Microsoft Windows Server 2003. Наиболее полное руководство


Политики удаленного доступа - часть 2


  • Условия (policy conditions). Под условием политики удаленного доступа понимаются определенные значения одного или нескольких атрибутов, сравниваемые с параметрами попытки соединения. Если имеется несколько условий, то все условия должны соответствовать параметрам попытки соединения, которое сопоставляется политике. При попытке установить удаленное соединение служба маршрутизации и удаленного доступа последовательно просматривает список условий, определенных в рамках политики удаленного доступа (рис. 14.3). Значение атрибута, определенного в условии, сравнивается с аналогичным атрибутом клиента, устанавливающего соединение. В зависимости от того, выполнены или нет все перечисленные условия политики удаленного доступа, право удаленного доступа будет предоставлено или, наоборот, аннулировано. Список поддерживаемых атрибутов приведен в табл. 14.3.

Таблица 14.3. Атрибуты, используемые для формирования условий политики удаленного доступа

Атрибут

Описание

Authentication-Type

(Тип аутентификации)

Протокол аутентификации, используемый клиентом, устанавливающим соединение. Данный атрибут позволяет администратору при необходимости потребовать для наиболее важных клиентов (с точки зрения уровня доступа) использования наиболее защищенного протокола аутентификации.

Called-Station-ld

(Идентификатор вызванной системы)

Номер телефона сервера сетевого доступа. Этот атрибут — символьная строка. Можно использовать шаблон, чтобы задать коды городов. Необходимо позаботиться об установке телефонного номера для портов

Calling-Station-ld

(Идентификатор вызывающей системы)

Номер телефона, использованный вызывающей системой. Этот атрибут — символьная строка. Можно использовать шаблоны, чтобы задать коды городов

Client-Friendly-Name

(Имя клиента, дружественное название)

Название компьютера клиента RADIUS, который требует аутентификации. Этот атрибут — символьная строка. Можно использовать шаблон, чтобы задать имена клиентов. Этот атрибут предназначен для сервера IAS

Client-IP-Address

(Клиентский IP-адрес)

IP-адрес клиента RADIUS. Этот атрибут — символьная строка. Можно использовать синтаксис шаблонов, чтобы определить IP-сеть. Этот атрибут предназначен для сервера IAS

Client-Vendor

(Изготовитель клиента)

Имя изготовителя (поставщика) сервера сетевого доступа (NAS). У сервера удаленного доступа Windows Server 2003 изготовитель — "Microsoft RAS". Можно использовать этот атрибут, чтобы конфигурировать разные политики для различных NAS-поставщиков, которые являются клиентами RAIDUS (клиенты IAS). Этот атрибут предназначен для сервера IAS. Удостоверьтесь, что NAS настроен в качестве клиента RADIUS на сервере IAS

Day-And-Time-Restrictions

(Ограничения по дню и времени)

День недели и время попытки соединения с сервером

Framed-Protocol

(Протокол кадрирования)

Используемый тип кадрирования для входящих пакетов. Примеры — РРР, AppleTalk, SLIP, Х.25 и т. д. Этот атрибут предназначен для сервера IAS

NAS-Identifier

(Идентификатор сервера сетевого доступа)

Имя, идентифицирующее сервер сетевого доступа (Network Access Server, NAS). Этот атрибут предназначен для сервера IAS

NAS-IP-Address

(IP-адрес сервера удаленного доступа)

IP-адрес сервера сетевого доступа. Этот атрибут — символьная строка. Можно использовать синтаксис шаблона для сопоставления с образцом, чтобы определить IP-сети. Этот атрибут предназначен для сервера IAS

NAS-Port-Type

(Тип порта NAS)

Тип носителей, используемых вызывающей стороной. Примеры — аналоговые телефонные линии (асинхронные линии), ISDN, туннели или виртуальные частные сети

Service-Type (Тип службы)

Тип требуемой службы. Этот атрибут разработан (предназначен) для сервера IAS

Tunnel-Type

(Тип туннеля)

Протокол туннелирования, используемый для создания виртуального защищенного канала передачи данных (туннеля). В Windows Server 2003 поддерживаются два протокола туннелирования: РРТР и L2TP

Windows-Groups

(Группы Windows)

Имена групп Windows, к которым принадлежит пользователь, делающий попытку соединения. Нет никакого атрибута для отдельного имени пользователя. Не нужно иметь отдельную политику удаленного доступа для каждой группы. Используя вложенные группы, можно перевести администрирование на уровень групп. Для сервера удаленного доступа или IAS при работе домена на функциональном уровне "Windows 2000 native" и выше администратор может использовать группы с универсальной областью действия. Запрещается использовать встроенные (built-in) группы независимо от их области действия (доменной или локальной)

<


Начало  Назад  Вперед