Локальные сети - типовые задачи администрирования



Добавление условия политики удаленного доступа



Рисунок 14.3. Добавление условия политики удаленного доступа




  • Право удаленного доступа (remote access permission). Условия, определяемые в рамках политики удаленного доступа, задают фильтры, по которым отбираются клиенты, устанавливающие соединение, с тем, чтобы в последующем принять решение о том, будет ли им предоставлено право удаленного доступа или нет. Администратор может предоставить клиентам, отвечающим определенным условиям, это право, установив в окне свойств политики удаленного доступа переключатель Grant remote access permission (Предоставить право удаленного доступа), или отказать в нем, установив переключатель Deny remote access permission (Запретить разрешение удаленного доступа). Право удаленного доступа может быть также предоставлено (или аннулировано) непосредственно на уровне учетной записи пользователя: Будучи определенно на обоих уровнях, право удаленного доступа, предоставленное на уровне учетной записи, перекрывает право, предоставленное в рамках политики удаленного доступа. Если право удаленного доступа на уровне учетной записи пользователя установлено в значение Control Access through Remote Access policy (Управление на основе политики удаленного доступа), удаленный доступ предоставляется в соответствии с параметрами политики. По умолчанию устанавливается значение Deny remote access permission (Отказать в праве удаленного доступа). Это означает, что по умолчанию политика удаленного доступа запрещает удаленный доступ для клиентов, отвечающих определенным условиям.
  •  Профиль (profile). После того как клиенту предоставлено право удаленного подключения к сети, необходимым этапом становится определение конфигурации этого подключения. Политика удаленного доступа регулирует этот этап посредством механизма профилей политики удаленного доступа. Профиль (Рисунок 14.4) представляет собой набор параметров, описывающих конфигурацию сетевого соединения. Эти параметры объединяются в шесть групп:
  •  параметры, ограничивающие входящие звонки (вкладка Dial-in Constraints). Эта группа параметров позволяет администратору управлять такими свойствами сетевого подключения, как время простоя соединения, после которого соединение разрывается, дни и время, когда разрешено устанавливать соединение и т. п. Перечень параметров этой группы приведен в табл. 14.4;
  •  параметры, определяющие способ назначения клиенту IP-адреса (вкладка IP). По умолчанию сервер удаленного доступа автоматически распределяет IP-адреса, и клиентам не разрешено запрашивать конкретные IP-адреса. Эта же группа параметров позволяет администратору настроить фильтрацию IP-трафика в соответствии с требуемым уровнем безопасности. Администратор может запретить прохождение определенного типа трафика между клиентом удаленного доступа и сервером удаленного доступа (либо напротив, ограничить весь трафик пакетами определенного типа — например, разрешить только НТТР-трафик);
  •  параметры, регламентирующие функциональные возможности многоканального подключения (вкладка Multilink). Эта группа параметров используется для разрешения многоканального подключения, для определения максимального числа портов, которые могут быть использованы входящими соединениями, а также для настройки протокола ВАР (Bandwidth Allocation Protocol), включая формирование политики, определяющей его использование. По умолчанию использование многоканального подключения и протокола ВАР запрещено. Для применения этих параметров сервер удаленного доступа должен иметь возможность установления многоканального соединения и установленный протокол ВАР;
  •  параметры, регламентирующие процесс проверки подлинности пользователей (вкладка Authentication). Данная группа параметров используется для задания протоколов аутентификации, разрешенных для конфигурируемого соединения. В случае если разрешается использование расширяемого протокола аутентификации ЕАР, администратор может также определить тип используемого расширения ЕАР. По умолчанию разрешаются только протоколы аутентификации MS-CHAP и MS-CHAP v2. Следует обратить внимание на то, что в рамках профиля определяются протоколы аутентификации, которые разрешены для использования клиентами. Чтобы механизмы аутентификации успешно работали, необходимо, чтобы аналогичные протоколы были разрешены также и на уровне сервера удаленного доступа;
  •  параметры, определяющие уровень защищенности передаваемых данных (вкладка Encryption). Эта группа параметров позволяет активизировать механизмы шифрования данных, передаваемых в рамках конфигурируемого соединения. Администратор может определить механизмы шифрования, которые будут при этом использоваться, и уровень стойкости используемых алгоритмов (определяется длиной используемого для шифрования ключа). По умолчанию разрешено шифрование МРРЕ;
  •  дополнительные параметры (вкладка Advanced). Эта группа параметров позволяет настроить дополнительные свойства для определения ряда атрибутов RADIUS, которые сервер IAS возвращает клиенту RADIUS. По умолчанию протоколом удаленного доступа (Framed-Protocol) является РРР и для параметра Service-Type установлено значение Framed. Единственные атрибуты, используемые сервером удаленного доступа, — Account-interim-interval, Framed-Protocol, Framed-MTU, Reply-Message и Service-Type.