Инфраструктура служб проверки подлинности, авторизации и учета
Инфраструктура служб проверки подлинности, авторизации и учета (authentication, authorization, and accounting, AAA) необходима для того, чтобы:
- Проверять учетные данные VPN-клиентов.
- Авторизовывать VPN-подключения.
- Регистрировать и вести учет VPN-подключений.
В состав инфраструктуры служб проверки подлинности, авторизации и учета входят:
- Компьютер VPN-сервера.
- Компьютер RADIUS-сервера.
- Контроллер домена.
Как обсуждалось выше в качестве поставщиков служб проверки подлинности и учетных записей, VPN-сервер Windows 2000 может использовать встроенные службы Windows или протокол RADIUS. Если у Вас есть несколько VPN-серверов или используется среда со смешанным оборудованием для удаленного доступа и организации VPN, то RADIUS позволяет организовать централизованную службу проверки подлинности, авторизации и учета.
Если в качестве поставщика служб проверки подлинности используется Windows, VPN-сервер выполняет проверку подлинности VPN-подключения, взаимодействуя с контроллером домена по защищенному каналу удаленного вызова процедур (remote procedure call, RPC). Авторизация попыток подключения в этом случае основывается на свойствах входящих звонков учетной записи пользователя и локально настроенных политиках удаленного доступа.
Если в качестве поставщика служб проверки подлинности используется RADIUS, то он выполняет для VPN-сервера как проверку подлинности, так и авторизацию на основе данных RADIUS-сервера. При попытке подключения к VPN-серверу учетные данные VPN-клиента и другие параметры подключения передаются VPN-сервером указанному RADIUS-серверу в виде RADIUS-сообщения с запросом доступа. Если попытка подключения успешно прошла проверку подлинности и авторизацию, RADIUS-сервер посылает в ответ сообщение предоставления доступа. Если попытка подключения не прошла проверку подлинности или авторизацию, RADIUS-сервер посылает в ответ сообщение отказа в доступе.
Если в качестве поставщика служб проверки подлинности используется Windows, VPN-сервер записывает информацию о VPN-подключениях в локальный журнал (по умолчанию %SystemRoot%\System32\Logfiles\Logfile.log). Чтобы изменить путь к файлу журнала, необходимо открыть оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), выбрать объект Локальный файл (Local File) в папке Ведение журнала удаленного доступа (Remote Access Logging), открыть его свойства и задать нужный путь на вкладке Локальный файл (Local File).
Если в качестве поставщика служб проверки подлинности используется RADIUS, VPN-сервер посылает RADIUS-сообщения учета VPN-подключений RADIUS-серверу, который записывает данные учета.
Если вы используете RADIUS и домен Windows в качестве базы данных учетных записей для проверки учетных данных пользователей и получения параметров входящих подключений, то рекомендуется использовать IAS (Internet Authentication Service – Службу проверки подлинности в Интернете). IAS является полнофункциональным RADIUS-сервером, который тесно интегрирован с операционной системой Windows 2000, службой каталогов Active Directory и службой маршрутизации и удаленного доступа.
При использовании в качестве RADIUS-сервера службы IAS:
- IAS выполняет проверку подлинности VPN-подключения, взаимодействуя с контроллером домена по защищенному каналу RPC, а также авторизует попытки подключения на основе свойств удаленного доступа учетной записи пользователя и политик удаленного доступа, настроенных на IAS-сервере.
- IAS записывает информацию учета VPN-подключений в локальный журнал (по умолчанию находится в %SystemRoot%\System32\Logfiles\Logfile.log). Чтобы указать путь к файлу журнала, необходимо открыть оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), выбрать объект Локальный файл (Local File) в папке Ведение журнала удаленного доступа (Remote Access Logging), открыть его свойства и задать нужный путь на вкладке Локальный файл (Local File).