В предыдущей статье из этой серии я показал вам, как создать политики для авторизации (authorization policy), как для компьютера, удовлетворяющего политике безопасности, так и для компьютера, не удовлетворяющего политике безопасности. В этой статье мы завершим процедуру конфигурации сервера. Для этого на первом этапе необходимо создать политику для аутентификации по умолчанию (default authentication policy), которую можно применить на любой машине, которая проходит аутентификацию на сервера RRAS server.
Начнем процесс с открытия консоли сервера сетевых политик Network Policy Server и перехода к NPS (Local) | Authentication Processing | Authentication Policies. После этого на окне будут отражены все ранее существовавшие политики для аутентификации (authentication policies). Выбираем ранее существовавшие политики, нажимаем на них правой кнопкой мыши, а затем выбираем команду Delete (удалить) из контекстного меню.
Теперь пришло время для создания политики для аутентификации по умолчанию (default authentication policy). Для этого нажмите на ссылку New (создать), которая находится в окне Actions (команды), и выберите параметр Custom (общий). Windows отобразит окно свойств New Authentication Policy (новая политика для аутентификации), которое можно увидеть на рисунке A.
Рисунок A: Введите RRAS в качестве названия политики, затем поверьте, что политика подключена
Введите RRAS в качестве названия политики, а затем проверьте, что в поле Policy Enabled (политика включена) стоит галочка. Затем, проверьте, что выбрана кнопка Available Sources (доступные источники), а затем выберите настройку Remote Access Server (VPN-Dialup) из выпадающего списка Available Sources (доступные источники).
Теперь, перейдите на закладку Settings (настройки) и выберите контейнер Authentication (аутентификация) из дерева консоли. Теперь поставьте галочку в поле Override Authentication Settings from Authorization Policy. После этого в окне появится множество методов аутентификации, как изображено на рисунке B. Выберите поле EAP, а затем нажмите на кнопку EAP Methods.
Рисунок B: Выберите поле EAP и нажмите на кнопку EAP Methods
Windows теперь отобразит диалоговое окно Select EAP Providers (выбор поставщиков EAP). Нажмите на кнопку Add (добавить), чтобы открылся список методов аутентификации EAP authentication methods. Выберите EAP-MSCHAPv2 и Protected EAP (PEAP) из списка и нажмите на кнопку OK. Выбранные методы аутентификации EAP authentication methods должны появится в диалоговом окне Select EAP Providers (выбор поставщиков EAP), как показано на рисунке C. Для продолжения нажмите на кнопку OK.
Рисунок C: Вы должны включить аутентификацию MSCHAPv2 и PEAP authentication
Теперь перейдите на закладку Conditions (условия). Вы должны выбрать по крайней мере одно условие, которое должно быть соблюдено, чтобы политики применилась. Вы можете установить любое понравившееся вам условие, но я рекомендую перейти в дереве консоли к Connection Properties | Tunnel Type и поставить галочки напротив полей Point to Point Tunneling Protocol и Layer Two Tunneling Protocol, а затем нажать на кнопку Add (добавить). Таким образом новая аутентификационная политика (authentication policy) будет применена к VPN подключениям. Нажмите на кнопку OK, чтобы сохранить новую аутентификационную политику, которую вы только что создали.
При таком типе установки сервер сетевой политики Network Policy Server работает как сервер RADIUS server. В отличие от клиентов, выполняющих прямую аутентификацию RADIUS authentication на сервере сетевой политики Network Policy Server, сервер RRAS, который работает в качестве сервера VPN, будет работать в качестве клиента RADIUS.
Последний этап в процессе настройки сервера заключается в предоставлении серверу сетевых политик Network Policy Server списка авторизованных клиентов RADIUS. Т.к. единственным клиентом RADIUS будет сервер VPN server, то вы просто вводите IP адрес VPN сервера. Т.к. службы RRAS работают на том же физическом сервере, что и службы сетевых политик Network Policy Services, то вы просто используете IP адрес сервера.
Чтобы создать политику конфигурации клиента RADIUS Client Configuration Policy, перейдите в дереве консоли сервера сетевой политики Network Policy Server к NPS (Local) | RADIUS Clients. Затем нажмите на ссылку New RADIUS Client, которою можно найти в окне Actions. Windows запустит мастера New RADIUS Client Wizard.
В первом окне мастера вы должны будете задать имя и IP адрес для нового клиента RADIUS. При установке в реальных условиях, вы должны ввести в качестве названия RRAS, а также ввести IP адрес сервера RRAS в поле для IP адреса. Как вы помните, мы используем тестовую среду, и RRAS работает на том же самом сервере, что и службы сетевых политик Network Policy Services. Поэтому введите IP адрес сервера в соответствующее поле и нажмите на кнопку Next (далее).
После этого появится окно дополнительной информации Additional Information. В этом окне вы должны будете задать поставщика клиента (client vendor) и общий секрет (shared secret). Выберите RADIUS Standard в качестве Client Vendor (поставщика клиента). В рамках этой статьи вы можете вести RRASS в качестве shared secret. Поставьте галочку в поле Client is NAP Capable, как показано на рисунке D, и нажмите на кнопку Finish (завершить). Вы, наконец, настроили сервер сетевой политики Network Policy Server!
Рисунок D: Введите shared secret и поставьте галочку в поле Client is NAP Capable
Теперь, когда мы закончили настройку сервера сетевых политик Network Policy Server, пришло время перейти к настройке клиента для подключения к серверу. Помните, что эта техника, о которой я собираюсь вам рассказать, работает только на клиентах, которые работают под управлением операционной системы Windows Vista.
В рамках этой статьи я предполагаю, что компьютер клиента работает под управлением операционной системы Windows Vista, и что он имеет статический IP адрес. Как вы знаете, операционная система Windows Vista спроектирована для работы с IPv6 по умолчанию. Инструмент Network Access Protection (защита доступа к сети) в конечно счете должен поддерживать IPv6, но т.к. операционная система Windows Longhorn Server по-прежнему находится в тестировании, в настоящее время IPv6 не поддерживается, когда дело доходит до Network access protection. Поэтому, вы должны отключить IPv6 в сетевых настройках компьютера. Когда выйдет операционная система Longhorn Server, я намереваюсь написать обновление этого цикла статей, направленное на использование IPv6, а также всего, что изменилось по сравнению с тестовой версией.
Компьютер клиента также должен быть членом домена, который содержит сервер сетевой политики Network Policy Server. Дополнительно, домен должен содержать учетную запись пользователя (user account), которую вы можете использовать для входа на сервер Routing and Remote Access Server, который вы создали.
Теперь давайте создадим соединение Virtual Private Network connection, которое вы в конечном счете сможете использовать для проверки сервера защиты доступа к сети Network Access Protection server. Для этого откройте Панель Управления (Control Panel) и нажмите на ссылку Network and Internet (сеть и интернет), а затем на ссылку Network Center (сетевой центр). После запуска Network Center нажмите на ссылку Set up a Connection or Network (создать сеть или сетевое подключение). Появится окно, в котором вы должны указать тип соединения, которое вы хотите создать. Выберите настройку Connect to a Workplace (подключение к рабочему месту) и нажмите на кнопку Next (далее).
Выберите параметр для подключения с помощью VPN, и вам необходимо будет задать Internet адрес и название пункта назначения. Вы должны ввести IP адрес сервера RRAS в поле Internet Address. Вы можете ввести любое название в поле Destination Name (название пункта назначения). Поставьте галочку в поле Allow Other People to use this Connection (разрешить другим людям использовать это соединение) и нажмите на кнопку Next (далее). Вы должны теперь указать имя пользователя и пароль для пользователя, у которого есть разрешение на вход на сервер RRAS server, а также название домена, в который вы собираетесь входить.
Нажмите на кнопку Connect (подключиться) и операционная система Vista попытается подключиться к вашему серверу RRAS server. Более, чем вероятно, соединения не произойдет. Если вы получите сообщение, в котором говорится, что мастер не может подключиться к вашему рабочему месту, нажмите на иконку Setup a Connection Anyway. В результате этого ваши настройки будут сохранены, и позднее мы сможем завершить их конфигурацию в следующей статье из этого цикла.
В этой статье мы закончили настройку сервера сетевых политик Network Policy Server и начали настройку сетевого клиента. В следующей статье мы закончим эту серию статей, показав вам, как завершить настройку клиента.
www.windowsnetworking.com
Tags: nat, tun, tunnel, vpn, Windows Vista