Похоже, разработчики Microsoft и многие пользователи Windows 2000 полагают, что служба аутентификации Internet (Internet Authentification Service - IAS) Windows 2000 подходит для Internet-провайдеров, но не для корпоративных сетей. Однако на самом деле в корпоративной сети IAS можно назначить роль центрального узла конфигурирования для нескольких RAS-серверов Windows 2000, задействовать IAS в качестве части системы, в которой RAS-серверы Windows NT 4.0 используют политики удаленного доступа Windows 2000, или как часть решения, реализуемого с привлечением специалистов из других компаний.

IAS - выполненная Microsoft реализация сервера RADIUS (Remote Authentification Dial-In User Service - служба удаленной аутентификации пользователей по коммутируемым линиям). RADIUS - отраслевой протокол (на базе документов RFC 2138 и RFC 2139 организации IETF), предназначенный для аутентификации, авторизации и сбора учетной информации об удаленных соединениях. Учетная информация для корпоративных сетей обычно не обязательна, так как сетевым администраторам, как правило, не нужны подробные сведения о подключенных к системе пользователях, продолжительности соединения или запрошенных услугах. Если такая информация не нужна, то от учетных функций IAS можно отказаться.

RAS-серверы Windows 2000 и NT 4.0 могут выполнять аутентификацию и авторизацию самостоятельно или передать эти обязанности серверу RADIUS. В качестве сервера RADIUS может использоваться продукт не Microsoft, а другой компании (что типично для Internet-провайдеров), или сервер, на котором работает Windows 2000 IAS. Windows 2000 IAS может использоваться для аутентификации и авторизации удаленного доступа к клиентам корпоративной сети.

Централизованное конфигурирование и управление

С помощью политик удаленного доступа Windows 2000 администратор может точно определить, кому и на каких условиях разрешено подключаться к сети. Установив соединение, можно воспользоваться политиками удаленного доступа, чтобы назначить определенный режим соединения (в частности, разрывать бездействующие соединения PPP в сетях с ограниченным пулом модемов). Например, для пользователей, подключенных к сети через Internet, можно активизировать протокол L2TP/IPSec и разрешить доступ в любое время. Одновременно администратор может разрешить соединения по коммутируемым линиям только в рабочие часы, установив для них менее строгий режим безопасности и отменив шифрование данных.

Преимущество использования IAS для аутентификации удаленных пользователей - отчеты, сохраняемые в журнале событий Windows. В журнале событий Windows указаны политика удаленного доступа, применяемая к пользовательским соединениям, имя пользователя, адреса или имена RAS-сервера и удаленного клиента, тип порта (PPP или VPN) и тип аутентификации. Информация журнала особенно полезна при работе с несколькими политиками удаленного доступа, так как при использовании Windows 2000 RAS трудно определить, какая политика применяется к данному соединению.

Политики удаленного доступа позволяют консолидировать RAS-серверы, поскольку к одному серверу можно одновременно применить различные параметры. Но иногда, в силу особенностей сетевой топологии, необходимо запустить несколько RAS-серверов. RAS-серверы следует размещать вблизи необходимых пользователям ресурсов. Например, вряд ли стоит размещать RAS-серверы в отделе ИТ предприятия, если удаленным пользователям требуется обращаться к другим серверам, связанным с RAS-сервером через медленный канал WAN. Чтобы увеличить скорость обмена данными (и возможно, сократить расходы на оплату коммутируемых линий), нужно разместить RAS-сервер на том же удаленном сайте и в той подсети, где находятся ресурсы.

При наличии нескольких распределенных по сети RAS-серверов затрудняется настройка конфигурации и согласование политик удаленного доступа. В этой ситуации удачным решением может стать центральное расположение IAS-сервера; политики удаленного доступа хранятся на IAS-сервере, и RAS-серверы могут передать задачи аутентификации и авторизации IAS-серверу. Некоторая часть трафика будет передаваться по удаленным каналам, но объем трафика будет сравнительно невелик; кроме того, трафик существует лишь в периоды создания и завершения соединений.

RAS-серверы Windows 2000 в сети с центральным IAS-сервером становятся клиентами RADIUS, настроенными на пересылку запросов аутентификации на IAS-сервер. Обязанность IAS-сервера - проверить права доступа по коммутируемым линиям и применить политики удаленного доступа. Чтобы активизировать RAS-серверы в качестве клиентов RADIUS, следует открыть оснастку RRAS консоли управления Microsoft Management Console (MMC), щелкнуть правой кнопкой мыши на имени сервера, выбрать из меню пункт Properties и щелкнуть на закладке Security (Экран 1). В раскрывающемся списке Authentification Provider следует выбрать пункт RADIUS Authentification. В результате политики удаленного доступа на RAS-сервере блокируются. Эту процедуру следует выполнить для каждого RAS-сервера.

Как уже упоминалось, администраторам корпоративных сетей учетная информация IAS, вероятно, не понадобится. Функцию учета можно отключить, воспользовавшись закладкой Security. Для этого нужно выбрать пункт None из раскрывающегося списка Accounting Provider.

Рядом со списками Authentification Provider и Accounting Provider находятся кнопки конфигурации, с помощью которых можно вызвать диалоговое окно Add RADIUS Server (Экран 2), в котором следует указать IP-адреса (или имена DNS) IAS-серверов. Также необходимо указать параметр Secret, который представляет собой просто общий пароль для RAS-сервера и IAS-сервера. Эту процедуру нужно выполнить для каждого RAS-сервера. Secret может содержать до 255 символов и чувствителен к их регистру. Если пароли не совпадают, то установить соединение между RAS-сервером и IAS-сервером нельзя.

Среди других атрибутов, задаваемых в диалоговом окне Add RADIUS Server - таймаут (время ожидания RAS-сервером ответа от IAS-сервера), порт, используемый IAS-сервером (стандартный порт аутентификации - 1812), применение цифровых подписей для повышения безопасности и весовой коэффициент. Этот коэффициент учитывается, если администратор указывает несколько серверов RADIUS, и RAS-сервер должен выбрать сервер для аутентификации; в этом случае RAS-сервер выбирает сервер с высшим коэффициентом. Коэффициент каждого сервера RADIUS динамически изменяется в соответствии с реакцией сервера (как быстро сервер реагирует на аутентификацию). Начальный коэффициент можно установить в диапазоне от 0 до 30, но это значение будет автоматически изменено для оптимизации производительности и отказоустойчивости.

Политики удаленного доступа Windows 2000 и RAS-серверы NT 4.0

RAS-серверы NT 4.0 можно настроить на использование процедуры аутентификации RADIUS; в результате эти серверы могут применять Windows 2000 IAS с политиками удаленного доступа. RAS-сервер NT 4.0 физически принимает соединения от удаленного пользователя, но передает аутентификацию IAS-серверу. IAS-сервер, как и RAS-сервер Windows 2000 в домене NT 4.0, может идентифицировать локальных пользователей, пользователей домена NT 4.0 SAM или пользователей Active Directory (AD).

Прежде, чем настроить RAS-серверы NT 4.0 на аутентификацию через RADIUS, необходимо убедиться, что на серверах установлен компонент RRAS Routing Update, которого нет ни в одном пакете исправлений. RRAS Routing Update можно получить на сайте Microsoft (http://www.microsoft.com/ntserver/nts/downloads/ winfeatures/rras/rrasdown.asp). После установки компонента изменится вид административной утилиты RAS NT 4.0, которая будет выглядеть, как показано на Экране 3. Однако если компонент RRAS Routing Update был установлен ранее, а затем повторно, то облик административной утилиты останется прежним.

Если администратору нужно работать только с RAS (а не с маршрутизацией), то достаточно использовать функцию Active Connections and Ports утилиты Routing and RAS Administration. Сведения о соединениях удаленных клиентов можно получить, щелкнув на пиктограмме Active Connections and Ports.