P. 1
Hướng dẫn cấu hình Windows Server 2008 làm RADIUS Server cho VPN routers

Hướng dẫn cấu hình Windows Server 2008 làm RADIUS Server cho VPN routers

|Views: 105|Likes:
Được xuất bản bởiletranganh

More info:

Published by: letranganh on Jul 13, 2013
Bản quyền:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOCX, PDF, TXT or read online from Scribd
See more
See less

10/10/2013

pdf

text

original

Hướng dẫn cấu hình Windows Server 2008 làm RADIUS Server cho VPN routers (Cisco, Draytek

...)
Thứ năm, 12 Tháng 1 2012 23:02 0 Các bình luận

Lợi ích
Một số loại VPN Router (ví dụ Draytek V27xx, V29xx, V33xx hoặc Cisco ASA 5510, 18xx, 28xx, 38xx...) mặc dù đều cho phép tạo User Profile ngay trên router nhưng có nhược điểm là số lượng người dùng bị giới hạn (thường khoảng 30-100 người dùng) và nhất là gây khó khăn trong việc sử dùng bởi người dùng phải nhớ nhiều loại mật khẩu (mật khẩu đăng nhập vào VPN Server, mật khẩu đăng nhập vào AD...) Sử dụng xác thực RADIUS Server, người dùng có thể sử dụng ngay mật khẩu AD để truy xuất từ xa tới và đăng nhập vào VPN Server trên Router. Hơn nữa, sau khi xác thực với RADIUS Server thành công, người dùng có thể truy cập được ngay vào các tài nguyên trên mạng nội bộ như các thư mục chia sẻ, máy in... mà không cần phải đăng nhập lại. Quản trị mạng có thể quản lý và kiểm tra việc sử dụng của từng người dùng thông qua file log (text / MS SQL) trên RADIUS Server. Ngoài ra, RADIUS Server còn được sử dụng để cung cấp dịch vụ xác thực người dùng cho nhiều loại Network Access Server (NAS) khác như Remote Desktop Gateway (xác thực người dùng khi truy cập máy tính từ ra), DHCP Server (cấp phát IP dựa trên xác thực người dùng)...

Triển khai
Trong hướng dẫn này, chúng tôi sẽ lấy ví dụ triển khai Server 2008 R2 để làm RADIUS Server cho VPN router Draytek V29xx hoặc Cisco ASA 5510. Đối với các loại router khác, cách làm gần tương tự.

  

Địa chỉ IP của Router: 192.168.1.1 Địa chỉ IP của RADIUS Server: 192.168.1.2 VPN Users: là nhóm Domain Users Group hoặc Windows Group của các người dùng được quyền truy xuất VPN.

Cấu hình trên VPN Router
1. Draytek 29xx: trong menu Applications chọn RADIUS, nhập địa chỉ IP của RADIUS Server trong mạng LAN và Shared Secret. Xác nhận mật khẩu lần nữa trong ô Confirm Shared Secret rồi bấm OK (hình dưới).

2. Cisco ASA 5510: truy cập vào menu Configuration.

2. Chú ý: theo kinh nghiệm của chúng tôi. Chọn AAA Setup và chọn AAA Server Groups. IP: 192. Tạo một AAA Server Group mới Bấm vào phần Remote Access VPN. mặc dù tài liệu hướng dẫn router không đề cập. Chọn Network Policy Server (hình bên phải). 3. Khởi động Server Manager. Chọn Network Policy và Access Services Role. Ấn Install. 4. 2. địa chỉ IP và mô tả cho RADIUS Server. Ghi nhớ mật khẩu này vì bạn sẽ cần phải khai báo khi cấu hình RADIUS server. Cấu hình RADIUS trên Windows Server 2008 R2 Bước 1: Bố sung NPS Server 1. Thêm RADIUS server vào Server Group mới tạo Chọn server group vừa mới tạo ở bước trên. 3. Đặt tên cho nhóm (grourp) ví dụ TEST và chọn RADIUS protocol. Bước 2: Đăng ký server với AD . 4. 3. 2. Ví dụ: Name: RADIUS. Bấm OK. Mô tả: AD / RADIUS. 1. bạn thực hiện cấu hình bằng cách sử dụng công cụ Network Policy Server (NPS) trong menu Administrative Tools. Sau khi cài đặt role thành công. Bạn cũng không cần phải tạo User Profile trên router nữa vì việc xác thực sau này sẽ do RADIUS Server đảm nhiệm. Trong mục Server Name or IP Address nhập IP Name mà bạn đã tạo cho RADIUS server ở bước đầu tiên. Xác nhận lại mật khẩu lầ nữa trong ô Common Password. bấm vào liên kết Objects và chọn IP Names. 5.Tạo IP Name object cho RADIUS Server 1. 4. 2. Các thiết lập khác chọn ngầm định (default settings). Các thiết lập khác chọn ngầm định (default settings). ở đây là "inside". passkey không nên dài hơn 32 ký tự và chỉ gồm số và chữ (alphanumeric). Bấm vào nút Add ở bên phải của phần AAA Server Groups. Ấn Next. Trong Interface Name chọn loại giao tiếp trên router ASA sẽ truy cập vào RADIUS server. Ấn Next. 3. 4. 5. Trong phần Firewall. Passkey 66 ký tự do Windows tự tạo không hoạt động với một số loại router.2. mức độ phức tạp phải tuân thủ theo tài liệu hướng dẫn loại router). Bấm OK.1. Bấm nút Add ở bên phải của Servers trong Select Group. 1. Nhập tên. Bấm nút Add ở phía trên. 6. Bấm OK và sau đó bấm Apply. Ấn Next.168. Trong ô Server Secret Key khai báo một mật khẩu đủ phức tạp (độ dài và loại ký tự sử dụng. Chọn Roles và bấm vào Add Roles ở bên phải.

Pre-Shared Key.. Sau khi chạy công cụ NPS. 2. Ví dụ "CiscoASA" hoặc "V2950". Chú ý: để thực hiện được việc này. PassKey.) mà bạn đã khai báo khi cấu hình router rồi xác nhận lại lần nữa trong ô Confirm shared secret. 2. bạn cần có quyền Domain Admins.. Bấm OK để hoàn thành việc tạo RADIUS Client (hình dưới). 5. Nhập mật khẩu (Server Secret Key. Bấm nút phải chuột vào RADIUS Clients rồi chọn New RADIUS Client. Bạn lưu ý nên đặt tên là duy nhất và dễ nhớ và đủ đơn giản để dễ dàng khai báo khi tạo các Policy ở các bước sau. Xem hình bên phài. Bước 3: Tạo RADIUS client cho Router 1. ấn nút phải vào mụcNPS(Local) và chọn Register Server in Active Directory. 4. . Đặt tên (Friendly Name) cho router. Ấn dấu + để mở rộng thư mục RADIUS Clients and Servers. Thực hiện theo hướng dẫn (chọn các thiết lập ngầm định). 3. Các thiết lập khác đặt ngầm định.1.

.

Trong hai trang sau đó. . 7. Đặt tên cho Policy Name sao cho có liên hệ với loại router mà bạn đã tạo trong RADIUS client ví dụ CiscoASA hoặc V2950. Trong menu tương ứng bên phải. 2. chọn trong menu thả xuống Attribute: giá trịUser-Name. Bấm nút phải chuột vào Connection Request Policies rồi chọn New. 6. chọn các thiết lập mặc định (default settings) rồi ấn Next. 3. Trong mục Specify a Realm Name chọn tùy chọn Attribute ở cột bên trái. Trong thẻ Conditions bấm Add. Bạn có thể tạo nhiều Connection Request Policy cho nhiều mục đích xác thực khác nhau. BấmOK rồi ấn Next. Chọn điều kiện Client Friendly Name rồi bấm Add… sau đó nhập tên mà bạn đã khai báo ở mục 3 bước 3 ví dụ V2950. Ấn Next lần nữa. Chọn Type of network access server là Unspecified rồi ấn Next. Ấn dấu + để mở rộng thư mục Policies. 4. 5.Bước 4: Tạo một Connection Request Policy Connection Request Policy để RADIUS Server xác định sẽ tiếp nhận các yêu cầu xác thực đến từ đâu và có các thông số như thế nào. Xem lại các thiết lập lần cuối trong trang tiếp theo rồi ấn Finish. 1.

Bấm nút phải chuột vào thư mục Network Policy và chọn New. Xem lại các thiết lập lần cuối trước khi ấn Finish. . rồi chọn Remote Access VPN. Khai báo Type of network access server là Unspecified rồi ấn Next (xem chú ý ở trên). 2. Trong thẻ Conditions ấn Add. Trong thẻ Constraints. Chọn Access granted (ngầm định) và bấm Next lần nữa. chọn AAA Server Groups. Ví dụ sau đây hướng dẫn kiểm tra RADIUS Authentication trên Cisco ASA 5510. Đặt tên cho Policy Name. 7. Trong thẻ Settings. Trong AAA Setup. chọn Unspecified. giữ nguyên các thông số mặc định và bấm Next. 4. giữ nguyên các thông số mặc định và bấm Next. 5.Chú ý: Bạn có thể chọn Type of network access server là Remote Access Server (VPN -Dial up) hoặc một kiểu khác tùy thuộc vào NAS mà bạn muốn triển khai như hình dưới đây. 8. Thực hiện tiếp như sau: Bổ sung điều kiện Users Group rồi chọn nhóm VPN Users. Bước 5: Tạo Network Policy 1. Bước 6: Restart Network Policy Server service Kiểm tra xác thực RADIUS và lưu cấu hình trên router Không phải loại router nào cũng có chức năng kiểm tra xác thực RADIUS. 1. 3. Bổ sung điều kiện Client Friendly Name rồi chọn tên mà bạn đã khai báo cho RADIUS client ví dụ V2950. Tuy nhiên nếu NAS của bạn là switch xác thực 802.1X hoặc điểm truy cập không dây WAP. Chọn menu Configuration. 6. Bấm Next. 2. Giả sử bạn tạo policy này nhằm mục đích áp dụng cho nhóm người dùng VPN Users và truy cập từ xa qua RADIUS Client V2950. Chọn Server Group bạn mới tạo.

Lựa chọn giao thức xác thực (Authentication Protocols) giữa Client và Router và giữ Router với RADIUS Server Để có thể liên lạc được với nhau. giữa Client và VPN Router và giữa VPN Router với RADIUS Server phải đều hỗ trợ và được cài đặt cùng loại giao thức xác thực. 5. Nếu xác thực RADIUS xảy ra thành công. Lưu cấu hình trên Router. Hình dưới đây là trang Connection Management của một VPN router Draytek. bạn sẽ thấy thông báo như hình bên dưới. Đối với một số loại router khác. Kiểm tra RADIUS Authentication qua Event Viewer của Windows. chọn server mà bạn tạo và bấm nút Test ở bên phải. Nhập the Username và Password của một người dùng đáp ứng các điều kiện đã khai báo trong Network Policy mà bạn đã tạo ở trên và bấm OK. . Trong Servers in the Selected Group. kiểm tra RADIUS Authentication thông qua VPN Connection Satus hoặc trong Event Viewer của Windows Server 2008 R2. 4. Ví dụ: VPN router Draytek nếu chưa cài đặt certificate thì không thể sử dụng giao thức PEAP hoặc EAP (là giao thức xác thực sử dụng certificate).3. Chọn nút Authentication. 6.

Việc thiết lập giao thức xác thực trên Client được thực hiện tại thẻ Security của VPN Connection Properties. Ví dụ xem hình dưới: Việc thiết giao thức xác thực giữa VPN Router và RADIUS Server được thực hiện trên mục Authentication Methods của thẻ Constraints đối với .

SPAP). Một số router không hỗ trợ xác thực mã hóa (encrypted authentication). trong mục Authentication Methods của thẻ Constraints (xem mũi tên ở hình trên)...Network Policy áp dụng cho RADIUS Client đó (xem hình dưới). . khi đó cần chọn thêm Unencrypted authentication (PAP.

You're Reading a Free Preview

Tải về
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->