7.12.2001

RAS und VPN Teil 2

 

In den Eigenschaften des jeweiligen Benutzers erscheint übrigens eine Einwählen-Karte. Hier ist der Standardfall dargestellt. RAS-Richtlinien werden immer abgearbeitet, doch gibt es dort noch spezielle weitere Einstellungen. Die Anruferüberprüfung muss natürlich vom Telefonnetz unterstützt werden. Die statischen IP-Adressen sind übrigens auf Benutzerbasis und beschränken sich nur auf die RAS-Einwahl. Die Punkte "Zugriff über RAS-Richtlinien", "Anruferkennung", "statische IP-Adressen" und "statische Routen" sind nur verfügbar auf alleinstehenden Servern oder Servern, die Mitglied einer Domäne im einheitlichen Modus sind, denn bei NT4 gab es noch keine RAS-Richtlinien und Domänen im gemischten Modus können NT4-BDC's enthalten.

RAS-Richtlinien

Es existiert in W2k-Servern eine Standardrichtlinie:

Für irgendwas ist hier eine Reihenfolge angegeben. Wenn überhaupt keine RAS-Richtlinie vorhanden ist, kann man sich auf diesem System nicht anmelden. Wenn man die Richtlinie bearbeitet, sieht man den Namen dieser, die Bedingung, die es zu erfüllen gilt, die RAS-Berechtigung und das Profil. Zusätzlich gibt es, wie schon erwähnt (s.o.), die Benutzerberechtigungen. In dem Punkt "über RAS-Richtlinien steuern" wird die jew. RAS-Berechtigung ausgewertet. Die Abarbeitung der RAS-Berechtigungen und Richtlinien erklärt das Kapitel 8 der PP-Folien und die W2k-Server-Hilfe unter RAS-Richtlinien, Übersicht.

Wenn man sich einwählt, wird geprüft, ob eine Richtlinie vorhanden ist. Ist das nicht der Fall oder sind alle Richtlinien schon abgearbeitet und es traf keine zu, entsteht keine Verbindung. Ansonsten gilt (wenn die RAS-Bedingung erfüllt wurde), die Benutzerverweigerung (s.o.: RAS-Berechtigungen). Wenn nicht verweigert wurde, dann wird das Gestatten überprüft. Trifft dieser Punkt definitiv zu,  wird die Erfüllung des RAS-Profils (Sitzungszeitlimit, Verschlüsselung, Einwahltyp, etc.) überprüft und bei dessen Bestätigung die Verbindung zugelassen. Statt verweigern und gestatten gibt es noch einen dritten Punkt: RAS-Richtlinien. Das muss eigentlich RAS-Berechtigung heissen. Diese wird dann überprüft und bei der Beantwortung mit ja kommt ebenfalls das Profil dran. Beim Zulassen über das Profil findet eine Verbindung statt.

Ein Beispiel: Wir haben eine Standardrichtlinie, die alle Zugriffe zwischen Sonntag 0 Uhr bis Montag 24 Uhr verweigert. Ich melde mich an einem RAS-Server an. Die Richtlinie wird überprüft, und verweigert mir den Zugriff. Habe ich kein Konto oder darf mich nicht einwählen, die Richtlinie ist aber auf zulassen eingestellt, dann wäre die Richtlinie überprüft worden (ja, es ist eine vorhanden), danach wäre die Bedingung erfüllt worden und dann erst bei der Benutzerberechtigung wäre die Verweigerung eingetreten.

Die Bedingungen in einer Richtlinie sind additiv, sie müssen also alle erfüllt sein, wenn sie ausgewählt werden.

Bei der Day-and-Time-Restriction ist wochenweise und aufgeteilt nach Stunden und Tage. Unter den Windows-Groups ist die Benutzergruppe einstellbar. Das Framed-Protokoll ist z.B. PPP, der Tunnel-Typ kann PPTP o.ä. sein. Hat man die Bedingungen ausgewählt und danach die Aktion (verweigern, zulassen) ausgewählt, kann man Profile bearbeiten.

Hier ist u.a. die Zeitbeschränkung und das Einwählmedium einstellbar. Das hatten wir ja schon in den Bedingungen der Richtlinie! Der Grund ist folgender: Wenn die Bedingungen der Richtlinie verneint werden, wird die nächste Richtlinie abgearbeitet. Bei den Profilen wird, falls sie nicht zutreffen, der Zugang verweigert aber nicht die nächste Richtlinie angesprochen. Unter der Karte IP werden im Normalfall die IP-Adressen vom Server zugestellt. Seltener wird der Client die Adresse anfordern. Zusätzlich sind dort noch sehr genaue Paketfilter integriert. Unter Mehrfachverbindungen kann man z.B. Administratoren (die man ja vorher in Windows-Groups eingestellt hat) mehrere Verbindungen erlauben. Fällt für eine gewählte Zeit die Nutzung unter eine wählbare Prozentzahl, kappt der Server eine von den Verbindungen. Das ist aber auch clientseitig einstellbar (Eigenschaften der DFÜ-Verbindung). Unter Verschlüsselung gibt es 4 Stufen, wenn man das zweite Servicepack oder das High-Encryption-Pack eingespielt hat (stärkste Verschlüsselung).

Aufgabe: Administratoren dürfen sich rund um die Uhr einwählen und bis zu 4 Ports gleichzeitig nutzen dürfen. Allerdings nur mit starker Verschlüsselung und MS-CHAPv2. Die Benutzer der Gruppe Heimwerker dürfen sich zwischen 15 und 20 Uhr Mo-Fr einwählen, mit folgenden Kriterien: keine Verschlüsselung, PAP möglich, nur 1 Port. Alle anderen Benutzer dürfen sich rund um die Uhr einwählen, allerdings muss der Zugriff auf Benutzerebene gestattet sein (max. Verbindungsdauer 20min.)

In einem LAN würde man einen IAS-Server (Internet Authentication Service) einsetzen. Die RAS-Server, auf denen man sich einwählt, sind RADIUS-Clients und stellen die für RAS benötigte Hardware bereit. Die Autorisierung und Authentifizierung wird von dem zentralen IAS-Server (RADIUS) vorgenommen. Man kann so z.B. die RAS-Server outsourcen und behält nur noch die Autorisation in seinem LAN. Ein anderes Beispiel ist die Zentralisierung.

Auf dem Server muss der IAS unter Software hinzugefügt werden, wobei eine MMC namens Internetauthentifizierungsdienst entsteht. Automatisch wird der IAS-Server Mitglied der RAS+IAS-Server-Gruppe in der Domäne, zumindest im Idealfall. Auch RAS-Server sind automatisch in dieser Gruppe. Diese Mitgliedschaft ist notwendig, um die benötigten Informationen aus AD herauszulesen (Darf sich der Benutzer einwählen?). RADIUS ist ein RFC-Protokoll. Zur RADIUS-Client-Einrichtung braucht man den DNS-Namen oder die IP-Adresse. Zusätzlich muss man noch einen Case-sensitiven Schlüssel zum Schutz einrichten, der 255 Zeichen lang sein darf. Danach kommen die Richtlinien dran. Die RAS-Server, die ja RADIUS-Clients sind, bekommen in der Routing- und RAS-MMC in Eigenschaften des Servers \ Sicherheit den Kontoführungs- und Authentifizierungsanbieter mitgeteilt. Das Protokoll ist, natürlich, RADIUS. Dann tragen wir den entsprechenden DNS-Namen oder die IP-Adresse des RADIUS-Servers ein. Die Portnummern sind auf dem Client  standardmässig 1645 und 1646 und auf dem Server 1812 und 1813.