Hướng dẫn cấu hình Windows Server 2008 làm RADIUS Server cho VPN routers (Cisco, Draytek

...)
Thứ năm, 12 Tháng 1 2012 23:02 0 Các bình luận

Lợi ích
Một số loại VPN Router (ví dụ Draytek V27xx, V29xx, V33xx hoặc Cisco ASA 5510, 18xx, 28xx, 38xx...) mặc dù đều cho phép tạo User Profile ngay trên router nhưng có nhược điểm là số lượng người dùng bị giới hạn (thường khoảng 30-100 người dùng) và nhất là gây khó khăn trong việc sử dùng bởi người dùng phải nhớ nhiều loại mật khẩu (mật khẩu đăng nhập vào VPN Server, mật khẩu đăng nhập vào AD...) Sử dụng xác thực RADIUS Server, người dùng có thể sử dụng ngay mật khẩu AD để truy xuất từ xa tới và đăng nhập vào VPN Server trên Router. Hơn nữa, sau khi xác thực với RADIUS Server thành công, người dùng có thể truy cập được ngay vào các tài nguyên trên mạng nội bộ như các thư mục chia sẻ, máy in... mà không cần phải đăng nhập lại. Quản trị mạng có thể quản lý và kiểm tra việc sử dụng của từng người dùng thông qua file log (text / MS SQL) trên RADIUS Server. Ngoài ra, RADIUS Server còn được sử dụng để cung cấp dịch vụ xác thực người dùng cho nhiều loại Network Access Server (NAS) khác như Remote Desktop Gateway (xác thực người dùng khi truy cập máy tính từ ra), DHCP Server (cấp phát IP dựa trên xác thực người dùng)...

Triển khai
Trong hướng dẫn này, chúng tôi sẽ lấy ví dụ triển khai Server 2008 R2 để làm RADIUS Server cho VPN router Draytek V29xx hoặc Cisco ASA 5510. Đối với các loại router khác, cách làm gần tương tự.

  

Địa chỉ IP của Router: 192.168.1.1 Địa chỉ IP của RADIUS Server: 192.168.1.2 VPN Users: là nhóm Domain Users Group hoặc Windows Group của các người dùng được quyền truy xuất VPN.

Cấu hình trên VPN Router
1. Draytek 29xx: trong menu Applications chọn RADIUS, nhập địa chỉ IP của RADIUS Server trong mạng LAN và Shared Secret. Xác nhận mật khẩu lần nữa trong ô Confirm Shared Secret rồi bấm OK (hình dưới).

2. Cisco ASA 5510: truy cập vào menu Configuration.

Chọn Network Policy Server (hình bên phải). Trong Interface Name chọn loại giao tiếp trên router ASA sẽ truy cập vào RADIUS server. Mô tả: AD / RADIUS. Nhập tên. 2. Trong phần Firewall.1. Bấm vào nút Add ở bên phải của phần AAA Server Groups. 2. Bấm OK. 5. Ghi nhớ mật khẩu này vì bạn sẽ cần phải khai báo khi cấu hình RADIUS server. IP: 192. 4. mặc dù tài liệu hướng dẫn router không đề cập. Bạn cũng không cần phải tạo User Profile trên router nữa vì việc xác thực sau này sẽ do RADIUS Server đảm nhiệm.Tạo IP Name object cho RADIUS Server 1. Ấn Next. 2. địa chỉ IP và mô tả cho RADIUS Server. Chọn Network Policy và Access Services Role. 6. bạn thực hiện cấu hình bằng cách sử dụng công cụ Network Policy Server (NPS) trong menu Administrative Tools.2. Chọn AAA Setup và chọn AAA Server Groups. 3. ở đây là "inside". Thêm RADIUS server vào Server Group mới tạo Chọn server group vừa mới tạo ở bước trên. Chọn Roles và bấm vào Add Roles ở bên phải. bấm vào liên kết Objects và chọn IP Names. 3.168. Đặt tên cho nhóm (grourp) ví dụ TEST và chọn RADIUS protocol. Bấm OK và sau đó bấm Apply. Ấn Next. Các thiết lập khác chọn ngầm định (default settings). Sau khi cài đặt role thành công. mức độ phức tạp phải tuân thủ theo tài liệu hướng dẫn loại router). Trong mục Server Name or IP Address nhập IP Name mà bạn đã tạo cho RADIUS server ở bước đầu tiên. 4. Ấn Next. Khởi động Server Manager. Trong ô Server Secret Key khai báo một mật khẩu đủ phức tạp (độ dài và loại ký tự sử dụng. Tạo một AAA Server Group mới Bấm vào phần Remote Access VPN. Ấn Install. Các thiết lập khác chọn ngầm định (default settings). 5. 4. 1. 4. 2. Bấm nút Add ở phía trên. 3. Bấm OK. 3. Bấm nút Add ở bên phải của Servers trong Select Group. 1. Cấu hình RADIUS trên Windows Server 2008 R2 Bước 1: Bố sung NPS Server 1. Passkey 66 ký tự do Windows tự tạo không hoạt động với một số loại router. Chú ý: theo kinh nghiệm của chúng tôi. passkey không nên dài hơn 32 ký tự và chỉ gồm số và chữ (alphanumeric). Ví dụ: Name: RADIUS. Xác nhận lại mật khẩu lầ nữa trong ô Common Password. Bước 2: Đăng ký server với AD .

Bấm nút phải chuột vào RADIUS Clients rồi chọn New RADIUS Client. bạn cần có quyền Domain Admins.1..) mà bạn đã khai báo khi cấu hình router rồi xác nhận lại lần nữa trong ô Confirm shared secret. 2. 5. Bước 3: Tạo RADIUS client cho Router 1. Đặt tên (Friendly Name) cho router. . Bấm OK để hoàn thành việc tạo RADIUS Client (hình dưới). Ấn dấu + để mở rộng thư mục RADIUS Clients and Servers. Xem hình bên phài. PassKey. Nhập mật khẩu (Server Secret Key. 4. Thực hiện theo hướng dẫn (chọn các thiết lập ngầm định). Các thiết lập khác đặt ngầm định.. Sau khi chạy công cụ NPS. Pre-Shared Key. 2. Bạn lưu ý nên đặt tên là duy nhất và dễ nhớ và đủ đơn giản để dễ dàng khai báo khi tạo các Policy ở các bước sau. Chú ý: để thực hiện được việc này. Ví dụ "CiscoASA" hoặc "V2950". ấn nút phải vào mụcNPS(Local) và chọn Register Server in Active Directory. 3.

.

1. Đặt tên cho Policy Name sao cho có liên hệ với loại router mà bạn đã tạo trong RADIUS client ví dụ CiscoASA hoặc V2950. chọn trong menu thả xuống Attribute: giá trịUser-Name. 2. 6. Trong thẻ Conditions bấm Add. Trong hai trang sau đó. Trong mục Specify a Realm Name chọn tùy chọn Attribute ở cột bên trái. Trong menu tương ứng bên phải. BấmOK rồi ấn Next. chọn các thiết lập mặc định (default settings) rồi ấn Next. Chọn Type of network access server là Unspecified rồi ấn Next. Xem lại các thiết lập lần cuối trong trang tiếp theo rồi ấn Finish. Ấn dấu + để mở rộng thư mục Policies. Ấn Next lần nữa. Bấm nút phải chuột vào Connection Request Policies rồi chọn New. Bạn có thể tạo nhiều Connection Request Policy cho nhiều mục đích xác thực khác nhau. .Bước 4: Tạo một Connection Request Policy Connection Request Policy để RADIUS Server xác định sẽ tiếp nhận các yêu cầu xác thực đến từ đâu và có các thông số như thế nào. 5. 7. 4. 3. Chọn điều kiện Client Friendly Name rồi bấm Add… sau đó nhập tên mà bạn đã khai báo ở mục 3 bước 3 ví dụ V2950.

5. Bấm nút phải chuột vào thư mục Network Policy và chọn New.Chú ý: Bạn có thể chọn Type of network access server là Remote Access Server (VPN -Dial up) hoặc một kiểu khác tùy thuộc vào NAS mà bạn muốn triển khai như hình dưới đây. Đặt tên cho Policy Name. 1. giữ nguyên các thông số mặc định và bấm Next. Bấm Next. 2. Bước 5: Tạo Network Policy 1.1X hoặc điểm truy cập không dây WAP. Tuy nhiên nếu NAS của bạn là switch xác thực 802. rồi chọn Remote Access VPN. Xem lại các thiết lập lần cuối trước khi ấn Finish. Trong AAA Setup. Thực hiện tiếp như sau: Bổ sung điều kiện Users Group rồi chọn nhóm VPN Users. 3. . 8. Chọn Server Group bạn mới tạo. Chọn Access granted (ngầm định) và bấm Next lần nữa. Chọn menu Configuration. Khai báo Type of network access server là Unspecified rồi ấn Next (xem chú ý ở trên). Bổ sung điều kiện Client Friendly Name rồi chọn tên mà bạn đã khai báo cho RADIUS client ví dụ V2950. 6. Trong thẻ Constraints. Giả sử bạn tạo policy này nhằm mục đích áp dụng cho nhóm người dùng VPN Users và truy cập từ xa qua RADIUS Client V2950. Ví dụ sau đây hướng dẫn kiểm tra RADIUS Authentication trên Cisco ASA 5510. chọn AAA Server Groups. Bước 6: Restart Network Policy Server service Kiểm tra xác thực RADIUS và lưu cấu hình trên router Không phải loại router nào cũng có chức năng kiểm tra xác thực RADIUS. 4. giữ nguyên các thông số mặc định và bấm Next. 2. chọn Unspecified. Trong thẻ Conditions ấn Add. Trong thẻ Settings. 7.

Đối với một số loại router khác. Ví dụ: VPN router Draytek nếu chưa cài đặt certificate thì không thể sử dụng giao thức PEAP hoặc EAP (là giao thức xác thực sử dụng certificate). giữa Client và VPN Router và giữa VPN Router với RADIUS Server phải đều hỗ trợ và được cài đặt cùng loại giao thức xác thực. Kiểm tra RADIUS Authentication qua Event Viewer của Windows. 5. bạn sẽ thấy thông báo như hình bên dưới.3. Hình dưới đây là trang Connection Management của một VPN router Draytek. Nhập the Username và Password của một người dùng đáp ứng các điều kiện đã khai báo trong Network Policy mà bạn đã tạo ở trên và bấm OK. kiểm tra RADIUS Authentication thông qua VPN Connection Satus hoặc trong Event Viewer của Windows Server 2008 R2. Nếu xác thực RADIUS xảy ra thành công. chọn server mà bạn tạo và bấm nút Test ở bên phải. Trong Servers in the Selected Group. Lưu cấu hình trên Router. Chọn nút Authentication. 4. 6. Lựa chọn giao thức xác thực (Authentication Protocols) giữa Client và Router và giữ Router với RADIUS Server Để có thể liên lạc được với nhau. .

Việc thiết lập giao thức xác thực trên Client được thực hiện tại thẻ Security của VPN Connection Properties. Ví dụ xem hình dưới: Việc thiết giao thức xác thực giữa VPN Router và RADIUS Server được thực hiện trên mục Authentication Methods của thẻ Constraints đối với .

Một số router không hỗ trợ xác thực mã hóa (encrypted authentication). SPAP)... trong mục Authentication Methods của thẻ Constraints (xem mũi tên ở hình trên). . khi đó cần chọn thêm Unencrypted authentication (PAP.Network Policy áp dụng cho RADIUS Client đó (xem hình dưới).

Sign up to vote on this title
UsefulNot useful