Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Выбираем систему RADIUS

Фрэнк Робинсон

Если у вас, скажем, 30 пользователей устанавливают соединения с вашей корпоративной сетью по коммутируемым, широкополосным или беспроводным линиям связи через ряд общедоступных или частных сетей, то управление такими разными системами, с обеспечением всех составляющих сервиса AAA (Authentication Authorization Accounting), может занять все ваше рабочее время. Протокол RADIUS (Remote Access Dial-In User Service) был создан для решения проблемы централизации сервиса AAA для нескольких, в общем случае гетерогенных, точек сетевого агрегирования. В качестве последних могли выступать модемные пулы, коммутаторы, межсетевые экраны (МЭ), VPN-концентраторы и узлы доступа беспроводных сетей (БЛВС), через которые удаленные пользователи подключаются к защищенным сетевым ресурсам. Известная когда-то всего лишь как протокол аутентификации технология RADIUS сегодня снова в центре внимания благодаря беспроводному буму. С ее помощью можно успешно осуществлять конфигурирование сеансов удаленного доступа на основе прав доступа пользователей и других учетных данных.

Для тестирования корпоративных серверов RADIUS мы попросили прислать продукты, которые не только поддерживали бы Microsoft Active Directory и RSA Security SecureID, но и взаимодействовали со множеством устройств класса NAS (Network Access Server), такими, как серверы коммутируемого доступа, VPN-концентраторы, точки доступа беспроводных сетей и межсетевые экраны. Компании Cisco Systems, Funk Software, IEA Software, Interlink Networks и Lucent Technologies прислали свое серверное ПО в нашу лабораторию журнала Network Computing. Фирма Vircom не приняла участие из-за того, что ее продукт был в процессе модернизации, а продукт компании XPerience Technologies не удовлетво-рял наши требования, поскольку не поддержи-вал аутентификацию SecureID. Ну, а компания Secure Computing от участия в испытаниях просто отказалась.

Полную версию данной статьи смотрите в 12-ом номере журнала за 2004 год.

Стандартные стандарты

Мы предполагали, что соблюдение стандартов — это вопрос, не требующий обсуждения, и действительно, все присланные продукты соответствовали спецификации RADIUS и определениям EAP (Extensible Authentication Protocol). Но мы копнули глубже, поинтересовавшись типами механизмов аутентификации и поддерживаемыми способами хранения идентификационной информации. Что касается интероперабельности, то нас интересовало, насколько хорошо сервер работает с массивом клиентов RADIUS, включая беспроводные точки доступа, VPN-службы и серверы коммутируемого доступа.

При оценке управления конфигурацией мы учитывали легкость создания профилей пользователей и групп и гибкость средств конфигурирования специфичных для пользователя атрибутов. Безопасность же, конечно, имела наиважнейшее значение. Нас интересовало, как серверы обеспечивают и целостность соединений с NAS-устройствами. В большинстве случаев все сводилось к поддержке сертификатов SSL, однако компании Funk и Interlink пошли дальше обязательного минимума, введя с целью гарантирования конфиденциальности систему распределенных паролей (shared secrets) между множеством серверов. А Interlink даже сделала введение системы распределенных паролей обязательным требованием для удаленного конфигурирования.

Разумеется, средства обеспечения безопасности не будут работать, если вы не сумеете ими управлять. Мы оценивали различные наборы правил, которые сервер может ввести, делая упор на ограничения по времени суток на уровне пользователя, группы или роли. Во всех протестированных нами продуктах, за исключением Steel-Belted Radius компании Funk, эти ограничения реализованы. Нас также интересовала возможность введения временных квот, позволяющих ограничивать время, проводимое пользователем или группой в сети по соединению через RADIUS-сервер. ПО компаний Lucent и Cisco такую возможность поддерживает. Другие же продукты поддерживают ограничения на число одновременных регистраций в системе на уровне пользователя или приложения.

В большинстве протестированных нами серверов RADIUS для хранения и доступа к профилям пользователей через интерфейсы ODBC или JDBC используется база данных SQL. Интеграция последней критически важна, чтобы справляться с большими массивами данных, собираемых для аудита и регистрации событий. Ну какая вам выгода от всех этих данных, если вы не сможете их сначала обработать, а потом “подать” в отчетах?! Нас интересовали средства представления информации, оперативность ее отображения и то, какие задачи вы сможете с ее помощью решать.

Помимо этих базовых средств, мы оценивали и возможности активного взаимодействия сервера с системами сетевого управления. Так, например, во внимание принималась сложность активации такой полезной функции, как оповещение о наступившем событии по электронной почте. Подключение этой функции в серверах Cisco и IEA Software прошло без сучка без задоринки, тогда как в сервере компании Lucent это сделать оказалось уже не так просто. Мы также оценивали утилиты запроса сертификата, позволяющие выдавать подписанные сертификаты запрашивающему серверу RADIUS; с этой задачей справились продукты компаний Lucent, Cisco, Funk и Interlink. Что касается средств ведения учетных записей для пользователей IP-телефонии, то таковые обнаружились только в продуктах Cisco и IEA Software.

Стоимость решений разных поставщиков обычно определяется различиями в использовании сервера RADIUS заказчиками. Например, Lucent предлагает альтернативную схему ценообразования для случаев, когда сервер RADIUS в основном будет применяться для обеспечения беспроводного доступа. Гибкое ценообразование наряду с безукоризненным соблюдением стандартов и сделали NavisRadius Authentication Server компании Lucent нашим победителем. Впрочем, отрыв лидера от конкурентов составил менее полбалла. Выбрав, исходя из своих нужд, любой из этих продуктов, вы не прогадаете.

NavisRadius Authentication Server 4.3.9 компании Lucent Technologies

Подход NavisRadius к сервису AAA отличается сбалансированностью. Этот сервер единственный из протестированных нами включает интерфейс JDBC API для взаимодействия с базами данных SQL. Управление входящей в комплект БД Sybase с помощью инструментария продукта SMT (Server Management Tool) и подключаемого модуля JDBC оказалось простым. А ПО PolicyAssistant предоставило нам возможность детального контроля над конфигурацией сервера посредством удобного пользовательского интерфейса (в предыдущих версиях, чтобы добиться того же, приходилось использовать специальный язык программирования PolicyFlow AAA). Благодаря своим Java-корням SMT неплохо переносится на другие платформы. Процесс удаленного администрирования, хотя и требует отдельной инсталляции, оказался не таким уж трудоемким, после того как мы инсталлировали и запустили Java 2. Пользовательский интерфейс SMT работал хорошо, и не наблюдалось какого-либо запаздывания, связанного с API на базе Java.

Входящий в продукт язык PolicyFlow имеет как достоинства, так и недостатки. Его нельзя назвать настоящим языком программирования, вроде C++ или Java, — это скорее инструмент для создания сценариев, обеспечивающий доступ к процедурам сервера RADIUS, таким, как принятие решения о способе обработки запроса, сбор информации из записей пользователей, декодирование поименованных областей БД (realms) и т. д. Если у вас найдется время на изучение всех особенно-стей этого инструментария, то вы получите возможность детальной настройки продукта. Однако он очень чувствителен к ошибкам: назначьте хоть один неверный атрибут — и на отладку сценария у вас уйдет уйма времени. Учитесь на наших ошибках: вносите изменения в подключаемые модули и методы, только если у вас есть для этого серьезные причины. А вообще SMT обладает достаточной гибкостью для задания стандартных переменных RADIUS.

Вместо реализации сервиса аутентификации на базе только текстовых файлов с информацией о пользователях или локальной БД пользователей в NavisRadius предлагается аутентификация на базе proxy-серверов для Windows Active Directory/NT-доменов; паролей Unix (Unix/etc/passws); протокола Kerberos; справочника Novell Directory; внешних БД, таких, как Oracle или MySQL; LDAP-серверов, а также различных систем аутентификации на базе аутентификационных token-систем, таких, как SecureID, Defender, SafeWord и VASCO. И хотя изначально он и не поддерживает NDS или Windows AD, но может использовать LDAP-интерфейс для аутентификации, после того как зарегистрирует сам себя в качестве пользователя с правами администратора. Мы с удивлением обнаружили, что NavisRadius не поддерживает TACACS+ (протокол AAA, основанный на TCP вместо UDP), который часто используется для администраторского доступа.

Поддержка Java 2 необходима, поскольку сервер строится на базе гибкой и расширяемой архитектуры подключаемых Java-модулей PolicyFlow. На нас произвело впечатление то, как NavisRadius изолировал механизм авторизации RADIUS от аутентификации и ведения учетной информации. Так, например, USS (Universal State Server) отслеживает все сеансы, поддерживаемые сервером, и облегчает принятие решений об авторизации исходя из значений счетчиков во внутренней БД сетевых сеансов. С помощью этого средства мы могли ввести ограничение на число одновременных регистраций по одному и тому же имени пользователя или на регистрацию в определенных областях (realms), поддерживаемых этим сервером.

Конфигурирование пользователей с помощью Access Manager может быть как простым (только аутентификация, без каких-либо специальных атрибутов авторизации), так и сложным, со списками доступа и с использованием нескольких источников данных.

NavisRadius не задействует управление пулами IP-адресов в качестве средства для централизованного управления удаленным доступом (как это предусмотрено в продуктах Cisco и Funk). Возможность присвоения IP-адреса из управляемого сервером RADIUS пула полезна особенно для динамического присвоения адресов пользователям и ограничения доступа исходя из доступности IP-адресов. По словам специалистов Lucent, это функция ее ПО IP Manager, которое интегрируется с NavisRadius. Однако NavisRadius может присваивать адреса и на уровне пользователя, если адрес включен в профиль пользователя или в шаблон как атрибут Framed-IP-Address RADIUS. В продукте NavisRadius имеется также подключаемый DHCP-модуль, позволяющий запрашивать у сетевого DHCP-сервера выделение IP-адреса для проходящего аутентификацию пользователя.

Мы столкнулись с несколькими странными ошибками при попытке аутентификации через AD-службу, особенно после того, как модернизировали NavisRadius до версии 4.3.2. Так, сервер успешно справлялся с аутентификацией пользователя через AD-службу, тогда как PolicyFlow отказал в авторизации легальному пользователю сразу после его инсталляции. В итоге нам пришлось перезагружать машину. Очевидно, причина крылась в том, что при модернизации ПО не были обновлены записи реестра. Настраиваемое в режиме реального времени средство регистрации событий (log-файл) и встроенный клиент тестирования помогли нам решить эту проблему при содействии самой Lucent.

Особенно нас впечатлила гибкость средств регистрации и мониторинга событий в реальном времени у продукта NavisRadius. Чего стоит хотя бы разнообразие доступных типов и уровней регистрации событий! Как и все другие протестированные нами серверы, NavisRadius фиксирует стандартные события — разрешение (accept), отказ (reject), сброс (discard) — и позволяет задавать число “каналов вывода” регистрируемых данных, включая syslog, SNMP-ловушку, БД SQL, электронную почту или пейджер и файлы.

Для отчетности продукт NavisRadius использует возможности Java. Нам понравилась эффектная круговая диаграмма, отражающая общий серверный статус, и то, что она позволяет оценить состояние дел значительно легче, чем с помощью “сухих цифр”, которыми нас снабжают продукты Cisco и IEA. Монитор производительности регистрирует запросы, разрешения и отказы в допуске, отображая их на легком для понимания линейном графике с общей шкалой, вмещающей 200 последних наблюдений. Обновление визуальной информации выполняется на удивление хорошо, принимая во внимание, что это Java-консоль.

Нам понравились и другие дополнительные возможности NavisRadius. Так, декодирование пакетов RADIUS происходит в реальном времени, что помогло нам понять поведение сервера и оказалось особенно полезным, когда мы ошиблись при использовании метода в сценарии PolicyFlow. Поддержка SNMP значительно облегчает мониторинг функционирования сервера. Еще одно полезное, хотя и не простое в конфигурировании средство — это оповещение по электронной почте для специфических систем. Его можно сконфигурировать с помощью сценария PolicyFlow. Но основным преимуществом продукта является его схема ценообразования, в которой учтены число и тип поддерживаемых клиентов.

Steel-Belted Radius 4.5 компании Funk Software

Сервер Steel-Belted Radius (SBR) среди прочих выделяется своим “уклоном” в сторону обеспечения безопасности беспроводных коммуникаций и отличной поддержки EAP. Его интерфейс прост, но функционален. И хоть он не обеспечивает столь же детального управления, как NavisRadius, но является полнофункциональным сервером RADIUS типа “все в одном”.

Компания Funk прислала нам корпоративную версию продукта для Windows 2000. SBR лидировал в категориях интеграции, интероперабельно-сти и поддержки механизмов аутентификации и источников идентификационной информации. При этом он отлично вписался в нашу основную тестовую среду, продемонстрировав “бесшовную” интеграцию с Windows AD и ACE/Server и обеспечив детально проработанную библиотеку атрибутов для NAS-устройств, учитывающих фирменные особенности последних.

Инсталляция и ввод сервера в эксплуатацию прошли хорошо, но при первом запуске сервера мы все же столкнулись с одной проблемой, поскольку производитель предполагает, что на машине будет запущен сервис NT “Netlogon”. Чтобы выполнять аутентификацию в домене Windows, сервер должен был быть членом этого домена.

На нас произвело впечатление, как SBR подключился к нашему домену Windows, что позволило ему проводить аутентификацию отдельных пользователей как по их профилям в исходной БД, так и по профилям их групп. Задание параметров профилей и NAS-устройств в SBR оказалось интуитивно понятным и гибким. С помощью профилей мы задавали атрибуты проверки (check) и ответа (reply), а затем применяли эти профили к пользователям в исходной БД.

Корпоративная версия SBR поддерживает массу механизмов аутентификации, но в ней отсутствует поддержка нескольких специальных новых типов EAP, таких, как SIM (Subscriber Identity Model). Впрочем, в версии SBR 4.7 поддержка EAP-SIM должна скоро появиться. Продукт SBR охватывает почти полный спектр источников идентификационной информации, за исключением Kerberos, но к NDS он привязывается только посредством LDAP-интерфейса. Под Windows SBR работает как сервис, а его администрирование выполняется через специальное приложение управления на базе Win32 API.

Нам понравился простой в использовании и “дружественный” интерфейс администрирования сервера SBR. Нам не нужно было глубоко вникать во множество деталей, чтобы сконфигурировать сервер, как это было с NavisRadius и ACS от Cisco. Со всеми настройками разобраться было легко. Например, мы без проблем задали аутентификацию на базе туннелирования для VPN-служб и межсетевых экранов, избежав сложностей, характерных для интерфейсов безопасности. Эти туннели позволили нам ввести ограничения на базе таких атрибутов, как IP-адрес NAS, тип NAS, число одновременных сеансов, которое может поддерживать туннель, и идентификатор вызываемой станции. Однако, как и с другими протестированными продуктами, некоторые “продвинутые” параметры, в частности EAP-определения, нам пришлось конфигурировать через текстовый файл, а чтобы изменения вступили в силу, приходилось перезапускать сервер.

Интерфейс LCI (LDAP Configuration Interface) компании Funk, позволивший нам управлять SBR при помощи LDAP-команд, тоже произвел на нас хорошее впечатление. Структура справочника LDAP является фиксированной, поскольку LCI выполняет роль шлюза/упаковщика между командами и внутренней БД. Интерфейс LCI также используется для обеспечения связи между внешним LDAP-сервером и SBR. Он облегчает привязку к Windows Domain, когда SBR работает на машине рабочей группы.

К нашему удовлетворению, SBR поддерживает управление пулом IP-адресов. С помощью файла radius.ini мы смогли избежать перекрытия IP-адресов между различными их областями. Возможность выделять пулы IP-адресов исходя из NAS-устройства дала нам детальный контроль над авторизацией клиентов в отношении сетевых ресурсов.

Хотя администрирование и навигация оказались простыми, но для удаленного администрирования сервера нам пришлось инсталлировать Win32 Server Configuration API на каждый удаленный компьютер. Впрочем, имеется возможность запустить SBR на терминальном сервере и воспользоваться клиентами Terminal Service для удаленного администрирования, тогда как решения ACS от Cisco и RAD-Series от Interlink позволяют удаленно сконфигурировать сервер с Web-страницы. Однако представители компании Funk заверяют, что в версии SBR 5.0 Web-инсталлятор будет.

SBR оказался единственным из протестированных нами серверов, который поддерживал ведение учетной информации на уровне пользователей для EAP-TTLS (EAP-Tunneled Transport Layered Security) в анонимном режиме. При применении методов EAP-TTLS и EAP-PEAP (EAP-Protected EAP) используются анонимные имена пользователей, чтобы организовать туннели, а затем все данные шифровать в этих туннелях. Большинство серверов RADIUS не могут извлечь учетные данные из таких сеансов, поскольку идентификационная информация пользователей является скрытой.

Хотя пакет SBR не поддерживает временных квот и в нем нет встроенных средств ограничений по времени суток, он позволяет задавать ограничения другими средствами. Так, можно ввести значение тайм-аута для сеансов (session time-out) и ограничение на число одновременных регистраций в системе в качестве атрибутов профилей отдельных пользователей или групп. Однако в SBR не предусмотрено наличие журнала административного или конфигурационного аудита, что затрудняет отслеживание изменений и поиск неисправностей. Уровень регистрации событий можно расширить до перехвата каждой транзакции, выполняемой сервером, с указанием причин отказов на запросы.

Нашим излюбленным средством отчетности в SBR стала возможность привязать серверную статистику к Windows Performance Monitor. Благодаря такому комплексному подходу вы получаете общую картину использования ресурсов сервера. Даже управляющий интерфейс снабжен счетчиком серверной статистики, работающим в реальном времени. А таблица отображения сеансовой информации (display session tab) — это просто бриллиант среди отчетных средств; с ее помощью мы следили за тем, как сервер обрабатывает несколько потоков одного сеанса.

Но, что касается “продвинутых” средств, тут SBR выглядит слабо. Одним из главных разочарований в этом отношении для нас стало отсутствие поддержки SNMP. При этом нет и явного способа коммуникации с сервером DHCP, что позволило бы воспользоваться такими средствами, как запрашивание адреса из специального диапазона в зависимости от типа пользователя, NAS или любого другого отличительного признака.

RAD-Series 6.1.2 компании Interlink Networks

RAD-Series был единственным из протестированных серверов, работающим под управлением Linux, и его показатели производительности нас просто ошеломляли — 1900 транзакций (которые включают аутентификацию и обработку учетной записи) в секунду при работе с Windows AD. Компания Interlink также прислала нам сервер Secure XS, работающий под Windows. В данном сервере особое внимание уделяется защите при работе в БЛВС, правда, по своим параметрам он не соответствовал нашим требованиям.

RAD-Series в целом показал хорошие результаты, но ему можно предъявить претензии в плане управления средствами безопасности. Разочаровали нас и его средства отчетности и презентаций. Впрочем, инсталлировать и конфигурировать сервер оказалось проще простого, особенно по сравнению с установкой и запуском Linux-сервера “открытого кода” FreeRADIUS. По своей инсталляции он напоминал NavisRadius и SBR, за исключением того, что выполнялась она с помощью текстовых файлов. Нам пришлось установить распределенный пароль для связи между диспетчером сервера на удаленных машинах и серверами RAD-Series; все прочие протестированные продукты для защиты коммуникаций используют сертификаты SSL. Администрировать сервер RAD-Series, помимо командной строки и telnet, можно и через Web-интерфейс. На нас произвело впечатление, что сервером можно управлять и через рабочую станцию SNMP.

Конфигурировать RAD-Series для взаимодействия с Windows AD оказалось задачей непростой — пришлось редактировать файл authfile и создавать LDAP-сценарии. Время от времени при перезапуске сервера формат authfile так менялся, что сервер не мог правильно его понять. Как нам сказали в компании Interlink, причина в том, что мы пытались править этот файл сразу и текстовым редактором, и через менеджер конфигурирования. Однако у сервера все же хватило “интеллекта”, чтобы заблокировать интерфейс только для одного сеанса администрирования во всей сети.

RAD-Series не поддерживает TACACS+, хотя работает с широким спектром других хранилищ идентификационной информации, используя главным образом LDAP для внешних систем, таких, как SecureID и Kerberos. В нем имеется возможность задавать конфигурацию пользователя на уровне пользователя и области (realm). ProLDAP, входящий в комплект RAD-Series, обеспечивает масштабируемое хранилище для аутентификации с поддержкой сложных реализаций политик, включая “белые” и “черные” списки.

Способность RAD-Series поддерживать двухэтапную TTLS-аутентификацию оказалась своеобразным “бонусом”, причем продукт поддерживает аутентификацию даже для протокола PEAP. Значит, аутентификация для каждого сеанса осуществляется для двух профилей пользователя: сначала для организации туннеля, а затем для аутентификации пользователя.

Нам понравилось средство RAD-Series по “отсечению атрибутов” (pruning). Оно усиливает защиту, позволяя серверу избавляться от несущественных атрибутов в своем ответе NAS-устройствам, тем самым снижая риск, связанный с переносом пакетами избыточной информации, которую кто-либо может перехватить и использовать во враждебных целях. RAD-Series предоставляет большие возможности для введения ограничений по времени суток, но не имеет алгоритмов временных квот. Впрочем, в компании Interlink заверяют, что их можно добиться средствами ее расширенного инструментария SDK.

Сервер RAD-Series не смог предоставить нам средства всеобъемлющего обзора серверной статистики. Там отсутствует жизненно важный элемент отображения данных в реальном времени, который особенно нужен при поиске неполадок. Однако сеансы, их длительность и то, какие пользователи и с какими областями устанавливают соединения, продукт все же отслеживает, хотя в отличие от SBR он не показывает все активные сеансы для нескольких клиентов RADIUS. У нас также была возможность прервать любой сеанс через диспетчерский интерфейс сервера.

Secure Access Control Server 3.2 компании Cisco Systems

Secure ACS компании Cisco — это вполне добротный сервер. Он имеет богатый набор функций, его возможности превосходны, и если ваша инфраструктура строится на продукции Cisco, то его интеграция будет совершенно безболезненна. Но вот гибкостью он не отличается. Начнем с того, что нам не удалось реконфигурировать порты аутентификации и ведения учетной информации: они так и остались назначенными на UDP-порты 1645, 1646, 1812 и 1813. Если по каким-то соображениям безопасности или просто по недоразумению прежние и новые порты аутентификации уже используются другой программой, то ACS не сможет ответить ни на один запрос на аутентификацию.

При аутентификации пользователей ACS действовал, как это и ожидалось, извлекая данные из наших разнообразных хранилищ идентификационной информации, уделяя особое внимание TACACS+, а это хорошая новость для тех пользователей, которым нужен доступ к критически важным элементам инфраструктуры. Но вот чего ему не хватает, так это поддержки системы аутентификации Kerberos, а также EAP-TTLS, хотя он обеспечивает исчерпывающую поддержку token-систем аутентификации: SafeWord, PassGo, CryptoCard, ActivCard, Vasco и SecureID.

Принадлежность к “семье” продуктов Cisco дает серверу ACS преимущество в плане поддержки NAS-устройств. Благодаря его способности загружать списки доступа (ACL) на устройства Cisco NAS обеспечивается более детальный контроль доступа клиентов к сети, однако это же самое привязывает вас к продуктам компании Cisco.

Администрированием ACS мы занимались через Web-страницу и нашли полезной обеспечиваемую таким интерфейсом возможность защиты Web-сайта с помощью SSL. Web-интерфейс также оказался самым интуитивно понятным среди протестированных продуктов. Каждый раздел снабжен пояснением тех опций, которые конфигурируются или управляются с данного уровня. Он обладает достаточной глубиной, чтобы сконфигурировать все аспекты сервера RADIUS. Нам так и не пришлось использовать текстовый редактор или командную строку.

Мы имели возможность проводить аутентификацию на базе нескольких хранилищ идентификационных данных и заметили, что ACS кэширует информацию из внешних БД и по умолчанию ограничивает число пользователей из группы, которым разрешено устанавливать соединения с пулом IP-адресов, назначенных этой группе. Это означает, что ACS не взаимодействует с нашим локальным DHCP-сервером, а следовательно, и не использует его расширенные возможности.

Средства обеспечения безопасности и управления правилами политики безопасности у ACS — на самом высоком уровне. Только ACS и NavisRadius из всех протестированных нами серверов поддерживают введение временных квот и ограничений по времени суток на уровне как профилей пользователей, так и их групп. Мы с легкостью конфигурировали правила отключения учетных записей в случае нарушения ограничений по времени и числу неудачных попыток регистрации. При этом мы присваивали различные пароли для одного профиля пользователя, исходя из способа, с помощью которого осуществляется аутентификация пользователя. ACS также обладает уникальной способностью разрешать пользователям, перечисленным в ее “родной” БД, изменять свои пароли доступа через Web-страницу.

Средства генерации отчетов у ACS весьма скромные. Компания Cisco для управления отчетными данными рекомендует пользоваться средствами третьих фирм. Собираемые журнальные данные доступны в виде CSV-файлов с разбиением на категории по типам событий. Притом в ACS предлагается уникальный тип отчета, так называемый “административный аудит”, в котором отслеживается вся деятельность администратора. Наше внимание привлекло “продвинутое” средство CSMon, определяющее состояние “здоровья” сервера и инициирующее предопределенное действие в ответ на событие.

Будучи пионером в предоставлении поддержки IP-телефонии, ACS по праву занимает место среди элитных корпоративных серверов RADIUS. Конфигурирование пользователя VoIP не предусматривает введения какого-либо пароля, а средства ведения счетов IP-телефонии и ее протоколирования изолированы от прочих журналов регистрации. Это помогает выделять пользователей VoIP и управлять их сетевым доступом согласно их нуждам.

RadiusNT 5.0 компании IEA Software

Сервер RadiusNT 5.0 является одним из компонентов пакета управляющего ПО Emerald компании IEA Software. Его стандартная, профессиональная и корпоративная версии стоят значительно меньше, чем любой из протестированных нами серверов. Мы испытали


nanobridge в наличии




  
12 '2004
СОДЕРЖАНИЕ

бизнес

• Двенадцать правил взаимоотношений с клиентами

инфраструктура

• Звёзды Wi-Fi

• Рынок ИБП снова на подъеме

• Выбираем систему RADIUS

• Анализируем предложения по виртуализации памяти

• Функционирование устройств Wi-Fi на физическом уровне

информационные системы

• Все дело в ответах

• Тестируем продукты переупаковки программ в формат MSI

сети связи

• Видеосистема Polycom под «микроскопом»

• Подготовьте свою сеть к IP-телефонии

кабельные системы

• Системы управления СКС становятся более распространенными

• Активные зоновые кабельные системы

новые продукты

• Новые серверы R-Style Computers


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх