Инфраструктура служб проверки подлинности, авторизации и учета
Вопросы проектирования: инфраструктура служб проверки подлинности, авторизации и учетаа
При настройке инфраструктуры служб проверки подлинности, авторизации и учета для VPN-подключений "маршрутизатор-маршрутизатор" необходимо определиться со следующими вопросами:
- Если имеется несколько VPN-маршрутизаторов, работающих с различными типами подключений (VPN-подключения и подключения удаленного доступа), RADIUS-сервер обеспечивает централизованную работу служб проверки подлинности, авторизации и учета. Настройте и используйте RADIUS в качестве поставщика служб проверки подлинности и учета для VPN-маршрутизаторов.
- Если базой данных учетных записей пользователей является домен Windows, используйте службу IAS в качестве RADIUS-сервера. Если Вы решите использовать IAS, установите эту службу на контроллере домена – это обеспечит наилучшую производительность. Для обеспечения отказоустойчивости служб проверки подлинности, авторизации и учета необходимо установить по крайней мере два IAS-сервера.
- Для авторизации VPN-подключений и задания ограничений используйте политики удаленного доступа, настроенные локально или на IAS-сервере. Например, можно использовать параметры профиля политики для предоставления доступа на основе членства в группах, задания метода и уровня стойкости шифрования или авторизации на основе EAP-TLS.
- Если домен Active Directory содержит большое количество пользователей, Вы можете управлять доступом на основе членства в группах, разместив глобальные группы внутри универсальных групп.
- В случае односторонне инициированных подключений Вы можете настроить вызывающий маршрутизатор обычным образом, а на отвечающем маршрутизаторе настроить учетные записи пользователей, содержащие статические маршруты к ресурсам сайта вызывающего маршрутизатора.
- Важные фрагменты RADIUS-сообщений (такие, как пароль пользователя и ключи шифрования) зашифрованы общим секретом (паролем) RADIUS, который задается на VPN-маршрутизаторе и RADIUS-сервере. Создайте стойкий, длинный (16 знаков или более) общий секрет, состоящий из случайной последовательности букв, цифр и знаков пунктуации, и регулярно меняйте его, чтобы защитить RADIUS-трафик. Пример стойкого пароля – "#>9fq4bV)H7%s$tOa3". Для дополнительной защиты RADIUS-трафика используйте политики IPSec Windows 2000, с помощью которых обеспечивается конфиденциальность данных для всего трафика, использующих UDP-порты RADIUS (порты 1812 и 1645 используются для проверки подлинности, 1813 и 1646 – для учета).