Инфраструктура служб проверки подлинности, авторизации и учета
Инфраструктура служб проверки подлинности, авторизации и учета необходима для того, чтобы::
- Проверять подлинность учетных данных вызывающих маршрутизаторов.
- Производить авторизацию VPN-подключений.
- Производить регистрацию и учет VPN-подключений.
В состав инфраструктуры служб проверки подлинности, авторизации и учета входят:
- Компьютер отвечающего маршрутизатора.
- Компьютеры RADIUS-серверов.
- Контроллеры домена.
Как обсуждалось выше, отвечающий маршрутизатор Windows 2000 может использовать Windows или RADIUS в качестве поставщиков служб проверки подлинности и учета. Если у Вас имеется несколько отвечающих маршрутизаторов и VPN-серверов удаленного доступа, или если для удаленного доступа и организации VPN используется среда со смешанным оборудованием, RADIUS позволяет организовать централизованную службу проверки подлинности, авторизации и учета.
Если в качестве поставщика служб проверки подлинности используется Windows, отвечающий маршрутизатор выполняет проверку подлинности VPN-подключения, взаимодействуя с контроллером домена по защищенному каналу удаленного вызова процедур (RPC). Авторизация попытки подключения в этом случае производится на основании свойств удаленного доступа учетной записи пользователя и локально настроенной политики удаленного доступа.
Если в качестве поставщика служб проверки подлинности используется RADIUS, отвечающий маршрутизатор выполняет проверку подлинности и авторизацию на основании данных RADIUS-сервера. При попытке подключения к VPN-серверу учетные данные вызывающего маршрутизатора и другие параметры подключения передаются VPN-сервером указанному RADIUS-серверу в виде RADIUS-сообщения с запросом доступа. Если попытка подключения успешно прошла проверку подлинности и авторизацию, RADIUS-сервер посылает в ответ сообщение предоставления доступа. Если попытка подключения не прошла проверку подлинности или авторизацию, RADIUS-сервер посылает в ответ сообщение отказа в доступе.
Если в качестве поставщика служб проверки подлинности используется Windows, отвечающий маршрутизатор записывает информацию о VPN-подключениях в локальный журнал (по умолчанию %SystemRoot%\System32\Logfiles\Logfile.log). Чтобы изменить путь к файлу журнала, необходимо открыть оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), в папке Ведение журнала удаленного доступа (Remote Access Logging)выбрать объект Локальный файл (Local File), открыть его свойства и задать нужный путь на вкладке Локальный файл (Local File). По умолчанию протоколирование отключено для всех типов событий.
Если в качестве поставщика служб проверки подлинности используется RADIUS, отвечающий маршрутизатор посылает RADIUS-сообщения учета VPN-подключений RADIUS-серверу, который записывает данные учета.
Домен Windows может использоваться в качестве базы данных учетный записей пользователей, учетные данные и свойства которых проверяются RADIUS-сервером. В этом случае Microsoft рекомендует использовать службу проверки подлинности в Интернете (IAS). Служба проверки подлинности в Интернете является полнофункциональным RADIUS-сервером, который тесно интегрирован с операционной системой Windows 2000, службой каталогов Active Directory и службой маршрутизации и удаленного доступа.
Если IAS используется в качестве RADIUS-сервера:
- IAS выполняет проверку подлинности VPN-подключения, взаимодействуя с контроллером домена по защищенному каналу RPC, а также авторизует попытки подключения на основании свойств удаленного доступа учетной записи пользователя и политик удаленного доступа, настроенных на IAS-сервере.
- IAS записывает информацию учета VPN-подключений в локальный журнал (по умолчанию %SystemRoot%\System32\Logfiles\Logfile.log). Чтобы указать путь к файлу журнала, необходимо открыть оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), в папке Ведение журнала удаленного доступа (Remote Access Logging) выбрать объект Локальный файл (Local File), открыть его свойства и задать нужный путь на вкладке Локальный файл (Local File).