиенту по указанному номеру.
Х Assign a Static IP Address (Статический IP-адрес пользователя).
Если это свойство включено, то при установлении соединения клиентскому ком пьютеру присваивается конкретный IP-адрес, назначенный администратором.
Х Apply Static (Использовать статическую маршрутизацию).
Если это свойство включено, серия статических IP-маршрутов, определенных администратором, добавляется таблицу на сервере го доступа после установления соединения с клиентом. Эта настройка предназ начена для учетных записей, используемых маршрутизаторами Windows для маршрутизации с соединением по требованию.
Если Windows 2000 со службой маршрутизации и удаленного доступа вхо дит в домен Windows 4.0 или Windows 2000 смешанного то:
Х из всех свойств входящих звонков доступны лишь Remote Access Permission (Dial-in or VPN) и Callback Options;
Х для разрешения или запрета удаленного доступа и настройки параметров ответ ного вызова можно использовать User Manager for (Диспетчер пользо вателей для доменов).
Если является автономным или состоит в Windows 2000 основного режима, длина номера вызова не ограничена. Если сервер входит в до мен Windows NT 4.0 или Windows 2000 режима, длина номера ограни чена символами. Телефонные номера ответного вызова, длина которых превы 128 символов, набираются не полностью, и установить ие удается.
Когда сервер RAS под управлением Windows NT 4.0 параметры входящих звонков учетной записи из домена Windows 2000 основного режима.
ГЛАВА 8 Служба проверки подлинности в Интернете Control access through Remote Access как access. Параметры ответного вызова Сервер RAS под Windows не поддерживает ного доступа. обновить такие серверы до Windows 2000 Server, что позволит преимущества политик доступа.
Элементы политики удаленного доступа Политика Ч правило, включающее которые Условия политики доступа Ч один или атрибутов, емых с параметрами на соединение. При наличии нескольких условий все должны совпадать с параметрами запроса на а иначе откло Атрибуты, используемые как условия политике удаленного доступа, перечисле ны в 8-3.
Таблица 8-3. Атрибуты, используемые как условия в политике удаленного доступа Описание ера в Этот атрибут представ ляет собой строку серверу Для набора синтаксис с кой по шаблону.
Тип Примеры типов Ч (для и Login Telnet-соединении).
о типах сервисов RADIUS см. RFC 2138. Этот атрибут пред назначен для сервера IAS.
Тип разбиения на кадры входящих пакетов. Примеры Ч SLIP. Frame Relay и Х.25. Этот атрибут предназначен для вера IAS.
номер NAS. Этот атрибут собой Для задания кодов областей можно вать синтаксис с. подстановкой по Чтобы получать об вызываемой станции в про цессе телефонная и его драйвер должны поддерживать такого идентификатора. В ином случае ся вручную для каждого порта.
Телефонный номер Этот атрибут со бой строку символов. Для задания кодов областей можно ис пользовать синтаксис с подстановкой по шаблону.
Тип несущей среды, используемой звонящим. Ч ана логовые линии (также называемые ISDN и туннели (или День недели и время суток, когда принимается запрос на со единение.
IP-адрес Этот атрибут собой строку символов, серверу Для зада ния набора IP-сетей синтаксис с шаблону.
(см.
318 ЧАСТЬ 2 Удаленный Таблица 8-3. (продолжение) Описание доступа в сеть (NAS), аутентификацию. Сервер удаленного доступа 2000 обозначается как Microsoft RAS NAS, Этот атри бут настраивать политики для изго товителей серверов NAS, являющихся сервера IAS. Атрибут для сер Имя компьютера аутенти фикацию. Этот атрибут представляет собой строку символов, передаваемую серверу Для нескольких имен кли ентов использовать синтаксис с подстановкой по шаб лону.
Имена в которые входит ший запрос на удаленное который по зволял бы имя конкретного нет. Со здавать отдельную политику доступа для каждой группы не Вместо этого можно использовать вло группы. Для или сервера IAS, входящего в домен Windows 2000 основного режима, реко мендуется универсальные группы.
Тип создаваемого клиентом. Примеры типов тунне лей Ч и используемые клиентами удаленного дос тупа и с соединением по требованию. Этот атрибут позволяет указывать такие параметры профиля, как методы аутентификации и шифрования для типа технологии Примечание Если условия, которые атрибут, предназначенный для сер вера TAS, сравниваются с параметрами запроса на соединение и совпадение не об наруживается, соответствующая политика не применяется.
Учтите также, что не каждый сервер NAS поддерживает все атрибуты, предназна ченные для серверов IAS.
Для атрибута Windows-Groups использовать встроенные локальные группы на автономном сервере удаленного доступа под Windows 2000.
Permission (Разрешение на доступ) Если все условия политики доступа клиенту либо пре доставляется, либо не предоставляется разрешение на удаленный доступ. Это за висит от того, какой переключатель в свойствах выбран Ч Grant remote access permission (Предоставить право удаленного иди Deny remote access permission (Отказать в праве удаленного доступа).
Разрешение на удаленный доступ, в учетной записи пользователя, имеет преимущество разрешением на доступ, указанным в политике уда ленного Если же в учетной разрешение на удаленный доступ ука зано как Control access through Remote Access Policy (Управление па основе по литики удаленного доступа), результат определяется политикой доступа.
ГЛАВА 8 Служба проверки подлинности в Интернете Проверка в учетной записи или политике доступа Ч лишь первый шаг в принятия запроса на проверяются параметры в свойствах учетной записи и профиля по литики. Если параметры на соединение не соответствуют параметрам в свойствах учетной записи пользователя или профиля, на откло няется.
По умолчанию разрешение на удаленный в политике устанавливается как Deny remote access permission.
Профиль политики удаленного это набор параметров, применяемых к после Профиль состоит из щих параметров (эти группы представлены одноименными вкладками в окне профиля);
Х Dial-in constraints по звонкам);
Х IP (IP);
Х (Многоканальное подключение);
Х Authentication (Проверка подлинности);
Х Encryption Х Advanced (Дополнительно).
Dial-in Вы можете следующие ограничения на входящие звонки.
Х Разъединение при простое. Время простоя, по которого связь раз рывается. По умолчанию это свойство не установлено, и сервер удаленного дос тупа не простаивающее Х Максимальная продолжительность сеанса. Если длительность сеанса превы шает это сервер удаленного доступа разрывает связь. По умолчанию эти не установлено, и сервер удаленного доступа не ограничивает продол сеанса.
Х Прием входящих подключений только в определенные дни и время. Дни не дели и часы каждого дня, в которые соединение. Если момент по пытки подключения не заданным ограничениям, на соеди нение отклоняется. По умолчанию это свойство не установлено, и сервер уда ленного не ограничивает дни недели и часы каждого дня, в которые решается соединение. Сервер не разрывает активные нения, если наступает момент, начиная с которого разрешается подключения.
Х Вход только по определенному номеру. Телефонный номер, по которому дол жен звонить клиент доступа. Если клиент пытается установить единение с использованием другого номера, запрос на подключение отклоняет ся. По умолчанию это свойство не установлено, и сервер удаленного доступа разрешает подключения по всем доступным для входя вызовов.
320 ЧАСТЬ 2 Удаленный доступ Х Входящие звонки только определенных типов. Конкретный тип несущей сре ды, например аналоговая телефонная линия, или который должен использовать вызывающий клиент, чтобы его запрос на соединение принят.
Если клиент пытается соединение с использованием другой несущей среды, на отклоняется. По умолчанию это свойство не ус и сервер удаленного доступа разрешает входящие вызовы по любой несущей среде.
Параметры на вкладке IP позволяют может ли клиент запрашивать кон IP-адрес, По умолчанию сервер удаленного доступа сам назначает IP-ад рес, и клиенту не разрешается конкретный IP-адрес.
Эту вкладку можно использовать и для настройки фильтров в профиле политики удаленного доступа. Фильтры в профиле ограничивают IP-трафик, редаваемый клиенту и/или принимаемый от клиента, методом исключения: либо либо запрещается любой трафик, кроме Фильтры в про филе политики удаленного доступа применяются ко всем соединениям, соответ ствующим данной политике.
Вкладка позволяет использовать много канальные подключения и максимальное число портов, которые может задействовать какое-либо подключение. Кроме того, Вы можете настроить политики ВАР, этого протокола и при которых отключаются Параметры ных и ВАР специфичны для средств удаленного доступа в Win dows 2000. По умолчанию подключения не разрешены, а протокол ВАР отключен.
Чтобы заданные в профиле параметры подключений вступили в силу, на удаленного доступа нужно многоканальные подключе ния и включить протокол ВАР.
Authentication Вкладка Authentication (Проверка подлинности) позволяет задать типы аутенти фикации, которые разрешается использовать для соединений, а выбрать и настроить определенный тип ЕАР. По умолчанию установлены флажки Microsoft Encrypted Authentication (MS-CHAP) проверка подлинности Microsoft и Microsoft Encrypted version 2 (MS-CHAP v2) [Шифрованная проверка (Microsoft, версия 2, MS-CHAP Чтобы заданные в профиле параметры вступили в силу, на серве удаленного доступа должны быть разрешены соответствующие методы ки подлинности.
Encryption Параметры на этой вкладке позволяют включать следующие уровни шифрования.
Х No Encryption (Без шифрования). Шифрование не используется. Чтобы потре бовать шифрования, выберите любой другой уровень шифрования.
ГЛАВА 8 Служба проверки в Интернете Х Basic Для по коммутируемым линиям и применяется по с 40-битным а для VPN-соединений основе поверх шифрование по алгоритму DES с 40-битным ключом.
Х Strong (Стойкое). Для соединений по коммутируемым линиям и через (на основе РРТР) шифрование по методу МРРЕ с 56-битным ключом, а для на L2TP поверх IPSec Ч шифрование по алго ритму DES с 56-битным Х Strongest*. Для соединений по коммутируемым линиям и (на РРТР) применяется шифрование по методу МРРЕ со 128-битным ключом, а для VPN-соединений на основе поверх IPSec Ч по му 3DES со 128-битным ключом.
Дополнительные параметры для задания атрибутов пере даваемых IAS клиенту RADIUS. Атрибуты для аутентификации RADIUS и игнорируются сервером удаленного доступа. По умолчанию атрибут установлен как РРР, а как Framed.
удаленного доступа лишь атрибуты Fra med-Protocol, Reply-Message и Service-Type.
Политика по умолчанию Политика удаленного доступа по умолчанию Allow access if dial-in permission is enabled (Разрешить доступ, если разрешены подключения) при включении службы маршрутизации и удаленного доступа. Она имеет конфигурацию:
Х условие не дни недели и время Х переключатель Deny remote access permission (Отказать в праве уда ленного доступа);
Х всем параметрам профиля присвоены по умолчанию.
Примечание политики доступа соответствуют атрибутам RADIUS, при через RADIUS. В случае IAS что серверы доступа в сеть передают такие атрибуты RADIUS, которые соответствуют условиям, в политике удаленного и па раметрах профиля. Иначе через RADIUS Профили вендоров Чтобы предоставить поддерживаемую стандартными атри бутами, некоторые поставщики используют особые атрибуты вендоров (vendor specific attributes, IAS создавать и изменять благодаря чему Вам доступны тех или иных серверов NAS.
* Этот уровень шифрования поддерживается только установки Encryption под действие экспортных ограничений США. Ч Прим.
322 ЧАСТЬ 2 Удаленный доступ Если для какого-то профиля требуется настроить более одного VSA, эти атрибуты нужно образом упорядочить. Для упорядочения атрибутов зуются кнопки со стрелками.
Пример Следующий пример демонстрирует процедуру добавления Cisco VSA в профиль.
просто механизм добавления отвечающего стандарту (RFC). Особые атрибуты Cisco уже доступны в Особые атрибуты вендора Cisco требованиям RFC, предъ являемым к особым атрибутам (тип 26). Далее как настроить атрибут Cisco для основного Х Vendor (Идентификатор вендора): 9. Это уникальный идентификатор для Cisco. Данное значение автоматически, когда Вы выбираете Cisco в качестве вендора.
Х Type (Тип вендора): 1. Это номер для особых атрибутов вендора, которые имеют формат (обозначаемый в докумен тации Cisco как Х Data Type (Тип данных): String Х Format (Формат): если атрибут является обязательным, то формат выглядит как Если атрибут он отделяется от значения не знаком равенства, а звездочкой. В этом примере - значение Cisco-атрибута для конкретного типа авторизации. Атрибут и представляют соответству ющую пару латрибут-значение в спецификации Cisco TACACS+.
Это позволяет использовать и для RADIUS полный возможностей, доступ ных при через Атрибут Cisco для задания DNS-сервера выглядит так:
Чтобы добавить особый атрибут вендора в профиль входящих звонков:
1. В окне Remote Access Policies (Политика удаленного доступа), 2. Щелкните правой кнопкой мыши имя политики, в которой Вы хотите настро ить особый атрибут вендора, и выберите команду Properties (Свойства).
3. Щелкните кнопку Edit profile (Изменить профиль), откройте вкладку Advanced (Дополнительно) и щелкните кнопку Add (Добавить).
4. В списке атрибутов RADIUS дважды щелкните Vendor-Specific (Vendor-Specific).
5. Щелкните Add (Добавить).
6. В списке раздела Network access server vendor (Вендор сервера удаленного до ступа) выберите Cisco.
7. Щелкните переключатель Yes, it conforms (Да, соответствует) и нажмите кноп ку Configure Attribute (Настройка атрибута). В поле Vendor-assigned attribute number (Назначенный вендором номер атрибута) введите 1.
8. В поле Attribute format (Формат атрибута) String (Строковый).
9. Б поле Attribute value атрибута) введите:
ГЛАВА 8 Служба проверки подлинности в Интернете Пример пример иллюстрирует, как добавить в профиль особый атрибут вендо ра Примечание Пример 2 просто демонстрирует, как добавить профиль ответствующий стандарту (RFC). Особые атрибуты Robotics уже в вендоров.
Особые атрибуты U.S. Robotics не соответствуют рекомендованному фор мату (тип 26), описанному в RFC 2138, Таким образом, все особые атрибуты U.S. Robotics следует вводить в шестнадцатеричной форме.
Далее поясняется, как настроить атрибут U.S. Robotics для сервера.
Х Vendor ID: 429. Это уникальный идентификатор для U.S. Данное чение устанавливается автоматически, когда Вы выбираете U.S. Robotics в ка честве вендора.
Х Indicator: Ox900F.
Х Data Type: String.
Х Format:
Чтобы указать IP-адрес для основного 1. В IAS выберите Remote Access Policies (Политика удаленного доступа).
2. Щелкните правой кнопкой мыши имя политики, в которой Вы хотите настро ить особый атрибут вендора, и выберите команду Properties (Свойства).
3. Щелкните кнопку profile (Изменить профиль), вкладку Advanced (Дополнительно) и щелкните кнопку Add (Добавить).
4. В атрибутов RADIUS дважды щелкните (Vendor Specific) и кнопку Add (Добавить).
5. В Network access server vendor (Вендор сервера удаленного доступа) щелкните переключатель Select from the list (Выбор из списка) и выберите US Robotics, Inc.
переключатель No, it doest not conform (Нет, не соответствует) и нажмите кнопку Configure Attribute (Настройка атрибута).
7. В поле Hexadecimal attribute value значение атрибута) Подробнее о нестандартных атрибутах U.S. см. на Ваше оборудование U.S. Robotics.
Принятие запроса на соединение Когда пользователь пытается установить его запрос принимается или отклоняется по алгоритму.
1, первая в списке политик доступа. Если литик удаленного доступа нет, на соединение 324 ЧАСТЬ 2 доступ 2. Если не параметры на политике доступа, следующая политика. Если политик удаленно го больше нет, запрос на отклоняется.
3. Если все на соответствуют политике удаленного доступа, для Х Если установлено как Deny access (Запретить доступ), запрос на соединение отклоняется.
Х Если разрешение установлено как access (Разрешить доступ), приме няются учетной пользователя и в профиле.
Х Если параметры запроса на соединение соответствуют параметрам учет ной записи и на отклоняется.
Х Если параметры на соответствуют параметрам учетной записи и профиля, запрос на соединение принимается, Х Если Allow access или Deny access не задано, разрешение должно быть ука как Control access through Remote Access Policy (Управление на осно ве политики удаленного доступа). Тогда проверяется разрешение на удален ный доступ о политике доступа.
Х Если в разрешение установлено как Deny remote access permission (Отказать в праве удаленного доступа), запрос на соединение отклоняется.
Х в политике установлено как Grant remote access permission право удаленного доступа), параметры учетной записи и профиля.
Х Если параметры запроса на соединение не соответствуют параметрам учет ной записи пользователя и запрос на соединение от клоняется.
Х Если запроса на соответствуют параметрам учетной записи пользователя и профиля, запрос на соединение принимается.
Административные модели политик доступа Windows 2000 три основных модели управления разрешениями на удаленный доступ и Х на уровне пользователей;
Х доступ на политик в домене Windows 2000 основного режима;
Х доступ на политик в Windows 2000 смешанного режима.
Доступ на уровне пользователей В этой модели разрешения на удаленный определяются разрешением, за данным на окна свойств учетной записи пользо вателя. доступ разрешается или запрещается для каждого пользователя индивидуально Allow access (Разрешить доступ) или Deny access (Запретить доступ).
Если в свойствах учетной пользователя разрешение на удаленный доступ установлено как Allow access access, оно переопределяет эквивалентное ГЛАВА 8 Служба проверки подлинности в Интернете разрешение, политике доступа. Но условиями политики удаленного доступа и настройками профиля.
доступом на уровне можно управлять помощью скольких удаленного доступа. Каждая политика имеет свои параметры профиля. Вы должны крайне настраивать параметры, так как зап рос на соединение может даже еслтт в записи пользователя на удаленный задано как Allow access. Если рос на соединение соответствует условиям политики, но отвечает параметрам профиля (или вообще не соответствует ни одной из политик он отклоняется.
При применении модели доступа на уровне пользователей три ситуации.
Х Явное разрешение. Разрешение на доступ в свойствах за писи пользователя как access, и на со единение условиям политики, параметрам профиля и входящих звонков в свойствах учетной записи пользователя.
Х Явный запрет. на удаленный в учетной записи пользователя установлено как Deny access.
Х Неявный запрет. Параметры запроса на соединение соответствуют условиям ни одной политики удаленного В Windows 2000 административная модель на пользователей удаленным на Windows Вы можете применять модель доступа па уровне пользователей на автономных серверах, серверах в домене Windows 2000 либо ного режима или на серверах домене Windows NT 4.0. Кроме того, модель при менима на серверах RAS или IAS под Windows NT 4.0, Доступ основе в домене Windows основного режима В этой модели на доступ в свойствах каждой ской учетной записи указывается как Control through Remote Access Policy (Управление на основе политики удаленного доступа), реальные ния на удаленный доступ определяются параметрами При административной модели доступа на тик в Windows 2000 основного режима возможны три ситуации.
Х Явное разрешение. Разрешение на удаленный доступ политике доступа установлено как Grant remote access permission (Предоставить доступа), и параметры запроса на соединение соответствуют виям политики, параметрам профиля и параметрам входящих в ствах учетной записи Х Явный на удаленный доступ в политике досту па установлено как Deny access permission (Отказать в праве Х Неявный запрет. Параметры запроса на соединение соответствуют одной политики ЧАСТЬ 2 Удаленный доступ Если при использовании административной модели Вы не добавляете свои политики удаленного доступа и не политику удаленного доступа по умолчанию Allow access if dial-in permission is enabled (Разрешить доступ, если разрешены подключения), удаленный доступ запрещается всем пользо вателям. на удаленный доступ в политике по умолчанию как Deny remote access permission (Отказать в праве удаленного досту па). Если Вы смените этот вариант на Grant remote access permission (Предос тавить право удаленного доступа), удаленный доступ будет разрешен всем пользователям, Административная модель доступа на основе политик в домене Windows режима применима и на сервере доступа, не вхо дящем в домен.
Однако эта модель не годится при наличии сервера IAS или RAS под Windows 4.O.
Если Вы применяете модель доступа на основе политик в до мене 2000 основного режима и используете для определения круга лиц, имеющих право удаленного доступа, убедитесь, что учетная запись Guest (Гость) отключена и что в ее свойствах выбран переключатель Deny access (Зап ретить Доступ на основе политик в домене Windows смешанного режима В этой модели во всех пользователей разрешение на удаленный доступ указывается как Allow access доступ), политика удаленного доступа по умолчанию удаляется и политики, определяющие решенные типы подключений. На сервере удаленного доступа Windows 2000, вхо в домен Windows 2000 смешанного режима, флажок Control access Remote Access Policy (Управление на политики удаленного в окне пользовательской учетной записи отсутствует. Если параметры запроса на соединение соответствуют условиям параметрам профиля и входящих звонков в свойствах пользовательской учетной записи, то он принимается.
Эта модель применима и для сервера удаленного доступа Windows 2000, входяще го в домен Windows NT 4.0.
При использовании административной модели доступа на основе политик в доме не Windows 2000 смешанного режима три ситуации.
Х Явное разрешение. Параметры запроса на соединение соответствуют условиям политики, параметрам профиля и параметрам входящих в свойствах учетной записи данного пользователя.
Х Явный запрет. Параметры запроса на соответствуют условиям по литики, но не свойствам профиля. Явный в этой административной мо дели реализуется Restrict Dial-in to this number (Раз решить вход только по номеру) на вкладке ограничений на входящие звонки и вводом телефонного номера, заведомо не используемому сервером удаленного доступа.
Х Неявный запрет. Параметры на не соответствуют условиям ни одной политики ГЛАВА 8 Служба проверки подлинности в Интернете Если Вы не удалите политику доступа по умолчанию Allow access if dial-in permission is enabled (Разрешить доступ, если разрешены пользователи получат право удаленного доступа.
При наличии Windows NT 4.0 со службой маршрутизации и удаленного доступа административную модель доступа па политик в домене dows 2000 смешанного режима можно использовать, только если эти серверы скон фигурированы как US-клиенты под Windows 2000.
Pages: | 1 | ... | 3 | 4 | 5 | 6 | 7 | ... | 11 | Книги, научные публикации