4.6.3 设置身份验证和记账功能
身份验证是远程访问安全的重要措施。远程访问服务器使用验证协议来核实远程用户的身份。Windows2000支持用于本地的Windows身份验证和用于远程集中验证的RADIUS验证。也支持无身份验证的访问。
当启用Windows作为记账提供程序时,Windows2000远程访问服务器也支持本地记录远程访问连接的身份验证和记账信息。即日志记录。
身份验证(Authentication)和授权(Authoring)是两个不同的概念。身份验证是对试图建立连接的用户的身份凭证进行验证,在验证的过程中,用户使用特定的身份验证协议将身份凭证从客户端发送到服务器端,由服务器进行核对。而授权用于确定用户是否有访问某种资源的权限,只有身份验证通过后,才能进行授权,以决定是否允许该用户建立连接。如果使用Windows身份验证,服务器使用Windows2000的安全特性来验证用户身份,用户账户的拨入属性和远程访问政策用于授权建立连接。
1.选择身份验证和记账提供程序
打开[路由和远程访问服务]控制台,在目录树中选择相应的服务器,单击鼠标右键,从弹出的快捷菜单中选择[属性],打开属性设置对话框,切换到[安全]选项卡,如图4.37所示,选择身份验证和计账提供程序。
验证提供程序;设置是由Windows身份验证还是RADIUS服务器来验证客户机的账号名称和密码。除非建立了RADIUS服务器,否则采用默认的[Wundows身份验证],由远程访问服务器本身来处理。
记账提供程序:设置连接记录日志保存的地方。选择默认的[Windows记账],记录保存在远程访问服务器上;选择[RADIUS记账],则记录保存在RADIUS服务器上;还可选择[<无>],不保存连接记录日志。
2.设置身份验证方法
这里以Windows身份验证为例,进一步设置相应的验证方法。单击[身份验证方法],打开如图4.42所示的对话框。身份验证方法一般使用在连接建立过程中用于协商的一种身份验证协议,各种身份验证方法比较见表4.1。
关于身份验证方法,再补充说明几点。
可以同时选中多种验证方法,应尽可能禁用安全级别低的验证方法,以提高安全性。在选择身份验证方法的时候,要注意服务器端和客户端都要支持。
PAP、SPAP、CHAP、MS-CHAP和MS-CHAP V2都是标准身份验证协议,EAP是扩展的身份验证协议,可以自定义验证方法。
如果使用MS-CHAP作为身份验证协议,则可以使用Microsoft点对点加密协议(MPPE)来加密在PPP或PPTP连接上发送的数据。
EAP允许将新的身份验证方法用于远程访问。对基于智能卡的安全部署尤其重要,允许其他身份验证模块插入Windows2000远程访问PPP实现的接口。Windows2000支持EAP-MD5 CHAP、EAP-TLS(用于智能卡和基于证书的身份验证)。以及EAP-RADIUS(将EAP消息传送到RADIUS服务器)。
如果要使用智能卡作为远程身份验证,则必须使用EAP-TLS身份验证方法。EAP-TLS消息交换,在远程访问客户机和身份验证者之间,提供了交互的身份验证、协商加密方法以及安全私匙交换。EAP-TLS提供了功能最强大的身份验证和密匙交换方法。使用带智能卡的EAP-TLS是目前最强大的身份验证方法。
当远程访问客户机所配置的身份验证协议与远程访问服务器上配置的身份验证协议不匹配时,Windows2000远程访问客户机会出现无身份验证的访问。
在默认情况下,Windows2000 MS-CHAP v1支持LAN Manager身份验证。如果要禁止将使用MS-CHAP v1的LAN Manager身份验证用于早期的Microsoft操作系统(如WindowsNT3.5x和Windows95),就必须在身份验证服务器上将以下注册表值设置为0。
HKEV_OCAL_MACHINE\System\CurrentControlSet
\Services\RemoteAccess\Policy\Allow LW Authentication.
京公网安备 11010802021500号