Удаленный доступ на базе Windows 2000 IAS
HashFlare
 
Главная HI-TECH Форум Поиск Книги Авторам Новости партнёров Реклама
Новостей на сайте: 10263
Программы  
  Система
  Безопасность
  Интернет и сети
  Текст
  Графика и дизайн
  Мультимедиа
  Программирование
  Бизнес
  Образование
  Дом, семья, хобби
  Игры и развлечения
 
Рассылка
 
HashFlare
 
Рейтинг программ...    
    Ф2Мастер Банк (138310)
    Коллекция руссификаторов O-S (34758)
    Товар версия 1.10 (25287)
    Коллекция софта № 13 (24844)
    NetGraf 1.0 (23967)
    New_Profile v3.4 (400) (23915)
    Revolter Commander 3.9 beta 8 (16370)
    Коллекция софта № 14 (15718)
    Net Transport 2.22 (15382)
    Intel Sound MAX 4.0 Ac' 97 5.12.01 (15201)
 

[!] Знаете ли Вы, что подписавшись на нашу рассылку, Вы будете получать еженедельные обзоры лучшего программного обеспечения для вашего компьютера, а также статьи необходимые каждому?


Windows NT/2000 Статьи
Удаленный доступ на базе Windows 2000 IAS

Похоже, разработчики Microsoft и многие пользователи Windows 2000 полагают, что служба аутентификации Internet (Internet Authentification Service - IAS) Windows 2000 подходит для Internet-провайдеров, но не для корпоративных сетей. Однако на самом деле в корпоративной сети IAS можно назначить роль центрального узла конфигурирования для нескольких RAS-серверов Windows 2000, задействовать IAS в качестве части системы, в которой RAS-серверы Windows NT 4.0 используют политики удаленного доступа Windows 2000, или как часть решения, реализуемого с привлечением специалистов из других компаний.

IAS - выполненная Microsoft реализация сервера RADIUS (Remote Authentification Dial-In User Service - служба удаленной аутентификации пользователей по коммутируемым линиям). RADIUS - отраслевой протокол (на базе документов RFC 2138 и RFC 2139 организации IETF), предназначенный для аутентификации, авторизации и сбора учетной информации об удаленных соединениях. Учетная информация для корпоративных сетей обычно не обязательна, так как сетевым администраторам, как правило, не нужны подробные сведения о подключенных к системе пользователях, продолжительности соединения или запрошенных услугах. Если такая информация не нужна, то от учетных функций IAS можно отказаться.

RAS-серверы Windows 2000 и NT 4.0 могут выполнять аутентификацию и авторизацию самостоятельно или передать эти обязанности серверу RADIUS. В качестве сервера RADIUS может использоваться продукт не Microsoft, а другой компании (что типично для Internet-провайдеров), или сервер, на котором работает Windows 2000 IAS. Windows 2000 IAS может использоваться для аутентификации и авторизации удаленного доступа к клиентам корпоративной сети.

Централизованное конфигурирование и управление
С помощью политик удаленного доступа Windows 2000 администратор может точно определить, кому и на каких условиях разрешено подключаться к сети. Установив соединение, можно воспользоваться политиками удаленного доступа, чтобы назначить определенный режим соединения (в частности, разрывать бездействующие соединения PPP в сетях с ограниченным пулом модемов). Например, для пользователей, подключенных к сети через Internet, можно активизировать протокол L2TP/IPSec и разрешить доступ в любое время. Одновременно администратор может разрешить соединения по коммутируемым линиям только в рабочие часы, установив для них менее строгий режим безопасности и отменив шифрование данных.

Преимущество использования IAS для аутентификации удаленных пользователей - отчеты, сохраняемые в журнале событий Windows. В журнале событий Windows указаны политика удаленного доступа, применяемая к пользовательским соединениям, имя пользователя, адреса или имена RAS-сервера и удаленного клиента, тип порта (PPP или VPN) и тип аутентификации. Информация журнала особенно полезна при работе с несколькими политиками удаленного доступа, так как при использовании Windows 2000 RAS трудно определить, какая политика применяется к данному соединению.

Политики удаленного доступа позволяют консолидировать RAS-серверы, поскольку к одному серверу можно одновременно применить различные параметры. Но иногда, в силу особенностей сетевой топологии, необходимо запустить несколько RAS-серверов. RAS-серверы следует размещать вблизи необходимых пользователям ресурсов. Например, вряд ли стоит размещать RAS-серверы в отделе ИТ предприятия, если удаленным пользователям требуется обращаться к другим серверам, связанным с RAS-сервером через медленный канал WAN. Чтобы увеличить скорость обмена данными (и возможно, сократить расходы на оплату коммутируемых линий), нужно разместить RAS-сервер на том же удаленном сайте и в той подсети, где находятся ресурсы.

При наличии нескольких распределенных по сети RAS-серверов затрудняется настройка конфигурации и согласование политик удаленного доступа. В этой ситуации удачным решением может стать центральное расположение IAS-сервера; политики удаленного доступа хранятся на IAS-сервере, и RAS-серверы могут передать задачи аутентификации и авторизации IAS-серверу. Некоторая часть трафика будет передаваться по удаленным каналам, но объем трафика будет сравнительно невелик; кроме того, трафик существует лишь в периоды создания и завершения соединений.

RAS-серверы Windows 2000 в сети с центральным IAS-сервером становятся клиентами RADIUS, настроенными на пересылку запросов аутентификации на IAS-сервер. Обязанность IAS-сервера - проверить права доступа по коммутируемым линиям и применить политики удаленного доступа. Чтобы активизировать RAS-серверы в качестве клиентов RADIUS, следует открыть оснастку RRAS консоли управления Microsoft Management Console (MMC), щелкнуть правой кнопкой мыши на имени сервера, выбрать из меню пункт Properties и щелкнуть на закладке Security. В раскрывающемся списке Authentification Provider следует выбрать пункт RADIUS Authentification. В результате политики удаленного доступа на RAS-сервере блокируются. Эту процедуру следует выполнить для каждого RAS-сервера.

Как уже упоминалось, администраторам корпоративных сетей учетная информация IAS, вероятно, не понадобится. Функцию учета можно отключить, воспользовавшись закладкой Security. Для этого нужно выбрать пункт None из раскрывающегося списка Accounting Provider.

Рядом со списками Authentification Provider и Accounting Provider находятся кнопки конфигурации, с помощью которых можно вызвать диалоговое окно Add RADIUS Server, в котором следует указать IP-адреса (или имена DNS) IAS-серверов. Также необходимо указать параметр Secret, который представляет собой просто общий пароль для RAS-сервера и IAS-сервера. Эту процедуру нужно выполнить для каждого RAS-сервера. Secret может содержать до 255 символов и чувствителен к их регистру. Если пароли не совпадают, то установить соединение между RAS-сервером и IAS-сервером нельзя.

Среди других атрибутов, задаваемых в диалоговом окне Add RADIUS Server - таймаут (время ожидания RAS-сервером ответа от IAS-сервера), порт, используемый IAS-сервером (стандартный порт аутентификации - 1812), применение цифровых подписей для повышения безопасности и весовой коэффициент. Этот коэффициент учитывается, если администратор указывает несколько серверов RADIUS, и RAS-сервер должен выбрать сервер для аутентификации; в этом случае RAS-сервер выбирает сервер с высшим коэффициентом. Коэффициент каждого сервера RADIUS динамически изменяется в соответствии с реакцией сервера (как быстро сервер реагирует на аутентификацию). Начальный коэффициент можно установить в диапазоне от 0 до 30, но это значение будет автоматически изменено для оптимизации производительности и отказоустойчивости.

Политики удаленного доступа Windows 2000 и RAS-серверы NT 4.0
RAS-серверы NT 4.0 можно настроить на использование процедуры аутентификации RADIUS; в результате эти серверы могут применять Windows 2000 IAS с политиками удаленного доступа. RAS-сервер NT 4.0 физически принимает соединения от удаленного пользователя, но передает аутентификацию IAS-серверу. IAS-сервер, как и RAS-сервер Windows 2000 в домене NT 4.0, может идентифицировать локальных пользователей, пользователей домена NT 4.0 SAM или пользователей Active Directory (AD).

Прежде, чем настроить RAS-серверы NT 4.0 на аутентификацию через RADIUS, необходимо убедиться, что на серверах установлен компонент RRAS Routing Update, которого нет ни в одном пакете исправлений. RRAS Routing Update можно получить на сайте Microsoft (http://www.microsoft.com/ntserver/nts/downloads/ winfeatures/rras/rrasdown.asp). После установки компонента изменится вид административной утилиты RAS NT 4.0. Однако если компонент RRAS Routing Update был установлен ранее, а затем повторно, то облик административной утилиты останется прежним.

Если администратору нужно работать только с RAS (а не с маршрутизацией), то достаточно использовать функцию Active Connections and Ports утилиты Routing and RAS Administration. Сведения о соединениях удаленных клиентов можно получить, щелкнув на пиктограмме Active Connections and Ports.

Чтобы настроить RAS-сервер NT 4.0 на использование IAS для аутентификации, следует перейти в меню Control Panel, Network, Services. В результирующем диалоговом окне необходимо дважды щелкнуть на пункте Routing and Remote Access Service, после чего на экране появится диалоговое окно Remote Access Setup. По щелчку на кнопке Network откроется диалоговое окно Network Configuration. В нем можно настроить свойства RAS.

В разделе Authentication provider следует выбрать пункт RADIUS, щелкнуть на кнопке Configure и перейти к диалоговому окну RADIUS Configuration. Затем нужно щелкнуть на кнопке Add. В диалоговом окне RADIUS Server требуется ввести IP-адрес или имя DNS IAS-сервера, Secret (общий пароль), значение тайм-аута и начальный коэффициент. Процедуры аутентификации и учета можно активизировать и блокировать отдельно, и следует указать порты, используемые этими функциями.

Чтобы повысить отказоустойчивость и сбалансировать нагрузку, можно использовать несколько IAS-серверов, которые необходимо добавлять по одному в описанной выше последовательности. По завершении работы следует щелкнуть на кнопке OK во всех диалоговых окнах. После этого RAS-сервер NT 4.0 будет использовать для аутентификации IAS-серверы. Это значит, что политики удаленного доступа Windows 2000 на IAS-сервере будут распространяться и на удаленных клиентов.

Службы удаленного доступа независимых поставщиков
Администратор или руководители предприятия могут прийти к выводу, что использовать службы удаленного доступа независимых поставщиков экономически выгоднее, нежели реализовать эти функции собственными силами. Компания может воспользоваться службами удаленного доступа, сохранив контроль коммутируемых соединений и полномочий. Пользователи независимых служб подключаются к серверу удаленного доступа (то есть серверу сетевого доступа, network access server - NAS) Internet-провайдера, который организует соединение с корпоративной сетью. При этом Internet-провайдер может установить туннельное соединение для защиты передаваемых данных, мониторинга и ограничения доступа к службе со стороны приложений (например, разрешить доступ только к определенным серверам, запретить любой трафик, кроме FTP или иной службы).

Но прежде чем предоставить доступ к корпоративной сети, Internet-провайдер должен идентифицировать и проверить полномочия удаленного пользователя. Для этого Internet-провайдеру нужен список учетных записей пользователей и сведения о том, кому из них разрешен удаленный доступ. Эта информация хранится в AD или базе данных SAM в NT 4.0. Компания может предоставить Internet-провайдеру доступ к информации, настроив IAS на обмен данными с NAS провайдера. Чтобы обеспечить такой обмен, необходимо разрешить прохождение трафика аутентификации через брандмауэр на IAS-сервер компании и определить порты для этого трафика. Следует выяснить у провайдера, какие порты будут использоваться в процессе аутентификации RADIUS для пересылки данных в корпоративную сеть; обычно это порты UDP 1645 (используемый серверами NT 4.0) или UDP 1812 (используемый RRAS-серверами Windows 2000). По умолчанию, служба IAS Windows 2000 проверяет оба порта. Если Internet-провайдер не использует ни один из этих портов, то необходимо указать альтернативные порты в брандмауэре и IAS.

Настраивая IAS на прием трафика от Internet-провайдера, необходимо разрешить прием тестовых запросов от команды ping и при определении имен областей (realm name). Запросы от ping проверяют готовность сервера RADIUS (в данном случае, IAS-сервера компании). Например, Internet-провайдер периодически умышленно посылает на IAS-сервер запросы с ложными именами, которые должны быть отвергнуты (отражены). Получив ответ, Internet-провайдер понимает, что IAS-сервер на связи. Отсутствие сигнала означает, что сервер не работает или возникли неполадки на линии связи.

Отражения могут создать лишнюю нагрузку на IAS-сервер или контроллер домена (DC) и переполнить журналы ошибок. Чтобы уменьшить ненужную нагрузку на IAS-сервер и DC, следует заранее согласовать с Internet-провайдером имя, которое провайдер будет использовать в процессе тестирования. После этого можно настроить реестр IAS-сервера таким образом, чтобы в ответ на сообщение с именем, согласованным между компанией и Internet-провайдером, был передан немедленный отказ (Auto Reject). Немедленный отказ означает, что сервер не передает запрос контроллеру домена для аутентификации, результат которой будет отрицательным. Таким образом, нагрузка на IAS и DC уменьшается. Чтобы внести в реестр необходимые изменения, следует добавить новый параметр типа REG-SZ с именем Ping User-Name в раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesIASParameters. Строке нужно присвоить значение имени пользователя, назначенное для выполнения таких запросов.

Internet-провайдеры могут задействовать области (realm) для группировки и маршрутизации пользователей. Имя области может быть префиксом (например, CompanyName/) или суффиксом (например, @companyname), добавляемым к имени пользователя. Если Internet-провайдер назначает удаленному пользователю имя области, это значение передается IAS-серверу в процессе аутентификации пользователя. Поскольку в процедуре аутентификации Microsoft применение областей не предусмотрено, имя области следует удалить из имени пользователя, прежде чем запрос аутентификации поступит в AD или SAM. После удаления имени области запрос аутентификации принимает стандартную форму, предписанную Microsoft. Чтобы настроить процедуру удаления имен областей, следует открыть диалоговое окно Properties IAS-сервера и выбрать закладку Realms. Затем нужно щелкнуть на кнопке Add, чтобы составить список правил Find and Replace, последовательно исполняемых системой. Если указать имя области в текстовом поле Find, оставив поле Replace пустым, то оно будет найдено и удалено. В тематическом разделе Pattern matching syntax оперативной подсказки содержится полный список синтаксиса поиска по шаблону и приведено несколько примеров.

Конфигурирование Windows 2000 IAS
Если служба аутентификации IAS в системе не установлена, необходимо разместить IAS на сервере Windows 2000 в качестве сетевой службы. Это можно сделать, обратившись к Control Panel, Add/Remove Programs, Add/Remove Windows Components. Выбрав пункт Networking Services, следует щелкнуть на кнопке Details и выбрать Internet Authentification Service. После щелчка на кнопке OK нужно нажать Next, чтобы завершить работу мастера Windows Components Wizard. Затем следует выбрать Internet Authentification Service из меню Administrative Tools. В нем будут представлены варианты Clients, Remote Access Logging и Remote Access Policies.

Если IAS работает в среде AD, то службу необходимо зарегистрировать в AD, чтобы предоставить ей доступ к учетным записям пользователей. Для регистрации IAS следует щелкнуть правой кнопкой мыши на Internet Authentification Service (Local) в оснастке MMC Internet Authentification Service и выбрать пункт Register Service in Active Directory. Если IAS работает вне AD, то флажок Register Service in Active Directory будет затенен, и регистрировать службу не нужно.

Следующий шаг - определение политики удаленного доступа. Если IAS установлена на том же сервере, что и служба RRAS с заранее сконфигурированными политиками удаленного доступа, то эти политики будут автоматически импортированы, их можно увидеть в разделе Remote Access Policies оснастки Internet Authentification Service. Если IAS и RRAS находятся на разных серверах, то политики удаленного доступа нужно составлять с нуля или импортировать готовые политики с существующего RRAS-сервера Windows 2000 с помощью инструмента для создания сценариев Netsh. Завершив конфигурирование политик удаленного доступа, следует открыть диалоговое окно Properties сервера и определить, нужно ли настраивать какие-нибудь параметры сервера (например, порты для прослушивания, удаление имен областей).

Для конфигурирования клиентов IAS-сервера - ими могут быть RAS-сервер или NAS Internet-провайдера - нужно щелкнуть правой кнопкой мыши на разделе Clients в оснастке Internet Authentification Service и выбрать пункт New Client. В результате на экране появится диалоговое окно Add Client, где нужно указать имя (которое приведено в оснастке Internet Authentification Service). Затем следует щелкнуть на кнопке Next, чтобы вызвать диалоговое окно Add RADIUS Client.

В этом диалоговом окне нужно указать IP-адрес или имя DNS RAS-сервера (или NAS Internet-провайдера), назначить пароль Secret и определить, следует ли использовать сигнатуры для повышения уровня безопасности. Если в политике удаленного доступа не используется специальный атрибут Client-Vendor, то раскрывающийся список Client-Vendor можно игнорировать. Если администратор хочет задействовать атрибуты Client-Vendor, а в качестве IAS-клиента применяется RAS-сервер Microsoft, то необходимо изменить в раскрывающемся списке Client-Vendor стандартный параметр RADIUS Standard службы IAS на Microsoft. Если нужно использовать атрибуты Client-Vendor, а в качестве IAS-клиента применяется NAS, то следует узнать значение параметра у администратора NAS. Список Client-Vendor включает несколько реализаций, в том числе 3Com, Cisco Systems, Eicon Networks, Shiva и US Robotics. Если есть сомнения, следует использовать стандартный параметр RADIUS Standard.

Число добавляемых клиентов может быть равно числу RAS- или NAS-серверов. После того, как клиенты будут определены, следует щелкнуть правой кнопкой мыши на пиктограмме клиента, чтобы переименовать, удалить клиента или отредактировать его свойства. В оснастке Internet Authentification Service нет никаких указаний на подключение клиентов, как нет и функций обновления.

Если с целью повышения отказоустойчивости используется несколько IAS-серверов, то их необходимо конфигурировать одинаково, с одними и теми же клиентскими параметрами и политиками удаленного доступа. С помощью инструмента сценариев Netsh можно упростить конфигурирование идентичных клиентов, путем экспорта параметров одного сервера на 3,5-дюймовый диск. Затем данные с диска можно импортировать на другой сервер. Для запуска Netsh следует ввести в командной строке на IAS-сервере с выполненной конфигурацией:

netsh aaaa show config >A:IAS.txt

Эта команда выводит данные в файл. Затем дискету с файлом нужно использовать для настройки IAS-сервера. В командной строке на этом сервере следует ввести:

netsh exec a:IAS.txt

Данная команда активизирует сохраненную конфигурацию. На экране появится сообщение, подтверждающее, что конфигурирование сервера выполнено успешно. Открыв оснастку Internet Authentification Service, можно убедиться, что параметры были импортированы корректно.

Таким образом, все готово для централизованной аутентификации удаленных клиентов как для нескольких RAS-серверов Windows 2000, NT 4.0, так и для серверов сетевого доступа Internet-провайдера.

Источник: http://www.OSP.ru


Ссылки по теме:
Память в Windows NT
Особенности файловой системы NTFS
Как я поднимал NT
Средства дистанционного администрирования
Служба каталогов Active Directory в Windows 2000 Server



 
Статьи    
  Windows 10
  Windows 8
  Windows 7
  Windows Vista
  Windows XP/2003
  Windows NT/2000
  Безопасность
  Windows 9x/ME
  Hardware
  Software
  Интернет
  BIOS
  Сеть
  Разное
 
Рекомендуем
 
 
Рейтинг статей...    
    Предел входящих подключений в Windows (128666)
    Как установить Windows XP на ноутбук или как добавить SATA-драйвер в дистрибутив Windows XP (69474)
    Из дома в офис - быстро, надежно и безопасно (55386)
    Всё, что надо начинающему хакеру (50360)
    Восстановление реестра Windows XP (23272)
    Второй сервис-пак для Windows XP: личный опыт (23145)
    Вызываем синий экран смерти Windows (18423)
    Настройка удаленного подключения между Windows 7 и Linux с помощью TightVNC (17412)
    Информация о proxy серверах (17273)
    Как устроена защита Windows Vista (17118)
 
 
Programmed by Ventura
 

 

Яндекс цитирования