Thursday, November 23rd, 2017

Защита сетевого доступа, повторение (часть 7)

Published on Февраль 24, 2009 by   ·   Комментариев нет

В предыдущей части этой серии статей мы поработали с сервером сетевой политики (Network Policy Server). К сожалению, мы не совсем завершили процесс настройки. Наши клиенты Windows Vista со временем аутентифицируются на сервере VPN с помощью Protected EAP (PEAP) протокола. Прежде чем мы сможем использовать PEAP, нам нужно связать сертификат компьютера с сервером VPN. К счастью, мы уже создали производственный ЦС, который можно использовать для этой цели. В этой части я покажу, как запрашивать необходимый сертификат и как связывать этот сертификат с сервером VPN.

Запрос сертификата

Мы используем Protected EAP (PEAP) в качестве механизма аутентификации на стороне сервера. Чтобы это произошло, нам нужно получить сертификат компьютера из центра сертификации, который мы создали ранее в этой серии. Для это вводим команду MMC в диалоговое окно Выполнить. Когда откроется консоль управления Microsoft Management Console, выбираем команду Добавить или удалить оснастку из меню Файл. Далее выбираем опцию Сертификаты из списка оснасток и нажимаем кнопку Добавить, после чего жмем Готово.

Теперь консоль отобразит оснастку шаблонов сертификатов. Разворачиваем строку Шаблоны сертификатов (Certificate Templates) (для этого может потребоваться несколько минут), а затем находим Шаблоны компьютера в панели Подробностей. Правой клавишей жмем на Шаблонах компьютера и выбираем опцию Дублировать шаблон из появившегося контекстного меню.

Теперь Windows спросит, хотите ли вы создать Windows Server 2003 или Windows Server 2008 сертификат. Выбираем опцию Windows Server 2008 и жмем OK. На данном этапе Windows отобразит окно свойств нового шаблона.

Первое, что придется сделать, это ввести имя нового шаблона. Можно назвать шаблон любым, имеющим для вас смысл, именем. В этом примере я назову шаблон сертификата VPN. Теперь задаем срок действия шаблона, а затем выбираем опции «Опубликовать сертификат в Active Directory» и «Разрешить экспортирование частного ключа».

Теперь переходим во вкладку «Управление запросами» и проверяем, чтобы опция «Цель» имела значение «Подпись и шифрование». Необходимо также выбрать опцию «Добавить разрешения чтения сетевой службе». Наконец, переходим в закладку Безопасность и нажимаем кнопку Добавить. Когда Windows отобразит диалоговое окно «Добавление пользователей, компьютеров или групп», убедитесь, что в поле «Из этого места» есть название вашего домена. Введите слово Administrators в поле «Ввод названий объектов для выбора» и нажмите кнопку Проверить имена. Если Windows способна разрешить группу администраторов домена (Domain Administrators), нажмите OK. Наконец, добавьте опцию «Разрешить полный доступ» для группы администраторов (Administrators) и нажмите OK.

Теперь закройте консоль шаблонов сертификатов и выберите команду Центр сертификации из меню Администрирование на сервере. После этого Windows откроет консоль центра сертификации. На данном этапе необходимо развернуть ветвь, соответствующую названию вашего сервера, и найти в ней вкладку Шаблоны сертификатов.

Нажимаем правой клавишей на вкладке Шаблоны сертификата и выбираем команду New | Certificate Template to Issue из появившегося контекстного меню. После этого Windows отобразит команду Включить шаблоны сертификата. Пролистайте список доступных шаблонов и найдите шаблон, который создали. Выберите этот шаблон и нажмите OK.

Теперь можно связать шаблон сертификата с сервером. Для этого вводим MMC в диалоговое окно Выполнить. Когда откроется консоль управления Microsoft Management Console, выбираем команду Добавить или удалить оснастку из меню Файл. Когда Windows отобразит список доступных оснасток, выбираем оснастку Сертификаты из списка, и нажимаем кнопку Добавить.

Теперь Windows спросит, хотите ли вы работать с сертификатом учетной записи пользователя, учетной записи службы или учетной записи компьютера. Очень важно выбрать именно опцию Учетная запись компьютера. Нажмите Далее, затем Готово и OK, и Windows отобразит консоль сертификатов.

Последняя часть процесса включает разворот вкладки Сертификаты (локальный компьютер), чтобы открыть содержащиеся в ней вкладки. Теперь правой клавишей нажимаем на строке Личные и выбираем Все задачи | Запросить новый сертификат из появившегося контекстного меню. Это заставит Windows запустить мастера регистрации сертификатов (Certificate Enrollment Wizard).

Нажимаем Далее, чтобы пропустить приветственное окно мастера и у нас откроется страница, отображающая различные шаблоны, доступные для регистрации. Отмечаем галочкой шаблон, который мы создали, и нажимаем кнопку Зарегистрировать (Enroll). Процесс регистрации может занять несколько минут. Когда регистрация завершена, нажимаем кнопку Готово. Теперь можно закрыть консоль сертификатов.

Теперь, когда мы привязали сертификат к нашему серверу, нам необходимо настроить политику запроса для его использования. Для этого открываем консоль сервера NPS, и переходим в древе консоли к NPS (Local) } Политики | Политики запроса подключения . После этого в панели подробностей будет отображен список политик запроса подключений, расположенных на сервере. У вас должна быть политика с названием NAP VPN или что-то вроде того, которую вы настроили ранее в этой серии статей.

Правой клавишей нажимаем на политике запроса подключений NAP VPN и выбираем команду Свойства из появившегося контекстного меню. После этого Windows отобразит страницу свойств политики NAP VPN. На странице свойств переходим по вкладке Параметры и нажимаем опцию Метод аутентификации. Теперь у вас должно появиться Microsoft: Protected EAP (PEAP) в списке EAP Types, как показано на рисунке A. Если в списке у вас нет Microsoft: Protected EAP (PEAP), то нажмите кнопку Добавить, чтобы добавить его.

Консоль сертификатов Windows 7

Рисунок A: Microsoft Protected EAP должна быть в списке EAP Types

Теперь выбираем список Microsoft Protected EAP (PEAP) и нажимаем кнопку Редактировать. Проверяем, что требуемый нами ранее сертификат выбран. Также необходимо проверить, что опции «Включить быстрое повторное подключение» (Enable Fast Reconnects) и «Включить карантинные проверки» (Enable Quarantine Checks) выбраны. В поле EAP Types внизу страницы должно стоять значение Безопасный пароль (Secure Password (EAP MSCHAP V2)). Если нет, то нужно нажать кнопку Добавить и добавить его. Когда все готово, нажимаем OK. Нажимаем OK еще раз, чтобы завершить этот процесс.

Заключение

В этой части я показал вам, как запрашивать сертификат компьютера, и как привязывать этот сертификат к вашему серверу VPN. В следующей части мы рассмотрим еще некоторые шаги настройки.

www.windowsnetworking.com


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]