Администраторы имеют возможность регулировать параметры доступа удаленных клиентов в локальную сеть.

ПримЕчАниЕ

Описываемые политики доступа определяют одновременно как возможность подключения по модему, так и создание VPN-подключения.

При использовании RRAS настройки доступа выполняются путем задания расписания входящих соединений (когда можно и когда нельзя устанавливать подключение) и путем политики подключений. На каждом сервере RRAS применяются свои политики доступа. При этом в домене не существует возможности централизации этих настроек. Точнее, администратор не может централизованно управлять политиками доступа RRAS. Но он может создать на каждом сервере RRAS одинаковые политики, определяющие права доступа к локальной сети в зависимости от членства в доменных группах, после чего централизованно настраивать доступ путем изменения состава этих групп. То есть если в организации имеется несколько точек доступа, то настраивать каждую из них следует индивидуально.

Возможный выход - это установка службы IAS (Internet Authentication Service). IAS - это реализация сервера RADIUS (Remote Authentication Dial-In User Service) на платформе Microsoft. RADIUS традиционно используется многими интернет-провайдерами для аутентификации подключаемых к сети пользователей. После установки IAS достаточно в настройках каждого сервера RRAS указать использование этой службы (в целях резервирования обычно настраиваются основной и резервный серверы IAS). Таким образом, все серверы удаленного доступа при попытках подключения пользователей будут обращаться к одному серверу IAS, а настраивать одну политику доступа гораздо удобнее, чем постоянно заботиться об идентичности параметров различных серверов.

Варианты аутентификации пользователей Существуют различные варианты проверки данных пользователей, пытающихся осуществить подключение к локальной сети. По умолчанию используются безо пасные методы, предполагающие как шифрование пароля пользователя, так и шифрование передаваемых данных. Вряд ли администратору придется разрешать менее безопасные варианты, предусмотренные в целях совместимости с предыдущими версиями клиентов.

Самым безопасным способом аутентификации пользователя является использование смарт-карт (или их аналогов). Если имеется техническая возможность, следует использовать только этот вариант подключения, для чего в политике RRAS (или IAS) указать среди вариантов аутентификации пользователей только протокол расширенной проверки подлинности (Extensible Authentication Protocol, EAP).

Разрешения на подключения По умолчанию политика RRAS не разрешает подключения к сети предприятия ни одному пользователю. В этом случае используются права доступа, прописанные в настройках каждого пользователя, а по умолчанию пользователи создаются без наличия права создания подключения.

Если администратор сохраняет политику подключения по умолчанию, то он должен индивидуально выдать разрешения пользователям на подключение к локальной сети. Для этого необходимо установить параметр разрешения доступа на вкладке настройки входных звонков профиля пользователя.

Другой способ разрешения состоит в создании собственных политик доступа, в которых право подключения предоставляется либо определенным пользователям, либо их группам. Создание и редактирование новой политики подключения не представляет никакой сложности и легко может быть выполнено любым специалистом.

Настройки входящих vpn-подключений для windows | Самоучитель системного администратора | Удаленное подключение к linux


Самоучитель системного администратора



Новости за месяц

  • Январь
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс