Mettre en œuvre la norme IAS

Internet Authentication Service (IAS) Vue d'ensemble

Dans la plupart des organisations qui ont de multiples serveurs d'accès au réseau, la centralisation de l'authentification et la comptabilité des liaisons étant fixé à un serveur centralisé est la meilleure approche que chaque serveur d'accès au réseau de l'authentification et de comptabilité.

Le Remote Authentication Dial-In User Service (RADIUS), le protocole est le protocole reconnu pour fournir une authentification centralisée, la comptabilité, l'authentification et l'autorisation d'accès au réseau à distance. RADIUS est un site Internet Engineering Task Force (IETF). Essentiellement, le protocole RADIUS peut être utilisé pour contrôler l'accès pour les réseaux commutés, réseaux privés virtuels et pour les réseaux sans fil. L'Internet Authentication Service (IAS), inclus dans Windows Server 2003, est une implémentation d'un serveur RADIUS et proxy RADIUS. IAS effectue l'authentification, l'autorisation et les fonctions de comptabilité pour les utilisateurs distants qui tente d'établir une connexion par accès commuté ou par le biais d'un VPN. IAS peut gérer le processus de connexion complète de tentatives de connexion d'accès distant.

Les FAI peuvent également utiliser le protocole RADIUS. Third-Party fournisseurs de services Internet peuvent utiliser IAS pour authentifier les utilisateurs dial-in à la base de données Active Directory de l'organisation. Ici, les noms d'utilisateur et mots de passe stockés pouvoirs dans Active Directory est utilisée, et le FAI fournit pas le service d'annuaire Active Directory ne compte pas vraiment.

IAS fournit les fonctions suivantes pour les connexions à distance, les connexions VPN et les connexions sans fil:

  • Authentification centralisée: La majorité des méthodes d'authentification standard tels que Challenge Handshake Authentication Protocol (CHAP), MS-CHAP version 1 et version 2, et autres protocoles d'authentification sont supportées par les normes IAS.
  • La comptabilité centralisée: L'IAS est capable de collecter des informations comptables à partir des serveurs d'accès réseau.
  • Audit centralisé: IAS peut enregistrer un certain nombre d'événements, y compris toutes les demandes d'authentification qui ont été rejetées / acceptées, et les informations d'utilisation d'utilisateurs.

IAS peut également être utilisé aux fins suivantes:

  • Authentifier commutateurs: IAS peut être utilisé pour authentifier les interrupteurs afin que personne ne passe non autorisés sont activées dans le réseau. Ici, les politiques d'accès à distance sont utilisés pour permettre à l'IAS pour être le serveur RADIUS pour l'Ethernet commutateurs qui peuvent s'authentifier sur un serveur centralisé.
  • Connexions d'accès distant sous-traiter: IAS peut également être utilisé pour permettre à un organisme d'externaliser sa solution d'accès distant à un tiers-ISP. Ici, le serveur IAS dans le réseau de l'organisation est chargée d'authentifier les informations d'identification de l'utilisateur, et pour la surveillance et le suivi des utilisateurs d'accès distant.

Pour mettre en œuvre RADIUS, RADIUS les composants suivants sont nécessaires:

  • Un serveur RADIUS: Le serveur RADIUS est responsable d'un certain nombre de fonctions quand un client d'accès distant tente d'établir une connexion:
    • Authentification
    • Autorisation
    • Comptabilité

    • Toutes les fonctions sont centralisées au niveau du serveur RADIUS. Chaque serveur d'accès distant ne remplissent aucune des fonctions précitées. Sur la base des informations que le serveur RADIUS a dans sa base de données compte d'utilisateur et les informations associées à la connexion réelle, la tentative de connexion est soit accordée ou refusée. Le serveur RADIUS permet également de centraliser l'application des stratégies d'accès distant dans Windows 2000 et Windows Server 2003 des réseaux.

  • Un client RADIUS: Le client RADIUS transmet toutes les tentatives de connexion au serveur RADIUS pour l'authentification et les fonctions d'autorisation. Cela signifie que les clients RADIUS n'effectuent pas d'authentification, d'autorisation et les fonctions comptables. Un client RADIUS peut être l'un des types de serveurs suivants:
    • Dial-up server
    • Serveur VPN
    • Point d'accès sans fil (WAP)

    • Un client RADIUS a les responsabilités suivantes:

    • Transmettre toutes les demandes d'authentification et de comptabilisation des demandes sur le serveur RADIUS configuré.
    • Pour obtenir la politique d'accès à distance à partir du serveur RADIUS.
  • Un proxy RADIUS: Quand il ya plusieurs serveurs RADIUS dans la même organisation, le proxy RADIUS détermine le serveur RADIUS spécifiques que la demande de connexion doit être transmis à.

    • Proxies RADIUS ont les responsabilités suivantes:

    • Permettre aux services d'authentification pour de nombreux organismes pour être hébergé par l'adresse IP du serveur de tunnel identique.
    • Faciliter la transmission des paquets d'authentification RADIUS demande au serveur RADIUS appropriée, fondée sur l'un des renseignements suivants:
      • Préfixe fourni par le client d'accès distant.
      • Suffixe fournis par le client d'accès distant.

IAS prévoit un certain nombre d'avantages par rapport à l'authentification RRAS standard. Les avantages d'utiliser les normes IAS sont:

  • L'authentification centralisée des utilisateurs, d'autorisation et de comptabilité: Avec IAS, les utilisateurs distants se connectent au serveur RRAS agissant en tant que client RADIUS qui à son tour se connecte au serveur IAS pour authentifier les utilisateurs. Tous les serveurs RRAS sein de l'organisation peut se connecter à un seul serveur IAS pour les fonctions d'authentification. Le service IAS peut également suivre l'utilisation du système, et les grands événements qui se produisent.
  • Intégration avec les caractéristiques actuelles du RRAS: IAS peuvent s'intégrer avec les paramètres de stratégie d'accès distant de RRAS, et vous pouvez configurer plusieurs serveurs RRAS pour authentifier les connexions d'accès distant via le serveur IAS. IAS gère la stratégie d'accès distant lorsque vos serveurs RRAS s'authentifier en utilisant les normes IAS.
  • Stratégies d'accès distant de soutien: les IAS, vous pouvez définir des stratégies d'accès distant sur le serveur IAS qui sont appliquées pour chaque serveur RRAS qui authentifie les tentatives d'accès de connexion à distance à travers les normes IAS.
  • Evolutivité: Avec IAS, vous pouvez avoir une échelle allant de serveur IAS pour avoir de multiples serveurs IAS. Vous pouvez également ajouter des serveurs RRAS et de les inclure avec les serveurs existants en utilisant RRAS IAS pour l'authentification. Vous n'avez pas besoin de configurer la sécurité pour chaque nouveau serveur RRAS individuellement.

Windows Server 2003 IAS Caractéristiques

IAS est disponible dans les éditions suivantes de Windows Server 2003:

  • Windows Server 2003 Standard Edition
  • Windows Server 2003 Enterprise Edition
  • Windows Server 2003 Datacenter Edition

L'IAS nouvelles fonctionnalités fournies avec un Windows Server 2003 mise en œuvre des normes IAS sont résumées ci-dessous:

  • Le proxy RADIUS: IAS peut être configuré pour rediriger les requêtes d'authentification à un ou plusieurs serveurs RADIUS externes qui exécutent une installation conforme RFC RADIUS. Fondamentalement, les serveurs RADIUS externes n'ont pas à être installations IAS. IAS est capable de distinguer entre les demandes de connexion dont il doit gérer, et les demandes de connexion qui, elle devrait proposer à d'autres serveurs externes RADIUS. Demandes d'authentification peuvent être transmis à des serveurs RADIUS externes, basée sur un certain nombre de critères, notamment:
    • Nom d'utilisateur
    • Adresse IP du serveur RADIUS externe
  • RADIUS Remote-à-Windows-User fonction cartographique: Cette fonctionnalité permet aux utilisateurs d'être authentifiés par un serveur, puis autorisé par un autre serveur. RADIUS Remote-à-Windows-User cartographie permet à la fonction d'authentification et de la fonction de l'autorisation d'être exécuté par deux serveurs différents.
  • Le Windows Server 2003 IAS mise en œuvre inclut la capacité de l'IAS pour authentifier les commutateurs. Stratégies d'accès à distance sont utilisés pour permettre l'IAS pour être le serveur RADIUS pour les commutateurs Ethernet qui peuvent s'authentifier sur un serveur centralisé. IAS peut ensuite être utilisé pour authentifier les interrupteurs afin que personne ne passe non autorisés sont activées dans le réseau.
  • IAS peut également authentifier les utilisateurs sans fil via le Protected Extensible Authentication Protocol (PEAP) protocole d'authentification. Cela est dû à la norme IAS notamment le soutien aux points d'accès sans fil, afin que les utilisateurs peuvent être authentifiés et autorisés.
  • Network Access Quarantine Control: L'authentification est seulement le moyen de vérifier l'identité de l'utilisateur. L'authentification peut pas vérifier que l'ordinateur de l'utilisateur ne contient pas de logiciels malveillants tels que virus, vers, etc. Network Access Quarantine Control est la fonction qui retarde l'accès à distance normale du réseau interne privé, tant que l'ordinateur l'accès à distance cours d'utilisation peut être vérifiée afin de politiques de sécurité par le biais d'un script. Grâce à Network Access Quarantine Control, l'utilisateur est authentifié et l'ordinateur d'accès distant reçoit une adresse IP. Jusqu'à ce qu'un script qui permet de valider l'ordinateur est exécuté, l'ordinateur est placé en mode quarantaine. C'est seulement après l'accès à l'ordinateur distant est validé, est le mode de quarantaine enlevé, et l'ordinateur d'accès distant reçoit un accès à distance standard.
  • IAS inclut SQL aux bases de données qui se traduit par plus efficace l'enregistrement des informations d'audit de l'utilisateur.

Comprendre les méthodes d'authentification IAS

IAS soutenir un certain nombre de méthodes d'authentification, avec la charge par défaut des méthodes d'authentification:

  • Point-to-Point Protocol (PPP) sur la base des méthodes d'authentification, notamment:
    • Password Authentication Protocol (PAP): Un réseau et la méthode d'authentification d'accès à distance qui utilise les mots de passe en clair et sans cryptage. PAP ne devraient être utilisées quand aucune des autres méthodes d'authentification sont prises en charge par vos clients d'accès distant.
    • Shiva Password Authentication Protocol (PAPP): Cette méthode utilise un protocole de non-compliquée mot de passe d'authentification. SPAP doit être utilisé lorsque Shiva serveurs d'accès distant sont utilisées pour les serveurs d'accès réseau. Vous ne pouvez pas utiliser SPAP si vous avez besoin de méthodes de cryptage fort pour les connexions d'accès distant. Les deux SPAP et le PAP offre de faibles niveaux de sécurité.
    • Challenge Handshake Authentication Protocol (CHAP): Il s'agit d'un protocole d'authentification par défi / réponse utilisé pour les connexions PPP. CHAP fournit un niveau de sécurité moyen pour les connexions d'accès distant. CHAP devrait être utilisée que quand vos clients un accès à distance utilisent des systèmes d'exploitation Microsoft (OSS) et autres logiciels libres. N'oubliez pas que les mots de passe CHAP exige d'être stockés sous forme cryptée réversible sur vos contrôleurs de domaine.
    • Microsoft Challenge Handshake Authentication Protocol (MS-CHAP): MS-CHAP est l'extension du CHAP Microsoft offre une sécurité accrue. MS-CHAP devraient être utilisés lorsque les conditions suivantes sont réunies:
      • Vos clients l'accès à distance utilisent des systèmes d'exploitation Microsoft (OSS).
      • Vous ne voulez stocker les mots de passe sous forme cryptée réversible sur les contrôleurs de domaine.
      • Les données doivent être cryptées entre le client d'accès distant et le serveur d'accès réseau.
    • Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAPv2): fournit une authentification mutuelle et est utilisé pour le réseau et l'authentification par modem. MS-CHAPv2 devraient être choisis sur MS-CHAPv1. MS-CHAPv2 est inclus avec toutes les versions actuelles de Windows. MS-CHAPv2 fournit un niveau élevé de protection pour les connexions d'accès distant, et devraient être utilisés lorsque les conditions suivantes sont réunies:
      • L'authentification mutuelle est nécessaire pour le client d'accès distant et le serveur d'accès réseau.
      • Les données doivent être cryptées entre le client d'accès distant et le serveur d'accès réseau.
      • Les clients Windows 95 et Windows 98 sont seulement utilisés pour l'authentification VPN.
      • Clients Windows NT 4.0 et Windows 2000 sont utilisés pour composer en place l'authentification et l'authentification VPN.
  • Extensible Authentication Protocol (EAP) sur la base des méthodes d'authentification, notamment:
    • EAP-MD5: Permet EAP autorisation par un nom et un mot de passe.
    • EAP-TLS: utilise l'authentification mutuelle ainsi que les certificats de carte à puce. EAP-TLS doit être utilisé lorsque les déclarations suivantes sont remplies:
      • L'authentification mutuelle est nécessaire pour le client d'accès distant et le serveur d'accès réseau.
      • Les données doivent être cryptées entre le client d'accès distant et le serveur d'accès réseau.
      • Les systèmes d'exploitation tiers soutiennent les mécanismes d'authentification des parties, comme les cartes à puce, sont utilisées.

Vous pouvez aussi ajouter des méthodes d'authentification supplémentaires qui ne sont pas pris en charge par l'implémentation par défaut de l'IAS. Après que l'utilisateur est authentifié, l'IAS suivant doit autoriser l'utilisateur à vérifier que les ressources en essayant d'être consulté par l'utilisateur peuvent certes être consulté par l'utilisateur.

Comprendre la norme IAS Autorisation Méthodes

IAS prend en charge un certain nombre de méthodes d'autorisation, notamment les suivantes:

  • Les politiques d'accès à distance: stratégies d'accès à distance peut être utilisée pour restreindre l'accès des utilisateurs, basée sur:
    • Utilisateur
    • L'appartenance au groupe
    • Heure du jour

    • La subvention ou paramètre Refus d'une politique spécifique détermine si l'utilisateur est autorisé ou accès refusé. Les politiques d'accès à distance peut être utilisée pour spécifier que les clients doivent utiliser le protocole d'authentification et de préciser que les clients doivent utiliser des méthodes de cryptage. Vous pouvez également utiliser des stratégies d'accès distant pour configurer des restrictions supplémentaires une fois que la tentative de connexion est autorisée.

    La connexion peut être limité par des politiques d'accès à distance s'appuyant sur les éléments suivants:

    • Temps de silence Idle
    • Maximum session de temps
    • Cryptage
    • Filtres de paquets IP
    • Advanced restrictions - les adresses IP pour les connexions PPP.
  • Automatic Number Identification (ANI) et de la ligne appelante (CLI): Le critère utilisé pour autoriser l'utilisateur est le numéro de l'utilisateur spécifique qui appelle. IAS est capable d'autoriser des connexions en fonction de chaque numéro d'identification automatique (ANI) ou numéro de l'appelant (CLI).
  • Composé le numéro d'identification de service (DNIS): DNIS est un service de téléphonie qui permet d'identifier le numéro appelé. Le critère utilisé pour autoriser l'utilisateur est basée sur le numéro de téléphone où l'utilisateur utilise.
  • L'autorisation de l'utilisateur: Avec l'autorisation de l'utilisateur, l'accès est autorisé pour les utilisateurs non autorisés, sans nom d'utilisateur et mot de passe fournis. L'autorisation de l'utilisateur est désactivé par défaut, et ce n'est pas le choix recommandé pour une méthode d'autorisation.

Conception d'un serveur RADIUS (IAS) Stratégie

Un certain nombre de facteurs devraient être considérés lorsque vous envisagez de mettre en œuvre une solution RADIUS:

  • Vous devez examiner votre infrastructure réseau existante en se référant à ce qui suit:
    • Emplacements de vos utilisateurs un accès distant.
    • Le type de connexion WAN technologies utilisées.
    • Nombre d'utilisateurs d'accéder à distance à ces endroits.
  • Déterminer comment la solution RADIUS va être garanti.
  • Déterminer le niveau de disponibilité de RADIUS qui est nécessaire pour les utilisateurs d'accès distant.
  • Déterminer l'emplacement des serveurs RADIUS et les clients RADIUS.
  • Définir des méthodes pour améliorer la performance RADIUS.

Les points de connexion suivantes doivent être sécurisés pour protéger les ressources sur le réseau privé des utilisateurs d'accès distant qui ont accès au réseau privé.

  • La connexion entre le client RADIUS et le serveur RADIUS doit être sécurisée.
  • La connexion entre le client d'accès distant et le client RADIUS. Un client RADIUS peut être l'un des types de serveurs suivants: Dial-up server, serveur VPN, ou point d'accès sans fil (WAP).

Les mécanismes qui peuvent être utilisés pour garantir votre stratégie de RADIUS sont énumérés ici:

  • Vous pouvez appliquer des stratégies d'accès distant sur le serveur RADIUS qui doit être appliquée à chaque utilisateur un accès à distance tente d'établir une connexion. Lorsque les clients RADIUS utiliser des stratégies d'accès distant appliquée sur le serveur RADIUS, puis toutes les politiques sur les clients réels RADIUS sont négligés. Les stratégies d'accès distant sur le serveur RADIUS sont utilisés à la place.
  • Protocoles d'authentification tels que CHAP, EAP-TLS, et MS-CHAPv1 et MS-CHAPv2 peut également être utilisé pour augmenter la sécurité.
  • Algorithmes de chiffrement sont également appuyées par les clients RADIUS pour les clients d'accès distant. Cela inclut MPPE sur PPTP et IPSec

Assurer la disponibilité de votre stratégie de RADIUS est une autre question importante qui devrait être inclus lorsque vous planifiez votre design RADIUS. Ayant plusieurs clients et plusieurs serveurs RADIUS IAS configuré en tant que serveurs RADIUS aider à s'assurer que les utilisateurs d'accès distant, vous pouvez établir des connexions.

Si vous envisagez de mettre en œuvre deux ou plusieurs serveurs RADIUS, examiner les facteurs importants suivants:

  • Le coût de la mise en œuvre de deux serveurs configurés comme serveurs IAS RADIUS doit être justifiée par le degré de disponibilité requis au sein de l'organisation spécifique.
  • Vous devriez envisager de configurer les clients RADIUS comme proxy RADIUS pour l'équilibrage de charge. Rappelons qu'un RADIUS proxy peut transmettre les demandes d'accès à distance de connexion entre deux serveurs RADIUS.
  • Afin d'assurer que chaque serveur IAS identiques effectue l'authentification, l'autorisation et les fonctions de comptabilité pour les clients RADIUS; envisager de copier les paramètres de configuration du serveur IAS un à l'autre serveur IAS.

Lorsqu'il s'agit de déterminer le placement de vos serveurs RADIUS et les clients RADIUS, considérer les points suivants:

  • Le placement de vos serveurs RADIUS et les clients RADIUS doit résultat est la plus grande sécurité pour le réseau privé.
  • Le placement de vos serveurs RADIUS et les clients RADIUS devrait également réduire le trafic réseau sur l'environnement en réseau.
  • Si vous avez un serveur RADIUS et un client RADIUS, il est recommandé de placer à proximité du client RADIUS pour les utilisateurs d'accès distant. Cela se traduit dans la stratégie de placement les avantages suivants:
    • Vous pouvez mieux gérer la sécurité entre le client RADIUS et le réseau privé interne.
    • Réduction du trafic sur des liaisons WAN.
    • Dial-up réduit les coûts.
  • Le serveur d'authentification et le serveur RADIUS doit être mis sur le réseau privé interne.
  • Il est recommandé de vous placer à proximité du serveur RADIUS pour le contrôleur de domaine utilisé pour fournir des services d'authentification pour les clients d'accès distant.

Installation de l'IAS

Comment faire pour installer IAS

  1. Ouvrez le Panneau de configuration
  2. Double-cliquez sur Ajout / Suppression de programmes, puis cliquez sur Ajouter / Supprimer des composants Windows.
  3. L'Assistant Composants Windows démarre.
  4. Cliquez sur Services réseau, puis cliquez sur Détails.
  5. Dans les services en réseau boîte de dialogue, sélectionnez la case à cocher Service d'authentification Internet dans la liste.
  6. Cliquez sur OK. Cliquez sur Suivant. Cliquez sur Terminer.

Gestion et de suivi IAS

Vous pouvez utiliser l'Internet Authentication Service console de gestion pour gérer la configuration de votre application des normes IAS.

Pour accéder à l'Internet Authentication Service console de gestion,

  1. Cliquez sur Démarrer, sur Outils d'administration, puis cliquez sur Internet Authentication Service.

Le volet gauche de la gestion de l'Internet Authentication Service console contient les nœuds suivants, ou des composants RADIUS:

  • Les clients RADIUS: Contient les serveurs RRAS qui sont configurés pour votre application des normes IAS. Un client RADIUS peut être l'un des types de serveurs suivants:
    • Dial-up server
    • Serveur VPN
    • Point d'accès sans fil (WAP)

    • Grâce à ce nœud, vous pouvez gérer vos clients RADIUS. Vous pouvez ajouter ou supprimer des clients RADIUS que nécessaire.

  • Connexion par accès distant: vous permet de configurer les options de journalisation.
  • Les politiques d'accès à distance: Contient toutes les politiques d'accès actuellement configuré à distance. Vous pouvez ajouter de nouvelles politiques d'accès à distance pour restreindre l'accès utilisateur en fonction de l'utilisateur, l'appartenance à groupe et le temps de la journée. Vous pouvez ajouter et supprimer des politiques d'accès à distance en utilisant les stratégies d'accès à distance du nœud de l'IAS console.
  • Traitement de demande de connexion: permet de configurer les paramètres de sorte que les demandes de connexion peuvent être envoyés vers d'autres serveurs RADIUS. Avec les normes IAS, les demandes d'authentification peut être transmis à un ou plusieurs serveurs RADIUS externes qui exécutent une installation conforme RFC RADIUS.

L'IAS Software Development Kit (SDK) peut être utilisé aux fins suivantes:

  • Créez des méthodes d'authentification. Les outils de développement du PAE sont inclus de sorte que vous pouvez créer de nouveaux types d'authentification.
  • Créez des méthodes d'autorisation.
  • Créer des comportements personnalisés pour les normes IAS.
  • Contrôler la façon dont de nombreuses sessions réseau peut être utilisé par les utilisateurs.

Vous pouvez utiliser l'outil Observateur d'événements et de l'utilitaire Moniteur système pour surveiller votre IAS performances du serveur. Event Viewer magasins événements qui sont enregistrés dans le journal système, journal d'application, et journal de sécurité. Le journal système contient les événements qui sont associés avec le système d'exploitation. Les magasins journal des événements d'application qui se rapportent aux applications exécutées sur l'ordinateur. Les événements qui sont associés à des activités d'audit sont consignés dans le journal de sécurité.

L'utilitaire Moniteur système est le principal outil de contrôle des performances système. Moniteur système permet de suivre différents processus sur le système Windows en temps réel. Le Moniteur système utilise des objets, des compteurs et instances à surveiller le système. Un objet est une collection de jetons qui sont associés à une ressource système ou un service. Comme l'objet exécute une fonction, ses compteurs associés sont mis à jour. Un certain nombre d'objets IAS sont automatiquement ajoutés au Moniteur système lorsque le service IAS est installé. Une contre représente les données pour un composant particulier du système ou de service. Chaque objet dispose d'un ensemble de compteurs. Un exemple se réfère à l'incident de multiples objets de performance de type identique sur un ordinateur. Un objet peut avoir une ou plusieurs instances. Vous pouvez spécifier les éléments ou composants spécifiques qui devraient être suivis sur l'ordinateur local et des ordinateurs distants. Vous pouvez déterminer l'utilisation des ressources par le suivi des tendances. Moniteur système peut être affiché dans un graphique, histogramme, ou le format de rapport.

Vous devez être membre de l'un de ces groupes à utiliser le Moniteur système: Les administrateurs de groupe, groupe Opérateurs de serveur, la performance du groupe Utilisateurs du journal, ou au rendement du groupe Utilisateurs Monitor.

Les objets les plus couramment utilisés pour surveiller l'activité du réseau sont:

  • Explorateur d'objets, les moniteurs du service Explorateur pour le domaine ou le groupe de travail
  • Cache d'objets, surveille l'utilisation du cache disque
  • Objet Mémoire, surveille le rendement physique et mémoire virtuelle
  • Objets objet, surveille les événements, les processus et les threads sur l'ordinateur que les données sont collectées.
  • Paging objet File, surveille l'utilisation du fichier de la page
  • L'objet disque physique, surveille les disques durs
  • Processus objet, surveille les processus exécutés sur l'ordinateur
  • Objet Processeur, surveille les transformateurs sur le système.
  • Objet serveur, les moniteurs des articles tels que les octets, des sessions, l'utilisation du pool paginé, et la non-utilisation du pool paginée.
  • Objet système, surveille les compteurs associés au matériel du système et des logiciels
  • Thread objet. Moniteurs threads qui s'exécutent dans le système

Comment faire pour activer l'authentification IAS

  1. Cliquez sur Démarrer, sur Outils d'administration, puis cliquez sur Routage et accès distant pour ouvrir le Routage et accès distant console de gestion.
  2. Dans l'arborescence de la console, cliquez droit sur le serveur que vous souhaitez configurer, puis sélectionnez Propriétés dans le menu contextuel.
  3. Passez à l'onglet Sécurité.
  4. Dans le menu déroulant Fournisseur d'authentification déroulant, sélectionnez l'option d'authentification RADIUS.
  5. Cliquez sur Configurer.
  6. Cliquez sur Ajouter pour inclure un serveur RADIUS dans la liste.
  7. Lorsque le serveur RADIUS Ajouter boîte de dialogue s'ouvre, indiquez le nom du serveur RADIUS, puis cliquez sur OK. Cliquez de nouveau sur OK pour fermer la boîte de dialogue Propriétés.
  8. Cliquez sur OK pour confirmer que le service RRAS doit être redémarré.
  9. Dans le service Routage et accès distant de gestion de console, cliquez droit sur le serveur, puis sélectionnez All Tasks, puis sélectionnez Redémarrer dans le menu contextuel.

Comment faire pour activer l'authentification EAP sur le serveur IAS

  1. Cliquez sur Démarrer, sur Outils d'administration, puis cliquez sur Service d'authentification Internet pour ouvrir l'Internet Authentication Service management console.
  2. Dans le volet gauche, sélectionnez Stratégies d'accès distant.
  3. Dans le volet droit, cliquez sur Connexions à Microsoft Routing and Remote Access Server.
  4. Dans le menu Action, cliquez sur Propriétés.
  5. Cliquez sur Modifier le profil pour accéder au réseau commuté Edit Profile boîte de dialogue.
  6. Passez à l'onglet Authentification.
  7. C'est là que vous pouvez spécifier l'ordre dans lequel les types EAP sont négociés, et activer / désactiver la non-EAP méthodes d'authentification.
  8. Cliquez sur le bouton méthodes EAP pour ajouter, supprimer ou afficher les types existants EAP.
  9. Cliquez sur OK.

Comment faire pour configurer IAS sur un contrôleur de domaine

  1. Ouvrir panneau de configuration.
  2. Double-cliquez sur Ajout / Suppression de programmes, puis cliquez sur Ajouter / Supprimer des composants Windows.
  3. L'Assistant Composants Windows démarre.
  4. Cliquez sur Services réseau, puis cliquez sur Détails.
  5. Dans les services en réseau boîte de dialogue, sélectionnez la case à cocher Service d'authentification Internet dans la liste.
  6. Cliquez sur OK. Cliquez sur Suivant. Cliquez sur Terminer.
  7. Pour inscrire le serveur IAS dans Active Directory afin que les normes IAS peuvent accéder à la ligne du compte d'utilisateur dans les propriétés de l'information dans votre domaine Active Directory, accédez à la gestion de l'Internet Authentication Service console.
  8. Cliquez sur Démarrer, sur Outils d'administration, puis cliquez sur Service d'authentification Internet pour ouvrir l'Internet Authentication Service management console.
  9. Dans le volet gauche, cliquez droit sur Service d'authentification Internet, puis cliquez sur Enregistrer Server dans Active Directory à partir du menu contextuel.
  10. OK pour le message qui apparaît, cliquez, nécessitant des vérifications que vous souhaitez autoriser l'ordinateur.

Comment créer une nouvelle stratégie d'accès distant

  1. Cliquez sur Démarrer, sur Outils d'administration, puis cliquez sur Service d'authentification Internet pour ouvrir l'Internet Authentication Service management console.
  2. Dans le volet gauche, cliquez droit sur le noeud Stratégies d'accès distant, puis sélectionnez Nouvelle stratégie d'accès distant dans le menu contextuel.
  3. La nouvelle Stratégie d'accès distant Assistant initiés
  4. Cliquez sur Suivant sur le nouvel accès à distance Bienvenue écran Assistant Policy.
  5. Sur la page Politique de la méthode de configuration, cliquez sur Utiliser l'assistant de mettre en place une politique typique d'une option scénario courant. Cliquez sur Suivant.
  6. Sur la page Méthode d'accès, choisissez l'une des méthodes suivantes:
    • Accès VPN
    • Dialup accès
    • L'accès sans fil
    • Ethernet
    7. Cliquez sur Suivant.
  7. Comment configurer l'accès à distance devrait être accordée. Cliquez sur Suivant
  8. Sur la page Méthodes d'authentification, sélectionnez les méthodes d'authentification laquelle la nouvelle politique d'accès à distance à utiliser. Cliquez sur Suivant.
  9. Sélectionnez le niveau de cryptage qui devraient être utilisés. Cliquez sur Suivant.
  10. Cliquez sur Terminer.

Comment faire pour configurer IAS pour la sécurité sans fil

Les clients sans fil à la norme IAS peut authentifier le biais de:

  • Cartes à puce
  • Certificats
  • Nom d'utilisateur et mot de passe.

Le processus qui se produit quand un client essaie de se connecter à un réseau sans fil qui utilise l'authentification 802.1X est expliqué ci-dessous:

  1. Le client tente de se connecter au SSID du point d'accès sans fil (WAP).
  2. Le client doit s'authentifier sur le WAP si elle est partagée d'authentification réseau est activé. La clé du réseau est utilisé pour authentifier le client.
  3. Le WAP envoie un défi d'authentification pour le client.
  4. Le WAP suivante crée un canal pour permettre au client de communiquer directement avec le service RADIUS.
  5. Lorsque le client interagit d'abord avec le serveur RADIUS, il faut d'abord vérifier que le serveur RADIUS est, en fait, qui c'est. Pour vérifier l'identité du serveur RADIUS, le client vérifie le certificat de clé publique du serveur RADIUS.
  6. Lorsque le client a vérifié l'identité du serveur RADIUS, le client doit utiliser l'authentification 802.1X pour l'authentification auprès du service RADIUS.
  7. Si le service RADIUS et le client sont configurées pour utiliser l'authentification EAP-TLS, certificats de clés publiques sont utilisées pour authentifier le client vers le service RADIUS.
  8. Si le service RADIUS et le client sont configurées pour utiliser PEAP (Protected EAP) l'authentification, puis une session de Transport Layer Security (TLS) est établie entre le client et le service RADIUS. Une fois le protocole Transport Layer Security (TLS) session est établie, le client commence à envoyer ses lettres de créance de la sécurité au service RADIUS.
  9. Lorsque le service RADIUS reçoit les informations d'identification du client, il vérifie les pouvoirs reçus à son répertoire.
  10. L'accès est accordé au client lorsque les éléments suivants se produit:
    • Le service RADIUS est capable d'authentifier les informations d'identification du client grâce à sa base de données d'authentification.
    • La politique d'accès permet au client d'établir une connexion.
  11. A ce stade, le service RADIUS envoie le secret partagé dynamique à l'AMP, et en informe le WAP que l'accès a été accordé pour le client.
    12. 1
  12. Le secret partagé est utilisé pour chiffrer et déchiffrer les communications transmises entre le client et le WAP.

Les paramètres de configuration principal que vous devez spécifier quand vous configurez vos points d'accès sans fil (WAP), de sorte que les clients sans fil peuvent accéder au réseau sont énumérées ci-dessous:

  • Configurer une stratégie d'accès distant qui permet des connexions sans fil.
  • Définissez la méthode de cryptage que le cryptage WEP ou WPA.
  • Préciser le niveau de cryptage.
  • Définir l'authentification 802.1X.
  • Définissez la méthode d'authentification.
  • Configurer les serveurs RADIUS IAS 'adresse IP.
  • Configurer le WAP sur le serveur IAS en tant que clients RADIUS
  • Définissez la clé partagée qui correspond à le secret partagé qui a été défini lors de l'IAS a été configuré.

La politique d'accès à distance que vous configurez pour les utilisateurs sans fil doit comprendre les renseignements énumérés ici:

  • Méthode d'accès définis comme l'accès sans fil.
  • Utilisateur ou un groupe défini comme l'utilisateur / groupe pour vos utilisateurs sans fil.
  • Définir en tant que méthode d'authentification de carte à puce / certificat.
  • Politique niveau de cryptage doit être réglé le plus fort niveau de cryptage.
  • Jeu d'autorisations à accorder la permission d'accès distant.

Comment faire pour configurer IAS pour le point d'accès sans fil

  1. Cliquez sur Démarrer, sur Outils d'administration, puis cliquez sur Service d'authentification Internet pour ouvrir la console Service d'authentification Internet.
  2. Dans la console, à droite RADIUS cliquez sur Clients, puis sélectionnez Nouveau client RADIUS dans le menu contextuel.
  3. Le Nouveau client RADIUS démarre.
  4. Ajouter des informations client pour le point d'accès sans fil et ajouter les clients sans fil en tant que clients RADIUS. Cliquez sur Suivant.
  5. Sur l'écran Nouveau client RADIUS, sélectionnez l'option Standard RADIUS à partir du client-drop-down Vendeur zone de liste.
  6. Spécifiez le mot de passe secret partagé.
  7. Cliquez sur Terminer.

Comment faire pour configurer une stratégie d'accès distant pour les clients IAS

  1. Cliquez sur Démarrer, sur Outils d'administration, puis cliquez sur Service d'authentification Internet pour ouvrir la console Service d'authentification Internet.
  2. Dans l'arborescence de la console, développez Internet Authentication Service.
  3. Sélectionnez Stratégies d'accès distant.
  4. Dans le volet droit, sélectionner et double-cliquez sur la stratégie que vous devez configurer.
  5. Cliquez sur le bouton Modifier le profil.
  6. Méthodes EAP Cliquez sur l'onglet Authentification.
  7. Cliquez sur Ajouter dans prestataires Sélectionnez EAP, sélectionnez PEAP (Protected EAP), puis cliquez sur OK.
  8. Maintenant, cliquez sur PEAP (Protected EAP) dans les fournisseurs Sélectionnez EAP, puis cliquez sur le bouton Modifier.
  9. Le Protected EAP boîte de dialogue Propriétés s'ouvre.
  10. En utilisant la liste Certificat émis de la liste déroulante, sélectionnez le certificat que le serveur va utiliser pour les clients de l'identifier.
    11. 1
  11. Cochez la case Enable Fast Reconnect.
    12. 1
  12. Dans la zone Type d'EAP, sélectionnez Mot de passe sécurisé (EAP-MSCHAPv2)
    13. 1
  13. Cliquez sur OK.

Comment faire pour configurer un serveur RRAS pour la comptabilité RADIUS

  1. Cliquez sur Démarrer, sur Outils d'administration, puis cliquez sur Routage et accès distant pour ouvrir le Routage et accès distant console de gestion.
  2. Dans l'arborescence de la console, cliquez droit sur le serveur que vous souhaitez configurer, puis sélectionnez Propriétés dans le menu contextuel.
  3. Passez à l'onglet Sécurité.
  4. Dans le menu déroulant fournisseur de comptes déroulant, sélectionnez l'option RADIUS Accounting.
  5. Cliquez sur le bouton Configurer.
  6. Indiquez l'adresse IP du serveur IAS, ou sinon, indiquez le nom d'hôte du serveur IAS.
  7. Veiller à ce que le service RRAS et IAS ont un secret commun partagé.
  8. Cliquez sur OK.

Comment configurer la journalisation IAS

Vous pouvez configurer IAS pour vous connecter:

  • Demandes d'authentification
  • Comptabilité demandes

Pour configurer IAS pour suivre les tentatives de connexion des utilisateurs

  1. Cliquez sur Démarrer, sur Outils d'administration, puis cliquez sur Service d'authentification Internet pour ouvrir l'Internet Authentication Service management console.
  2. Dans le volet gauche de la console, cliquez sur le noeud d'accès à distance l'exploitation forestière.
  3. Dans le volet droit de la console de gestion, droit-cliquez sur Local Fichier, puis sélectionnez Propriétés dans le menu contextuel.
  4. Le fichier local boîte de dialogue Propriétés s'ouvre.
  5. Afin de permettre l'exploitation forestière IAS, sélectionnez les options suivantes:
    • Les demandes d'authentification
    • Compte des demandes
    • Périodiques Etat
  6. Cliquez sur OK.

Discuss Mettre en œuvre la norme IAS in the forums.

 
(0 - user rating)

You need to login or register to post comments.