Každé pravidlo určuje seznam metod ověření. Každá metoda ověření určuje požadavky na způsob, jakým budou ověřovány totožnosti v komunikaci, na kterou se vztahuje příslušné pravidlo. Tyto metody jsou aplikovány každým partnerským počítačem v určeném pořadí. Oba partnerské počítače musejí nalézt alespoň jednu společnou metodu ověření, jinak komunikace selže. Vytvoření více metod ověření zvyšuje naději, že bude nalezena metoda společná oběma komunikujícím počítačům.
Poznámka | |
Pořadí těchto metod je také důležité, protože se použije jen první nalezená společná metoda a již žádná další metoda uvedená na seznamu, i kdyby tyto metody také měly naději na úspěch. |
Metody ověření
Ve dvojici počítačů lze použít jen jedinou metodu ověření, bez ohledu na to, kolik je jich nakonfigurováno. Pokud máte více pravidel, která se vztahují na tutéž dvojici počítačů, musíte v jejich rámci nakonfigurovat seznam metod ověření, aby počítače mohly použít tutéž metodu. Například pokud pravidlo mezi dvěma počítači určuje pro ověření pouze metody Kerberos a filtruje pouze data TCP a jiné pravidlo určuje pouze certifikáty a filtruje pouze data UDP, ověření selže. Metody ověření jsou konfigurovány na kartě Metody ověření dialogu Úpravy vlastností pravidel nebo Přidávání vlastností pravidel.
- Ověřovací protokol Kerberos verze 5 je předvolbou technologie ověřování. Tuto metodu lze použít pro všechny počítače používající ověřovací protokol Kerberos V5, které jsou příslušníky téže domény nebo důvěryhodných domén. Tato metoda je užitečná pro izolaci domény pomocí IPsec.
- Veřejný certifikát by se měl používat v situacích, které zahrnují přístup přes Internet, vzdálený přístup k podnikovým zdrojům, komunikaci s externím obchodním partnerem nebo počítače, které nepoužívají ověřovací protokol Kerberos V5. Je nutné nakonfigurovat minimálně jednu důvěryhodnou certifikační autoritu (CA). Tato verze systému Windows podporuje certifikáty X.509 verze 3, včetně certifikátů CA generovaných komerčními certifikačními autoritami.
- Lze určit také předem sdílený klíč. To je sdílený tajný klíč, který byl dohodnutý mezi uživateli předem. Snadno se používá a nevyžaduje od klienta ověřovací protokol Kerberos V5 ani držení veřejného certifikátu. Obě strany musí IPsec pro použití tohoto klíče nakonfigurovat ručně. Je to jednoduchá metoda ověřování samostatných počítačů nebo počítačů, které nepoužívají ověřovací protokol Kerberos V5. Tento předem dohodnutý sdílený klíč slouží pouze k ochraně ověření a nepoužívá se pro integritu nebo šifrování dat.
Důležité informace | |
Tento sdílený klíč je uložen v nezašifrované podobě a není považován za bezpečnou metodu. Tyto klíče by se měly používat pouze pro testovací účely. |