Инфраструктура служб проверки подлинности, авторизации и учета
Политики удаленного доступа
Политики удаленного доступа представляют собой упорядоченный набор правил, определяющих, каким образом принимаются или отклоняются подключения. Политики удаленного доступа также задают ограничения для принятых подключений. Для каждого правила существует одно или несколько условий, параметры профиля и параметр разрешения удаленного доступа. Попытки подключений поочередно оцениваются политиками удаленного доступа; при этом проверяется, удовлетворяет ли попытка подключения всем условиям каждой политики. Попытка подключения должна удовлетворять всем условиям какой либо из политик, иначе она отклоняется.
Если подключение удовлетворяет всем условиям политики удаленного доступа и ему предоставлено право удаленного доступа, профиль политики задает для подключения ряд дополнительных ограничений. Свойства удаленного доступа учетной записи пользователя также задают ряд ограничений. Если применяются ограничения учетной записи пользователя, они будут перекрывать ограничения политики удаленного доступа.
Элементы политики удаленного доступа:
- Условия
- Разрешение на удаленный доступ
- Профиль
Условия
Условия политики удаленного доступа – это один или несколько атрибутов, которые сравниваются с параметрами попытки подключения. Если заданы несколько условий, то для того, чтобы попытка подключения удовлетворяла данной политике, параметры попытки подключения должны удовлетворять всем условиям данной политики. Для VPN-подключений обычно используются следующие атрибуты:
- NAS-Port-Type. Установив значение атрибута NAS-Port-Type в Virtual (VPN), Вы охватите все VPN-подключения.
- Tunnel-Type. Установив значение атрибута Tunnel-Type в Point-to-Point Tunneling Protocol (PPTP) или Layer Two Tunneling Protocol (L2TP), Вы сможете определять отдельные политики для PPTP- и L2TP-подключений
- Windows-Groups. Добавив подходящие группы пользователей для атрибута Windows-Groups, Вы сможете задавать параметры подключений на основе членства в группах.
Разрешение на удаленный доступ
Если в свойствах входящих звонков учетной записи пользователя выбрано значение Управление на основе политики удаленного доступа (Controlaccess through Remote Access Policy), Вы можете использовать разрешение на удаленный доступ, которое определяет, предоставлять или не предоставлять удаленный доступ клиенту при попытке подключения. В противном случае разрешение на удаленный доступ определяется свойствами учетной записи пользователя.
Профиль
Профиль политики удаленного доступа – это набор параметров, применяемых к подключению после его авторизации. Для VPN-подключений Вы можете использовать следующие параметры:
- С помощью ограничений по входящим звонкам могут задаваться продолжительность соединения или время простоя, по истечении которого отвечающий маршрутизатор разрывает соединение.
- С помощью параметров проверки подлинности задаются протоколы проверки подлинности, которые может использовать вызывающий маршрутизатор при передаче учетных данных, а также настройка типа EAP (например, EAP-TLS).
- Параметры шифрования определяют необходимость использования шифрования и его уровень стойкости. Windows 2000 поддерживает следующие уровни шифрования:
-
Основное (Basic)
Шифрование по методу MPPE с 40-битным ключом для PPTP-подключений и 56-битное шифрование DES (Data Encryption Standard) для L2TP-подключений. - Стойкое (Strong)
Шифрование по методу MPPE с 56-битным ключом для PPTP-подключений и 56-битное шифрование DES для L2TP-подключений. - Самое стойкое (Strongest)
Шифрование по методу MPPE с 128-битным ключом для PPTP-подключений и шифрование по методу Triple DES (3DES) для L2TP-подключений. Этот уровень шифрования может использоваться только с установленным пакетом обновлений Service Pack 2 (или выше) или пакетом стойкого шифрования (High Encryption Pack) для Windows 2000.
-
Основное (Basic)
В качестве примера можно рассмотреть следующий вариант. Вы создаете группу пользователей Windows 2000 под названием VPNRouters, содержащую учетные записи пользователей для всех вызывающих маршрутизаторов. Затем Вы создаете политику с двумя условиями: атрибут NAS-Port-Type имеет значение Virtual (VPN), атрибут Windows-Group содержит группу VPNRouters. В завершение Вы настраиваете профиль политики, в котором задаете определенный метод проверки подлинности и уровень стойкости шифрования.
Примечание
Фильтры IP-пакетов, определенные на вкладке IP свойств профиля политики удаленного доступа, применяются только к VPN-подключениям удаленного доступа. Фильтры IP-пакетов не применяются к подключениям вызова по требованию.