Требования протокола EAP-TLS к серверамКак уже было сказано, для реализации протокола EAP-TLS нужны как минимум четыре сервера (в распределенной или более крупной среде больше), два из которых будут выполнять функции резервных серверов службы проверки подлинности в Интернете (IAS — предлагаемая корпорацией Майкрософт реализация службы удаленной проверки пользователей RADIUS), а два других будут использоваться как компоненты базовой инфраструктуры сертификатов (PKI). Один из двух серверов сертификатов, а именно сервер корневого центра сертификации, будет отключен от сети для защиты корневого сертификата. Таблица 3. Рекомендуемые требования к оборудованию сервера корневого центра сертификации
Как ясно из таблицы, требования к серверу корневого центра сертификации, основанные на требованиях, предъявляемых ОС Windows Server 2003 Standard Edition, совсем невелики, и при необходимости его можно создать даже на базе старой платформы, которую планируется списать, или виртуальной машины. Во многих компаниях для этого используют ноутбук, потому что вопрос с его физической защитой можно решить, просто заперев его в сейфе. Какой бы подход к созданию корневого центра сертификации не был выбран, важно гарантировать, что в случае надобности можно будет загрузить соответствующий компьютер или восстановить хранящиеся на нем данные. Требования к аппаратным средствам выдающего центра сертификации похожи, только этот сервер должен включать дисковую подсистему большего объема и должен быть подключен к сети. Этот сервер должен хранить все выданные сертификаты, поэтому желательно, чтобы объем его дисковой подсистемы составлял как минимум 2 ГБ на каждую тысячу пользователей. Требования к RADIUS-серверам выше, потому что эти серверы критически важны для поддержания функциональности беспроводной сети и должны быть способны обрабатывать большое число попыток проверки подлинности за короткие периоды времени. Таким образом, для систем, содержащих тысячи беспроводных клиентов, может потребоваться более производительная аппаратная платформа. Требованиям центров сертификации полностью соответствует ОС Windows Server 2003 Standard Edition, в то время как на серверах службы проверки подлинности в Интернете иногда необходимо использовать выпуск Enterprise Edition, потому что Standard Edition поддерживает только 50 клиентов RADIUS. В силу этих причин рекомендуется устанавливать службу проверки подлинности в Интернете на контроллеры доменов, потому что это уменьшает потребность в дополнительных серверах, позволяя использовать имеющиеся надежные серверные платформы контроллеров доменов. Кроме того, развертывание службы IAS на контроллерах доменов на самом деле повышает эффективность ее работы, сокращая объем трафика, передаваемого при проверке подлинности пользователей между контроллерами доменов и службой проверки подлинности в Интернете. При определении требований к RADIUS-серверам следует также принять во внимание перемещение при сбоях, избыточность и наличие в компании удаленных филиалов. Рекомендуется использовать как минимум два сервера службы проверки подлинности в Интернете, но если удаленных филиалов много, возможно, в некоторых из них нужно будет установить дополнительные серверы службы проверки подлинности в Интернете. Кроме того, некоторые компании могут предъявлять более высокие требования к избыточности серверов или балансировке нагрузки. Ничто не мешает использовать в качестве RADIUS-серверов многофункциональные серверы, но при этом важно учесть дополнительную нагрузку на такой сервер и ее характер. RADIUS-сервер должен быть способен обработать запросы всех беспроводных клиентов, если они попытаются подключиться к нему за короткий период времени.
|
