Процесс проверки подлинности при удаленном доступе
При подключении к Интернету проверка подлинности для удаленного доступа сводится к одной операции. Локальный компьютер предъявляет учетные данные (обычно это имя пользователя и пароль), которые принимаются и проверяются сервером удаленного доступа, установленным у поставщика услуг Интернета, и пользователю предоставляется доступ в Интернет.
При подключении к корпоративной сети, в которой имеется домен Windows, выполняется аналогичная процедура. Но в этом случае проверка подлинности удаленного доступа состоит из двух этапов. После того как пользователь подключился к сети, запрашиваемые им ресурсы (такие, как серверы обслуживания файлов и принтеров) при каждой попытке доступа к ним требуют, чтобы клиент представил учетные данные пользователя домена. Эти учетные данные могут отличаться от учетных данных, запрашиваемых сервером удаленного доступа.
Помимо этого, учетные данные требуются для доступа к компьютеру под управлением безопасной операционной системы, такой как XOX.
Это значит, что для удаленного доступа к компьютеру требуются три набора учетных данных: первый — для входа в систему компьютера; второй — для сервера удаленного доступа и третий — для доступа к сетевым ресурсам. Во всех трех случаях можно использовать один и тот же набор учетных данных, как описано ниже, но это могут быть и разные наборы.
Компьютеры защищенной корпоративной сети обычно являются членами домена. Применительно к XOX это означает, что до получения доступа к системе учетные данные, которые предоставляет пользователь при входе в систему, проверяются на контроллере домена. Таким образом, эти же учетные данные будут использоваться для удовлетворения запросов сетевых ресурсов. В целях упрощения удаленного доступа многие корпоративные сети устроены так, чтобы и сервер удаленного доступа признавал те же учетные данные пользователя домена. Тем самым для рядовых компьютеров домена обеспечивается единая, разовая процедура входа в сеть. Один и тот же набор учетных данных после установки подключения открывает доступ к компьютеру, обеспечивает удаленный доступ к корпоративной сети и разрешает обращаться к сетевым ресурсам.
Чтобы реализовать разовую процедуру входа на компьютерах, которые являются членами домена, сетевые подключения в XOX можно настроить таким образом, чтобы они предоставляли учетные данные пользователя, используемые для входа в систему, серверу удаленного доступа. Тем самым исключается необходимость предоставлять учетные данные серверу явным образом. Поскольку учетные данные входа в систему совпадают с учетными данными пользователя домена, они же позволят удовлетворять и запросы от сетевых ресурсов.
Однако компьютеры, установленные вне офиса (например, дома), обычно не являются членами домена, поэтому учетные данные входа пользователя в систему, открывающие доступ к компьютеру, не обеспечивают доступ к домену. Бывает также, что сервер удаленного доступа требует учетные данные, никак не связанные с учетными данными домена сети. В таком случае придется предоставлять три набора учетных данных — для входа в систему на компьютере, для подключения к удаленной сети и затем для доступа к ресурсам этой сети.
См. также