Развертывание инфраструктуры служб проверки подлинности, авторизации и учета
Развертывание инфраструктуры служб проверки подлинности, авторизации и учета состоит из следующих этапов:
- Настройка учетных записей пользователей и групп Active Directory.
- Настройка основного IAS-сервера на контроллере домена.
- Настройка резервного IAS-сервера на дополнительном контроллере домена.
Настройка учетных записей пользователей и групп Active Directory
Для настройки учетных записей пользователей и групп Active Directory сделайте следующее:
- Убедитесь, что все пользователи, которым необходимо создавать подключения удаленного доступа, имеют соответствующие учетные записи. Это касается сотрудников, подрядчиков, поставщиков и деловых партнеров.
- Для управления удаленным доступом на уровне пользователей установите разрешение на удаленный доступ в свойствах учетной записи пользователя в Разрешить доступ (Allow access) или Запретить доступ (Deny access). Для управления удаленным доступом на уровне групп установите разрешение на удаленный доступ в свойствах учетной записи пользователя в Управление на основе политики удаленного доступа (Control access through Remote Access Policy).
- Чтобы воспользоваться преимуществами политик удаленного доступа на основе групп, упорядочьте учетные записи пользователей удаленного доступа, поместив их в соответствующую универсальную группу. Для получения дополнительной информации об универсальных, глобальных и локальных группах домена обратитесь к разделу Область действия группы справки Windows 2000 Server.
Настройка основного IAS-сервера на контроллере домена
Для настройки основного IAS-сервера на контроллере домена сделайте следующее:
- Установите службу проверки подлинности в Интернете (IAS) на контроллере домена в качестве дополнительного сетевого компонента ОС. Для получения дополнительной информации обратитесь к разделу Установка IAS (Install IAS) справки Windows 2000 Server.
- Настройте компьютер IAS-сервера (контроллер домена) для просмотра свойств учетных записей пользователей домена. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory)справки Windows 2000 Server.
- Если IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в других доменах, убедитесь, что между этими доменами и доменом IAS-сервера установлены двусторонние отношения доверия. Затем настройте компьютер IAS-сервера для просмотра свойств учетных записей в других доменах. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows 2000 Server. Для получения дополнительной информации о доверительных отношениях обратитесь к разделу Доверительные отношения доменов (Understanding domain trusts) справки Windows 2000 Server. В том случае, если IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в доменах, не имеющих двусторонних отношений доверия с доменом, в который входит компьютер IAS-сервера, Вы должны настроить RADIUS-прокси между доменами, не имеющими доверительных отношений.
- Включите ведение журнала событий учета и проверки подлинности. Для получения дополнительной информации обратитесь к разделу Настройка свойств ведения журнала (Configure log file properties) справки Windows 2000 Server.
- Добавьте VPN-серверы в качестве клиентов RADIUS IAS-сервера. Для получения дополнительной информации обратитесь к разделу Регистрация клиентов RADIUS (Add RADIUS clients) справки Windows 2000 Server. Для IP-адреса каждого VPN-сервера используйте внутренний IP-адрес, назначенный VPN-серверу. Если Вы используете имена, укажите внутреннее имя VPN-сервера (это не является обязательным, если такое же DNS-имя используется клиентами сети Интернет). Используйте стойкие общие секреты (пароли).
- Создайте политики удаленного доступа, отображающие Ваши сценарии использования удаленного доступа. Например, чтобы настроить политику удаленного доступа, требующую VPN-подключений на основе протокола PPTP для членов группы Employees с использованием протокола EAP-TLS и 128-битное шифрование для проверки подлинности, создайте политику удаленного доступа со следующими параметрами:
- Имя политики: VPN-подключения
Условия:
- Для атрибута NAS-Port-Type выбрано значение Virtual (VPN)
- Для атрибута Tunnel-Type выбрано значение Point-to-Point Tunneling Protocol
- Для атрибута Windows-Groups добавлена группа Employees (в соответствии с рассматриваемым примером)
- Разрешение на удаленный доступ: Предоставить право удаленного доступа
Настройки профиля, вкладка Проверка подлинности (Authentication):
- Установите флажок Протокол расширенной проверки подлинности (EAP) (Extensible Authentication Protocol), установите параметр Выберите приемлемый тип протокола для этой политики (EAP type)в значение Смарт-карта или иной сертификат (Smart Card or other Certificate) и снимите все другие флажки.
Настройки профиля, вкладка Шифрование (Encryption):
- Установите флажок Самое стойкое (Strongest) и затем снимите все другие флажки.
- Если Вы создали новые политики удаленного доступа, то или удалите политику удаленного доступа по умолчанию под названием Разрешить доступ, если разрешены входящие подключения (Allow access if dial-up permission is enabled) или переместите ее в конец списка политик, чтобы она применялась в последнюю очередь. Для получения дополнительной информации обратитесь к разделам Удаление политики удаленного доступа (Delete a remote access policy) и Изменение порядка применения политик (Change the policy evaluation order) справки Windows 2000 Server.