Використання служби RADIUS

 

Служба RADIUS (Remote Authentication Dial-in User Service) є проміжною ланкою між сервером віддаленого доступу (який в даному випадку називають клієнтом RADIUS) і службою каталогів в корпоративній мережі. Сервер RADIUS дозволяє вирішити два основні завдання:

  • інтеграція в єдину систему серверів віддаленого доступу від різних виробників;
  • централізоване управління доступом в корпоративну мережу (служба RRAS в системі Windows Server настроюється індивідуально для кожного сервера RRAS).

Служба RADIUS працює за наступною схемою:

  1. спочатку встановлюється телефонне (або інше) з'єднання між клієнтом і сервером видаленого доступу;
  2. користувач пересилає серверу RAS запит на аутентифікацію (свої ім'я і пароль);
  3. сервер віддаленого доступу (що є клієнтом сервера RADIUS) пересилає даний запит серверу RADIUS;
  4. сервер RADIUS перевіряє запит на аутентифікацію в службі каталогів (наприклад, в службі Active Directory) і посилає у відповідь RAS-серверу дозвіл або заборону даному користувачеві на підключення до сервера віддаленого доступу;
  5. сервер віддаленого доступу або підключає користувача до корпоративної мережі, або видає відмову в підключенні.

Реалізація служби RADIUS в системі Windows Server називається службою IAS (Internet Authentication Service).

Розділ "Інтерфейси мережі" консолі "Маршрутизація і видалений доступ"

У даному розділі консолі перераховуються всі мережеві інтерфейси, встановлені на сервері (мережеві адаптери, модеми). Нагадаємо, що інтерфейс "Внутрішній" — це інтерфейс, до якого підключаються всі клієнти віддаленого доступу, незалежно від типу підключення (по комутованих телефонних лініях, через віртуальну приватну мережу і так далі).

Розділ "Клієнти видаленого доступу" консолі "Маршрутизація і віддалений доступ"

У даному розділі здійснюється моніторинг в реальному часі клієнтів, що підключилися до сервера віддаленого доступу.

Розділ "Порти" консолі "Маршрутизація і видалений доступ"

У розділі "Порти" перераховуються всі доступні точки підключення до служби віддаленого доступу:

  • паралельний порт (для прямого з'єднання двох комп'ютерів через порт LPT);
  • модеми, доступні для служби віддаленого доступу;
  • порти, доступні для підключень за допомогою віртуальних приватних мереж (якщо адміністратор при налаштуванні сервера вказав, що використовуватимуться віртуальні приватні мережі, то на сервер автоматично додаються по 128 портів для кожного з протоколів PPTP і L2TP, надалі адміністратор може змінити кількість портів, доступних для того або іншого протоколу).

Розділ "IP-маршрутизація" консолі "Маршрутизація і віддалений доступ"

У цьому розділі додаються, видаляються і настроюються як статичні маршрути, так і необхідні динамічні протоколи маршрутизації:

  • Агент ретрансляції DHCP-запитів (DHCP Relay Agent) — використання агента ретрансляції запитів DHCP детально обговорювалося в пункті, присвяченому службі DHCP, налаштування даного агента проводиться саме в даному розділі служби RRAS;
  • Протокол IGMP — даний протокол призначений для маршрутизації multicast-пакетів протоколу TCP/IP (даний вид пакетів і адреса використовується в основному при передачі мультимедіа-інформації);
  • Служба трансляції мережевих адрес (NAT, Network Address Translation) — дана служба дозволяє обмінюватися інформацією між мережами з внутрішніми IP-адресами і мережами з адресами, зареєстрованими в мережі Інтернет (спрощений варіант проксі-сервера);
  • Протокол RIP версії 2 для IP — протокол динамічної маршрутизації IP-пакетіов;
  • Протокол OSPF (Open Shortest Path First) — також протокол динамічної маршрутизації IP-пакетів, складніший в налаштуванні в порівнянні з RIP, але ефективніший у великих мережах.