Политики удаленного доступа

Выдача пользователям разрешений на удаленный доступ

Разрешения удаленного доступа.

Установка RRAS

· Запустите Routing and Remote Access Service

· откройте контекстное меню на значке сервера(имя вашего компьютера) и выберите первый пункт: ”Configure and Enable Routing and Remote Access”

· выберите “Remote access server”

· ответьте “Yes, All of the Required Protocols...”

· Выберите From a specified range of address

· Задайте (кнопка New) диапазон адресов в вашей сети: 10.N.0.0 – 10.N.0.100 (N-номер комп)

· Выберите ”No, I don’t want to set up this server...”

Вопросы на закрепление:

• Какие типы связи существуют для удаленного соединения.
• Как установить службу RAS и какие роли сервера имеются для выбора.

Для того, чтобы пользователи могли регистрироваться на сервере, для каждого из них должна быть заведена учетная запись и в свойствах этой записи должен быть разрешен удаленный доступ. Для настройки удаленного доступа откройте свойства учетной записи пользователя и закладку Dial-in.

В этой закладке:

Allow access разрешение на удаленный доступ

Deny access запрет на удаленный доступ

Control access through Remote access Policy - в этом случае доступ определяется не свойствами этой учетной записи а политикой удаленного доступа. По умолчанию политика разрешает доступ всем в любое время. Этот флаг доступен только в Native режиме домена.В этом случае доступ определяется только настройками в политике удаленного доступа.

þ Verify Caller-ID - проверка телефонного номера звонящего абонента на соответствие указанному номеру. Для этого телефонная станция и модем должны поддерживать функцию Caller-ID. Альтернативой этой функции является обратный вызов.

Callback Options - настройка обратного вызова

No Callback - не делать обратный вызов

Set by Caller - после звонка пользователя на сервер, он определяет номер телефона звонившего и сам ему перезванивает. Это экономит деньги за телефон клиента.

Allways Callback to - сервер перезванивает на определенный номер телефона клиента – это позволяет усилить безопасность доступа.

þ Assign a Static IP address - установить для клиента фиксированный IP адрес (зарезервировать)

þ Apply Static routes - настраивает статические маршруты для клиента.

Вопросы на закрепление:

• Где настраивается для пользователя удаленный доступ. Для чего предназначен Call Back.
• Когда становиться доступным флаг Control access through Remote access Policy и в каких случаях он устанавливается

В более ранних версиях ограничения удаленного доступа задавались только в свойствах учетной записи. Политики удаленного доступа появились только в Win2000 и они применяются в комбинации со свойствами учетной записи. С помощью политик можно задавать время доступа, доступ по принадлежности к группе безопасности и.т.д. По умолчанию задана политика Allow Access if Dial-in Permission is Anabled – всем (т.е.доступ определяется по разрешениям учетной записи)

Следует различать 2 понятия:

Авторизация – это процесс проверки доступа пользователя к ресурсам

Аутентификация – это процесс проверки на возможность входа для пользователя. При аутентификации идет проверка на имя и пароль пользователя, но не проверяются его права на доступ к ресурсам.

Политики удаленного доступа настраиваются в консоли службы:

Routing and Remote Access - Remote Access Policies

В этой консоли будет только одна политика: Allow Access if Dial-in Permission is Anabled

Для ее редактирования - и з контекстного меню – Properties:

В верхнем окне назначены ограничения доступа по времени, которые можно отредактировать двойным нажатием на доступе в окне или кнопкой Edit

В нижнем окне задается, действуют ли условия для разрешения доступа – “Grant...” или для запрещения “Deny...”

При проверке доступа задействованы 3 компонента проверки:

условия политики – задаются в верхнем окне каждой политики (это ограничения доступа по времени, по принадлежности пользователя группе...)

настройки пользователя – в свойствах пользователя в закладке dial-in (явное разрешение или запрет, обратный вызов...)

профиль удаленного соединения - в свойствах политики кнопка Profiles

Их взаимодействие определяет 3 модели администрирования удаленного доступа:

1. Доступ определяется свойствами учетной записи пользователя

2. Доступ определяется политикой удаленного доступа в смешанном (mixed-mode) режиме домена

3. Доступ определяется политикой удаленного доступа в естественном (native-mode) режиме домена

Результирующее разрешение доступа определяется и политикой и свойствами учетной записи по следующему алгоритму:

Рассмотрим все 3 модели.