Администраторы имеют возможность регулировать параметры доступа удаленных клиентов в локальную сеть.

ПримЕчАниЕ

Описываемые политики доступа определяют одновременно как возможность подключения по модему, так и создание VPN-подключения.

При использовании RRAS настройки доступа выполняются путем задания расписания входящих соединений (когда можно и когда нельзя устанавливать подключение) и путем политики подключений. На каждом сервере RRAS применяются свои политики доступа. При этом в домене не существует возможности централизации этих настроек. Точнее, администратор не может централизованно управлять политиками доступа RRAS. Но он может создать на каждом сервере RRAS одинаковые политики, определяющие права доступа к локальной сети в зависимости от членства в доменных группах, после чего централизованно настраивать доступ путем изменения состава этих групп. То есть если в организации имеется несколько точек доступа, то настраивать каждую из них следует индивидуально.

Возможный выход - это установка службы IAS (Internet Authentication Service). IAS - это реализация сервера RADIUS (Remote Authentication Dial-In User Service) на платформе Microsoft. RADIUS традиционно используется многими интернет-провайдерами для аутентификации подключаемых к сети пользователей. После установки IAS достаточно в настройках каждого сервера RRAS указать использование этой службы (в целях резервирования обычно настраиваются основной и резервный серверы IAS). Таким образом, все серверы удаленного доступа при попытках подключения пользователей будут обращаться к одному серверу IAS, а настраивать одну политику доступа гораздо удобнее, чем постоянно заботиться об идентичности параметров различных серверов.

Варианты аутентификации пользователей Существуют различные варианты проверки данных пользователей, пытающихся осуществить подключение к локальной сети. По умолчанию используются безо пасные методы, предполагающие как шифрование пароля пользователя, так и шифрование передаваемых данных. Вряд ли администратору придется разрешать менее безопасные варианты, предусмотренные в целях совместимости с предыдущими версиями клиентов.

Самым безопасным способом аутентификации пользователя является использование смарт-карт (или их аналогов). Если имеется техническая возможность, следует использовать только этот вариант подключения, для чего в политике RRAS (или IAS) указать среди вариантов аутентификации пользователей только протокол расширенной проверки подлинности (Extensible Authentication Protocol, EAP).

Разрешения на подключения По умолчанию политика RRAS не разрешает подключения к сети предприятия ни одному пользователю. В этом случае используются права доступа, прописанные в настройках каждого пользователя, а по умолчанию пользователи создаются без наличия права создания подключения.

Если администратор сохраняет политику подключения по умолчанию, то он должен индивидуально выдать разрешения пользователям на подключение к локальной сети. Для этого необходимо установить параметр разрешения доступа на вкладке настройки входных звонков профиля пользователя.

Другой способ разрешения состоит в создании собственных политик доступа, в которых право подключения предоставляется либо определенным пользователям, либо их группам. Создание и редактирование новой политики подключения не представляет никакой сложности и легко может быть выполнено любым специалистом.

Настройки входящих vpn-подключений для windows | Самоучитель системного администратора | Удаленное подключение к linux


Самоучитель системного администратора



Новости за месяц

  • Август
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31