Tudnivalók a P2S felhasználói VPN-ek felhasználói csoportjairól és IP-címkészleteiről
A P2S felhasználói VPN-eket úgy konfigurálhatja, hogy felhasználói IP-címeket rendeljenek hozzá adott címkészletekből identitásuk vagy hitelesítési hitelesítő adataik alapján felhasználói csoportok létrehozásával. Ez a cikk a Virtual WAN P2S VPN-átjáró különböző konfigurációit és paramétereit ismerteti a felhasználói csoportok meghatározásához és AZ IP-címek hozzárendeléséhez. A konfigurációs lépésekért lásd: Felhasználói csoportok és IP-címkészletek konfigurálása P2S felhasználói VPN-ekhez.
Ez a cikk a következő fogalmakat ismerteti:
- Kiszolgálókonfigurációs fogalmak
- Felhasználói csoportok
- Csoporttagok
- Alapértelmezett házirendcsoport
- Csoport prioritása
- Elérhető csoportbeállítások
- Az átjáró fogalmai
- Konfigurációs követelmények és korlátozások
- Használati esetek
Kiszolgálókonfigurációs fogalmak
A következő szakaszok a kiszolgálókonfigurációhoz használt általános kifejezéseket és értékeket ismertetik.
Felhasználói csoportok (szabályzatcsoportok)
A felhasználói csoport vagy szabályzatcsoport olyan felhasználói csoport logikai ábrázolása, amelynek IP-címeit ugyanabból a címkészletből kell hozzárendelni.
Csoporttagok (szabályzattagok)
A felhasználói csoportok tagokból állnak. A tagok nem felelnek meg az egyes felhasználóknak, hanem meg kell határozniuk azokat a feltételeket, amelyek meghatározzák, hogy a csatlakozó felhasználók melyik csoporthoz tartoznak. Egyetlen csoportnak több tagja is lehet. Ha egy csatlakozó felhasználó megfelel a csoport egyik tagjához megadott feltételeknek, a felhasználó a csoport része, és hozzárendelhető egy megfelelő IP-címhez. Az elérhető tagparaméterek típusai a VPN-kiszolgáló konfigurációjában megadott hitelesítési módszerektől függenek. Az elérhető feltételek teljes listáját a cikk Elérhető csoportbeállítások szakaszában találja.
Alapértelmezett felhasználó/házirendcsoport
Minden P2S VPN-kiszolgáló konfigurációja esetén egy csoportot kell alapértelmezettként kijelölni. Azok a felhasználók, akik olyan hitelesítő adatokat mutatnak be, amelyek nem felelnek meg a csoportbeállításoknak, az alapértelmezett csoport részét képezik. A csoport létrehozása után a csoport alapértelmezett beállítása nem módosítható.
Csoport prioritása
Minden csoporthoz numerikus prioritás is tartozik. Az alacsonyabb prioritású csoportokat a rendszer először kiértékeli. Ez azt jelenti, hogy ha egy felhasználó több csoport beállításainak megfelelő hitelesítő adatokat mutat be, akkor a legalacsonyabb prioritású csoport része. Ha például az A felhasználó az informatikai csoportnak (3. prioritás) és a pénzügyi csoportnak (4. prioritás) megfelelő hitelesítő adatot mutat be, az A felhasználó az IP-címek hozzárendelése céljából az informatikai csoport része.
Elérhető csoportbeállítások
Az alábbi szakasz azokat a különböző paramétereket ismerteti, amelyek segítségével meghatározhatja, hogy mely csoportok tagjai tartoznak a csoporthoz. A rendelkezésre álló paraméterek a kiválasztott hitelesítési módszerektől függően változnak. Az alábbi táblázat összefoglalja az elérhető beállítástípusokat és az elfogadható értékeket. A tagértékek egyes típusaival kapcsolatos részletesebb információkért tekintse meg a hitelesítési típusnak megfelelő szakaszt.
| Hitelesítés típusa | Tagtípus | Tagértékek | Példaérték |
|---|---|---|---|
| Microsoft Entra ID | AADGroupID | Microsoft Entra-csoport objektumazonosítója | {object ID value} |
| RADIUS | AzureRADIUSGroupID | Szállítóspecifikus attribútumérték (hexadecimális) (6ad1bd-vel kell kezdődnie) | 6ad1bd23 |
| Tanúsítvány | AzureCertificateID | Tanúsítvány köznapi neve tartománynév (CN=user@red.com) | red |
Microsoft Entra-hitelesítés (csak OpenVPN)
A Microsoft Entra-hitelesítést használó átjárók a Microsoft Entra-csoport objektumazonosítóival határozhatják meg, hogy melyik felhasználói csoporthoz tartoznak a felhasználók. Ha egy felhasználó több Microsoft Entra-csoport tagja, akkor a P2S VPN-felhasználói csoport része, amely a legalacsonyabb numerikus prioritással rendelkezik.
Ha azonban külső felhasználókat (a VPN-átjárón konfigurált Microsoft Entra tartományhoz nem tartozó felhasználókat) szeretne csatlakozni a pont–hely VPN-átjáróhoz, győződjön meg arról, hogy a külső felhasználó felhasználótípusa "Tag" és nem "Vendég". Győződjön meg arról is, hogy a felhasználó neve a felhasználó e-mail-címére van állítva. Ha a csatlakozó felhasználó felhasználótípusa és neve nem megfelelően van beállítva a fent leírtak szerint, vagy ha nem állíthat be külső tagot a Microsoft Entra-tartomány "Tagjának", akkor a csatlakozó felhasználó az alapértelmezett csoporthoz lesz rendelve, és az alapértelmezett IP-címkészletből hozzárendel egy IP-címet.
Azt is megállapíthatja, hogy egy felhasználó külső-e, ha megtekinti a felhasználó egyszerű nevét. A külső felhasználók a "Felhasználónév" #EXT .
Azure-tanúsítvány (OpenVPN és IKEv2)
A tanúsítványalapú hitelesítést használó átjárók a felhasználói tanúsítvány általános neveinek (CN) tartománynevével határozzák meg, hogy melyik csoportba tartozik a csatlakozó felhasználó. A köznapi neveknek az alábbi formátumok egyikében kell lenniük:
- tartomány/felhasználónév
- username@domain.com
Győződjön meg arról, hogy a tartomány a bemenet csoporttagként.
RADIUS-kiszolgáló (OpenVPN és IKEv2)
A RADIUS-alapú hitelesítést használó átjárók egy új szállítóspecifikus attribútumot (VSA) használnak a VPN-felhasználói csoportok meghatározásához. Ha a RADIUS-alapú hitelesítés a P2S-átjárón van konfigurálva, az átjáró hálózati házirend-kiszolgálói (NPS-) proxyként szolgál. Ez azt jelenti, hogy a P2S VPN-átjáró ügyfélként szolgál a felhasználók RADIUS-kiszolgálóval történő hitelesítéséhez a RADIUS-protokoll használatával.
Miután a RADIUS-kiszolgáló sikeresen ellenőrizte a felhasználó hitelesítő adatait, a RADIUS-kiszolgáló konfigurálható úgy, hogy egy új szállítóspecifikus attribútumot (VSA) küldjön az Access-Accept csomagok részeként. A P2S VPN-átjáró feldolgozza a VSA-t az Access-Accept csomagokban, és meghatározott IP-címeket rendel a felhasználókhoz a VSA-k értéke alapján.
Ezért a RADIUS-kiszolgálókat úgy kell konfigurálni, hogy egy azonos értékű VSA-t küldjenek minden olyan felhasználó számára, aki ugyanahhoz a csoporthoz tartozik.
Feljegyzés
A VSA értékének egy oktett hexadecimális sztringnek kell lennie a RADIUS-kiszolgálón és az Azure-ban. Ennek az oktett-sztringnek 6ad1bd-vel kell kezdődnie. Az utolsó két hexadecimális számjegy szabadon konfigurálható. A 6ad1bd98 például érvényes, de a 6ad12323 és a 6a1bd2 érvénytelen.
Az új VSA az MS-Azure-Policy-ID.
Az MS-Azure-Policy-ID VSA-t a RADIUS-kiszolgáló egy, a P2S VPN-kiszolgáló által az Azure-oldalon konfigurált hitelesített RADIUS-felhasználói szabályzatnak megfelelő azonosító küldéséhez használja. Ez a szabályzat a felhasználó IP-/ útválasztási konfigurációjának (hozzárendelt IP-cím) kiválasztására szolgál.
Az MS-Azure-Policy-ID mezőit a következőképpen kell beállítani:
- Szállító típusa: 8 bites aláíratlan egész szám, amelyet 0x41 kell beállítani (egész szám: 65).
- Szállítói hossz: Egy 8 bites, nem aláírt egész szám, amelyet az attribútumspecifikus értékben az oktett sztring hosszára kell beállítani 2-sel növelve.
- Attribútumspecifikus érték: Az Azure pont–hely VPN-kiszolgálón konfigurált szabályzatazonosítót tartalmazó oktett-sztring.
A konfigurációs információkért lásd: RADIUS – NPS konfigurálása szállítóspecifikus attribútumokhoz.
Az átjáró fogalmai
Ha egy Virtual WAN P2S VPN-átjáróhoz felhasználói/szabályzatcsoportokat használó VPN-kiszolgáló-konfiguráció van hozzárendelve, több P2S VPN-kapcsolatkonfigurációt is létrehozhat az átjárón.
Minden kapcsolatkonfiguráció tartalmazhat egy vagy több VPN-kiszolgáló konfigurációs felhasználói csoportot. Az egyes kapcsolatkonfigurációk ezután egy vagy több IP-címkészletre lesznek leképezve. Az átjáróhoz csatlakozó felhasználók identitásuk, hitelesítő adataik, alapértelmezett csoportjuk és prioritásuk alapján kapnak IP-címet.
Ebben a példában a VPN-kiszolgáló konfigurációja a következő csoportokat konfigurálja:
| Alapértelmezett | Prioritás | Csoport neve | Hitelesítés típusa | Tagérték |
|---|---|---|---|---|
| Igen | 0 | Mérnöki tevékenységek | Microsoft Entra ID | groupObjectId1 |
| Nem | 0 | Finance | Microsoft Entra ID | groupObjectId2 |
| Nem | 2 | PM | Microsoft Entra ID | groupObjectId3 |
Ez a VPN-kiszolgálókonfiguráció hozzárendelhető egy P2S VPN-átjáróhoz a Virtual WAN-ban a következőkkel:
| Konfiguráció | Csoportok | Címkészletek |
|---|---|---|
| Config0 | Mérnöki munka, PM | x.x.x.x/yyy |
| Config1 | Finance | a.a.a.a/bb |
A következő eredmény:
- A P2S VPN-átjáróhoz csatlakozó felhasználókhoz x.x.x.x/yyy cím lesz hozzárendelve, ha a mérnöki vagy a PM Microsoft Entra-csoportokhoz tartoznak.
- A Finance Microsoft Entra csoporthoz tartozó felhasználók ip-címeket kapnak az a.a.a.a/bb fájlból.
- Mivel a tervezés az alapértelmezett csoport, a konfigurált csoporthoz nem tartozó felhasználók a Mérnöki részleg részét képezik, és x.x.x.x/yyy ip-címet rendelnek hozzá.
Konfigurációs szempontok
Ez a szakasz a felhasználói csoportokra és IP-címkészletekre vonatkozó konfigurációs követelményeket és korlátozásokat sorolja fel.
Maximális csoportok: Egyetlen P2S VPN-átjáró legfeljebb 90 csoportra hivatkozhat.
Maximális tagok: Az átjáróhoz rendelt összes csoport házirend-/csoporttagjainak teljes száma 390.
Több hozzárendelés: Ha egy csoport több kapcsolatkonfigurációhoz van hozzárendelve ugyanazon az átjárón, akkor azt és tagjait a rendszer többször is megszámolja. Példa: Egy 10 tagú szabályzatcsoport három VPN-kapcsolati konfigurációhoz van hozzárendelve, három csoportnak számít 30 taggal, nem pedig egy 10 tagú csoporttal.
Egyidejű felhasználók: Az egyidejű felhasználók teljes számát az átjáró méretezési egysége és az egyes felhasználói csoportokhoz lefoglalt IP-címek száma határozza meg. Ezt nem az átjáróhoz társított szabályzatok/csoporttagok száma határozza meg.
Miután létrehozott egy csoportot a VPN-kiszolgáló konfigurációjának részeként, a csoport neve és alapértelmezett beállítása nem módosítható.
A csoportneveknek különnek kell lenniük.
Az alacsonyabb numerikus prioritással rendelkező csoportok feldolgozása a magasabb numerikus prioritású csoportok előtt történik. Ha egy csatlakozó felhasználó több csoport tagja, az átjáró az IP-címek hozzárendelése céljából alacsonyabb numerikus prioritású csoport tagjának tekinti őket.
A meglévő pont–hely VPN-átjárók által használt csoportok nem törölhetők.
A csoportok prioritásait átrendezheti a csoportnak megfelelő felfelé mutató nyílgombokra kattintva.
A címkészletek nem fedhetik át azokat a címkészleteket, amelyeket ugyanabban a virtuális WAN-ban más kapcsolatkonfigurációkban (azonos vagy eltérő átjárókban) használnak.
A címkészletek nem fedhetik át a virtuális hálózati címtereket, a virtuális központ címtereit és a helyszíni címeket.
Használati esetek
A Contoso vállalat több funkcionális részlegből áll, például a pénzügyből, az emberi erőforrásokból és a mérnöki részlegekből. A Contoso az Azure Virtual WAN használatával teszi lehetővé a távoli dolgozók (felhasználók) számára, hogy csatlakozzanak a virtuális WAN-hoz, és hozzáférjenek a helyszínen vagy a virtuális WAN-központhoz csatlakoztatott virtuális hálózaton tárolt erőforrásokhoz.
A Contoso azonban olyan belső biztonsági szabályzatokkal rendelkezik, amelyekben a pénzügyi részleg felhasználói csak bizonyos adatbázisokhoz és virtuális gépekhez férhetnek hozzá, az emberi erőforrások felhasználói pedig más bizalmas alkalmazásokhoz férhetnek hozzá.
A Contoso különböző felhasználói csoportokat konfigurálhat az egyes funkcionális részlegekhez. Ez biztosítja, hogy az egyes részlegek felhasználói egy részlegszintű előre definiált címkészletből kapnak IP-címeket.
A Contoso hálózati rendszergazdája ezután konfigurálhatja a tűzfalszabályokat, a hálózati biztonsági csoportokat (NSG) vagy a hozzáférés-vezérlési listákat (ACL-eket), hogy engedélyezze vagy tiltsa le bizonyos felhasználók hozzáférését az erőforrásokhoz az IP-címük alapján.
Következő lépések
- Felhasználói csoportok létrehozásához lásd : Felhasználói csoportok létrehozása a P2S felhasználói VPN-hez.