- •Структура сетевой среды Windows nt.
- •Диспетчер ввода-вывода ( в Исполнительном центре nt)
- •Взаимодействие процессов (ipc).
- •Сетевые протоколы.
- •Протокол tcp/ip ( повторение) .
- •Проверка связи по tcp/ip.
- •Имена Net Bios. Обозреватель сети.
- •Сетевая служба dhcp
- •Сетевая служба dhcp( настройка области)
- •Конфигурация dhcp(резервирование адресов, связь с dns …)
- •Сетевая служба wins
- •Конфигурирование сервера wins
- •Сетевая служба dns
- •Разрешение имен Интернета через dns
- •Установка сервера dns и создание зоны.
- •Записи зоны rr (resource record)
- •Создание структуры доменов (Пример)
- •Создание резервных зон
- •Сервер служб Интернета ( I I s)
- •Сервер www
- •Первичное конфигурирование web сайта
- •Анонимный вход и создание web сайта
- •Обращение к сайту через dns
- •Обращение к сайту по имени dns( нескольким именам)
- •Дополнительные настройки web сайта
- •Создание нескольких сайтов на одном сервере
- •Ftp сервер
- •Ftp клиент, виртуальные каталоги, проверка доступа
- •Изменение текущего каталога
- •Режим передачи
- •Проверка доступа в iis. Применение удаленного доступа.
- •Режимы удаленной связи. Протоколы удаленного доступа.
- •Подключение модема и создание удаленного соединения.
- •Установка и настройка сервера удаленного доступа.
- •Разрешения удаленного доступа.
- •Политики удаленного доступа.
- •1. Доступ определяется свойствами учетной записи пользователя
- •Условия и профили политик
- •Практика конфигурирования rras.
- •Рекомендованная литература
1. Доступ определяется свойствами учетной записи пользователя
Эта модель создается, когда в свойствах учетной записи в закладке Dial-in явно задано разрешение либо запрещение удаленного доступа флагами:
Allow access разрешение на удаленный доступ
Deny access запрет на удаленный доступ
Эта модель хорошо работает для небольшого числа пользователей т.к. для каждого пользователя приходится вручную настраивать удаленный доступ.
Однако, сначала будут проверены условия политики и, если условия хотя бы одной политики будут выполнены, то тогда будет проверяться разрешение в свойствах учетной записи. Поэтому, хотя бы одна политика с разрешающими условиями должна быть определена.
Если пользователю разрешен доступ в свойствах учетной записи, то проверяются другие настройки в свойствах пользователя и профиля политики, по которой был выполнен вход. Разрешения доступа, установленные в политике при этом игнорируются.
2. Доступ определяется политикой удаленного доступа в смешанном ( mixed-mode) режиме домена. Этот тип доступа устанавливается, когда в свойствах всех учетных записей явно задано Allow access но вход выполняется в первую очередь не через стандартную политику, а через дополнительные политики с разными условиями. Например:
а) доступ разрешить только для пользователей группы admin. В этом случае можно удалить стандартную политику и создать новую, в которой задать условие Windows-Groups с указанием группы admin и включить флаг “Grant remote access permissions”
б) доступ разрешить всем, кроме группы admin. В этом случае нужно создать вторую политику, в которой задать условие Windows-Groups с указанием группы admin и включить флаг “Deny remote access permissions”. Выделить эту политику и в контекстном меню выбрать Move-up, чтобы ее поставить на первое место перед стандартной. Для явного запрета доступа группе нужно во второй политике в свойствах профиля включить Restrict dial-in to this number only – несуществующий номер.
3. Доступ определяется политикой удаленного доступа в естественном ( native-mode) режиме домена. При этом доступе в свойствах всех учетных записей устанавливается флаг
Control access through Remote access Policy. Этот флаг и часть других в учетной записи пользователя доступны только в Native режиме домена. В этом случае доступ определяется только настройками в политике удаленного доступа. Если в политике установлен флаг Deny remote access permission, то всем пользователям, которые соответствуют условиям политики, доступ будет закрыт. И наоборот, если установлен флаг Grant remote access permission ,то всем пользователям, которые соответствуют условиям политики, свойствам учетной записи и профилю, доступ будет открыт.
Вопросы на закрепление:
Где проверяется доступ в первую очередь. Когда настройки политики не играют никакой роли, а доступ определяется только свойствами учетной записи
Как можно ограничить доступ для определенных групп пользователей и по времени?
Условия и профили политик
Условия политик удаленного доступа
Условия политик проверяются первыми при определении разрешений на доступ. В основном используется 2 условия:
Day-And-Time-Restriction - условие доступа по дням недели и времени
Windows-Groups - условие доступа/запрета по принадлежности к группе безопасности Windows
Остальные условия используются в особых случаях (при использовании серверов RADIUS и IAS)
название атрибута |
назначение |
NAS IP Address |
IP адрес вызывающего сервера сетевого доступа(NAS). используется только для IAS сервера. |
Service Type |
Тип службы, запрашиваемой вызывающим сервером. Примером может быть служба PPP соединений или служба регистрации такая как Telne. Используется RADIUS сервером и IAS server. |
Framed Protocol |
протокол, применяемый для формирования входящих кадров. Таких как PPP, SLIP, Frame Relay, и X.25. Это нужно для IAS server. |
Called Station ID |
телефонный номер вызываемого сервера сетевого доступа(NAS) Функции определения телефонного номера должна поддерживать вся аппаратура дистанционной связи. |
Calling Station ID |
Телефонный номер вызывающего. Функции передачи телефонного номера должна поддерживать вся аппаратура дистанционной связи. |
NAS Port Type |
Носитель передачи данных, используемый вызывающим. Например, аналоговая телефонная линия или ISDN. |
Client IP Address |
IP адрес клиента RADIUS . |
Client Vendor |
Производитель сервера сетевого доступа - клиента RADIUS |
Client Friendly Name |
Имя RADIUS клиента компьютера, который требует аутентфикации |
Tunnel Type |
Туннельный протокол, который будет применяться. Например, Point-to-Point Tunneling Protocol (PPTP) и Layer Two Tunneling Protocol (L2TP) |
Профили политик удаленного доступа
Профили используются для авторизации пользователя в системе и применяются после его аутентификации. Они определяют:
ограничения для соединения.
Disconnect if idle for – отсоединять при отсутствии активности в течение ...
Restrict maximum sessions to - время, по истечении которого соединение будет разорвано
Restrict access to the following days and times - ограничить доступ в следующие дни и время
Restrict Dial-in to this number only - ограничить доступ только с этого номера
Restrict Dial-in media - ограничить доступ только со следующих носителей (ISDN, T1,ADSL)
Задание политики IP адресов
IP Address Assignment Policy - будет ли IP адрес предоставляться сервером или запрашиваться клиентом
IP packet Filters – задание типов разрешенных пакетов в обеих направлениях (определяются по IP адресам источника и назначения, типу протокола, портам источника или назначения ...)
Разрешения протоколов Multilink и BAP –настройки для включения этих протоколов. Эти настройки действуют, если в свойствах сервера включена поддержка этих протоколов.
Задание методов аутентификации для соединения – аналогичны методам в свойствах сервера
Задание методов шифрования – используется 3 варианта: No Encrypton - без шифрования
Basic - 40бит. шифрование MPPE ( для PPTP и коммутируемых соединений), 56бит. шифрование DES (для L2TP c IPSec)
Strong - 56бит. шифрование MPPE ( для PPTP и коммутируемых соединений), 56бит. шифрование DES (для L2TP c IPSec)
Вопросы на закрепление:
Какие два основных условия можно задать в политиках удаленного доступа.
Какие (по смыслу) настройки можно задать в профилях политик