Материал из Xgu.ru

Содержание 1 UaToken в Windows 1.1 Создание доменного окружения 1.2 Установка Enterprise Root CA 1.3 Настройка Routing and Remote Access Server 1.4 Настройка клиентской части и тестирование подключения

[править] UaToken в Windows

В данной статье описан пример настройки аутентификации пользователей, подключающихся к vpn-серверу, с использованием сертификатов. В качестве туннельного протокола - L2TP с использованием PreShared Keys. Сертификат пользователя, его закрытый ключ, должны находиться всегда на usb-устройстве uatoken. В качестве такого устройства может использоваться как устройство с маркировкой uatoken, так и uatoken S (только последнее может быть использовано в unix ос).

В качестве клиента выступает компьютер под управлением ОС windows xp sp3.

В качестве серверов выступают компьютеры под управлением ОС windows server 2003 Enterprise Edition.

[править] Создание доменного окружения

В данном примере выполнена установка домен-контроллера стандартным методом (с помощью команды dcpromo).

Сетевые настройки домен-контроллера:

• ip address - 192.168.16.1
• dns server - 192.168.16.1 (с использованием forwarding на 192.168.16.254)
• default gateway - 192.168.16.254

Установка домен-контроллера выполнена согласно опций по-умолчанию с использованием FQDN домена - uatoken.nt

После завершения настройки домен-контроллера необходимо подготовить второй сервер, под управлением windows server 2003 для использования его в качестве RRAS-сервера. Для этого необходимо выполнить сетевые настройки и ввести эту ОС в домен uatoken.nt.

В данном примере сетевые настройки сервера RRAS:

• ip address - 192.168.16.2
• dns server - 192.168.16.1
• default gateway - 192.168.16.254

Компьютер под управлением windows xp sp3 в домен вводить нет необходимости. Это может быть домашний компьютер пользователя, подключающегося по VPN к корпоративной сети.

[править] Установка Enterprise Root CA

В данном примере Certificate Services устанавливаются на домен-контроллер.

Для этого необходимо с помощью Add/Remove Windows Components установить Certificate Services и веб-сервер IIS.

Установка необходимых сервисов выполняется согласно значениям по-умолчанию с использованием следующей информации:

• Type of CA: Enterprise root CA
• Common name for this CA: server0

Более подробно процесс установки показан

Флэш-ролик http://nt.ua/swf/CA_setup.html

[править] Настройка Routing and Remote Access Server

Служба RRAS настраивается на втором сервере домена uatoken.nt под управлением ос windows server 2003.

Процесс настройки RRAS и процесс получения сертификата сервера подробно показан на

Флэш-ролик http://nt.ua/swf/RRAS-EAP-configuring.html

[править] Настройка клиентской части и тестирование подключения

В первую очередь необходимо получить сертификат пользователя для аутентификации.

В данном примере запрос, подпись, экспорт в файл сертификата выполняется на домен-контроллере с установленными на нем Certificate Services. Подробное описание этих процедур показан на

Флэш-ролик http://nt.ua/swf/requesting_client_certificate.html

Затем сертификат необходимо экспортировать на usb-устройство uatoken, настроить сетевое подключение к vpn-серверу и протестировать это подключение. Подробное описание -

Флэш-ролик http://nt.ua/swf/client-testing-connect.html