Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Настройка прав пользователей для подключения к серверу удаленного доступа



При отсутствии сервера RADIUS (см. ниже) разрешения на подключение пользователя к серверам удаленного доступа определяются комбинацией Свойствпользователя и Политик удаленного доступа, настраиваемых индивидуально для каждого сервера удаленного доступа.

Если домен Active Directory работает в смешанном режиме, то разрешения на удаленный доступ определяются только в Свойствах пользователя на закладке " Входящие звонки " ( Dial-In ). При этом есть только два варианта — разрешить или запретить (рис. 10.22). по умолчанию для каждого нового пользователя задается запрещающее правило. Кроме разрешения/запрета можно также настроить Обратный вызов сервера ( Call-back ). Здесь имеются три варианта:

  • " Ответный вызов не выполняется " — при подключении пользователя к серверу удаленного доступа вначале устанавливается телефонное соединение между модемом пользователя и модемом клиента, если доступ разрешен, то устанавливается сетевое соединение и пользователь получает возможность работать в сети;
  • " Устанавливается вызывающим " — в этом варианте после установления телефонного соединения между модемами и проверки прав доступа система запросит у клиента ввести номер телефона, с которого подключается данный клиент, после этого сервер разрывает связь и уже самостоятельно производит соединение с клиентом по тому номеру телефона, который сообщил этот пользователь (данный вариант удобен для мобильных пользователей — пользователь экономит на телефонном звонке и повышается защищенность доступа, т.к. в идеале никто, кроме пользователя, не должен знать номер телефона, с которого пользователь инициировал соединение);
  • " Всегда по этому номеру " (с указанием номера телефона) — данный вариант похож на предыдущий, только номер телефона уже введен в параметры пользователя и сервер будет перезванивать именно на данный номер (этот вариант будет интересен домашним пользователям — здесь тоже пользователь экономит на телефонном звонке и, кроме того, дополнительная защита — злоумышленнику трудно будет подключиться к серверу, даже если ему известны имя и пароль пользователя).


Рис. 10.22.

Если домен работает в основном режиме Windows 2000 или Windows 2003, то можно либо в явном виде разрешать или запрещать доступ к серверам удаленного доступа, причем ко всем сразу, либо настраивать разрешения через Политики удаленного доступа (о Политиках будет рассказано ниже; рис. 10.23). Заметим, что явное разрешения или явный запрет имеют более высокий приоритет, чем Политики удаленного доступа.

В основном режиме в Свойствах пользователя становятся доступны дополнительные параметры:

  • " Проверять код звонящего " (Caller ID) — если оператор телефонной связи передает модему номер телефона, с которого был произведен звонок, то сервер будет разрешать подключение только при вызове с данного номера (это еще один уровень защиты от злоумышленников);
  • " Статический IP-адрес пользователя " — при установлении соединения пользователю назначается фиксированный IP-адрес;
  • " Использовать статическую маршрутизацию " — при установлении соединения пользователю пересылается указанный список маршрутизаторов.


Рис. 10.23.

Настройка Свойств сервера

Снова выберем в окне консоли имя сервера, щелкнем правой кнопкой мыши и выберем пункт меню " Свойства ".

  1. 1. На закладке " Общие " можно изменить сценарии использования службы:
    • только как маршрутизатор (либо только для локальной сети, либо для локальной сети и удаленных сетей, подключенный через средства удаленных коммуникаций);
    • только как сервер удаленного доступа;
    • комбинация обоих вариантов.
  2. На закладке " Безопасность " настраиваются используемые методы проверки подлинности (аутентификации) пользователей, подключающихся к службе удаленного доступа. Служба RRAS системы Windows Server поддерживает следующие методы аутентификации (по степени возрастания защищенности данной процедуры):
    • без проверки подлинности — при данном варианте вообще не проверяются имя и пароль пользователя, а также права доступа пользователя к службе RRAS (ни в коем случае не рекомендуем использовать на практике данный метод, т.к. открывает возможность подключения к корпоративной сети любому желающему, имеющему информацию о точке подключения, например, номера телефонов на модемном пуле);
    • протокол PAP ( Password Authentication Protocol ) — самый простой протокол, унаследованный от старых версий служб удаленного доступа (реализованных не только в системе Windows), при данном протоколе имя и пароль пользователя передаются через средства коммуникаций открытым текстом, по умолчанию данный метод аутентификации отключен;
    • протокол SPAP ( Shiva Password Authentication Protocol ) — использует протокол шифрования паролей, разработанный компанией Shiva (в прошлом — один из разработчиков средств удаленного доступа), алгоритм шифрования паролей слабее, чем в методах CHAP и MS CHAP, по умолчанию этот метод также отключен;
    • протокол CHAP ( Challenge Handshake Authentication Protocol ) — для шифрования пароля используется метод хэширования MD-5 (по сети передается значение хэш-функции пароля), данный протокол является одним из отраслевых стандартов и реализован во многих системах удаленного доступа, его рекомендуется использовать при подключении клиентов, работающих не на платформе Windows, по умолчанию также отключен;
    • протокол MS-CHAP ( Microsoft Challenge Handshake Authentication Protocol ) — версия протокола CHAP, реализованная корпорацией Microsoft с хэш-функцией MD-4;
    • протокол MS-CHAP версии 2 (Microsoft Challenge Handshake Authentication Protocol version 2) — усиленная версия MS CHAP (более длинный ключ шифрования при передаче пароля, вычисление нового ключа при каждом новом сеансе подключения, взаимная аутентификация пользователя и сервера удаленного доступа);
    • протокол расширенной проверки подлинности ЕАР (Extensible Authentication Protocol) — позволяет использование смарт-карт при аутентификации пользователя (требуются сертификаты как для сервера RRAS, так и для пользователей).

Клиенты удаленного доступа, имеющиеся в системах Windows, при подключении к серверу удаленного доступа всегда начинают использовать самый защищенный метод аутентификации. Если на сервере не реализован запрашиваемый протокол аутентификации, клиент пробует менее защищенный протокол. И так до тех пор, пока не будет подобран протокол, поддерживаемый обеими сторонами.

Кроме указанных протоколов можно осуществлять подключение к службе RRAS с помощью службы RADIUS (рассмотрим ниже).

На этой же закладке настраивается использование службы учета сеансов пользователей (служба учета Windows, служба учета RADIUS, либо отсутствие службы учета), по умолчанию — служба учета Windows.

И здесь же задается общий секрет при использовании протокола L2TP для организации виртуальных частный сетей ( VPN ). Возможность использования общего секрета для VPN на базе протокола L2TP имеется только в Windows Server 2003, в версии Windows 2000 протокол L2TP можно было использовать только при наличии сертификатов для обеих сторон частной сети.

  1. На закладке " IP " настраивается разрешение маршрутизации IP-пакетов между компьютером клиента и корпоративной сетью (по умолчанию) и задается способ формирования пула IP-адресов, выдаваемых RRAS-сервером подключаемым к нему клиентам.

Есть два способа формирования пула — использование сервера DHCP, установленного в корпоративной сети, и задание пула IP-адресов на самом сервере удаленного доступа (при этом способе 1-й IP-адрес из пула будет назначен интерфейсу " Внутренний " на самом сервере RRAS, а оставшиеся в пуле адреса будут назначаться RRAS-клиентам)

  1. Закладка " PPP ". Здесь разрешается или запрещается использование многоканальных подключений протокола PPP ( multilink PPP ). Протокол PPP позволяет использовать несколько коммуникационных каналов (например, несколько коммутируемых телефонных линий и, соответственно, одновременное использование нескольких модемов на серверной и на клиентской стороне) как одно подключение с соответствующим увеличением пропускной способности и назначением по одному IP-адресу на стороне клиента и сервера. При этом возможно использование динамического управления пропускной способностью (с помощью протоколов BAP / BACP, Bandwidth Allocation Protocol / Bandwidth Allocation Control Protocol ), которые позволяют при возрастании трафика активизировать дополнительные телефонные линии из имеющегося пула телефонных линий, а при уменьшении трафика — отключать телефонные линии.
  2. Закладка " Ведение журнала ". На этой закладке настраивается уровень протоколирования событий, связанных с сеансами работы удаленных пользователей.

Использование службы RADIUS

Служба RADIUS ( Remote Authentication Dial-in User Service ) является промежуточным звеном между сервером удаленного доступа (который в данном случае называют клиентом RADIUS) и службой каталогов корпоративной сети. Сервер RADIUS позволяет решить две основные задачи:

  • интеграция в единую систему серверов удаленного доступа от различных производителей;
  • централизованное управление доступом в корпоративную сеть (служба RRAS в системе Windows Server настраиваетсяиндивидуально для каждого сервера RRAS).

Служба RADIUS работает по следующей схеме:

  1. вначале устанавливается телефонное (или иное) соединение между клиентом и сервером удаленного доступа;
  2. пользователь пересылает серверу RAS запрос на аутентификацию (свои имя и пароль);
  3. сервер удаленного доступа (являющийся клиентом сервера RADIUS) пересылает данный запрос серверу RADIUS;
  4. сервер RADIUS проверяет запрос на аутентификацию в службе каталогов (например, в службе Active Directory) и посылает в ответ RAS-серверу разрешение или запрещение данному пользователю на подключение к серверу удаленного доступа;
  5. сервер удаленного доступа либо подключает пользователя к корпоративной сети, либо выдает отказ в подключении.

Реализация службы RADIUS в системе Windows Server называется службой IAS ( Internet Authentication Service ).

Раздел " Интерфейсы сети " консоли " Маршрутизация и удаленный доступ "

В данном разделе консоли перечисляются все сетевые интерфейсы, установленные на сервере (сетевые адаптеры, модемы). Напомним, что интерфейс " Внутренний " — это интерфейс, к которому подключаются все клиенты удаленного доступа, независимо от типа подключения (по коммутируемым телефонным линиям, через виртуальную частную сеть и т.д.).

Раздел " Клиенты удаленного доступа " консоли " Маршрутизация и удаленный доступ "

В данном разделе осуществляется мониторинг в реальном времени клиентов, подключившихся к серверу удаленного доступа.

Раздел " Порты " консоли " Маршрутизация и удаленный доступ "

В разделе " Порты " перечисляются все доступные точки подключения к службе удаленного доступа:

  • параллельный порт (для прямого соединения двух компьютеров через порт LPT);
  • модемы, доступные для службы удаленного доступа;
  • порты, доступные для подключений с помощью виртуальных частных сетей (если администратор при настройке сервера указал, что будут использоваться виртуальные частные сети, то на сервер автоматически добавляются по 128 портов для каждого из протоколов PPTP и L2TP, в дальнейшем администратор может изменить количество портов, доступных для того или иного протокола).

Раздел " IP-маршрутизация " консоли " Маршрутизация и удаленный доступ "

В этом разделе добавляются, удаляются и настраиваются как статические маршруты, так и необходимые динамические протоколы маршрутизации:

  • Агент ретрансляции DHCP-запросов ( DHCP Relay Agent ) — использование агента ретрансляции запросов DHCP подробно обсуждалось в пункте, посвященном службе DHCP, настройка данного агента производится именно в данном разделе службы RRAS;
  • Протокол IGMP — данный протокол предназначен для маршрутизации multicast-пакетов протокола TCP/IP (данный вид пакетов и адресов используется в основном при передаче мультимедиа-информации);
  • Служба трансляции сетевых адресов ( NAT, Network Address Translation ) — данная служба позволяет обмениваться информацией между сетями с внутренними IP-адресами и сетями с адресами, зарегистрированными в сети Интернет (упрощенный вариант прокси-сервера);
  • Протокол RIP версии 2 для IP — протокол динамической маршрутизации IP-пакетов;
  • Протокол OSPF ( Open Shortest Path First ) — также протокол динамической маршрутизации IP-пакетов, более сложный в настройке по сравнению с RIP, но более эффективный в больших сетях.

Подробное изучение протоколов маршрутизации выходит за рамки данного курса.

Виртуальные частные сети

Виртуальные частные сети ( Virtual Private Networks ) — технология создания защищенных подключений между компьютерами, подключенными к публичным сетям (например, к сети Интернет).

Рассмотрим пример на рис. 10.24. Допустим, некий мобильный пользователь желает подключиться к корпоративной сети. Он может это сделать, подключившись к корпоративному серверу удаленного доступа по коммутируемой телефонной линии. Однако, если пользователь находится в другом городе или даже другой стране, такой звонок может обойтись очень дорого. Может оказаться значительно дешевле подключиться к сети Интернет через местного Интернет-провайдера. Корпоративная сеть, в свою очередь, тоже имеет свое подключение к Интернет. В этом случае нужно решить две задачи:

  • как получить доступ в корпоративную сеть (в данном примере IP-адреса корпоративной сети принадлежат к диапазону внутренних адресов и пакеты от мобильного пользователя не смогут попасть в эту сеть);
  • как защитить данные, передаваемые через Интернет (все сетевые пакеты, передаваемые через Интернет, содержат информацию в открытом тексте, и грамотный злоумышленник может перехватить пакеты и извлечь из них информацию).

Обе эти задачи решаются созданием VPN-подключений между удаленным пользователем и сервером удаленного доступа. В данном примере пользователю необходимо создать еще одно подключение, но не через модем, а через " Подключение к виртуальной частной сети ". При этом в качестве " телефонного номера" выступит IP-адрес внешнего интерфейса сервера удаленного доступа.


Рис. 10.24.

Процесс создания подключения выглядит следующим образом:

  1. Запускаем Мастер новых подключений (кнопка " Пуск " — " Панель управления " — " Сетевые подключения " — " Мастер новых подключений " )
  2. Выбираем тип сетевого подключения — " Подключить к сети на рабочем месте " (рис. 10.25):


Рис. 10.25.

  1. Выбираем способ сетевого подключения — " Подключение к виртуальной частной сети " (рис. 10.26):


Рис. 10.26.

  1. Задаем имя подключения.
  2. Указываем VPN-сервер (имя или IP-адрес; в данном примере — 217.15.1.2; рис. 10.27):


Рис. 10.27.

  1. Определяем доступность ярлычка этого подключения (для данного пользователя или для всех пользователей).
  2. Нажимаем кнопку " Готово ".
  3. Вводим имя и пароль пользователя, нажимаем кнопку " Подключение " (рис. 10.28):


Рис. 10.28.

Если все настройки сделаны правильно, то будет установлено соединение с корпоративным сервером удаленного доступа. Сетевая конфигурация будет такая, как изображено на рис. 10.29:


Рис. 10.29.

Между ПК мобильного пользователя и сервером удаленного доступа будет установлен защищенный " виртуальный" канал, клиентский ПК получит IP-адрес из пула адресов сервера RRAS (таким образом будет решена задача маршрутизации IP-пакетов между клиентом и корпоративной сетью), все пакеты, передаваемые между клиентом корпоративной сетью, будут шифроваться.

Аналогично можно создать защищенное виртуальное подключение между двумя офисами корпоративной сети, подключенными к различным Интернет-провайдерам (рис. 10.30):


Рис. 10.30.


Поделиться:



Последнее изменение этой страницы: 2017-04-12; Просмотров: 1047; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.029 с.)
Главная | Случайная страница | Обратная связь