Элементы политики удаленного доступа
Таблица 19.15. Условия политики удаленного доступа.
| Наименование атрибута | Описание |
|---|---|
| NAS-IP-Address | |
| Service-Type (Тип службы) | Тип требуемой службы. Этот атрибут разработан (предназначен) для сервера IAS |
| Framed-protocol (Протокол кадрирования) | Используемый тип кадрирования для входящих пакетов. Примеры – РРР, AppleTalk, SLIP, X.25. Этот атрибут предназначен для сервера IAS |
| Called-Station-ID (Идентификатор вызванной системы) | Номер телефона сервера сетевого доступа (NAS). Этот атрибут – символьная строка. Можно использовать шаблон, чтобы задать коды городов. Необходимо позаботиться об установке телефонного номера для портов |
| Calling-Station-ID (Идентификатор вызывающей системы) | Номер телефона, использованный вызывающей системой. Этот атрибут – символьная строка. Можно использовать шаблоны, чтобы задать коды городов |
| NAS-Port-Type (Тип порта NAS) | Тип носителей, используемых вызывающей стороной. Примеры – аналоговые телефонные линии (асинхронные линии), ISDN, туннели или виртуальные частные сети |
| Day-and-time-restrictions (Ограничения по дню и времени) | День недели и время попытки соединения с сервером |
| Client-IP-address (Клиентский IP-адрес) | IP-адрес сервера сетевого доступа (клиент RADIUS). Этот атрибут – символьная строка. Можно использовать синтаксис шаблонов, чтобы определить IP-сеть. Этот атрибут предназначен для сервера IAS |
| Client-Vendor (Изготовитель клиента) | Имя изготовителя (поставщика) сервера сетевого доступа (NAS). У сервера удаленного доступа Windows 2000 изготовителем является Microsoft RAS. Можно использовать этот атрибут, чтобы конфигурировать разные политики для различных NAS-поставщиков, которые являются клиентами RAIDUS (клиенты IAS). Этот атрибут предназначен для сервера IAS. Удостоверьтесь, что NAS настроен в качестве клиента RADIUS на сервере IAS |
| Client-friendly name (Имя клиента, дружественное название) | Название компьютера клиента RADIUS, который требует аутентификации. Этот атрибут– символьная строка. Можно использовать шаблон, чтобы задать имена клиентов. Этот атрибут предназначен для сервера IAS |
| Windows-Groups (Группы Windows) | Имена групп Windows, которым принадлежит пользователь, делающий попытку соединения. Нет никакого атрибута для отдельного имени пользователя. Не нужно иметь отдельную политику удаленного доступа для каждой группы. Используя вложенные группы можно перевести администрирование на уровень групп. Для сервера удаленного доступа или IAS при работе домена в основном (native) режиме Windows 2000 необходимо использовать универсальные (universal) группы |
Право удаленного доступа (Remote access permission)
Если все условия политики удаленного доступа выполнены, то право удаленного доступа или предоставляется, или отклоняется. Для политики нужно выбрать положение переключателя Предоставить право удаленного доступа (Grant remote access permission) или Запретить разрешение удаленного доступа (Deny remote access permission). Право удаленного доступа также предоставляется или отклоняется для каждой учетной записи пользователя.
Право удаленного доступа пользователю перекрывает право удаленного доступа политики. Если право удаленного доступа в учетной записи пользователя установлено в значение Управление на основе политики удаленного доступа (Control Access through Remote Access policy), удаленный доступ предоставляется согласно разрешению политики.
Предоставление доступа через настройку права учетной записи пользователя или настройку права политики – это только первый шаг в принятии соединения. Параметры попытки соединения сравниваются с параметрами учетной записи пользователя и профилем политики. Попытка соединения, не соответствующая свойствам учетной записи пользователя или профиля, отклоняется. По умолчанию для политики удаленного доступа установлено значение Отказать в праве удаленного доступа (Deny remote access permission).