در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش راه اندازی Network Access Protection - قسمت پنجم

در این مقاله از سری مقاله های آموزش Network Access Protection به سراغ فرآیند ایجاد و آزمایش authorization policies می پردازیم . در مقاله قبلی شیوه ایجاد و انجام تظیمات system health validator را آموزش دادیم و اشاره کردیم که این سیستم در هنگامی که کلاینت درخواست برقراری ارتباط با سرور را دارد ، بررسی می کند که آیا Windows Firewall کلاینت روشن است یا خیر . در ادامه همان مقاله اشاره کردیم که چگونه با استفاده از system health policies سرور می تواند ملاک سلامت را برای سیستم کلاینت تعیین کند و سیستم سالم و ناسالم را تشخیص دهد.در این مقاله من توضیحات خودم را با نشان دادن نحوه ایجاد network policy ادامه خواهم داد . network policy ها در واقع policy هایی هستند که شیوه برخورد با سیستم کلاینت را تعریق میکنند ، بدین معنا که اگر سیستم کلاینت شرایط مطلوب اتصال به سیستم را پیدا کرد چه اتفاقی بایستی رخ دهد ، و اگر این شرایط را نتوانست احراز کند چه اتفاقی برای وی خواهد افتاد ؟ در اصل این policy ها هستند که سطح دسترسی به سیستم های شبکه داخلی را تعیین می کنند.

نحوه ایجاد Network Policy ها


در اولین مرحله از ایجاد Network Policy طبق معمول به کنسول Network Policy Server رفته و به Container مربوط به Network Policy وارد می شویم . در همین لحظه نیم نگاهی به قسمت Details هم بیاندازید که شاید Network Policy در حال حاضر ایجاد شده باشد . در سیستم تستی من دو عدد Network Policy بصورت پیشفرض ایجاد شده است که هر دی نیز بصورت پیشفرض فعال هستند . یکی از این policy ها به نام Connections to Microsoft Routing and Remote Access Server policy و دیگری Connections to Other Access Servers policy نام دارند. به شما پیشنهاد می کنم که این policy های پیشفرض را غیرفعال کنید ، شما براحتی می توانید با راست کلیک کردن بر روی هر یک از این policy ها و انتخاب گزینه Disabled آنها را غیر فعال کنید. خوب حالا که policy های قبلی را غیرفعال کردید می توانید یک Network Policy جدید ایجاد کنید . برای اینکار کافیست بر روی container مربوط به Network Policy راست کلیک کرده واز طریق منوی باز شده گزینه New را انتخاب کنید .با اینکار ویزارد New Network Policy باز خواهد شد .اولین کاری که بایستی انجام بدهید این است که به این Policy یک نام اختصاص دهید . بیاید نام این policy را Compliant-Full-Access بگذاریم . د قسمت لیست بازشوی Type of Network Access Server گزینه Unspecified را مطابق شکل پایین انتخاب کنید . و Next را بزنید .

راه اندازی سرویس NAP

شکل الف : به policy جدید یک نام اختصاص دهید و سپس Next را بزنید .

در صفحه بعدی در خصوص شرایط یا conditions ای که بایستی برای این policy در نظر گرفت از شما سئوال می شود . شما با کلیک کردن بر روی دکمه Add می توانید قسمت Specify Conditions را که برای تعیین شرایط است ، مشاهده کنید . از طریق Scroll تنظیمات را بار کرده و به دنبال Health Policy Options بگردید و آن را بیابید . Health Policy Options را انتخاب کنید و سپس بر روی Add کلیک کنید . در این قسمت از شما در خصوص Health Policy سئوال خواهد شد که شما قصد اعمال آن را دارید . از لیست باز شو تنظیمات compliant را مطالبق تصویر ب انتخاب کنید .

راه اندازی سرویس NAP

شکل ب : از لیست Health Policies قسمت compliant را انتخاب کنید

بر روی OK کلیک کنید تا صفحه Select Conditions بسته شود و سپس Next را بزنید . با اینکار ویندوز به شما صفحه Specify Access Permissions مواجه می شوید . گزینه Grant Access را انتخاب کنید و Next را بزنید . به خاطر داشته باشید که قرار دادن دسترسی در حالت Grant Access به این معنی نیست که کاربر دسترسی کامل برای اتصال به شبکه داده شده است ، معنای واقعی اینکار این است که درخواست هایی که از طریق این policy تایید و وارد می شوند اجازه ورود به مراحل بعدی و آینده پردازش ها را خواهند داشت .در اینجا صفحه Configure Authentication Methods را خواهی دید . ای نصفحه به شما پروتکل های مختلف احراز هویتی که می توانید برای این سناریو استفاده کنید را به شما نمایش می دهد ، با انتخاب هر یک از این چک باکس ها پروتکل مورد نظر انتخاب خواهد شد . فعلا در این سناریو به کارتان ادامه دهید و مقادیر پیشفرض را انتخاب کنید و مثل شکل ج بر روی Next کلیک کنید .

راه اندازی سرویس NAP

شکل ج : تنظیمات پیشفرض را انتخاب کنید و Next را کلیک کنید

کامپیوترهای عدم انطباق یا Non-Compliant


خوب تا اینجا یک policy برای کامپیوترهایی که مطابق قوانین یا compliant هستند ایجاد کردیم اما در این لحظه بایستی یک policy دیگر برای برخورد با کامپیوترهایی که با قوانین مطابق نیستند یا non-compliant ها ایجاد کنیم که تا حدی با policy ایجاد شده برای compliant ها مشابه است . برای اینکار بر روی container مرتبط با Network Policies راست کلیک کرده و از طریق منوی باز شده New را انتخاب کنید، یک ویزارد مشابه آنچه در قبل هم انجام دادیم با عنوان New Network Policy نمایش داده خواهد شد . مانند قبل اولین کاری که بایستی انجام شود نامگذاری policy مورد نظر است ، در اینجا نام policy را Noncompliant-Restricted قرار دهید و در قسمت تنظیمات Type of Network Access Server تنظیمات را بر روی Unspecified قرار دهید و سپس Next را بزنید .

خوب الان به صفحه ویزارد تعیین قوانین یا conditions هدایت می شوید .زمانیکه ما policy را برای کامپیوترهای compliant ایجاد کردیم یک قانون یا Condition ایجاد کردیم که در آن به سرور دستور داده بودیم که تمامی درخواست ها را ابتدا با compliant policy که در مقاله قبلی ایجاد کردیم مقایسه کند . اما از آنجاییکه این policy برای کامپیوترهایی است که non-compliant هستند ، شما بایستی مطمئن شوید که درخواست هایی که به این policy ارجاع داده می شوند از policy به نام non-compliant تبعیت کنند . این یعنی اینکه فعال بودن windows firewall بر روی کلاینت ها بایستی چک شود . برای اینکار بر روی دکمه Add کلیک کنید . ویندوز به شما صفحه Select Conditions را نمایش خواهد داد ، از این لیست قسمت Health Policies را انتخاب کرده و بر روی Add کلیک کنید . در اینجا policy که از قبل به نام non-compliant ساخته بودید را انتخاب کرده و OK رابزنید و سپس Next را بزنید.

بر روی Next کلیک کنید و صفحه Configure Constraints را مشاهده خواهید کرد . ما در اینجا قصد اعمال هیچگونه محدودیتی را به این policy نداریم و Next را می زنیم . شما الان صفحه ویزارد Configure Settings را مشاهده خواهید کرد ، ای نصفحه به شما تنظیماتی را ارائه می دهد که در صورتیکه کامیپوتر مورد نظر اجازه دسترسی به سیستم را پیدا کرد به آن اعمال شوند . در نسخه های قبلی از ویندوز سرور 2008 شما بایستی برای اینکه کاربر بتواند به شبکه داخلی دسترسی پیدا کند ، NAP Enforcement را می بایست غیرفعال می کردید ، در نسخه RTM تنظیمات NAP Enforcement برای اینکه برای این مشکل بر نخورند بصورت پیشفرض مجوز دسترسی به شبکه داخلی را داده است. خوب با دانستن این موضوع بر روی Next کلیک می کنیم ، شما در این صفحه خلاصه ای از تنظیماتی که برای policy مد نظر انجام داده اید را مشاهده خواهید کرد ، اگر فکر می کنید همه چیز را به درستی انجام داده اید کافیست بر روی Finish کلیک کرده تا policy جدید ایجاد شود.

الان ویندوز به شما صفحه ویزارد Specify Access Permission را نمایش می دهد . با اینکه ما می خواهیم یک policy بازدارنده و محدود کننده ایجاد کنیم ، بر خلاف تصور در این قسمت نیز گزینه Grant Access را انتخاب کنید . به یاد نکته ای باشید که قبلا گفتیم ، Grant Access در اینجا به معنای اجازه دسترسی به شبکه نمی باشد اما به درخواست اجازه خواهد داد که ادامه مراحل فرآیند پردازشی را بتواند ببیند . کلید Next را بزنید و مجددا به صفحه Configure Authentication Methods خواهید رفت ، مشابه قسمت قبلی تنظیمات پیشفرض را در نظر گرفته و Next را کلیک کنید.

شما در اینجا صفحه Configure Constraints را مشاهده خواهید کرد .ما قصد اعمال هیچگونه محدودیتی را فعلا نداریم ، بنابراین فقط Next را می زنیم . شما الان به صفحه Configure Settings هدایت خواهید شد ، تا اینجا هر کاری که برای policy مربوط به compliant ها انجام دادیم برای noncompliant ها نیز انجام دادیم و هیچ تفاوتی این دو policy با یکدیگر نداشتند ، اگر به همین شکل policy ها را رها کنیم کامپیوترهایی که noncompliant هستند هم می توانند به راحتی به شبکه داخلی متصل شوند . با توجه به اینکه ما نمی خواهیم چنین شرایطی پیش بیاید ، در قسمت container مربوط به NAP Enforcement را انتخاب کنید ، چک باکس Enable Auto Remediation of Client Computers را فعال کنید ، تنظیمات را در حالت Enforce قرار دهید و سپس چک باکس Update Non Compliant Computers Automatically را انتخاب کنید و Next را بزنید ، بر روی Finish کلیک کنید تا policy با موفقیت اعمال شود.

نتیجه


در این مقاله در خصوص ایجاد Network Policy ها هم برای کامپیوترهای دارای شرایط مناسب یا Compliant ها و هم برای آنهایی که شرایط اتصال را ندارند یا noncompliant ها صحبت کردیم و آنها را ایجاد کردیم . در قسمت بعدی مقاله در خصوص تنظیمات مربوط به سرور صحبت خواهیم کرد ، امیدوارم مورد توجه شما قرار گرفته باشد ، هرگونه ابهامی را در ادامه همین مقاله عنوان کنید . ITPRO باشید

نویسنده : محمد نصیری

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشرو کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد

#راه_اندازی_NAP #NAP_چیست
عنوان
1 آموزش راه اندازی Network Access Protection - قسمت اول رایگان
2 آموزش راه اندازی Network Access Protection - قسمت دوم رایگان
3 آموزش راه اندازی Network Access Protection - قسمت سوم رایگان
4 آموزش راه اندازی Network Access Protection - قسمت چهارم رایگان
5 آموزش راه اندازی Network Access Protection - قسمت پنجم رایگان
6 آموزش راه اندازی Network Access Protection - قسمت ششم رایگان
7 آموزش راه اندازی Network Access Protection - قسمت هفتم رایگان
8 آموزش راه اندازی Network Access Protection – قسمت هشتم رایگان
9 آموزش راه اندازی Network Access Protection - قسمت نهم رایگان
زمان و قیمت کل 0″ 0
8 نظر
tara_chiki

سلام

در بخش کامپیوترهای عدم انطباق یا Non-Compliant

در انتهای پاراگراف دوم وقتی next رو می زنم عملا می رم به بخش توضیحات پاراگراف چهارم.

این وسط پاراگراف سوم اصلا تو تنظیمات دیده نمی شه!!!!

من در network policy روی هر کدام از 2 تا policy که می رم و کلیک راست میکنم با انتخاب گزینه propertise صفحه مربوط به آن policy باز می شه که در تب setting آن من nap enforcement رو می بینم که وقتی روی آن کلیک می کنم صفحه تنظیماتش باز میشه. در آن بخش برای هر 2 تا policy چک باکس enable auto Remedi... s تیک خورده.

و اینکه نوشتین تنظیمات رو در حالت enforce قرار دهید و چک باکسautomatically update...s رو انتخاب کنید عملا اینجا در این صفحه دیده نمی شه!!!!

الان با توضیحاتی که شما دادین عملا هر 2 تا policy من هیچ فرقی نکردن!!!

الان چکارکنم.

تیک enable auto Remedi...s رو برای compliant بردارم!!! و برای noncompliant بگذارم بمونه؟

با تشکر:)

محمد نصیری

دوست عزیز این تنظیمات در ویندوز سرور 2008 انجام شده و این سناریو ها تا حدودی در ویندوز سرور 2008 نسخه R2 متفاوت هست ، شما اول بگید از چه نسخه ای از ویندوز سرور استفاده می کنید تا بدونم سناریو رو چجوری باید پیش ببرید .

tara_chiki

بله حق با شماست

من از ویندوز سرور 2008 نسخه R2 استفاده می کنم

رضا دانش یار

اگه امکانش است روش پیکربندی Non-Compliant رو تو ویندوز 2008 r2 رو یه مختصر توضیح بدین .با تشکر

tara_chiki

جناب rzdaneshyar به شما پیشنهاد می کنم به وب سایت زیر مراجعه کنید.

امیرحسین کریم پور

با تشکر از مقالتون.

نکته تکمیلی رو اضافه کنم که در ویندوز سرور 2012 در کنسول NPS در کانتینر Network Policies مواردConnections to Microsoft Routing and Remote Access Server policy و Connections to Other Access Servers policy بصورت پیش فرض غیرفعال هستند.بازم ممنون :)

حامد  نبیلی

سلام استاد

من می خوام که SSL VPN رو روی فورتیگیت راه اندازی کنم و یوزرها از طریق ردیویس ماکروسافت Authentication بشن. الان تنظیمات فورتی گیت رو انجام دادم و با NPS ارتباطش برقرار شده اما یوزرها نمی تونن لاگین کنن. سوال اینجاس که اصلا این کار ممکن هست ؟

محمد نصیری

لطفا در قالب گزینه سئوال بپرسید مطرح کنید سپاسگزارم

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....