Каждое правило задает список методов проверки подлинности. Каждый метод проверки подлинности задает требования по выполнению проверки подлинности для подключений, к которым применяется соответствующее правило. Методы применяются к каждому прямому соединению в порядке появления в списке. Для успешного установления связи стороны должны иметь по крайней мере один общий метод проверки подлинности. Создание нескольких методов проверки подлинности повышает шансы нахождения общего метода для двух компьютеров.
Примечание | |
Порядок этих методов важен еще и потому, что, как правило, применяется только первый общий метод, и при ошибке его проверки подлинности другие методы не применяются, даже если они заведомо удовлетворят проверку. |
Методы проверки подлинности
Независимо от числа настроенных методов проверки подлинности для пары компьютеров может быть задан только один. При наличии нескольких правил, применяющихся к одной паре компьютеров, необходимо настроить в этих правилах список методов проверки подлинности таким образом, чтобы компьютеры могли использовать один и тот же метод проверки подлинности. Например, если одно правило для пары компьютеров задает только метод проверки подлинности Kerberos и фильтрацию только данных TCP, а другое правило задает проверку подлинности только с использованием сертификата и фильтрацию только данных UDP, связь установлена не будет. Методы проверки подлинности настраиваются на вкладке Методы проверки подлинности листов свойств - Свойства изменения правила или Свойства добавления правила.
- Протокол Kerberos V5 - технология
проверки подлинности по умолчанию. Этот метод может применяться для
любого компьютерау - частника политики IPSec с протоколом
Kerberos V5, являющегося членом того же или доверенного
домена. Этот метод полезен для изоляции доменов с помощью
IPsec.
- Сертификаты общего ключа обычно используются
в следующих случаях: доступ к Интернету, удаленный доступ к
ресурсам организации, связь с внешними деловыми партнерами, а также
на компьютерах, на которых не выполняется протокол проверки
подлинности Kerberos V5. Для этого требуется настроить по
крайней мере один доверенный центр сертификации. Данная версия
Windows поддерживает сертификаты X.509 версии 3, в том числе
сертификаты, созданные коммерческими центрами сертификации.
- Можно задать предварительный ключ. Это общий
секретный ключ, заранее согласованный двумя пользователями. Такой
ключ удобен и не требует выполнения на клиенте протокола
Kerberos V5 или наличия сертификата открытого ключа. Обе
стороны должны вручную настроить IPSec на использование
предварительного ключа. Это простой метод проверки подлинности
автономных компьютеров или любых компьютеров, не использующих
протокол Kerberos V5. Предварительный ключ нужен только для
проверки подлинности и не используется для проверки целостности
данных или шифрования.
Важно! | |
Предварительный ключ хранится в обычном тексте, и его использование в методах безопасности не предполагается. Предварительные ключи должны использоваться только в целях проверки. |