[ Pobierz całość w formacie PDF ]
.rysunki 11.3 oraz 11.4), to wtedy mo¿na ustanowiæ zasady, które mówi¹, ¿ew przypadku takiego po³¹czenia bêd¹ stosowane okreœlone metody uwierzytelnianiai klucz o okreœlonej d³ugoœci.Porcedura tworzenia zasad dostêepu zdalnego (remote access policy) jestnastêepuj¹ca:Z menu Narzêdzia admnistracyjne (AAdministrative tTools) wybierz pozycjê ActiveDirectory UU¿ytkownicy i Komputery (Active Directory UUsers and CComputers).W kontenerze Komputery C(Computers container (Komputery) utwórz globaln¹a grupêzabezpieczeñ (global security group) pod nazw¹ VPN-Routers.Dodaj konta ruterów wywo³uj¹cych (callin routers), które inicjuj¹a po³¹czeniaVPN ruter-ruter.Z menu Narzêdzia administracyjne (Administrative Tools) wybierz pozycjê Routingi dostêp zdalny (Routing and Remote Access).Kliknij dwukrotnie nazwê komputera-rutera odpowiadaj¹cego (answering router).Prawym klawiszem przyciskiem myszki kliknij wybierz pozycjeê Zasady DostêpuZdalnego (RRemote AAccess PPolicies) i wybierz opcjê Nowe Zasady DostêpuZdalnego (NNew RRemote AAccess PPolicy).Podaj nazwê zasad, np.a przyk³ad Router-to-Router.Naciœnij przycisk Dalej(NNext).Naciœnij przycisk Dodaj (AAdd).Kliknij Typ Portu NAS (NAS- Port-T Type) iponownie.Naciœnij przycisk Dodaj (Add).Zaznacz Virtual (VPN).Naciœnij przycisk Dodaj (Add).Naciœnij przycisk i OK.W oknie dialogowym Zasady Dostêepu Zdalnego (Remote Access Policy) naciœnijprzycisk zaznacz Dodaj (Add).Wybierz Grupy Systemu Windows (Windows GGroups).Naciœnij przycisk Dodaj (Add).Pojawi siê okno dialogowe Grupy (GGroups).Naciœnij przycisk Dodaj (Add).Wybierz grupê VPN-Routers.Znów nNaciœsnij przycisk Dodaj (Add) i.Nacisnijprzycisk OK.Aby zamkn¹æ okno dialogowe Grupy (Groups) , naciœnij przycisk OK.Naciœnij przycisk Dalej (Next).Zaznacz opcjê Udziel Uprawnieñ Do DostêpuZdalnego (GGrant Remote Access Permission).Naciœnij przycisk Dalej (Next).Naciœnij przycisk oraz Edytuj Profil (EEditPProfile).Okreœl odpowiedni¹a metodê uwierzytelniania i d³ugoœæ klucza.Naciœsnijprzycisk OK.Jeœli pojawi siê okno odsy³aj¹ce do pliku pomocy, zamknij jenaciskaj¹c przycisk Nie (NNo).Naciœnij przycisk Zaznacz Zakoñcz (FFinish).Wskazówka: Powy¿sz¹ procedurê mo¿na równie¿ zastosowaæ do tworzenia oddzielnychzasad dostêepu zdalnego (remote access policies) dla po³¹czeñ za pomoc¹protoko³u PPTP i L2TP.W oknie dialogowym Dodaj Zasady Dostêepu Zdalnego (AAddRRemote AAccess PPoliciesy) wybierz opcjê Typ-T Tunelu (TTunnel-T Type).Typtunelu ustaw, np.na przyk³ad na Point-to-Point Tunneling Protocol, udzieluprawnieñ dostêpu zdalnego, a nastêpnie — po nacisœniêciu przycisku EdytujProfil (EEdit PProfile) — podaj ustawienia uwierzytelniania i szyfrowania.W³¹czanie uwierzytelniania wzajemnegoW przypadku dwukierunkowych po³¹czeñ inicjowanych dowolny z ruterów mo¿e byæserwerem VPN lub klientem VPN, w zale¿znoœci od tego, kto zainicjowa³po³¹czenie (patrz zob.rysunek 11.4).Obydwa rutery musz¹ byæ skonfigurowane wten sposób, by mog³y inicjowaæ i akceptowaæ po³¹czenia VPN.W przypadkudwukierunkowego inicjowanego po³¹czenia VPN ruter-ruter konieczne jest dodaniekont u¿ytkowników do obydwu ruterów, aby dane uwierzytelniaj¹ce ruterawywo³uj¹cego (calling router) mog³y byæ sprawdzone przez ruter odpowiadaj¹cy(answering router).Interfejsy ³¹czenia na ¿¹danie (demand-dial interfaces), nosz¹ce tak¹ samanazwêe jak konto u¿ytkownika, z którego korzysta ruter wywo³uj¹cy (callingrouter) musz¹ byæ w pe³ni skonfigurowane dla obydwu ruterów, w³¹cznie zpodaniem nazwy komputera (host name) lub adresu IP rutera odpowiadaj¹cego(answering router) oraz danymi uwierzytelniaj¹cymi konta uz¿ytkownika (useraccount credentials) do uwierzytelniania rutera wywo³uj¹cego (calling router).Poni¿ej zamieszczono procedurê konfigurowania uwierzytelniania wzajemnego dladwukierunkowego po³¹czenia inicjowanego (two-way initiated connection):Skonfiguruj obydwa rutery jako serwery VPN w sposób opisany wczeœniej powy¿ej wniniejszym rozdziale w podrozdzia³ach „Instalowanie serwera VPN” i„Konfigurowanie serwera VPN”.Upewnij siê, czy ustawienia szyfrowania iuwierzytelniania s¹ jednakowe w obu komputerach.Skonfiguruj obydwa rutery jako klienty VPN, podaj¹c ten drugi jako serwer VPN,zgodnie z procedur¹ opisan¹ wczeœniej w niniejszym rozdziale wpodrozdzialeczêœci „Instalowanie klienta VPN”.Jeœli do uiwierzytelniania na poziomie komputerów korzysta siê z certyfiaktów,to wtedy dla obydwu ruterów wymagane bêd¹ certyfikaty wydane przez jednostkêcertyfikuj¹c¹ przedsiebiorstwa (enterprise CAcertificate authority).Odpowiedni¹ procedurê podano w nastêepnym podrozdziale
[ Pobierz całość w formacie PDF ]