1. Обобщенная структура территориально распределенной корпоративной сети Типовые методы объединения отдельных сетей офисов в единую кспд
 Скачать 3.9 Mb.
|
|
Примечания Для попытки подключения применяются параметры учетной записи пользователя и профиля первой соответствующей политики удаленного доступа. Если попытка подключения не соответствует параметрам учетной записи пользователя или профиля политики удаленного доступа, другие политики удаленного доступа не проверяются. Попытка подключения может не соответствовать ни одной из политик удаленного доступа. В таком случае попытка подключения отклоняется вне зависимости от разрешения на удаленный доступ, заданного в учетной записи пользователя. Политики удаленного доступа проверяются в том порядке, в котором они перечислены в списке. Более конкретные политики удаленного доступа обычно помещаются выше более общих политик удаленного доступа. Атрибут Ignore-User-Dialin-Properties является новым средством в Windows Server 2003, Стандартный выпуск, Windows Server 2003, Enterprise Edition и Windows Server 2003, Datacenter Edition, позволяющим игнорировать все параметры входящих звонков в учетной записи пользователя. Дополнительные сведения см. в разделе Новые возможности IAS В Windows Server 2003 Стандартный выпуск службу IAS можно настроить не более чем с 50 клиентами RADIUS и двумя группами внешних RADIUS-серверов. Для определения RADIUS-клиентов можно использовать полные доменные имена или IP-адреса узлов, но определять группы RADIUS-клиентов, указывая диапазон IP- адресов, нельзя. Если полное доменное имя RADIUS-клиента разрешается в несколько IP-адресов, IAS-сервер использует первый IP-адрес, возвращаемый в ответе на запрос DNS. С помощью службы проверки подлинности в Интернете (IAS) в Windows Server 2003 Enterprise Edition и Windows Server 2003 Datacenter Edition можно настроить неограниченное число клиентов RADIUS и групп внешних RADIUS-серверов. Кроме того, для настройки RADIUS-клиентов можно указывать диапазоны IP-адресов. 107 86. Настройка Radius-сервера и клиента Remote Authentication Dial-In User Service (Сервис удаленной аутентификации dial-in пользователя) RADIUS основывается на режиме клиент / сервер, что позволяет использовать централизованную аутентификацию, авторизацию и учет для доступа к сети. • Клиент RADIUS может быть RADIUS прокси-сервером или сервером доступа, таким как удаленный сервер, сервер VPN, или беспроводная точка доступа. Клиент RADIUS получает запросы на авторизацию от удаленного клиента для доступа к сети и передает их на RADIUS-сервер для проверки. • RADIUS-сервер принимает и обрабатывает запросы на подключение или учет сообщений, которые посылают клиенты RADIUS или RADIUS прокси. На основе набора правил и информации в базе данных учетных записей пользователей сервер RADIUS либо производит проверку подлинности и авторизацию соединения и отправляет обратно сообщение «Доступ разрешен» или отправляет обратно сообщение «Доступ запрещен». • RADIUS прокси может быть настроен в инфраструктуре, которая имеет несколько серверов RADIUS, которые имеют функции авторизации запросов доступа. RADIUS прокси получает запрос на авторизацию от клиента RADIUS, определяет соответствующий сервер RADIUS и пересылает запрос на авторизацию на этот сервер RADIUS. При развертывании подключений удаленного доступа или виртуальной частной сети (virtual private network, VPN) с сервером политики сети, выступающим в качестве RADIUS-сервера, необходимо выполнить следующие действия: Установить и настроить серверы доступа к сети в качестве RADIUS-клиентов. Развернуть компоненты для методов проверки подлинности. Настроить сервер политики сети в качестве RADIUS-сервера. Установка и настройка серверов доступа к сети (RADIUS-клиентов) Чтобы развернуть удаленный доступ, необходимо установить и настроить службу маршрутизации и удаленного доступа в качестве сервера удаленного доступа. Чтобы развернуть доступ VPN, необходимо установить и настроить службу маршрутизации и удаленного доступа в качестве VPN-сервера. Important Важно! Клиентские компьютеры, такие как портативные компьютеры с беспроводным подключением и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Клиенты RADIUS представляют собой серверы сетевого доступа (такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1X, серверы виртуальных частных сетей (VPN), а также серверы удаленного доступа к сети), поскольку они используют протокол RADIUS для взаимодействия с RADIUS- серверами, такими как серверы политики сети. Службу маршрутизации и удаленного доступа можно установить как на локальном сервере политики сети, так и на удаленном компьютере. 108 Развертывание компонентов для методов проверки подлинности Для VPN можно использовать следующие методы проверки подлинности: Протокол EAP в сочетании с протоколом TLS, что носит название EAP-TLS. Протокол PEAP в сочетании с протоколом MS-CHAP v2, что носит название PEAP- MS-CHAP v2. Протокол PEAP в сочетании с протоколом TLS, что носит название PEAP-TLS. При использовании методов EAP-TLS и PEAP-TLS необходимо развернуть инфраструктуру публичного ключа путем установки и настройки служб сертификации Active Directory®, которые будут осуществлять выдачу сертификатов включенным в домен клиентским компьютерам и серверам политики сети. Эти сертификаты используются при выполнении проверки подлинности в качестве доказательства подлинности как клиентских компьютеров, так и серверов политики подлинности. При необходимости вместо использования сертификатов компьютера можно развернуть смарт- карты. В этом случае необходимо выдать сотрудникам организации смарт-карты и устройства считывания смарт-карт. При использовании метода PEAP-MS-CHAP v2 можно развернуть собственный центр сертификации со службами сертификации Active Directory для выдачи сертификатов серверам политики сети или приобрести сертификаты сервера у публичного доверенного корневого центра сертификации, обладающего доверием клиентов, такого как VeriSign. Настройка сервера политики сети в качестве RADIUS-сервера. При настройке сервера политики сети в качестве RADIUS-сервера необходимо настроить RADIUS-клиентов, политику сети и RADIUS-учет. Настройка RADIUS-клиентов Настройка RADIUS-клиентов выполняется в два этапа: Настройка физического RADIUS-клиента, такого как сервер виртуальной частной сети или удаленного доступа, путем указания сведений, которые позволят серверу доступа к сети взаимодействовать с серверами политики сети. К таким сведениям относится настройка IP-адреса сервера политики сети и общего секрета в интерфейсе пользователя сервера виртуальной частной сети или удаленного доступа. Добавление нового RADIUS-клиента на сервере политики сети. На сервере политики сети следует добавить в качестве RADIUS-клиента каждый сервер виртуальной частной сети или удаленного доступа. На сервере политики сети можно указать понятное имя для каждого RADIUS-клиента, а также IP-адрес этого RADIUS-клиента и общий секрет. Настройка политик сети Политики сети представляют собой наборы условий, ограничений и параметров, которые позволяют назначить пользователей, имеющих полномочия на подключение к сети, а также обстоятельства, при которых им разрешено или запрещено подключаться. Настройка RADIUS-учета RADIUS-учет позволяет регистрировать запросы проверки подлинности пользователей и учета в локальном файле журнала или в базе данных сервера Microsoft® SQL Server® на локальном или удаленном компьютере. |