информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медПортрет посетителяАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / software
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
ну а как с этим..??? 26.02.02 19:15  Число просмотров: 1148
Автор: iokana <iokana jon> Статус: Member
<"чистая" ссылка>
> > > логах
> > > > ак и записано:
> > > > Тип события: Предупреждение
> > > > Источник события: RemoteAccess
> > > > Категория события: Отсутствует
> > > > Код события: 20192
> > > > Дата: 19.02.2002
> > > > Время: 18:39:32
> > > > Пользователь: Нет данных
> > > > Компьютер: TEST
> > > > Описание:
> > > > Не удалось найти сертификат. Подключениям,
> > которые
> > > > используют этот протокол L2TP через IPSec,
> > требуется
> > > > установка на компьютере сертификата
> компьютера.
> > > L2TP-вызовы
> > > > приниматься не будут. )
> > > >
> > > > или нада цент сертификатов ставить?
> > > > ..помогите други..
>
> Начнем сначала попробуй так :
> Открыть Routing and Remote Access в MMC или через
> Administrative Tools.
> правой крысой на снопке Ports посмотреть есго свойства.
> фокус на WAN Miniport (L2TP) и вызвать его конфигурацию.
> В контроле Maximum Ports поставить 0 .
> На все предупреждения жми "да" а потом закрой всю эту
> хрень.
>
> > > Вариатн 1 : M$ рекомендует для безопасного обмена
> > инфой
> > > использовать сертификаты открытого ключа, должно
> быть
> > > достигнуто "Security Association", для достижения
> его
> > > используют Internet Key Exchange, как следствие
> > > тебе прийдется поставить хотябы один
> > Certification
> > > Autority Center
, а IKE обеспечит
> > совместимость с
> > > несколькими системами сертификации, сертификат
> > > определенного типа конечно не нужен, главное чтоб
> он
> > входил
> > > в учетную запись компа, был правильно подписан и
> не
> > был
> > > просрочен.
> > ну поставил я ЦС, и как в нем этот IKE сделать?
>
> Поставил ЦС - сходи по линкам которые я дал, вкратце -
> тебе нужно сделать для машины TEST сертификат.
> ;-))))
> IKE - ставить не надо, это стандартный
> метод сопоставления безопасности и
> разрешения обмена ключами. Короче - это один из механизмов
> IPSec, это не софтина,а служба.
>
смотри, а ежели поднять домен и включить клиента в него ну для начала по локалке..., а потом коннектиться по модемам?? здесь сертификаты ведь же должны быть??..


> >
> >
> > > Вариант 2: Kerberos v5, главное чтоб клиент его
> > поддерживал
> > > и входил в доверяемый домен.
> > вообще-то это просто изолированный сервак
> (стэндэлон)..
> > и как тогда быть здесь?
>
> По моему - никак, попробуй поднять на нем домен, можно без
> АД, просто если мне не изменяет память - служба Kerberos
> устанавливается на каждом контроллере домена, а если просто
> сервак - то на нем есть только клиент, и второе - домен
> адм. единица а realm e Kerberos в 2000 это и есть тот самый
> домен, и назвали его так только для совместимости с
> терминологией НТ.
> Короче - в этом случае ставь домен.
> >
> >

так всеже не понятно, это однозначно - ставить домен или нет?..


> > > Вариант 3: Общий ключ, на его использование надо
> > настроить
> > > IPSec вручную через IPSec policies on Active Dir.
> при
> > > создании нового или изменении текущего полиса
> > безопасности,
> > > можно настройки проверить такой софтиной как
> > ipsecmon.exe
> > ну ежели сервер не входит в домен и на нем не
> поднята АД?
> > а софтина в стандартной комплектации сервер2000 есть?


а как строить саму политику? конкретно-то?

>
> софтина есть, а вот на счет AD мыслю так : откуда берется
> инфа о оплитике для агента IPSec ? - из АД либо по идее из
> реестра, так что сам агент от отсутствия АД страдать не
> должен. Честно - я не делал этих фокусов на станд алоне
> серваках, только где АД ставит там с IPSec и работал.
> >
> >
> > > Да, мелочь одна - политика IPSec назначенная в
> домене
> > > переопределяет твою локальную политику только
> если
> > твой
> > > комп является членом домена, да и самого агента
> IPSec
> > и
> > > службу Kerberos Key надо выставить на
> авто-рестарт при
> > > обвале ( как службу)
> > ну эт ясен пень..
> > а вообще М$ тутконечна намудрила, хотя и безопасно
> блин..
>
> Поставь второй сервиспак, в первом много ошибок при
> соединении по L2TP.
> Вот я у коллеги спросил как у него сделано, он сказал что с
> M$ не геммороился, а поставил PGP сервер, взял он его в
> нэте.


вот про это поподробнее расскажи.... что? да как? де взять этот ПЖП и как его ставить?...
не совсем понятно с вариантами - получается, что выариант всеже один -АД, ну и подразделы со своей службой серификации или с ПЖП ??


жду ответа с нетерпением..
<software> Поиск 






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach