Политика удаленного доступа — именованное правило, в которое входят следующие элементы: условия, разрешение (право) удаленного доступа, а также профиль.
|
Условия (Conditions).
.Условия политики удаленного доступа— это один или несколько атрибутов (рис.
19.7, табл. 19.15), которые сравниваются с параметрам настройки попытки
соединения. Если имеется несколько условий, то все условия должны соответствовать
параметрам попытки соединения, которое сопоставляется политике. |
Таблица 19.15. условия политики удаленного доступа
Наименование атрибута | Описание |
NAS-IP-Address | /TD>|
Service-Type (Тип службы) | Тип требуемой службы. Этот атрибут разработан (предназначен) для сервера IAS |
Framed-protocol (Протокол кадрирования) | Используемый тип кадрирования для входящих пакетов. Примеры — РРР, AppleTalk, SLIP, X.25. Этот атрибут предназначен для сервера IAS |
Called-Station-ID (Идентификатор вызванной системы) | Номер телефона сервера сетевого доступа (N AS). Этот атрибут— символьная строка. Можно использовать шаблон, чтобы задать коды городов. Необходимо позаботиться об установке телефонного номера для портов |
Calling-Station-ID (Идентификатор вызывающей системы) | Номер телефона, использованный вызывающей системой. Этот атрибут— символьная строка. Можно использовать шаблоны, чтобы задать коды городов |
NAS-Port-Type (Тип порта NAS) | Тип носителей, используемых вызывающей стороной. Примеры— аналоговые телефонные линии (асинхронные линии), ISDN, туннели или виртуальные частные сети |
Day-and-time-restrictions (Ограничения по дню и времени) | День недели и время попытки соединения с сервером |
Client-IP-address (Клиентский IP-адрес) | IP-адрес сервера сетевого доступа (клиент RADIUS). Этот атрибут — символьная строка. Можно использовать синтаксис шаблонов, чтобы определить IP-сеть. Этот атрибут предназначен для сервера IAS |
Client-Vendor (Изготовитель клиента) | Имя изготовителя (поставщика) сервера сетевого доступа (NAS). У сервера удаленного доступа Windows XP изготовителем является Microsoft RAS. Можно использовать этот атрибут, чтобы конфигурировать разные политики для различных NAS-поставщиков, которые являются клиентами RAIDUS (клиенты IAS). Этот атрибут предназначен для сервера IAS. Удостоверьтесь, что NAS настроен в качестве клиента RADIUS на сервере IAS |
Client-friendly name (Имя клиента, дружественное название) |
Название компьютера клиента RADIUS, который требует аутентификации. Этот атрибут— символьная строка. Можно использовать шаблон, чтобы задать имена клиентов. Этот атрибут предназначен для сервера IAS |
Windows-Groups (Группы Windows) |
Имена групп Windows, которым принадлежит пользователь, делающий попытку соединения. Нет никакого атрибута для отдельного имени пользователя. Не нужно иметь отдельную политику удаленного доступа для каждой группы. Используя вложенные группы можно перевести администрирование на уровень групп. Для сервера удаленного доступа или IAS при работе домена в основном (native) режиме Windows XP необходимо использовать универсальные (universal) группы |
|
Рис.
19.7. Добавление
политики удаленного доступа — условия и атрибуты
|
|
Право удаленного доступа (Remote access permission). Если все условия политики удаленного доступа выполнены, то право удаленного доступа или предоставляется, или отклоняется. Для политики нужно выбрать положение переключателя Предоставить право удаленного доступа (Grant remote access permission) или Запретить разрешение удаленного доступа (Deny remote access permission). Право удаленного доступа также предоставляется или отклоняется для каждой учетной записи пользователя. Право удаленного доступа пользователю перекрывает право удаленного доступа политики. Если право удаленного доступа в учетной записи пользователя установлено в значение Управление на основе политики удаленного доступа (Control Access through Remote Access policy), удаленный доступ предоставляется согласно разрешению политики. Предоставление доступа через настройку права учетной записи пользователя или настройку права политики — это только первый шаг в принятии соединения. Параметры попытки соединения сравниваются с параметрами учетной записи пользователя и профилем политики. Попытка соединения, не соответствующая свойствам учетной записи пользователя или профиля, отклоняется. По умолчанию для политики удаленного доступа установлено значение Отказать в праве удаленного доступа (Deny remote access permission). | ||
|
Профиль (Profile). Профиль
политики удаленного доступа — набор параметров, которые применяются к соединению
после того (post-условие), как
разрешение удаленного доступа будет получено (в соответствии с учетной записью пользователя или политикой) (рис. 19.8, табл. 19.16).
|
Таблица 19.16. Параметры профиля политики удаленного доступа
Название параметра |
Описание |
|
Параметры соединения |
||
Разъединение при простое (Idle Disconnect Time) |
Временной интервал, по истечении которого соединение будет прервано, если нет никаких действий. По умолчанию это свойство не установлено, и сервер удаленного доступа не разрывает неактивное соединение |
|
Максимальная продолжительность сеанса (Maximum Session length) |
Максимальное время до разрыва соединения сервером удаленного доступа. По умолчанию это свойство не установлено, а сервер удаленного доступа не ограничивает время сеанса связи |
|
Разрешить входящие подключения только в эти дни и время (Day and time limits) |
Дни недели и часы для каждого дня, во время которых соединение разрешено. Если день и время попытки соединения не соответствуют настройкам, попытка соединения отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа не анализирует данные параметры |
|
Разрешить вход только по номеру (Dial-in Number) |
Заданный номер телефона, который вызывающая сторона должна набрать, чтобы установить соединение. Если номер соединения не соответствует заданному, попытка соединения отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа позволяет устанавливать соединение с любого телефонного номера |
|
Разрешить входящие звонки следующих типов (Dial-in media) |
Специальные типы носителей, например модем, ISDN или VPN, который вызывающая сторона должна использовать для соединения. Если попытка соединения по коммутируемой среде не соответствует настройке, она отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа разрешает все типы сред передачи данных |
|
Прочие параметры (вкладки на рис. 19.8) |
||
IP |
Позволяют устанавливать свойства IP, которые управляют выдачей клиентам IP-адресов для соединения. По умолчанию сервер удаленного доступа автоматически распределяет IP-адреса, и клиентам не разрешено запрашивать конкретные IP-адреса |
|
Многоканальное подключение (Multilink) |
Позволяют устанавливать свойства многоканального соединения, разрешающие многоканальную связь и определяющие максимальное число портов, которые могут использовать входящие соединения. Дополнительно позволяют устанавливать протокол ВАР и соответствующую политику, которая определяет его использование. По умолчанию многоканальное соединение и ВАР заблокированы. Для применения этих параметров сервер удаленного доступа должен иметь возможность установления многоканального соединения и установленный протокол ВАР |
|
Проверка подлинности (Authentication) |
Позволяют указать типы проверки подлинности, разрешенные для соединения, и определить тип используемого ЕАР. По умолчанию разрешены методы проверки подлинности с шифрованием — MS CHAP и MS PAP v2 . Для применения этих параметров на сервере удаленного доступа должны быть разрешены соответствующие типы проверки подлинности |
|
Шифрование (Encryption) |
Позволяют назначить шифрование данных для соединения, при этом можно указать конкретные типы шифрования. По умолчанию разрешено шифрование IPSec и МРРЕ |
|
Дополнительно (Advanced) |
Позволяют настроить дополнительные свойства для определения ряда атрибутов RADIUS, которые сервер IAS возвращает клиенту RADIUS. По умолчанию протоколом удаленного доступа (Framing protocol) является РРР и установлен параметр Service type = Framed. Единственные атрибуты, используемые сервером удаленного доступа Account-interim-interval, Framed-Protocol, Framed-MTU, Reply-Message и Service-Type |