Поддержка входа в систему с помощью смарт-карт для VPN-подключений удаленного доступа
Посетителей: 7996
| Просмотров: 17736 (сегодня 0)
Шрифт:
Настройка VPN-клиентов для проверки подлинности с использованием
смарт-карт с помощью диспетчера подключений
Если необходимо настроить VPN-подключения для нескольких клиентов,
можно воспользоваться диспетчером подключений.
Установка пакета администрирования диспетчера подключений (CMAK) на
компьютер с Windows Server 2003
1.
Нажмите кнопку Пуск, откройте Панель управления и
выберите пункт Установка и удаление программ.
2.
В диалоговом окне Установка и удаление программ щелкните
пункт Установка компонентов Windows.
3.
В окне мастера компонентов Windows выберите раздел
Средства управления и наблюдения и щелкните пункт
Состав. Появится окно, аналогичное изображенному ниже.
4.
В диалоговом окне Средства управления и наблюдения
выберите пункт Пакет администрирования диспетчера подключений
(CMAK), затем последовательно нажмите кнопки ОК,
Далее и Готово.
Использование CMAK для создания профиля VPN-подключения, который
можно распространить среди пользователей
1.
Нажмите кнопку Пуск, выберите раздел
Администрирование и щелкните пункт Пакет администрирования
диспетчера подключений (CMAK).
2.
В окне Мастер пакета администрирования диспетчера подключений
(CMAK) нажмите кнопку Далее.
3.
Убедитесь в том, что выбран вариант Новый профиль, и
нажмите кнопку Далее.
4.
Введите имя профиля в поле Имя службы и имя исполняемого
файла, который будет распространяться среди клиентов, в поле Имя
файла.
5.
Окно Имя сферы (см. следующий снимок экрана) позволяет
добавить имя сферы к имени пользователя. Добавление имени сферы
может потребоваться для идентификации пользователей при подключении
к VPN через сервер доступа к сети сторонней организации,
использующий RADIUS для передачи учетных данных для проверки
подлинности по сети на серверы службы проверки подлинности в
Интернете (IAS).
Выберите Не добавлять имя сферы к имени пользователя (если
это не является необходимым) и нажмите кнопку Далее.
6.
Окно Слияние профилей позволяет объединить ранее
настроенные профили диспетчера подключений. Это делается при
необходимости включить сведения, хранящиеся в других профилях
(например номера доступа к сети) в текущий профиль. Добавьте все
необходимые профили и нажмите кнопку Далее.
7.
Окно Поддержка VPN (см. следующий снимок экрана) позволяет
создать из профиля телефонную книгу и настроить VPN-сервер или
серверы для VPN-клиентов.
Телефонная книга содержит такие сведения, как телефонный код
города, номер телефона и методы проверки подлинности пользователей.
Телефонная книга диспетчера подключений также содержит различные
параметры сети, настраиваемые с помощью мастера CMAK.
Если необходимо, чтобы у клиента была возможность подключаться к
нескольким VPN-серверам, можно создать в текстовом файле список
VPN-серверов (см. следующий снимок экрана). Если необходимо, чтобы
подключение использовало список VPN-серверов, выберите пункт
Пользователь выберет VPN-сервер перед подключением, укажите
текстовый файл и нажмите кнопку Далее.
8.
В окне VPN-записи выберите создаваемый профиль, выберите
команду Изменить и перейдите на вкладку Безопасность.
Появится следующее диалоговое окно.
9.
В раскрывающемся списке Параметры безопасности выберите
пункт Использовать дополнительные параметры и нажмите кнопку
Настроить. Появится следующее диалоговое окно.
10.
Убедитесь в том, что в раскрывающемся списке Шифрование
данных выбран пункт Шифрование обязательно, и в том, что
в списке стратегий VPN выбран правильный протокол
туннелирования.
Отметьте пункт Протокол расширенной проверки подлинности
(EAP), выберите из соответствующего раскрывающегося списка пункт
Смарт-карта или иной сертификат (шифрование включено) и нажмите
кнопку Свойства. Появится окно, аналогичное изображенному
ниже.
11.
Убедитесь в том, что установлены флажки Использовать мою
смарт-карту и Проверять сертификат сервера, если
необходимо, чтобы клиент мог убедиться в подлинности сервера. Кроме
того, можно ввести имена одного или нескольких серверов для
подключения и имя корневого центра сертификации для проверки
сервера. Если клиент должен пройти проверку подлинности, используя
другое имя пользователя по отношению к указанному в сертификате,
установите флажок Использовать для подключения другое имя
пользователя. Трижды нажмите кнопку ОК, а затем нажмите
кнопку Далее.
12.
Окно Телефонная книга позволяет включить в профиль
дополнительный файл телефонной книги и автоматически загружать
обновления телефонной книги. Телефонная книга содержит такие
сведения, как телефонный код города, телефонный номер и
поддерживаемые методы проверки подлинности пользователей. Телефонная
книга диспетчера подключений также содержит различные параметры
сети, настраиваемые с помощью мастера CMAK. При выборе параметра
Автоматически загружать обновления телефонной книги
необходимо ввести местоположение, из которого будут загружаться
обновления. Если обновления телефонной книги загружать не требуется,
не выбирайте этот параметр. Нажмите кнопку Далее.
13.
При использовании коммутируемого подключения к сети выберите
запись, а затем щелкните Изменить в окне «Записи удаленного
доступа к сети». (Далее будет показано, как отключить коммутируемое
подключение к сети, если оно не используется.) Если необходимая
конфигурация создана или если не требуется использовать
коммутируемое подключение к сети, нажмите кнопку Далее. Окна
мастера, описанные в задачах 14-25, позволяют настроить
необязательные компоненты, изменяющие в первую очередь внешний вид
подключения.
14.
Параметры окна Обновление таблицы маршрутизации можно
использовать для настройки сведений о маршрутизации для подключения.
Значение по умолчанию позволяет VPN-клиенту подключаться ко всем не
напрямую подключенным сетям через интерфейс VPN. Тем не менее, если
не настроить VPN-клиент на использование VPN-подключения в качестве
шлюза по умолчанию, то можно создать собственные записи таблицы
маршрутизации, позволяющие VPN-клиенту получать доступ к выбранным
подсетям внутренней сети. После окончания нажмите кнопку
Далее.
15.
Параметры окна Автоматическая конфигурация прокси можно
использовать для принудительного назначения VPN-клиентам VPN-сервера
в качестве прокси-сервера. Нажмите кнопку Далее.
16.
Параметры окна Действия пользователя можно использовать
для указания программ, которые будут запускаться автоматически до,
после или в процессе VPN-подключения. Нажмите кнопку
Далее.
17.
Параметры окна Рисунок для окна подключения можно
использовать для создания специального изображения, появляющегося
при открытии пользователем VPN-подключения. При создании
собственного изображения убедитесь в том, что оно имеет размер 330 x
140 пикселов. Нажмите кнопку Далее.
18.
Параметры окна Рисунок телефонной книги можно использовать
для создания специального изображения, появляющегося при открытии
пользователем телефонной книги. При создании собственного
изображения убедитесь в том, что оно имеет размер 114 x 309
пикселов. Нажмите кнопку Далее.
19.
Параметры окна Значки можно использовать для выбора
значков, отображаемых в интерфейсе пользователя диспетчера
подключений. Нажмите кнопку Далее.
20.
Параметры окна Меню ярлыка области уведомлений можно
использовать для добавления пунктов в контекстные меню диспетчера
подключений. Нажмите кнопку Далее.
21.
Параметры окна Файл справки можно использовать для
указания файла справки для пользователей. Нажмите кнопку
Далее.
22.
Параметры окна Сведения о поддержке можно использовать для
предоставления пользователям сведений о поддержке. Нажмите кнопку
Далее.
23.
Можно просмотреть параметры окна Программное обеспечение
диспетчера подключений. Имеется возможность установить диспетчер
подключений версии 1.3 для тех клиентов, у которых он еще не
установлен. Нажмите кнопку Далее.
24.
Параметры окна Лицензионное соглашение можно использовать
для включения настраиваемого лицензионного соглашения для
подключения. Нажмите кнопку Далее.
25.
Параметры окна Дополнительные файлы можно использовать для
добавления дополнительных файлов в профиль диспетчера подключений.
Нажмите кнопку Далее.
26.
В окне Все готово для создания профиля службы выберите
пункт Дополнительная настройка и нажмите кнопку
Далее.
27.
Окно Дополнительная настройка (см. следующий снимок
экрана) позволяет настроить значения параметров в файлах
конфигурации профиля. Для VPN-подключений с включенной поддержкой
смарт-карт следует отключить удаленное подключение, присвоив
параметру Dialup значение 0. Параметры HideDomain, HideUserName и
HidePassword также включены.
28.
Файлы конфигурации профиля представляют собой текстовые файлы с
расширениями INF, CMS и CMP. Мастер читает файлы template.inf,
template.cms и template.cmp, установленные по умолчанию совместно с
CMAK.
По окончании работы мастера для профиля создаются новые файлы
конфигурации имя_профиля.inf, имя_профиля.cms и имя_профиля.cmp.
Исходные файлы шаблонов можно редактировать, добавляя дополнительные
параметры, которые смогут настраивать пользователи мастера.
Дополнительные сведения о дополнительных параметрах настройки для
диспетчера подключений см. на странице «Дополнительные параметры настройки для диспетчера
подключений» (эта ссылка может указывать на содержимое полностью или частично на
английском языке).
Изменения, внесенные в файл template.cms (см. следующий
снимок экрана), позволяют скрыть поля ввода домена, имени
пользователя и пароля таким образом, чтобы при необходимости
включить эту возможность. MPPE использует пароль пользователя в
процессе шифрования, поэтому в некоторых случаях решение требует
наличия полей ввода имени пользователя и пароля.
29.
После завершения внесения в параметры всех изменений щелкните
Далее для создания исполняемого файла и файлов конфигурации.
Запомните местоположение файлов и щелкните Готово.
Исполняемый файл распространяется среди клиентов с помощью
стандартных механизмов распространения программного обеспечения.
Клиент может запустить файл на исполнение вручную. Можно также
автоматизировать процесс установки
VPN-подключения.
Проверка решения на основе VPN с использованием смарт-карт
Цель процесса проверки заключается в обнаружении проблем в проекте или
конфигурации решения до его полного развертывания. Чтобы проверить решение
на основе VPN с использованием смарт-карт, необходимо выполнить несколько
основных процедур. Ниже перечислены основные процедуры проверки.
•
Назначение сертификата смарт-карте.
•
Распространение профиля диспетчера подключений.
•
Установка профиля диспетчера подключений.
•
Подключение к VPN-серверу с использованием проверки подлинности с
помощью смарт-карты.
•
Доступ к внутренним сетевым ресурсам через
VPN-подключение.
Устранение неполадок в решении на основе VPN с использованием
смарт-карт
Цель процесса проверки заключается в устранении неполадок в решении,
определении условий, при которых происходит сбой процесса, и
сосредоточении усилий на этом направлении.
В следующей таблице приведены рекомендации по устранению неполадок в
решении на основе VPN с использованием смарт-карт.
Таблица 1. Рекомендации по устранению неполадок в решении на основе
VPN с использованием смарт-карт
Проблема
Решение
В центре сертификации отсутствуют необходимые
сертификаты.
Включите шаблоны сертификатов на сайтах и в службах Active
Directory.
Назначьте разрешения на подачу заявок.
Не удается назначить сертификаты
смарт-карте.
Установите устройство записи смарт-карт.
Назначьте сертификат агента подачи заявок.
VPN-серверу не удается выполнить проверку
подлинности удаленных клиентов.
Настройте сервер для поддержки проверки подлинности EAP-TLS.
Убедитесь в том, что сертификат, используемый на сервере,
является доверенным для клиента.
Клиент пытается установить соединение удаленного
доступа перед созданием VPN-подключения.
Настройте клиент таким образом, чтобы номер для
предварительного подключения не набирался.
Клиент не пытается установить соединение
удаленного доступа перед созданием VPN-подключения.
Настройте клиент таким образом, чтобы набирался
номер для предварительного подключения.
При попытке клиента создать VPN-подключение,
появляется приглашение ввести имя пользователя, имя домена и
пароль.
Убедитесь в том, VPN-подключение настроено на использование
смарт-карт.
Убедитесь в том, что параметры HideUserName, HideDomain и
HidePassword включены.
В сетевых подключениях клиента отсутствует
объект подключения.
Убедитесь в том, что клиенту был доставлен профиль диспетчера
подключений.
Убедитесь в том, что исполняемый файл профиля диспетчера
подключений запущен.
Клиент не может подключиться к
VPN-серверу.
Убедитесь в том, что подключение клиента настроено на правильное
имя VPN-сервера.
Убедитесь в том, что клиент выбирает нужный сервер из списка
VPN-серверов.
Клиенту не удается пройти проверку подлинности
на VPN-сервере.
Убедитесь в том, что клиент подключается к правильному
VPN-серверу.
Убедитесь в том, что смарт-карта имеет сертификат, который
является доверенным для VPN-сервера.
Дополнительные сведения об устранении общих неполадок для
VPN-подключений см. в разделе Устранение неполадок с VPN (эта ссылка может указывать на содержимое полностью или частично на
английском языке).
Аннотация
Внедрение смарт-карт для проверки подлинности подключений удаленного
доступа обеспечивает более надежную защиту, чем использование простого
сочетания имени пользователя и пароля. Смарт-карты используют
двухфакторную проверку подлинности за счет сочетания смарт-карты и
ПИН-кода. Двухфакторная проверка подлинности значительно более устойчива к
взлому, а пользователю легче запомнить ПИН-код, чем сложный пароль.
Использование смарт-карт представляет собой надежный и экономичный
метод проверки подлинности удаленных пользователей, повышающий сетевую
безопасность.