Hướng dẫn cấu hình Windows Server 2008 làm RADIUS Server cho VPN routers (Cisco, Draytek

...)
Thứ năm, 12 Tháng 1 2012 23:02 0 Các bình luận

Lợi ích
Một số loại VPN Router (ví dụ Draytek V27xx, V29xx, V33xx hoặc Cisco ASA 5510, 18xx, 28xx, 38xx...) mặc dù đều cho phép tạo User Profile ngay trên router nhưng có nhược điểm là số lượng người dùng bị giới hạn (thường khoảng 30-100 người dùng) và nhất là gây khó khăn trong việc sử dùng bởi người dùng phải nhớ nhiều loại mật khẩu (mật khẩu đăng nhập vào VPN Server, mật khẩu đăng nhập vào AD...) Sử dụng xác thực RADIUS Server, người dùng có thể sử dụng ngay mật khẩu AD để truy xuất từ xa tới và đăng nhập vào VPN Server trên Router. Hơn nữa, sau khi xác thực với RADIUS Server thành công, người dùng có thể truy cập được ngay vào các tài nguyên trên mạng nội bộ như các thư mục chia sẻ, máy in... mà không cần phải đăng nhập lại. Quản trị mạng có thể quản lý và kiểm tra việc sử dụng của từng người dùng thông qua file log (text / MS SQL) trên RADIUS Server. Ngoài ra, RADIUS Server còn được sử dụng để cung cấp dịch vụ xác thực người dùng cho nhiều loại Network Access Server (NAS) khác như Remote Desktop Gateway (xác thực người dùng khi truy cập máy tính từ ra), DHCP Server (cấp phát IP dựa trên xác thực người dùng)...

Triển khai
Trong hướng dẫn này, chúng tôi sẽ lấy ví dụ triển khai Server 2008 R2 để làm RADIUS Server cho VPN router Draytek V29xx hoặc Cisco ASA 5510. Đối với các loại router khác, cách làm gần tương tự.

  

Địa chỉ IP của Router: 192.168.1.1 Địa chỉ IP của RADIUS Server: 192.168.1.2 VPN Users: là nhóm Domain Users Group hoặc Windows Group của các người dùng được quyền truy xuất VPN.

Cấu hình trên VPN Router
1. Draytek 29xx: trong menu Applications chọn RADIUS, nhập địa chỉ IP của RADIUS Server trong mạng LAN và Shared Secret. Xác nhận mật khẩu lần nữa trong ô Confirm Shared Secret rồi bấm OK (hình dưới).

2. Cisco ASA 5510: truy cập vào menu Configuration.

ở đây là "inside". 5. 4. 3. mức độ phức tạp phải tuân thủ theo tài liệu hướng dẫn loại router). Sau khi cài đặt role thành công. Bấm OK và sau đó bấm Apply. 2. 4.2. Trong ô Server Secret Key khai báo một mật khẩu đủ phức tạp (độ dài và loại ký tự sử dụng. Bấm OK. Đặt tên cho nhóm (grourp) ví dụ TEST và chọn RADIUS protocol. Chọn Network Policy và Access Services Role. Khởi động Server Manager. 2. Chọn AAA Setup và chọn AAA Server Groups. IP: 192. 4. 3. bạn thực hiện cấu hình bằng cách sử dụng công cụ Network Policy Server (NPS) trong menu Administrative Tools. Các thiết lập khác chọn ngầm định (default settings). Xác nhận lại mật khẩu lầ nữa trong ô Common Password. 3. mặc dù tài liệu hướng dẫn router không đề cập. Ấn Next. Bấm nút Add ở phía trên. Tạo một AAA Server Group mới Bấm vào phần Remote Access VPN. Chọn Network Policy Server (hình bên phải). Thêm RADIUS server vào Server Group mới tạo Chọn server group vừa mới tạo ở bước trên. Ghi nhớ mật khẩu này vì bạn sẽ cần phải khai báo khi cấu hình RADIUS server. Cấu hình RADIUS trên Windows Server 2008 R2 Bước 1: Bố sung NPS Server 1. 3. 2. Trong Interface Name chọn loại giao tiếp trên router ASA sẽ truy cập vào RADIUS server. Trong mục Server Name or IP Address nhập IP Name mà bạn đã tạo cho RADIUS server ở bước đầu tiên.1. passkey không nên dài hơn 32 ký tự và chỉ gồm số và chữ (alphanumeric). Mô tả: AD / RADIUS.Tạo IP Name object cho RADIUS Server 1. Nhập tên. 5. 1. 2. Ấn Install. Chú ý: theo kinh nghiệm của chúng tôi. Bạn cũng không cần phải tạo User Profile trên router nữa vì việc xác thực sau này sẽ do RADIUS Server đảm nhiệm. 4. Passkey 66 ký tự do Windows tự tạo không hoạt động với một số loại router. bấm vào liên kết Objects và chọn IP Names. Các thiết lập khác chọn ngầm định (default settings). 1. Bấm OK. Chọn Roles và bấm vào Add Roles ở bên phải. Ví dụ: Name: RADIUS. địa chỉ IP và mô tả cho RADIUS Server. Bấm vào nút Add ở bên phải của phần AAA Server Groups. 6. Bước 2: Đăng ký server với AD . Ấn Next. Bấm nút Add ở bên phải của Servers trong Select Group. Trong phần Firewall. Ấn Next.168.

Sau khi chạy công cụ NPS. 4. Pre-Shared Key. Bấm OK để hoàn thành việc tạo RADIUS Client (hình dưới). Đặt tên (Friendly Name) cho router. 2. Các thiết lập khác đặt ngầm định. 2. PassKey. 5. Chú ý: để thực hiện được việc này. Bấm nút phải chuột vào RADIUS Clients rồi chọn New RADIUS Client.. Ấn dấu + để mở rộng thư mục RADIUS Clients and Servers. Bạn lưu ý nên đặt tên là duy nhất và dễ nhớ và đủ đơn giản để dễ dàng khai báo khi tạo các Policy ở các bước sau. Ví dụ "CiscoASA" hoặc "V2950".. bạn cần có quyền Domain Admins. ấn nút phải vào mụcNPS(Local) và chọn Register Server in Active Directory.) mà bạn đã khai báo khi cấu hình router rồi xác nhận lại lần nữa trong ô Confirm shared secret.1. Bước 3: Tạo RADIUS client cho Router 1. . Xem hình bên phài. Thực hiện theo hướng dẫn (chọn các thiết lập ngầm định). Nhập mật khẩu (Server Secret Key. 3.

.

chọn trong menu thả xuống Attribute: giá trịUser-Name. Trong menu tương ứng bên phải. Đặt tên cho Policy Name sao cho có liên hệ với loại router mà bạn đã tạo trong RADIUS client ví dụ CiscoASA hoặc V2950. 7. 3. Xem lại các thiết lập lần cuối trong trang tiếp theo rồi ấn Finish. Chọn Type of network access server là Unspecified rồi ấn Next. Bấm nút phải chuột vào Connection Request Policies rồi chọn New. . Trong hai trang sau đó. Ấn dấu + để mở rộng thư mục Policies. Ấn Next lần nữa. BấmOK rồi ấn Next. chọn các thiết lập mặc định (default settings) rồi ấn Next. 5. Trong mục Specify a Realm Name chọn tùy chọn Attribute ở cột bên trái. Chọn điều kiện Client Friendly Name rồi bấm Add… sau đó nhập tên mà bạn đã khai báo ở mục 3 bước 3 ví dụ V2950. 6. Trong thẻ Conditions bấm Add. 1. 2.Bước 4: Tạo một Connection Request Policy Connection Request Policy để RADIUS Server xác định sẽ tiếp nhận các yêu cầu xác thực đến từ đâu và có các thông số như thế nào. Bạn có thể tạo nhiều Connection Request Policy cho nhiều mục đích xác thực khác nhau. 4.

Bước 6: Restart Network Policy Server service Kiểm tra xác thực RADIUS và lưu cấu hình trên router Không phải loại router nào cũng có chức năng kiểm tra xác thực RADIUS. Chọn Access granted (ngầm định) và bấm Next lần nữa. Bấm nút phải chuột vào thư mục Network Policy và chọn New. 3. 5. Khai báo Type of network access server là Unspecified rồi ấn Next (xem chú ý ở trên). 7. 4. 1. Giả sử bạn tạo policy này nhằm mục đích áp dụng cho nhóm người dùng VPN Users và truy cập từ xa qua RADIUS Client V2950. chọn AAA Server Groups. Trong AAA Setup. Trong thẻ Constraints. Trong thẻ Conditions ấn Add. Trong thẻ Settings. 8. . Chọn menu Configuration. rồi chọn Remote Access VPN. 2. Ví dụ sau đây hướng dẫn kiểm tra RADIUS Authentication trên Cisco ASA 5510. Bổ sung điều kiện Client Friendly Name rồi chọn tên mà bạn đã khai báo cho RADIUS client ví dụ V2950. Thực hiện tiếp như sau: Bổ sung điều kiện Users Group rồi chọn nhóm VPN Users. 6. chọn Unspecified. Đặt tên cho Policy Name. Bấm Next. Xem lại các thiết lập lần cuối trước khi ấn Finish.1X hoặc điểm truy cập không dây WAP. 2. Tuy nhiên nếu NAS của bạn là switch xác thực 802. Bước 5: Tạo Network Policy 1. giữ nguyên các thông số mặc định và bấm Next. giữ nguyên các thông số mặc định và bấm Next. Chọn Server Group bạn mới tạo.Chú ý: Bạn có thể chọn Type of network access server là Remote Access Server (VPN -Dial up) hoặc một kiểu khác tùy thuộc vào NAS mà bạn muốn triển khai như hình dưới đây.

bạn sẽ thấy thông báo như hình bên dưới. Nhập the Username và Password của một người dùng đáp ứng các điều kiện đã khai báo trong Network Policy mà bạn đã tạo ở trên và bấm OK. giữa Client và VPN Router và giữa VPN Router với RADIUS Server phải đều hỗ trợ và được cài đặt cùng loại giao thức xác thực. 4. Lựa chọn giao thức xác thực (Authentication Protocols) giữa Client và Router và giữ Router với RADIUS Server Để có thể liên lạc được với nhau. chọn server mà bạn tạo và bấm nút Test ở bên phải. Lưu cấu hình trên Router. Nếu xác thực RADIUS xảy ra thành công. Hình dưới đây là trang Connection Management của một VPN router Draytek.3. Chọn nút Authentication. Kiểm tra RADIUS Authentication qua Event Viewer của Windows. 6. kiểm tra RADIUS Authentication thông qua VPN Connection Satus hoặc trong Event Viewer của Windows Server 2008 R2. Ví dụ: VPN router Draytek nếu chưa cài đặt certificate thì không thể sử dụng giao thức PEAP hoặc EAP (là giao thức xác thực sử dụng certificate). Đối với một số loại router khác. 5. . Trong Servers in the Selected Group.

Việc thiết lập giao thức xác thực trên Client được thực hiện tại thẻ Security của VPN Connection Properties. Ví dụ xem hình dưới: Việc thiết giao thức xác thực giữa VPN Router và RADIUS Server được thực hiện trên mục Authentication Methods của thẻ Constraints đối với .

. SPAP). trong mục Authentication Methods của thẻ Constraints (xem mũi tên ở hình trên).. . Một số router không hỗ trợ xác thực mã hóa (encrypted authentication).Network Policy áp dụng cho RADIUS Client đó (xem hình dưới). khi đó cần chọn thêm Unencrypted authentication (PAP.

Sign up to vote on this title
UsefulNot useful