VPN-сервер

[NiK]

Подскажите, please, что нужно сделать, чтобы запретить одновременное подключение к VPN-серверу нескольких пользователей с одним и тем же логином. Нужно чтобы было: 1 логин - одна VPN-сессия. При этом с одного IP могли подключаться несколько пользователей, каждый со своим логином одновременно.

[visual]

Подскажите, please, что нужно сделать, чтобы запретить одновременное подключение к VPN-серверу нескольких пользователей с одним и тем же логином. Нужно чтобы было: 1 логин - одна VPN-сессия. При этом с одного IP могли подключаться несколько пользователей, каждый со своим логином одновременно.

выставить в настройках RADIUS сервера максимальное кол-во одновременных сессий для логина или группы логинов.
P.S. где и как - зависит от используемого RADIUS сервера. не везде это м.б. реализовано.

[NiK]

А если не использовать RADIUS? Откровенно говоря - неохота RADIUS-сервер поднимать еще. Можно ли штатными средствами w2k/w2k3 обойтись?

[visual]

А если не использовать RADIUS? Откровенно говоря - неохота RADIUS-сервер поднимать еще. Можно ли штатными средствами w2k/w2k3 обойтись?

м.б. такие способы есть, но мне они неведомы. более того, штатный RADIUS не умеет это делать:

Q. Can I configure IAS to limit the number of simultaneous sessions with the same set of credentials?
A. IAS does not support the capability to limit the number of simultaneous sessions or connections that can be made with the same set of credentials. Controlling simultaneous sessions with the same set of credentials is important for Internet service providers (ISPs) who want to prevent their customers from sharing their Internet sign-on credentials with others.
 
http://www.microsoft.com/technet/itsolutio...ias/iasfaq.mspx
P.S. сторонних RADIUS/TACACS серверов ненулевое кол-во. Сisco ACS не плох, но стоит денег.

[NiK]

м.б. такие способы есть, но мне они неведомы. более того, штатный RADIUS не умеет это делать:


P.S. сторонних RADIUS/TACACS серверов ненулевое кол-во. Сisco ACS не плох, но стоит денег.

Спасибо за информацию.  Придется все-же поднимать что-то с ААА/RADIUS'ом... неохота, блин...

Но если найдется рецепт без RADIUS'а - киньте им в меня  

[visual]

Спасибо за информацию.  Придется все-же поднимать что-то с ААА/RADIUS'ом... неохота, блин...

на этой винде и подними, Cisco ACS под виндой нормально работает и доменную аутентификацию поддерживает. кроме циски есть NTTac, например. правда во второй версии у него  доменная аутентификация сделана не совсем правильно. я девелоперам отправлял кусок кода, обещали в третьей версии это пофиксить, но третьей версии в свободном доступе я не видел, проверить не могу да и не особо хочется.

Но если найдется рецепт без RADIUS'а - киньте им в меня  

у тебя VPN сервер на ISA?

Perform the following steps to configure VPN remote client properties:
1. Enable VPN remote client access. Enable VPN remote clients to connect to the ISA Server computer, and specify the maximum number of simultaneous VPN remote client connections allowed.
...

To enable VPN remote client access Enable VPN remote client access as follows:
1. In the console tree of ISA Server Management, click Virtual Private Networks (VPN).
2. In the details pane, verify that the VPN Clients tab is selected.
3. In the task pane, on the Tasks tab, click Configure VPN Client Access.
4. In the VPN Clients Properties dialog box, on the General tab, select the Enable VPN client access check box. Then, in Maximum number of VPN clients allowed, specify a limit for the maximum number of simultaneous VPN client connections. For this example, change the default of 5 concurrent connections to 10.
...

http://www.microsoft.com/technet/isa/2004/...diusremote.mspx

[NiK]

у тебя VPN сервер на ISA?

Perform the following steps to configure VPN remote client properties:

Firewall не от MS - не доверяю я им до конца что-то.  VPN поднят штатными виндовыми средствами. Пока что используется Windows-проверка подлинности. Шлюз из домена выкинут на всякий случай.

А приведенное выше, если я не ошибаюсь, это про количество одновременных VPN-клиентов вообще, независимо от учетных данных каждого. Но все равно спасибо