Sunday, November 19th, 2017

Защита сетевого доступа, повторение (часть 6)

Published on Февраль 23, 2009 by   ·   Комментариев нет

В предыдущей статье данного цикла я показывал вам, как создавать аутентификационные политики как для совместимых компьютеров, так и для несовместимых. В этой статье мы завершим процедуру настройки сервера. Первым шагом в этом направлении будет создание сетевой политики, применимой к любой машине, проходящей аутентификацию через VPN сервер.

Создание сетевой политики

Начинаем процесс открытием консоли Network Policy Server и переходом по дереву к NPS (Local) | Policies | Network Policies. В этот момент в панели details должны отображаться любые сетевые политики, созданные ранее. Проверьте, включены ли политики Compliant — Full Access и Noncompliant – Restricted, а также что политика Connections to Microsoft Routing and Remote Access Server отключена, как это показано на Рисунке A.

Nps сетевые политики vpn

Рисунок A: Убедитесь, что нужные политики включены

Теперь настало время создавать сетевую политику. Для этого щелкните правой кнопкой мыши на контейнер Network Policies и выберите New command из меню. После этого Windows запустит мастер New Network Policy Wizard.

Первое, что вы должны сделать, — ввести имя для новой политики, которую мы создаем. Давайте назовем ее RRAS. После того, как введете RRAS в поле Policy Name, выберите опцию Remote Access Server (VPN-Dial up) из выпадающего списка Type of Network Access Server, как показано на Рисунке B.

Nps сетевые политики vpn

Рисунок B: Выбор типа сервера сетевого доступа

Щелкните Next, и мастер покажет вам экран Specify Conditions. Мастер не позволит вам перейти к следующим этапам до того, как вы укажете хотя бы одно условие для политики. Я хочу настроить политику на отслеживание типа входящего соединения. Так что я могу установить применение политики к любому VPN соединению, устанавливаемому с сервером.

Для установки условий щелкните на кнопку Add, затем прокрутите список в диалоговом окне Select Conditions, пока не найдете опцию Tunnel Type. Выберите Tunnel Type и щелкните Add. Теперь вы увидите экран, на котором вам предлагается указать типы туннелей, необходимых для соответствия политике. Здесь вы можете выбрать абсолютно все, что хотите, но я рекомендую вам выбрать опции Layer Two Tunneling Protocol (L2TP) и Point to Point Tunneling Protocol (PPTP), как показано на Рисунке C.

Развертывание radius Windows 2003

Рисунок C: Выберите опции PPTP и L2TP, а затем щелкните OK

Щелкните OK, а затем Next. Мастер теперь покажет экран Specify Access Permission. Выберите опцию Access Granted, а затем выберите Access is Determined by User Dial In Properties, как показано на Рисунке D.

Развертывание radius Windows 2003

Рисунок D: Выберите сначала Access Granted, а затем Access is Determined by User Dial In Properties

На следующем экране вам предложат выбрать, какие типы EAP вы хотите использовать для аутентификации. Вы можете использовать любые типы EAP, но я рекомендую использовать Microsoft Protected EAP и EAP-MSCHAP-V2 . Чтобы указать эти типы EAP, щелкните на кнопку Add, затем выберите опцию Microsoft: Protected EAP (PEAP) и щелкните OK. Теперь снова щелкните на кнопку Add, выберите опцию Microsoft: Secured Password (EAP-MSCHAP-V2) и щелкните OK. Когда мастер вернется к экрану Configure Authentication Methods, отмените выбор Microsoft Encrypted Authentication (MS-CHAP). Экран теперь должен выглядеть следующим образом (Рисунок E).

Развертывание radius Windows 2003

Рисунок E: Экран Configure Authentication Methods должен выглядеть следующим образом

Щелкните Next, и мастер перейдет к экрану Configure Constraints. Как вы видите на Рисунке F, на этом экране вы можете настроить такие вещи, как период времени истечения сессии, а также другие ограничения на время и день, которые вы захотите использовать. При заданной сложности развертывания NAP я бы не рекомендовал поначалу ставить ограничения. Я считаю, что сначала лучше сфокусироваться на том, чтобы заставить работать NAP, и уже потом вернуться к подобным настройкам.

Сетевые политики в radius

Рисунок F: Я предлагаю не спешить с установкой ограничений

Щелкните Next, а затем Finish для завершения процесса настройки.

Политика настройки клиента RADIUS

В этом типе развертывания сервер сетевой политики выступает в качестве сервера RADIUS. Вместо того чтобы клиенты самостоятельно выполняли RADIUS аутентификацию на сервере сетевой политики, сервер RRAS как VPN сервер будет действовать как клиент RADIUS.

На последнем шаге настройки сервер сетевой политики обеспечивается списком авторизованных клиентов RADIUS. Поскольку единственным клиентом RADIUS будет VPN сервер, вам нужно будет просто ввести IP-адрес VPN сервера. Помните, что службы RRAS физически выполняются на том же сервере, что и службы сетевой политики, так что вам нужно будет только указать собственный адрес сервера.

Для создания политики настройки клиента RADIUS в консольном дереве сервера сетевой политики к NPS (Local) | RADIUS Clients and Servers | RADIUS Clients Теперь щелкните правой кнопкой мыши на контейнер RADIUS Clients и выберите из меню команду New RADIUS Client. После этого Windows откроет диалоговое окно New RADIUS Client.

Первое, что требует диалоговое окно, — это ввести дружественное имя и IP-адрес нового клиента RADIUS. В реальных условиях вам нужно будет ввести в этом месте RRAS в качестве дружественного имени и IP-адрес RRAS сервера. Как вы помните, у нас сейчас тестовая среда, и RRAS запущена на том же сервере, что и службы сетевой политики. Так что вводите собственно имя сервера и его IP-адрес.

Следующим полем в диалоговом окне является поле Vendor Name (Название производителя). Честно говоря, совершенно не представляю, для чего это название нужно, но в пояснении в диалоговом окне написано, что вам нужно использовать стандартные настройки в большинстве случаев. Раньше все с этим было в порядке, так что продолжайте и выбирайте стандартную опцию RADIUS, если она еще не выбрана.

Следующее, о чем спрашивается в диалоговом окне, — это разделяемый секрет. Как всегда, о разделяемом секрете должны быть ознакомлены и клиент, и сервер. Самым безопасным способом установки разделяемого секрета является нажатие кнопки Generate. После этого нажатия Windows самостоятельно создаст разделяемый секрет случайным образом.

Лично я рекомендую создавать удобный простой разделяемый секрет вручную. Есть две причины для этого. Во-первых, не все клиенты Windows поддерживают использование длинных разделяемых секретов. Во-вторых, довольно сложно набирать длинную строку, случайно сгенерированную, состоящую из множества чисел, букв и символов. В целях упрощения рекомендую выбрать опцию Manual, а затем просто использовать слово RRAS в качестве разделяемого секрета. После того, как у вас заработает NAP, вы всегда можете выбрать более длинный и сложный секрет.

И последнее, что вам нужно сделать – это выбрать RADIUS Client is NAP. Диалоговое окно NEW RADIUS Client теперь должно выглядеть так, как показано на Рисунке G. Щелкните OK для завершения процесса настройки.

Разворачивание nap

Рисунок G: Введите разделяемый секрет и выберите Client is NAP Capable

Заключение

В данной статье мы завершили настройку сервера сетевой политики. В части 7 я покажу вам, как выполнить часть процесса установки – настройку клиента.

www.windowsnetworking.com


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]