Иллюстрированный самоучитель по Microsoft Windows 2003

Политики удаленного доступа

(Продолжение).

  • Право удаленного доступа (remote access permission). Условия, определяемые в рамках политики удаленного доступа, задают фильтры, по которым отбираются клиенты, устанавливающие соединение, с тем, чтобы в последующем принять решение о том, будет ли им предоставлено право удаленного доступа или нет. Администратор может предоставить клиентам, отвечающим определенным условиям, это право, установив в окне свойств политики удаленного доступа переключатель Grant remote access permission (Предоставить право удаленного доступа), или отказать в нем, установив переключатель Deny remote access permission (Запретить разрешение удаленного доступа). Право удаленного доступа может быть также предоставлено (или аннулировано) непосредственно на уровне учетной записи пользователя: Будучи определенно на обоих уровнях, право удаленного доступа, предоставленное на уровне учетной записи, перекрывает право, предоставленное в рамках политики удаленного доступа. Если право удаленного доступа на уровне учетной записи пользователя установлено в значение Control Access through Remote Access policy (Управление на основе политики удаленного доступа), удаленный доступ предоставляется в соответствии с параметрами политики. По умолчанию устанавливается значение Deny remote access permission (Отказать в праве удаленного доступа). Это означает, что по умолчанию политика удаленного доступа запрещает удаленный доступ для клиентов, отвечающих определенным условиям.
  • Профиль (profile). После того как клиенту предоставлено право удаленного подключения к сети, необходимым этапом становится определение конфигурации этого подключения. Политика удаленного доступа регулирует этот этап посредством механизма профилей политики удаленного доступа. Профиль (рис. 14.4) представляет собой набор параметров, описывающих конфигурацию сетевого соединения. Эти параметры объединяются в шесть групп:
    • параметры, ограничивающие входящие звонки (вкладка Dial-in Constraints). Эта группа параметров позволяет администратору управлять такими свойствами сетевого подключения, как время простоя соединения, после которого соединение разрывается, дни и время, когда разрешено устанавливать соединение и т. п. Перечень параметров этой группы приведен в табл. 14.4;
    • параметры, определяющие способ назначения клиенту IP-адреса (вкладка IP). По умолчанию сервер удаленного доступа автоматически распределяет IP-адреса, и клиентам не разрешено запрашивать конкретные IP-адреса. Эта же группа параметров позволяет администратору настроить фильтрацию IP-трафика в соответствии с требуемым уровнем безопасности. Администратор может запретить прохождение определенного типа трафика между клиентом удаленного доступа и сервером удаленного доступа (либо напротив, ограничить весь трафик пакетами определенного типа – например, разрешить только НТТР-трафик);
    • параметры, регламентирующие функциональные возможности многоканального подключения (вкладка Multilink). Эта группа параметров используется для разрешения многоканального подключения, для определения максимального числа портов, которые могут быть использованы входящими соединениями, а также для настройки протокола ВАР (Bandwidth Allocation Protocol), включая формирование политики, определяющей его использование. По умолчанию использование многоканального подключения и протокола ВАР запрещено. Для применения этих параметров сервер удаленного доступа должен иметь возможность установления многоканального соединения и установленный протокол ВАР;
    • параметры, регламентирующие процесс проверки подлинности пользователей (вкладка Authentication). Данная группа параметров используется для задания протоколов аутентификации, разрешенных для конфигурируемого соединения. В случае если разрешается использование расширяемого протокола аутентификации ЕАР, администратор может также определить тип используемого расширения ЕАР. По умолчанию разрешаются только протоколы аутентификации MS-CHAP и MS-CHAP v2. Следует обратить внимание на то, что в рамках профиля определяются протоколы аутентификации, которые разрешены для использования клиентами. Чтобы механизмы аутентификации успешно работали, необходимо, чтобы аналогичные протоколы были разрешены также и на уровне сервера удаленного доступа;
    • параметры, определяющие уровень защищенности передаваемых данных (вкладка Encryption). Эта группа параметров позволяет активизировать механизмы шифрования данных, передаваемых в рамках конфигурируемого соединения. Администратор может определить механизмы шифрования, которые будут при этом использоваться, и уровень стойкости используемых алгоритмов (определяется длиной используемого для шифрования ключа). По умолчанию разрешено шифрование МРРЕ;
    • дополнительные параметры (вкладка Advanced). Эта группа параметров позволяет настроить дополнительные свойства для определения ряда атрибутов RADIUS, которые сервер IAS возвращает клиенту RADIUS. По умолчанию протоколом удаленного доступа (Framed-Protocol) является РРР и для параметра Service-Type установлено значение Framed. Единственные атрибуты, используемые сервером удаленного доступа, – Account-interim-interval, Framed-Protocol, Framed-MTU, Reply-Message и Service-Type.

Таблица 14.4. Параметры, ограничивающие входящие звонки.

Параметр Описание
Idle-Timeout (Разъединение при простое более…) Временной интервал, по истечении которого соединение будет прервано, если нет никаких действий. По умолчанию этот параметр не установлен, и сервер удаленного доступа не разрывает неактивное соединение
S ession-Timeout (Максимальная продолжительность сеанса) Максимальное время до разрыва соединения сервером удаленного доступа. По умолчанию это свойство не установлено, а сервер удаленного доступа не ограничивает время сеанса связи
Allow access only… (Разрешить входящие подключения только в эти дни и время) Дни недели и часы для каждого дня, во время которых соединение разрешено. Если день и время попытки соединения не соответствуют настройкам, попытка соединения отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа не анализирует данные параметры
Called-Station-ID (Разрешить вход только по номеру) Заданный номер телефона, который вызывающая сторона должна набрать, чтобы установить соединение. Если номер соединения не соответствует заданному, попытка соединения отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа позволяет устанавливать соединение с любого телефонного номера
NAS-Port-Type (Разрешить входящие звонки следующих типов) Типы устройств, например модем, ISDN или VPN, который вызывающая сторона должна использовать для соединения. На практике администратор может, например, разрешить удаленные подключения только по беспроводной (802.11) среде передачи. Если попытка соединения по коммутируемой среде не соответствует настройке, она отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа разрешает все типы устройств передачи данных
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.