Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Развертывание инфраструктуры служб проверки подлинности, авторизации и учета

Развертывание инфраструктуры служб проверки подлинности, авторизации и учета состоит из следующих этапов:

  • Настройка учетных записей пользователей и групп Active Directory.
  • Настройка основного IAS-сервера на контроллере домена.
  • Настройка резервного IAS-сервера на дополнительном контроллере домена.

Настройка учетных записей пользователей и групп Active Directory

Для настройки учетных записей пользователей и групп Active Directory сделайте следующее:

  1. Убедитесь, что все пользователи, которым необходимо создавать подключения удаленного доступа, имеют соответствующие учетные записи. Это касается сотрудников, подрядчиков, поставщиков и деловых партнеров.
  2. Для управления удаленным доступом на уровне пользователей установите разрешение на удаленный доступ в свойствах учетной записи пользователя в Разрешить доступ (Allow access) или Запретить доступ (Deny access). Для управления удаленным доступом на уровне групп установите разрешение на удаленный доступ в свойствах учетной записи пользователя в Управление на основе политики удаленного доступа (Control access through Remote Access Policy).
  3. Чтобы воспользоваться преимуществами политик удаленного доступа на основе групп, упорядочьте учетные записи пользователей удаленного доступа, поместив их в соответствующую универсальную группу. Для получения дополнительной информации об универсальных, глобальных и локальных группах домена обратитесь к разделу Область действия группы справки Windows 2000 Server.

Настройка основного IAS-сервера на контроллере домена

Для настройки основного IAS-сервера на контроллере домена сделайте следующее:

  1. Установите службу проверки подлинности в Интернете (IAS) на контроллере домена в качестве дополнительного сетевого компонента ОС. Для получения дополнительной информации обратитесь к разделу Установка IAS (Install IAS) справки Windows 2000 Server.
  2. Настройте компьютер IAS-сервера (контроллер домена) для просмотра свойств учетных записей пользователей домена. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows 2000 Server.
  3. Если IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в других доменах, убедитесь, что между этими доменами и доменом IAS-сервера установлены двусторонние отношения доверия. Затем настройте компьютер IAS-сервера для просмотра свойств учетных записей в других доменах. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows 2000 Server. Для получения дополнительной информации о доверительных отношениях обратитесь к разделу Доверительные отношения доменов (Understanding domain trusts) справки Windows 2000 Server. В том случае, если IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в доменах, не имеющих двусторонних отношений доверия с доменом, в который входит компьютер IAS-сервера, Вы должны настроить RADIUS-прокси между доменами, не имеющими доверительных отношений.
  4. Включите ведение журнала событий учета и проверки подлинности. Для получения дополнительной информации обратитесь к разделу Настройка свойств ведения журнала (Configure log file properties) справки Windows 2000 Server.
  5. Добавьте VPN-серверы в качестве клиентов RADIUS IAS-сервера. Для получения дополнительной информации обратитесь к разделу Регистрация клиентов RADIUS (Add RADIUS clients) справки Windows 2000 Server. Для IP-адреса каждого VPN-сервера используйте внутренний IP-адрес, назначенный VPN-серверу. Если Вы используете имена, укажите внутреннее имя VPN-сервера (это не является обязательным, если такое же DNS-имя используется клиентами сети Интернет). Используйте стойкие общие секреты (пароли).
  6. Создайте политики удаленного доступа, отображающие Ваши сценарии использования удаленного доступа. Например, чтобы настроить политику удаленного доступа, требующую VPN-подключений на основе протокола L2TP для членов группы Employees с использованием протокола EAP-TLS и 128-битное шифрование для проверки подлинности, создайте политику удаленного доступа со следующими параметрами:
    • Имя политики: VPN-подключения

    Условия:

    • Для атрибута NAS-Port-Type выбрано значение Virtual (VPN)
    • Для атрибута Tunnel-Type выбрано значение Point-to-Point Tunneling Protocol
    • Для атрибута Windows-Groups добавлена группа Employees (в соответствии с рассматриваемым примером)
    • Разрешение на удаленный доступ: Предоставить право удаленного доступа

    Настройки профиля, вкладка Проверка подлинности (Authentication)

    • Установите флажок Протокол расширенной проверки подлинности (EAP) (Extensible Authentication Protocol), установите параметр Выберите приемлемый тип протокола для этой политики (EAP type) в значение Смарт-карта или иной сертификат (Smart Card or other Certificate) и снимите все другие флажки.

    Настройки профиля, вкладка Шифрование (Encryption):

    • Установите флажок Самое стойкое (Strongest) и затем снимите все другие флажки.
  7. Если Вы создали новые политики удаленного доступа, то или удалите политику удаленного доступа по умолчанию под названием Разрешить доступ, если разрешены входящие подключения (Allow access if dial-up permission is enabled) или переместите ее в конец списка политик, чтобы она применялась в последнюю очередь. Для получения дополнительной информации обратитесь к разделам Удаление политики удаленного доступа (Delete a remote access policy) и Изменение порядка применения политик (Change the policy evaluation order) справки Windows 2000 Server.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.