Chủ đề: RADIUS Server support cho VPN và EAP/TLS Authentication - Hướng dẫn chi tiết

Bài hướng dẫn gồm có 4 phần như sau:
.Installing the Windows Server 2003 IAS Server
.Configuring a VPN client Remote Access Policy on the IAS Server
.Configuring the ISA Server firewall/VPN server to use the IAS Server for authentication and accounting
.Configuring the ISA Server firewall/VPN server to support EAP-TLS authentication for PPTP and L2TP/IPSec clients

1. Installing and Configuring the Windows Server 2003 IAS Server

.Click Start / Control Panel / Add or Remove Programs.
.Click Add/Remove Windows Components.
.Trong Windows Components dialog box, chọn Networking Services và click Details button.

.Tại Networking Services dialog box, đánh dấu Internet Authentication Service checkbox và click OK. Click Next trong Windows Components dialog box.

.Click Finish.

Sau khi cài đặt xong, chúng ta sẽ thực hiện một vài cấu hình cơ bản cho IAS Server

. Click Start / Administrative Tools / Internet Authentication Services.

. Giao diện Internet Authentication Services console, right click Internet Authentication Service (Local) node. Click Register Server in Active Directory

. Cấu hình như vậy sẽ cho phép IAS Server xác thực user trong Active Directory domain. Click OK ở Register Internet Authentication Server in Active Directory dialog box.

.Click OK trong Server registered dialog box. Hệ thống nhắc ta IAS Server đã register thành công.

. Right click RADIUS Clients, click the New RADIUS Client.

. Trong New RADIUS Client dialog box, chúng ta gõ vào Friendly name cho ISA Server firewall/VPN server. Ví dụ là MSFIREWALL1.

. Cung cấp FQDN hoặc IP của ISA Server firewall/VPN server trong Client address (IP or DNS) dialog box. Chúng ta nên sử dụng Verify button để kiểm tra xem IAS Server có thể phân giải FQDN hay không. Click Next.

. Trong Addition Information page, giữ nguyên RADIUS Standard trong Client Vendor drop down list. Gõ vào Shared secret text và kiểm tra lại.

. Shared secret nên là một dãy các ký tự chữ cái hoa + thường + số + các ký tự đặc biệt khác. Chúng ta cần đánh dấu vào Request must contain the Message Authenticator attribute checkbox. Option này giúp nâng cao mức độ bảo mật của RADIUS messages giữa ISA Server firewall/VPN và IAS servers. Click Finish.

Tiếp theo: Phần II - Configuring a VPN Client Remote Access Policy on the IAS Server

2. Configuring a VPN Client Remote Access Policy on the IAS Server

. Trong giao diện Internet Authentication Service console, right click Remote Access Policies, click New Remote Access Policy.

. Trang Welcome to the New Remote Access Policy Wizard xuất hiện. Click Next.

. Trong trang Policy Configuration Method, chọn Use the wizard to set up a typical policy for a common scenario. Trong Policy name text box, gõ vào tên policy. Ví dụ: VPN Access Policy. Click Next.

. Chọn VPN option trong phần Access Method. Bạn cũng có thể tạo ra các policies riêng biệt cho PPTP và L2TP/IPSec VPN. Để tạo ra chúng, trong bước trước, các bạn phải chọn Custom.

. Bạn có thể thiết lập quyền truy cập tới VPN server cho user hoặc group. Tốt nhất là bạn tạo ra group - ví dụ là VPN Users - và cấp quyền cho Group này.
Trong bài này, chúng ta chọn Group option và click Add. Chúng ta add Group nào cần VPN vào.

. Chọn authentication methods trong phần Authentication Methods.

. Chúng ta có thể chọn cả Microsoft Encrypted Authentication version 2 và Extensible Authentication Protocol (EAP). EAP và MS-CHAP version 2 đều được mã hóa và có tính bảo mật cao.
. Click drop down Type (based on method of access and network configuration) menu và chọn Smart Card or other certificate , sau đó nhấn Configure. Trong Smart Card or other Certificate Properties dialog box, chọn certificate mà bạn muốn IAS server sử dụng để xác thực. Click OK. Click Next.
. Nếu bạn không thấy certificate trong phần Smart Card or other Certificate Properties dialog box, hãy restart RADIUS server.

. Chọn mức độ mã hóa bạn muốn sử dụng cho VPN. Trong bài này, chúng ta chọn Strongest encryption (IPSec Triple DES or MPPE 128-bit). Click Next.

. Xem lại settings trong trang Completing the New Remote Access Policy Wizard và click Finish.

Phần II - Tiếp: Configuring Remote Access Permissions

Configuring Remote Access Permissions

1. Changing the User Account Dial-in Permissions

.Click Start / Administrative Tools. Click Active Directory Users and Computers.
Trong giao diện Active Directory Users and Computers, chọn User OU.

. Double click vào user account cần cấp quyền. Trong phần user account Properties, click Dial-in tab. Cấu hình mặc định là Deny access. Bạn cần phải cấu hình cho phép VPN access bằng cách chọn Allow access option. Option thứ 3 bị disable nếu Domain Function không là 2000 Native hoặc 2003. (Option này giúp chúng ta cấu hình cho phép VPN theo nhóm - sẽ được giới thiệu tiếp theo dưới đây)

. Click Apply. click OK.

2. Changing the Domain Functional Level

. Tại domain controller, open Active Directory Domains and Trusts:
Click Start Administrative Tools / Active Directory Domains and Trusts.

. Tại giao diện Active Directory Domains and Trusts, right click vào domain và click vào Raise Domain Functional Level.

. Trong Raise Domain Functional Level box, chọn Function cho Domain (2000 Native hoặc 2003). Click the Raise button.

. Click Oke với các hộp thoại thông báo tiếp theo.
. Mở Active Directory Users and Computers, click user account. Click Dial-in tab. Bây giờ Control access through Remote Access Policy option đã được enable.

Phần III. Controlling Remote Access Permission via Remote Access Policy

Phần III. Controlling Remote Access Permission via Remote Access Policy

. Click Start / Administrative Tools. Click Internet Authentication Service.
. Click Remote Access Policies. Bạn sẽ thấy VPN Access Policy mà bạn tạo ra trong phần Remote Access Policies. Right click Connections to other access servers và click Delete. Bạn cũng xóa Connections to Microsoft Routing and Remote Access server.

. Double click vào VPN Access Policy. trong hộp thoại VPN Access Policy Properties có 2 options để điều khiển quyền truy cập. Đó là

- Deny remote access permission

- Grant remote access permission

. Chọn Grant remote access permission để cho phép thành viên của Domain Users truy cập tới VPN server.

. Click Apply. Click OK.

Phần IV. Configuring the ISA Server firewall/VPN Server to Support RADIUS and EAP-TLS Authentication for PPTP and L2TP/IPSec VPN Clients

Phần IV. Configuring the ISA Server firewall/VPN Server to Support RADIUS and EAP-TLS Authentication for PPTP and L2TP/IPSec VPN Clients

. Chắc chắn rằng bạn đã cấu hình ISA server trở thành VPN Server. Hướng dẫn chi tiết các bạn có thể xem thêm link sau: http://www.isaserver.org/img/upl/vpn...nfigisavpn.htm
. Click Start / Administrative Tools / Routing and Remote Access. Right click vào server và click Properties.
. Click Security tab trong Properties dialog box.

. Click Configure trong Authentication provider. Trong hộp thoại RADIUS Authentication, click Add.

. Trong hộp thoại Add RADIUS Server, gõ tên kiểu FQDN hoặc IP của IAS Server. Click Change.
. Gõ vào shared secret đã tạo ở bước trước cho IAS Server. Chọn Always use message authenticator checkbox. Click OK trong hộp thoại Change Secret. Click OK. Click Apply.

. Click OK trong hộp thoại Routing and Remote Access Properties.
. Right click Routing and Remote Access, chọn All Tasks,click Restart.

Hết.