Hướng dẫn cấu hình Windows Server 2008 làm RADIUS Server cho VPN routers (Cisco, Draytek

...)
Thứ năm, 12 Tháng 1 2012 23:02 0 Các bình luận

Lợi ích
Một số loại VPN Router (ví dụ Draytek V27xx, V29xx, V33xx hoặc Cisco ASA 5510, 18xx, 28xx, 38xx...) mặc dù đều cho phép tạo User Profile ngay trên router nhưng có nhược điểm là số lượng người dùng bị giới hạn (thường khoảng 30-100 người dùng) và nhất là gây khó khăn trong việc sử dùng bởi người dùng phải nhớ nhiều loại mật khẩu (mật khẩu đăng nhập vào VPN Server, mật khẩu đăng nhập vào AD...) Sử dụng xác thực RADIUS Server, người dùng có thể sử dụng ngay mật khẩu AD để truy xuất từ xa tới và đăng nhập vào VPN Server trên Router. Hơn nữa, sau khi xác thực với RADIUS Server thành công, người dùng có thể truy cập được ngay vào các tài nguyên trên mạng nội bộ như các thư mục chia sẻ, máy in... mà không cần phải đăng nhập lại. Quản trị mạng có thể quản lý và kiểm tra việc sử dụng của từng người dùng thông qua file log (text / MS SQL) trên RADIUS Server. Ngoài ra, RADIUS Server còn được sử dụng để cung cấp dịch vụ xác thực người dùng cho nhiều loại Network Access Server (NAS) khác như Remote Desktop Gateway (xác thực người dùng khi truy cập máy tính từ ra), DHCP Server (cấp phát IP dựa trên xác thực người dùng)...

Triển khai
Trong hướng dẫn này, chúng tôi sẽ lấy ví dụ triển khai Server 2008 R2 để làm RADIUS Server cho VPN router Draytek V29xx hoặc Cisco ASA 5510. Đối với các loại router khác, cách làm gần tương tự.

  

Địa chỉ IP của Router: 192.168.1.1 Địa chỉ IP của RADIUS Server: 192.168.1.2 VPN Users: là nhóm Domain Users Group hoặc Windows Group của các người dùng được quyền truy xuất VPN.

Cấu hình trên VPN Router
1. Draytek 29xx: trong menu Applications chọn RADIUS, nhập địa chỉ IP của RADIUS Server trong mạng LAN và Shared Secret. Xác nhận mật khẩu lần nữa trong ô Confirm Shared Secret rồi bấm OK (hình dưới).

2. Cisco ASA 5510: truy cập vào menu Configuration.

4. Nhập tên. Bấm OK và sau đó bấm Apply. Khởi động Server Manager. Ví dụ: Name: RADIUS. Trong phần Firewall. Trong ô Server Secret Key khai báo một mật khẩu đủ phức tạp (độ dài và loại ký tự sử dụng. Cấu hình RADIUS trên Windows Server 2008 R2 Bước 1: Bố sung NPS Server 1. 2. 5. passkey không nên dài hơn 32 ký tự và chỉ gồm số và chữ (alphanumeric). Passkey 66 ký tự do Windows tự tạo không hoạt động với một số loại router. Chọn Network Policy và Access Services Role. địa chỉ IP và mô tả cho RADIUS Server. Mô tả: AD / RADIUS. 1. Bạn cũng không cần phải tạo User Profile trên router nữa vì việc xác thực sau này sẽ do RADIUS Server đảm nhiệm. bấm vào liên kết Objects và chọn IP Names. ở đây là "inside". Bấm OK. Ấn Install. mặc dù tài liệu hướng dẫn router không đề cập. Ấn Next. 3.1. Các thiết lập khác chọn ngầm định (default settings). Chọn AAA Setup và chọn AAA Server Groups. Chú ý: theo kinh nghiệm của chúng tôi. 2.Tạo IP Name object cho RADIUS Server 1. Bấm OK. Trong mục Server Name or IP Address nhập IP Name mà bạn đã tạo cho RADIUS server ở bước đầu tiên. 3. 3. Bấm nút Add ở phía trên. 4. IP: 192. Trong Interface Name chọn loại giao tiếp trên router ASA sẽ truy cập vào RADIUS server. Chọn Roles và bấm vào Add Roles ở bên phải. 2. Xác nhận lại mật khẩu lầ nữa trong ô Common Password. 1. Đặt tên cho nhóm (grourp) ví dụ TEST và chọn RADIUS protocol. 2. Tạo một AAA Server Group mới Bấm vào phần Remote Access VPN. Bấm nút Add ở bên phải của Servers trong Select Group. 3. 4. 5. Ấn Next. mức độ phức tạp phải tuân thủ theo tài liệu hướng dẫn loại router). Sau khi cài đặt role thành công. Chọn Network Policy Server (hình bên phải). Ấn Next. Ghi nhớ mật khẩu này vì bạn sẽ cần phải khai báo khi cấu hình RADIUS server. Các thiết lập khác chọn ngầm định (default settings). 6. 4. bạn thực hiện cấu hình bằng cách sử dụng công cụ Network Policy Server (NPS) trong menu Administrative Tools.168. Thêm RADIUS server vào Server Group mới tạo Chọn server group vừa mới tạo ở bước trên.2. Bấm vào nút Add ở bên phải của phần AAA Server Groups. Bước 2: Đăng ký server với AD .

Các thiết lập khác đặt ngầm định. Ví dụ "CiscoASA" hoặc "V2950". ấn nút phải vào mụcNPS(Local) và chọn Register Server in Active Directory. Bấm OK để hoàn thành việc tạo RADIUS Client (hình dưới). Xem hình bên phài. PassKey. Bạn lưu ý nên đặt tên là duy nhất và dễ nhớ và đủ đơn giản để dễ dàng khai báo khi tạo các Policy ở các bước sau.1. Bấm nút phải chuột vào RADIUS Clients rồi chọn New RADIUS Client.. Thực hiện theo hướng dẫn (chọn các thiết lập ngầm định).. 3. Bước 3: Tạo RADIUS client cho Router 1. 2. 2. Đặt tên (Friendly Name) cho router. 5. Chú ý: để thực hiện được việc này. Sau khi chạy công cụ NPS. bạn cần có quyền Domain Admins. Ấn dấu + để mở rộng thư mục RADIUS Clients and Servers. Nhập mật khẩu (Server Secret Key. Pre-Shared Key.) mà bạn đã khai báo khi cấu hình router rồi xác nhận lại lần nữa trong ô Confirm shared secret. 4. .

.

. Trong menu tương ứng bên phải. Trong mục Specify a Realm Name chọn tùy chọn Attribute ở cột bên trái. 5. chọn các thiết lập mặc định (default settings) rồi ấn Next.Bước 4: Tạo một Connection Request Policy Connection Request Policy để RADIUS Server xác định sẽ tiếp nhận các yêu cầu xác thực đến từ đâu và có các thông số như thế nào. 4. Ấn dấu + để mở rộng thư mục Policies. Trong thẻ Conditions bấm Add. 2. BấmOK rồi ấn Next. Đặt tên cho Policy Name sao cho có liên hệ với loại router mà bạn đã tạo trong RADIUS client ví dụ CiscoASA hoặc V2950. Trong hai trang sau đó. Chọn Type of network access server là Unspecified rồi ấn Next. chọn trong menu thả xuống Attribute: giá trịUser-Name. Bấm nút phải chuột vào Connection Request Policies rồi chọn New. 6. 3. Chọn điều kiện Client Friendly Name rồi bấm Add… sau đó nhập tên mà bạn đã khai báo ở mục 3 bước 3 ví dụ V2950. Xem lại các thiết lập lần cuối trong trang tiếp theo rồi ấn Finish. Ấn Next lần nữa. 1. 7. Bạn có thể tạo nhiều Connection Request Policy cho nhiều mục đích xác thực khác nhau.

Tuy nhiên nếu NAS của bạn là switch xác thực 802. Bổ sung điều kiện Client Friendly Name rồi chọn tên mà bạn đã khai báo cho RADIUS client ví dụ V2950. Trong thẻ Conditions ấn Add. Bước 6: Restart Network Policy Server service Kiểm tra xác thực RADIUS và lưu cấu hình trên router Không phải loại router nào cũng có chức năng kiểm tra xác thực RADIUS.1X hoặc điểm truy cập không dây WAP. Khai báo Type of network access server là Unspecified rồi ấn Next (xem chú ý ở trên). Giả sử bạn tạo policy này nhằm mục đích áp dụng cho nhóm người dùng VPN Users và truy cập từ xa qua RADIUS Client V2950. Trong thẻ Constraints. Xem lại các thiết lập lần cuối trước khi ấn Finish. chọn AAA Server Groups. 8. 2. Đặt tên cho Policy Name. 1. 7. Chọn Access granted (ngầm định) và bấm Next lần nữa. . Trong thẻ Settings. Chọn menu Configuration. 5. 2. Thực hiện tiếp như sau: Bổ sung điều kiện Users Group rồi chọn nhóm VPN Users. Bước 5: Tạo Network Policy 1. Trong AAA Setup. 4.Chú ý: Bạn có thể chọn Type of network access server là Remote Access Server (VPN -Dial up) hoặc một kiểu khác tùy thuộc vào NAS mà bạn muốn triển khai như hình dưới đây. Bấm Next. chọn Unspecified. 3. rồi chọn Remote Access VPN. giữ nguyên các thông số mặc định và bấm Next. 6. Bấm nút phải chuột vào thư mục Network Policy và chọn New. Ví dụ sau đây hướng dẫn kiểm tra RADIUS Authentication trên Cisco ASA 5510. Chọn Server Group bạn mới tạo. giữ nguyên các thông số mặc định và bấm Next.

5. Chọn nút Authentication. Hình dưới đây là trang Connection Management của một VPN router Draytek. giữa Client và VPN Router và giữa VPN Router với RADIUS Server phải đều hỗ trợ và được cài đặt cùng loại giao thức xác thực. kiểm tra RADIUS Authentication thông qua VPN Connection Satus hoặc trong Event Viewer của Windows Server 2008 R2. Lưu cấu hình trên Router.3. . 6. 4. bạn sẽ thấy thông báo như hình bên dưới. Kiểm tra RADIUS Authentication qua Event Viewer của Windows. Đối với một số loại router khác. Ví dụ: VPN router Draytek nếu chưa cài đặt certificate thì không thể sử dụng giao thức PEAP hoặc EAP (là giao thức xác thực sử dụng certificate). Nếu xác thực RADIUS xảy ra thành công. chọn server mà bạn tạo và bấm nút Test ở bên phải. Trong Servers in the Selected Group. Lựa chọn giao thức xác thực (Authentication Protocols) giữa Client và Router và giữ Router với RADIUS Server Để có thể liên lạc được với nhau. Nhập the Username và Password của một người dùng đáp ứng các điều kiện đã khai báo trong Network Policy mà bạn đã tạo ở trên và bấm OK.

Ví dụ xem hình dưới: Việc thiết giao thức xác thực giữa VPN Router và RADIUS Server được thực hiện trên mục Authentication Methods của thẻ Constraints đối với .Việc thiết lập giao thức xác thực trên Client được thực hiện tại thẻ Security của VPN Connection Properties.

..Network Policy áp dụng cho RADIUS Client đó (xem hình dưới). trong mục Authentication Methods của thẻ Constraints (xem mũi tên ở hình trên). khi đó cần chọn thêm Unencrypted authentication (PAP.. SPAP). Một số router không hỗ trợ xác thực mã hóa (encrypted authentication).

Sign up to vote on this title
UsefulNot useful