Инфраструктура служб проверки подлинности, авторизации и учета
Учетные записи и группы домена Windows
Домены Windows NT 4.0, домены смешанного режима Windows 2000 и домены основного режима Windows 2000 содержат учетные записи и группы пользователей, используемые службами маршрутизации и удаленного доступа и IAS для проверки подлинности и авторизации попыток подключения.
Учетная запись содержит имя и пароль пользователя, которые могут использоваться при проверке учетных данных VPN-клиента. Дополнительные свойства учетной записи определяют, включена учетная запись или нет, не заблокирована ли она и в какие часы с ее помощью разрешено выполнять вход в систему. Если учетная запись отключена, заблокирована или не имеет разрешения на вход в систему в определенные часы, совпадающие со временем VPN-подключения, попытка VPN-подключения будет отклонена.
Учетные записи пользователей также содержат параметры входящих подключений (вкладка Входящие звонки (Dial-in)). Наиболее важный параметр для VPN-подключений – это параметр разрешения на удаленный доступ, который может иметь следующие значения:
- Разрешить доступ (Allow Access)
- Запретить доступ (Deny Access)
- Управление на основе политики удаленного доступа (Control access through Remote Access Policy)
Значения Разрешить доступ (Allow access) и Запретить доступ (Deny access) явно разрешают или запрещают удаленный доступ и эквивалентны разрешению на удаленный доступ в учетных записях домена Windows NT 4.0. Когда Вы устанавливаете значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy), удаленный доступ предоставляется на основе разрешения соответствующей политики. Если учетная запись принадлежит домену смешанного режима, значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy) недоступно, и Вы должны предоставлять разрешения на удаленный доступ индивидуально для каждого пользователя. Если учетная запись принадлежит домену основного режима, значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy) будет доступно, и Вы можете управлять разрешением на удаленный доступ, для каждого пользователя или группы.
При управлении доступом на основе групп Вы можете использовать существующие группы, а также создавать политики удаленного доступа, предоставляющие, отклоняющие или ограничивающие доступ на основании имени группы. Например, группа Employees может не иметь никаких ограничений на VPN-подключения удаленного доступа, а группа Contractorsможет создавать VPN-подключения только в рабочее время. Также можно создавать группы, основываясь на типе создаваемых подключений. Например, Вы можете создать группу VPNUSers и добавить в нее все учетные записи, которым разрешено создавать VPN-подключения.
Служба маршрутизации и удаленного доступа и служба IAS могут использовать универсальное основное имя (Universal principal name, UPN) и универсальные группы службы каталогов Active Directory. Если домен содержит несколько тысяч пользователей, создайте универсальную группу для всех пользователей, которым разрешен доступ, и затем создайте политику удаленного доступа, предоставляющую доступ этой универсальной группе. Не помещайте все учетные записи непосредственно в универсальную группу, особенно если Ваша сеть содержит большое количество пользователей. Вместо этого создайте отдельные глобальные группы, которые будут являться членами универсальной группы, и поместите пользователей в эти глобальные группы.
Вопросы проектирования: инфраструктура служб проверки подлинности, авторизации и учета
При настройке инфраструктуры служб проверки подлинности, авторизации и учета для VPN-подключений удаленного доступа обратите внимание на следующие моменты:
- Если имеется несколько VPN-серверов или различные типы подключений (VPN-подключения и подключения удаленного доступа), RADIUS-сервер обеспечивает централизованную работу служб проверки подлинности, авторизации и учета. Настройте VPN-сервер для использования службы RADIUS в качестве поставщика служб проверки подлинности и учета.
- Если базой данных учетных записей пользователей является домен Windows, используйте службу IAS в качестве RADIUS-сервера. При использовании службы IAS установите ее на контроллере домена, чтобы обеспечить наилучшую производительность. Установите, по крайней мере, два IAS-сервера для обеспечения отказоустойчивой работы служб проверки подлинности, авторизации и учета.
- Для авторизации и задания ограничений на VPN-подключения используйте политики удаленного доступа, настроенные локально или на IAS-сервере. Например, можно использовать параметры профиля политики для предоставления доступа на основе членства в группах, задания принудительного использования и уровня стойкости шифрования или авторизации на основе EAP-TLS, или ограничения трафика с помощью IP-фильтров.
- Для защиты VPN-клиентов от пересылки маршрутизированного трафика настройте фильтры пакетов профиля политики удаленного доступа для отклонения всего трафика VPN-подключений, кроме входящего и исходящего трафика самих VPN-клиентов.
- Для управления доступом на основе принадлежности к группе в больших доменах Active Directory создайте глобальные группы, входящие в универсальные группы.
- Важные фрагменты RADIUS-сообщений (такие, как пароль пользователя и ключи шифрования) зашифрованы общим секретом (паролем) RADIUS, который задается на VPN-сервере и RADIUS-сервере. Создайте стойкий, длинный (22 знака или более) общий секрет, состоящий из случайной последовательности букв, цифр и знаков пунктуации и регулярно меняйте его, чтобы защитить RADIUS-трафик. Пример стойкого пароля – "8d#>9fq4bV)H7%a3^jfDe2". Для дополнительной защиты RADIUS-трафика используйте политики IPSec Windows 2000, с помощью которых обеспечивается конфиденциальность данных для всего трафика UDP-портов, используемых протоколом RADIUS (порты 1812 и 1645 используются для проверки подлинности, 1813 и 1646 – для учета).