Инфраструктура служб проверки подлинности, авторизации и учета
Доменные учетные записи и группы Windows
Домены Windows NT 4.0, домены смешанного режима Windows 2000 и домены основного режима Windows 2000 содержат учетные записи пользователей и группы, используемые службой маршрутизации и удаленного доступа и службой IAS для проверки подлинности и авторизации попыток подключения.
Учетная запись содержит имя и пароль пользователя, которые могут использоваться при проверке учетных данных вызывающего маршрутизатора. Дополнительные свойства учетной записи определяют, включена учетная запись или нет, не заблокирована ли она, и в какое время ей разрешено выполнять вход в систему. Если учетная запись отключена, заблокирована или не имеет разрешения на вход в систему в определенные часы, разрешенные для VPN-подключений, попытка VPN-подключения "маршрутизатор-маршрутизатор" будет отклонена. Кроме этого, попытка VPN-подключения окажется неудачной, если для учетной записи пользователя вызывающего маршрутизатора требуется смена пароля при следующем входе в систему, поскольку изменение пароля во время установления подключения является интерактивным процессом. Маршрутизаторы вызова по требованию должны уметь самостоятельно устанавливать подключения в любой момент, без вмешательства человека. В связи с этим на вкладке Учетная запись (Account) в свойствах всех учетных записей для вызывающих маршрутизаторов должен быть снят флажок Потребовать смену пароля при следующем входе в систему (User must change password at next logon) и установлен флажок Срок действия пароля не ограничен (Password never expires). Когда Вы создаете учетные записи для входящих подключений с помощью мастера интерфейса вызова по требованию (Demand-Dial Interface Wizard), эти значения устанавливаются автоматически.
Вам следует использовать отдельную учетную запись пользователя для каждого сайта, в котором есть вызывающий маршрутизатор. Имя каждой учетной записи пользователя вызывающего маршрутизатора должно совпадать с названием интерфейса вызова по требованию отвечающего маршрутизатора. Когда вы создаете учетные записи для входящих подключений с помощью мастера интерфейса вызова по требованию, такое сопоставление производится автоматически..
Учетные записи пользователей также содержат параметры входящих звонков. Наиболее существенный параметр для VPN-подключений – это параметр разрешения на удаленный доступ, который может иметь следующие значения:
- Разрешить доступ (Allow Access)
- Запретить доступ (Deny Access)
- Управление на основе политики удаленного доступа (Control access through Remote Access Policy)
Значения Разрешить доступ (Allow access) и Запретить доступ (Deny access) явно разрешают или запрещают удаленный доступ и эквивалентны разрешению на удаленный доступ в учетных записях домена Windows NT 4.0. Если Вы устанавливаете значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy), удаленный доступ предоставляется на основании разрешения соответствующей политики. Если учетная запись принадлежит домену смешанного режима, значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy)недоступно, и в этом случае Вам необходимо управлять разрешением на удаленный доступ отдельно для каждого пользователя. Если учетная запись принадлежит домену основного режима, значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy) доступно, и Вы можете управлять разрешением на удаленный доступ как отдельно для каждого пользователя, так и используя группы. При создании учетных записей для входящих подключений с помощью мастера интерфейса вызова по требованию разрешение на удаленный доступ будет по умолчанию иметь значение Разрешить доступ (Allow access).
При управлении доступом групп Вы можете использовать существующие группы и создавать политики удаленного доступа, предоставляющие, отклоняющие или ограничивающие доступ в зависимости от имени группы. Например, группа Employeesможет не иметь никаких ограничений на VPN-подключения удаленного доступа, а группа Contractors может устанавливать VPN-подключения только в рабочее время. Также можно создавать группы, основываясь на типе создаваемых подключений. Например, Вы можете создать группу VPNRouters и добавить в нее все учетные записи, которым разрешено создавать VPN-подключения.
Служба маршрутизации и удаленного доступа и служба IAS могут использовать имена участника-пользователя (Universal principal name, UPN) и универсальные группы службы каталогов Active Directory. Если домен содержит несколько тысяч пользователей, создайте универсальную группу для всех пользователей, которым разрешен доступ, и затем создайте политику удаленного доступа, предоставляющую доступ этой группе. Не помещайте все учетный записи непосредственно в универсальную группу, особенно если Ваша сеть содержит большое количество пользователей. Вместо этого создайте отдельные глобальные группы, которые будут являться членами универсальной группы, и поместите пользователей в эти глобальные группы.
Односторонне инициированные подключения и статические маршруты для учетной записи пользователя
В случае односторонне инициированных подключений один из маршрутизаторов всегда является отвечающим, а другой маршрутизатор – вызывающим. Отвечающий маршрутизатор принимает подключения, а вызывающий – инициирует. Односторонне инициируемые подключения хорошо подходят для центрально-лучевой топологии, где только маршрутизатор офиса подразделения может инициировать подключение.
Учетные записи пользователей изолированных серверов под управлением Windows 2000 или доменов основного режима Active Directory могут содержать статические маршруты. Это упрощает настройку односторонне инициированных подключений. При установлении VPN-подключения с использованием учетной записи статические маршруты этой учетной записи автоматически добавляются в таблицу маршрутизации VPN-сервера. Если VPN-сервер участвует в динамической маршрутизации, маршруты распространяются на другие маршрутизаторы сайта с помощью протоколов динамической маршрутизации (RIP или OSPF). Чтобы задать статические маршруты для учетной записи, необходимо открыть вкладку Входящие звонки (Dial-in) в свойствах учетной записи, установить флажок Использовать статическую маршрутизацию (Apply static routes) и добавить маршруты, нажав кнопку Статические маршруты (Static Routes).
Для использования статических маршрутов учетной записи пользователя не требуется никаких дополнительных настроек вызывающего маршрутизатора. Все, что необходимо сделать на отвечающем маршрутизаторе – это создать учетную запись пользователя для вызывающего маршрутизатора и настроить статические маршруты к ресурсам сайта вызывающего маршрутизатора. Поскольку на отвечающем маршрутизаторе нет интерфейса вызова по требованию, имя которого совпадает с именем учетной записи вызывающего маршрутизатора, входящие VPN-подключения будут считаться подключениями удаленного доступа. Статические маршруты учетной записи вызывающего маршрутизатора будут добавлены в таблицу маршрутизации VPN-сервера, а весь трафик к ресурсам вызывающего маршрутизатора, использующий эти маршруты, будет передаваться через логическое подключение удаленного доступа..
Примечание
Статические маршруты заносятся в таблицу маршрутизации отвечающего маршрутизатора только в том случае, если входящее подключение является VPN-подключением удаленного доступа (имя учетной записи пользователя, содержащейся в учетных данных вызывающего маршрутизатора, не совпадает с названием интерфейса вызова по требованию отвечающего маршрутизатора). Если входящее подключение является подключением вызова по требованию, статические маршруты не используются.