Описание и выбор сервера аутентификации

162 
RADIUS. 

Access-Request (запрос доступа) Посылается клиентом RADIUS для 
запроса проверки подлинности и авторизации попытки подключения. Access-Accept 
(предоставление доступа) Посылается сервером RADIUS в ответ на сообщение 
запроса доступа. Это сообщение информирует клиента RADIUS о том, что для 
попытки подключения клиента была выполнена проверка подлинности и 
авторизация. Access-Reject (запрещение доступа) Посылается сервером RADIUS в 
ответ на сообщение запроса доступа. Это сообщение информирует клиента 
RADIUS о том, что попытка подключения клиента была отклонена. Сервер 
RADIUS посылает это сообщение в том случае, если недействительны учетные 
данные или не авторизована попытка подключения. 

Access-Challenge (запрос уточнения) Посылается сервером RADIUS в ответ 
на сообщение запроса доступа. Это сообщение является запросом дополнительной 
информации клиента RADIUS, который требует ответа. Accounting-Request (запрос 
учета) Посылается клиентом RADIUS для указания учетных сведений о 
разрешенном подключении. Accounting-Response (ответ учета) Посылается 
сервером RADIUS в ответ на сообщение запроса учета. Это сообщение 
подтверждает успешное получение и обработку сообщения запроса учета. 
Сообщение RADIUS состоит только из заголовка RADIUS или из заголовка 
RADIUS и одного или нескольких атрибутов RADIUS. Каждый атрибут RADIUS 
содержит определенные сведения о попытке подключения. Например, имеются 
атрибуты RADIUS для имени пользователя, пароля пользователя, типа услуг, 
запрашиваемых пользователем, и IP-адреса сервера доступа. Атрибуты RADIUS 
используются для передачи информации между клиентами RADIUS, прокси-
серверами RADIUS и серверами RADIUS. Например, список атрибутов в 
сообщении запроса доступа включает информацию об учетных данных 
пользователя и параметрах попытки подключения. В отличие от этого сообщение 
предоставления доступа содержит информацию о типе подключения, которое 

163 
может быть осуществлено, ограничениях подключения и имеющихся особых 
атрибутах вендора (Vendor-Specific Attribute, VSA). 
На сегодняшний день существует большое множество RADIUS серверов, 
реализованных как программно, так и аппаратно. Большинство из них – это 
коммерческие продукты. Для выбора более подходящего продукта сформулирую 
два основных критерия. Продукт должен иметь сертификат соответствия 
требованиям Гостехкомиссии России, в области зашиты информации от НСД. 
Продукт должен иметь как можно меньшую стоимостью, при этом обладать 
достаточной функциональностью.
Использование аппаратных RADIUS серверов для небольших сетей не 
оправдано из-за их высокой стоимости. Свободно распространяемые продукты не 
имеют сертификатов соответствия, их использование может быть не безопасным 
(программа 
может 
содержать 
вредоносный 
код, 
не 
гарантируется 
конфиденциальность и криптографическая защита информации с которой 
взаимодействует программа). Подходящим вариантом является использование 
включенного в состав Windows server 2003 Enterprise Edition RADIUS – сервера 
(служба IAS). Операционная система имеет сертификат соответствия (№112-0938 
выдан 23.10.06 центром безопасности связи ФСБ России) и может применятся в 
составе автоматизированных информационных систем, работающих с информацией 
не содержащей государственную тайну. Для различных решений могут быть 
созданы различные конфигурации службы Internet Authentication Service (IAS): 

- Беспроводной доступ. 

- Удаленный доступ организаций через коммутируемое подключение 
или виртуальную частную сеть (VPN). 

- Удаленный коммутируемый или беспроводной доступ через внешних 
поставщиков. 

- Доступ к Интернету. 

- Доступ с проверкой подлинности к ресурсам экстрасети для деловых 

164 
партнеров 
Я буду использовать службу IAS для авторизации клиентов беспроводной 
сети. Основные возможности службы. Поддерживаются разнообразные методы 
проверки подлинности. Поддерживаются протоколы PPP проверки подлинности с 
паролем, такие как протокол PAP (Password Authentication Protocol), протокол 
CHAP (Challenge Handshake Authentication Protocol), протокол MS-CHAP (Microsoft 
Challenge Handshake Authentication Protocol) и MS-CHAP версии 2 (MS-CHAP v2). 
Протокол EAP Инфраструктура, основанная на стандартах Интернета и 
разрешающая дополнительные произвольные методы проверки подлинности, такие 
как смарт-карты, сертификаты, одноразовые пароли и генераторы кода доступа. 
Способ проверки подлинности, в котором применяется инфраструктура EAP, 
является способом типа EAP. В службу IAS включена поддержка способов EAP-
Message Digest 5 (MD5) и EAP-Transport Level Security (EAP-TLS).
1.
Поддерживаются различные способы авторизации. Протокол 
DNIS (Dialed Number Identification Service). Авторизация попытки подключения на 
основе набираемого номера. Служба DNIS показывает набранный номер 
получателю вызова. Эта возможность предоставляется большинством обычных 
телефонных компаний. Протокол ANI/CLI (Automatic Number Identification/Calling 
Line Identification). Авторизация попытки подключения на основе номера телефона, 
с которого выполняется вызов. Служба ANI/CLI показывает получателю вызова 
номер телефона, с которого выполняется вызов. Эта возможность предоставляется 
большинством обычных телефонных компаний. Авторизация для гостей. Учетная 
запись гостя применяется для идентификации пользователя при установлении 
подключения без учетных данных пользователя (имени пользователя и пароля). 
1.
Неоднородные серверы доступа. Служба IAS поддерживает 
серверы доступа, реализованные на основе документов RADIUS RFC 2865 и 2866. 
Помимо серверов удаленного доступа служба IAS поддерживает следующие 
возможности. Точки доступа к беспроводной сети. Применение политик 

165 
удаленного доступа и параметров порта Wireless-IEEE 802.11 позволяет 
использовать службу IAS в качестве сервера RADIUS для точек доступа к 
беспроводной сети, в которых проверка подлинности и авторизация для 
беспроводных узлов производится с помощью RADIUS. 
Коммутаторы с проверкой подлинности. Применение политик удаленного 
доступа и параметров порта Ethernet позволяет использовать службу IAS в качестве 
сервера RADIUS для коммутаторов сети Ethernet, в которых проверка подлинности 
и авторизация производится с помощью RADIUS. Интеграция со службой 
маршрутизации и удаленного доступа. Службы IAS и маршрутизации и удаленного 
доступа используют общие политики удаленного доступа и возможности ведения 
файла журнала. Такая интеграция обеспечивает согласованную работу служб IAS и 
маршрутизации и удаленного доступа. Это позволяет развертывать службу 
маршрутизации и удаленного доступа на небольших узлах, не предъявляя 
требований к наличию отдельного централизованного IAS-сервера. Обеспечивается 
также возможность масштабирования модели централизованного управления 
удаленным доступом, когда в организации появятся несколько серверов 
маршрутизации и удаленного доступа. Служба IAS совместно с серверами 
маршрутизации и удаленного доступа используют одну точку администрирования 
для удаленного доступа к сети через внешнего поставщика, вызова по требованию и 
доступа через VPN. Политики службы IAS большого центрального сайта можно 
экспортировать на независимый сервер маршрутизации и удаленного доступа 
малого сайта. 
Прокси-сервер RADIUS. Служба IAS позволяет пересылать входящие 
запросы RADIUS на другие RADIUS-серверы для проверки подлинности и 
авторизации или учета. Действуя в качестве прокси-сервера RADIUS, служба IAS 
может быть применена всякий раз когда возникает необходимость маршрутизации 
запроса RADIUS на другой RADIUS-сервер. Служба IAS позволяет пересылать 
запросы, основанные на имени пользователя, получать доступ к IP-адресу сервера, 

166 
идентификатору сервера и другим параметр. 
Обеспечение удаленного и беспроводного доступа в сеть через внешнего 
поставщика. При удаленном доступе через внешнего поставщика заключается 
договор между организацией (заказчиком) и поставщиком услуг Интернета (ISP). 
Поставщик услуг Интернета обеспечивает подключение сотрудников организации к 
своей сети перед установлением туннеля VPN в частную сеть организации. Когда 
сотрудник подключается к серверу NAS поставщика услуг Интернета, на сервер 
IAS, расположенный в организации, пересылаются записи проверки подлинности и 
использования. Сервер IAS позволяет организации управлять проверкой 
подлинности пользователей, отслеживать использование сети поставщика услуг 
Интернета и управлять доступом сотрудников к ней.Преимущество доступа через 
внешнего поставщика заключается в потенциальной экономии. Использование 
маршрутизаторов, серверов сетевого доступа и доступа к каналам глобальной сети, 
предоставленных поставщиком услуг, вместо приобретения собственных, позволяет 
получить значительную экономию на затратах, связанных с оборудованием 
(инфраструктурой). Международные подключения через поставщика услуг 
Интернета позволяют существенно сократить счета организации за междугородние 
телефонные звонки. Благодаря перекладыванию на поставщика забот по поддержке 
сети исключаются расходы на ее администрирование.Кроме того, через внешнего 
поставщика можно осуществлять и беспроводной доступ. Поставщик может 
обеспечить беспроводной доступ с удаленной территории и, используя имя 
пользователя, пересылать запрос на подключение для проверки подлинности и 
авторизации на тот RADIUS-сервер, который находится под управлением 
организации. Хорошим примером служит доступ к Интернету в аэропортах. 
Централизованная проверка подлинности и авторизация пользователей. 
При проверке подлинности запроса на подключение служба IAS сверяет учетные 
данные подключения с учетными записями пользователей в локальном диспетчере 
учетных записей безопасности (SAM) домена Microsoft® Windows NT® Server 4.0 

167 
или домена Active Directory®. Для домена Active Directory в службе IAS имеется 
поддержка использования основных имен пользователей (User Principal Name, 
UPN) Active Directory и универсальных групп. Для авторизации запроса на 
подключение в службе IAS применяются параметры входящих звонков для учетной 
записи пользователя, соответствующие как учетным данным подключения, так и 
политикам удаленного доступа. Управление разрешением удаленного доступа 
осуществляется относительно просто, однако такой подход не обеспечивает 
масштабирования по мере роста организации. Политики удаленного доступа 
обеспечивают более мощное и гибкое управление разрешениями удаленного 
доступа. Авторизация доступа в сеть может производиться на основе различных 
параметров, включая описанные далее. (Вхождение учетной записи пользователя в 
группу, Время суток или день недели, Тип устройства, с помощью которого 
производится подключение (например беспроводное устройство, коммутатор 
Ethernet, модем или туннель VPN, Номер вызываемого телефона, Сервер доступа, с 
которого был получен запрос, Интервал времени бездействия, Максимальная 
продолжительность одного сеанса, Выбор применяемых способов проверки 
подлинности, Применение шифрования и степень его стойкости). 
Централизованное 
администрирование 
всех 
серверов 
доступа 
организации. Поддержка стандарта RADIUS позволяет службе IAS управлять 
параметрами подключения для любого сервера NAS, использующего стандарт 
RADIUS. Стандарт RADIUS также позволяет отдельным поставщикам удаленного 
доступа создавать собственные расширения, называемые особыми атрибутами 
вендора (Vendor-Specific Attribute, VSA). Служба IAS объединяет расширения, 
предоставленные несколькими поставщиками, в один словарь. Дополнительные 
атрибуты VSA могут быть внесены в профиль отдельных политик удаленного 
доступа.
Централизованный аудит и учет использования. Поддержка стандарта 
RADIUS позволяет службе IAS централизованно собирать записи об использовании 

168 
(записи учета), отправленные всеми серверами доступа. Служба IAS хранит 
сведения аудита (например, успехи проверки подлинности и отказы) и 
использования (например, подключения и отключения) в файлах журналов. Служба 
IAS поддерживает формат файла журнала, допускающий непосредственный импорт 
в базу данных. Последующий анализ данных может быть выполнен с помощью 
любого обычного пакета анализа. 

жүктеу/скачать 7,35 Mb.

Достарыңызбен бөлісу: