Инфраструктура служб проверки подлинности, авторизации и учета
Политики удаленного доступа
Политики удаленного доступа представляют собой набор правил, которые определяют, какие подключения будут разрешены или отклонены. Для разрешенных подключений политики также определяют ограничения. Для каждого правила существует одно или несколько условий, параметров профиля и настроек разрешений удаленного доступа. Попытки подключений проверяются на соответствие всем параметрам политик удаленного доступа. Попытка подключения должна удовлетворять всем условиям какой либо из политик, иначе она отклоняется.
Если попытка подключения удовлетворяет всем условиям политики удаленного доступа и ему предоставлено право удаленного доступа, то профиль политики удаленного доступа задает ряд дополнительных ограничений для подключения. Свойства входящих звонков учетной записи пользователя также задают ряд ограничений. Если применяются ограничения учетной записи пользователя, то они будут перекрывать ограничения политики удаленного доступа.
Политики удаленного доступа состоят из следующих элементов:
- Условия
- Разрешение на удаленный доступ
- Профиль
Условия
Условия политики удаленного доступа – это один или несколько атрибутов, сравниваемых с параметрами попытки подключения. Если заданы несколько условий, то для того, чтобы попытка подключения удовлетворяла данной политике, параметры попытки подключения должны соответствовать всем ее условиям. Для VPN-подключений обычно используются следующие атрибуты:
- NAS-Port-Type. Установив значение атрибута NAS-Port-Type в Virtual (VPN), Вы охватите все VPN-подключения.
- Tunnel-Type. Установив значение атрибута Tunnel-Type в Point-to-Point Tunneling Protocol (PPTP) или Layer Two Tunneling Protocol (L2TP), Вы сможете определять различные политики для PPTP- и L2TP-подключений.
- Windows-Groups. Добавив соответствующие группы пользователей для атрибута Windows-Groups, Вы можете разрешить или запретить доступ на основании принадлежности к определенной группе.
Разрешение на удаленный доступ
Если в свойствах учетной записи указан параметр Управление на основе политики удаленного доступа (Control access through Remote Access Policy), то Вы можете предоставить или запретить удаленный доступ для попыток подключения. В противном случае разрешения удаленного доступа будут определены свойствами учетной записи пользователя.
Профиль
Профиль политики удаленного доступа – это набор свойств, применяемых к подключению при его авторизации. Для VPN-подключений Вы можете использовать следующие параметры профиля:
- С помощью ограничений по входящим звонкам могут задаваться продолжительность соединения или время простоя, по истечении которого VPN-сервер производит разрыв соединения.
- Вкладку IP можно использовать для настройки фильтры IP-пакетов для определенных типов IP-трафика, который разрешен для VPN-подключений удаленного доступа. С помощью фильтров пакетов в профиле можно ограничить исходящий IP-трафик (к клиенту) или входящий трафик (от клиента) методом исключения: разрешить любой трафик, за исключением того, который определен фильтрами, или разрешить только тот трафик, который определен фильтрами. Фильтрация в профиле политики удаленного доступа применяется для всех подключений, которые соответствуют этой политике.
- С помощью параметров проверки подлинности задаются протоколы проверки подлинности, которые должен использовать VPN-клиент при передаче учетных данных, а также настройки используемого типа протокола EAP (например, EAP-TLS).
- Настройки шифрования могут определять, требуется ли шифрование и его уровни стойкости. Windows 2000 поддерживает следующие уровни шифрования Основное (Basic) (40-битное шифрование MPPE для PPTP-подключений и 56-битное шифрование DES (Data Encryption Standard) для L2TP-подключений), Стойкое (Strong) (56-битное шифрование MPPE для PPTP-подключений и 56-битное шифрование DES для L2TP-подключений), Самое стойкое (Strongest) (128-битное шифрование MPPE для PPTP-подключений и шифрование 3DES для L2TP-подключений). Последний тип шифрования может использоваться только в ОС Windows 2000 с установленным пакетом стойкого шифрования (High Encryption Pack) или пакетом обновления 2 (SP2) и выше.
Например, Вы можете создать группу в Windows 2000 под названием VPNUsers, в которую будут входить пользователи, использующие VPN-подключения удаленного доступа через Интернет. Затем создайте политику с двумя условиями: для атрибута NAS-Port-Type укажите значение – Virtual (VPN), а для атрибута Windows-Group – VPNUsers. Завершите настройку профиля политики, выбрав метод проверки подлинности и уровень стойкости шифрования.