Tác động của remote access policy trên kết nối VPN (P.2) | Tac dong cua remote access policy tren ket noi VPN (P.2) - Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng

14-08-2009, 10:51 PM

TÁC ĐỘNG CỦA REMOTE ACCESS POLICY TRÊN KẾT NỐI VPN (cont'd)

3. TÁC ĐỘNG CỦA REMOTE ACCESS POLICY

3.1. Khảo sát remote access policy mặc định

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 662x268

Thành phần 1: Policy Conditions mặc định là "Day-And-Time-Restriction matches..." > Edit (=> mọi thời điểm)

Cancel

Thành phần 2: Permission mặc định là "Deny remote access permission"

Thành phần 3: Chọn "Edit Profile"

Tab advanced: không tồn tại thuộc tính "Ignore-User-Dial-In-Properties" > Add

Chọn "Ignore-User-Dial-In-Properties" > Add

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 666x454

Quan sát giá trị mặc định của "Ignore-User-Dial-In-Properties" = FALSE. Cancel & Close nhiều lần để thoát

Quá trình cấp quyền kết nối phản ánh qua lưu đồ dưới đây. Cần lưu ý rằng thuộc tính "Ignore-User-Dial-In-Properties" mặc định không tồn tại trong remopte access policy.

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 983x500

3.2. Tạo remote access policy cho các "Sếp" kết nối

Tạo group

Add member. Chú ý: group VPN-Users có 2 member S1 và NV1

Xoá các policy mặc định

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 662x268

Tạo policy "Sep - 24/7"

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 662x268

Conditions: Group NhatNghe\Sep

Permission: "Grant remote access permission"

Cấu hinh bỏ qua thuộc tính Dial-in của user account: Edit porfile

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 666x454

Chọn "Ignore-User-Dial-In-Properties" =TRUE

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 666x454

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 662x268

Connect "S1 to NhatNghe". Kết nối thành công
Kích hoạt "NV1 to NhatNghe" để kết nối bằng quyền NV1 Kết nối thất bại do điều kiện không phù hợp
Quá trình cấp quyền kết nối phản ánh qua lưu đồ dưới đây.

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 983x538

Disconnect "S1 to NhatNghe"

3.3. Cho phép các "VPN-Users" kết nối trong một lịch biểu xác định
Tạo policy "VPN-Users - Lich bieu"

Condition: Từ thứ hai đền thứ sáu, từ 8g sáng đến 6g chiều

Conditions: Group NhatNghe\VPN-Users

Permission: "Grant remote access permission"

Cấu hinh bỏ qua thuộc tính Dial-in của user account: add và chọn "Ignore-User-Dial-In-Properties" =TRUE

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 662x268

Điều chỉnh giờ của DC và ISA server nằm trong khoảng từ thứ hai đền thứ sáu, từ 8g sáng đến 6g chiều
Kích hoạt "NV1 to NhatNghe" để kết nối bằng quyền NV1. Kết nối thành công
Disconnect "NV1 to NhatNghe"

Điều chỉnh giờ của DC và ISA server nằm ngoài khoảng từ thứ hai đền thứ sáu, từ 8g sáng đến 6g chiều
Kích hoạt "NV1 to NhatNghe". Kết nối thất bại do không thỏa mọi điều kiện của policy "VPN-Users - Lich bieu" và cũng không thỏa điều kiện của policy "Sep - 24/7".
Kích hoạt "S1 to NhatNghe". Không thỏa điều kiện của policy "VPN-Users - Lich bieu", server xét tiếp policy "Sep - 24/7". Kết nối thành công

Quá trình cấp quyền kết nối phản ánh qua lưu đồ dưới đây.

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 983x538

Disconnect "S1 to NhatNghe"

3.4. Định lịch biểu trong profile - Thứ tự policy

Điều chỉnh policy "NV1 to NhatNghe"
Xóa lịch biểu trong điều kiện

Định lịch biểu trong profile

Điều chỉnh giờ của DC và ISA server nằm trong khoảng từ thứ hai đền thứ sáu, từ 8g sáng đến 6g chiều
Kích hoạt "NV1 to NhatNghe" để kết nối bằng quyền NV1. Kết nối thành công

Disconnect "NV1 to NhatNghe"

Điều chỉnh giờ của DC và ISA server nằm ngoài khoảng từ thứ hai đền thứ sáu, từ 8g sáng đến 6g chiều
Kích hoạt "NV1 to NhatNghe". Kết nối thất bại do điều kiện phù hợp, được cấp phép nhưng không thỏa profile
Kích hoạt "S1 to NhatNghe". Kết nối này đã thỏa điều kiện của policy "VPN-Users - Lich bieu" (User S1 thuộc nhóm VPN-Users) nên policy "Sep - 24/7" không còn được xét đến. Kết nối thất bại do điều kiện phù hợp, được cấp phép nhưng không thỏa profile.

Quá trình cấp quyền kết nối phản ánh qua lưu đồ dưới đây.

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 758x540

Đảo vị trí để policy "Sep - 24/7" có oder nhỏ hơn policy "VPN-Users - Lich bieu".

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 662x268

Kích hoạt "S1 to NhatNghe".Kết nối thoả các thông số của policy "Sep - 24/7". Kết nối thành công

Disconnect "S1 to NhatNghe"

3.5. Khống chế thời gian kết nối

Điều chỉnh policy "NV1 to NhatNghe"

Đặt thời gian kết nối tối đa = 1 phút

Điều chỉnh giờ của DC và ISA server nằm trong khoảng từ thứ hai đền thứ sáu, từ 8g sáng đến 6g chiều
Kích hoạt "S1 to NhatNghe". Kết nối thành công nhờ policy "Sep - 24/7"
Kích hoạt "NV1 to NhatNghe". Kết nối thành công nhờ policy "VPN-Users - Lich bieu"

Quan sát trên ISA server

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 782x458

Session của NV1 bị chấm dứt sau 1 phút

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 782x458

Cảm ơn quý vị đã theo dõi bài viết! __________________
Nhất Nghệ Support Team
LÊ NGỌC HIẾN

14-08-2009, 10:51 PM	#1
hoctinhoc Guest Trả Lời: n/a	Tác động của remote access policy trên kết nối VPN (P.2) TÁC ĐỘNG CỦA REMOTE ACCESS POLICY TRÊN KẾT NỐI VPN (cont'd) 3. TÁC ĐỘNG CỦA REMOTE ACCESS POLICY 3.1. Khảo sát remote access policy mặc định Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 662x268 Thành phần 1: Policy Conditions mặc định là "Day-And-Time-Restriction matches..." > Edit (=> mọi thời điểm) Cancel Thành phần 2: Permission mặc định là "Deny remote access permission" Thành phần 3: Chọn "Edit Profile" Tab advanced: không tồn tại thuộc tính "Ignore-User-Dial-In-Properties" > Add Chọn "Ignore-User-Dial-In-Properties" > Add Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 666x454 Quan sát giá trị mặc định của "Ignore-User-Dial-In-Properties" = FALSE. Cancel & Close nhiều lần để thoát Quá trình cấp quyền kết nối phản ánh qua lưu đồ dưới đây. Cần lưu ý rằng thuộc tính "Ignore-User-Dial-In-Properties" mặc định không tồn tại trong remopte access policy. Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 983x500 3.2. Tạo remote access policy cho các "Sếp" kết nối Tạo group Add member. Chú ý: group VPN-Users có 2 member S1 và NV1 Xoá các policy mặc định Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 662x268 Tạo policy "Sep - 24/7" Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 662x268 Conditions: Group NhatNghe\Sep Permission: "Grant remote access permission" Cấu hinh bỏ qua thuộc tính Dial-in của user account: Edit porfile Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 666x454 Chọn "Ignore-User-Dial-In-Properties" =TRUE Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 666x454 Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 662x268 Connect "S1 to NhatNghe". Kết nối thành công Kích hoạt "NV1 to NhatNghe" để kết nối bằng quyền NV1 Kết nối thất bại do điều kiện không phù hợp Quá trình cấp quyền kết nối phản ánh qua lưu đồ dưới đây. Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 983x538 Disconnect "S1 to NhatNghe" 3.3. Cho phép các "VPN-Users" kết nối trong một lịch biểu xác định Tạo policy "VPN-Users - Lich bieu" Condition: Từ thứ hai đền thứ sáu, từ 8g sáng đến 6g chiều Conditions: Group NhatNghe\VPN-Users Permission: "Grant remote access permission" Cấu hinh bỏ qua thuộc tính Dial-in của user account: add và chọn "Ignore-User-Dial-In-Properties" =TRUE Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 662x268 Điều chỉnh giờ của DC và ISA server nằm trong khoảng từ thứ hai đền thứ sáu, từ 8g sáng đến 6g chiều Kích hoạt "NV1 to NhatNghe" để kết nối bằng quyền NV1. Kết nối thành công Disconnect "NV1 to NhatNghe" Điều chỉnh giờ của DC và ISA server nằm ngoài khoảng từ thứ hai đền thứ sáu, từ 8g sáng đến 6g chiều Kích hoạt "NV1 to NhatNghe". Kết nối thất bại do không thỏa mọi điều kiện của policy "VPN-Users - Lich bieu" và cũng không thỏa điều kiện của policy "Sep - 24/7". Kích hoạt "S1 to NhatNghe". Không thỏa điều kiện của policy "VPN-Users - Lich bieu", server xét tiếp policy "Sep - 24/7". Kết nối thành công Quá trình cấp quyền kết nối phản ánh qua lưu đồ dưới đây. Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 983x538 Disconnect "S1 to NhatNghe" 3.4. Định lịch biểu trong profile - Thứ tự policy Điều chỉnh policy "NV1 to NhatNghe" Xóa lịch biểu trong điều kiện Định lịch biểu trong profile Điều chỉnh giờ của DC và ISA server nằm trong khoảng từ thứ hai đền thứ sáu, từ 8g sáng đến 6g chiều Kích hoạt "NV1 to NhatNghe" để kết nối bằng quyền NV1. Kết nối thành công Disconnect "NV1 to NhatNghe" Điều chỉnh giờ của DC và ISA server nằm ngoài khoảng từ thứ hai đền thứ sáu, từ 8g sáng đến 6g chiều Kích hoạt "NV1 to NhatNghe". Kết nối thất bại do điều kiện phù hợp, được cấp phép nhưng không thỏa profile Kích hoạt "S1 to NhatNghe". Kết nối này đã thỏa điều kiện của policy "VPN-Users - Lich bieu" (User S1 thuộc nhóm VPN-Users) nên policy "Sep - 24/7" không còn được xét đến. Kết nối thất bại do điều kiện phù hợp, được cấp phép nhưng không thỏa profile. Quá trình cấp quyền kết nối phản ánh qua lưu đồ dưới đây. Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 758x540 Đảo vị trí để policy "Sep - 24/7" có oder nhỏ hơn policy "VPN-Users - Lich bieu". Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 662x268 Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 662x268 Kích hoạt "S1 to NhatNghe".Kết nối thoả các thông số của policy "Sep - 24/7". Kết nối thành công Disconnect "S1 to NhatNghe" 3.5. Khống chế thời gian kết nối Điều chỉnh policy "NV1 to NhatNghe" Đặt thời gian kết nối tối đa = 1 phút Điều chỉnh giờ của DC và ISA server nằm trong khoảng từ thứ hai đền thứ sáu, từ 8g sáng đến 6g chiều Kích hoạt "S1 to NhatNghe". Kết nối thành công nhờ policy "Sep - 24/7" Kích hoạt "NV1 to NhatNghe". Kết nối thành công nhờ policy "VPN-Users - Lich bieu" Quan sát trên ISA server Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 782x458 Session của NV1 bị chấm dứt sau 1 phút Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 782x458 Cảm ơn quý vị đã theo dõi bài viết! __________________ Nhất Nghệ Support Team LÊ NGỌC HIẾN

Chia Sẽ Kinh Nghiệm Về IT