Embed Size (px)
Citation preview
LOGO
RADIUS Server support in VPN & EAP/TLS Authentication
Bài hướng dẫn gồm có 4 phần như sau:
1
Installing the Windows Server 2003 IAS Server
2
Configuring a VPN client
Remote Access Policy on the IAS Server
3
Configuring the ISA Server firewall/VPN
server to use the IAS Server for
authentication and accounting
4
Configuring the ISA Server firewall/VPN server to support EAP-TLS authentication for PPTP and L2TP/IPSec clients
Phần I: Installing and Configuring the Windows Server 2003 IAS Server
Click Start / Control Panel / Add or Remove
Programs.
Click Add/Remove Windows Components.
Trong Windows Components dialog box, chọn Networking
Services và click Details button.
Check vào Networking Services click Detail
Check vào Internet Authentication Service click OK. Click Next Sau đó click Finish để kết thúc
Sau khi cài đặt xong, chúng ta sẽ thực hiện một vài cấu hình cơ bản cho IAS Server
Click Start / Administrative Tools / Internet Authentication Services.
Giao diện Internet Authentication Services console
Right click “Internet Authentication Service (Local) node”. Chọn “Register Server in Active Directory”
Cấu hình như vậy sẽ cho phép IAS Server xác thực user trong Active Directory domain.
Click OK ở Register Internet Authentication Server in Active Directory dialog box.
Click OK trong hộp thoại Server registered. Hệ thống nhắc ta IAS Server đã đặng ký thành công.
Right click RADIUS Clients Chọn New RADIUS Client.
Trong hội thoại New RADIUS Client, chúng ta gõ vào mục Friendly name cho ISA Server firewall/VPN server. Ví dụ: MSFIREWALL1
Click Next
Cung cấp FQDN hoặc IP của ISA Server
firewall/VPN server trong Client address (IP or DNS)
dialog box. Chúng ta nên sử dụng Verify button để
kiểm tra xem IAS Server có thể phân giải FQDN hay
không.
Trong phần Addition Information, giữ nguyên RADIUS Standard trong Client Vendor . Gõ vào Shared secret text và kiểm tra lại.
Click Finish
Chú ý: Shared secret nên là một dãy các ký tự chữ
cái hoa + thường + số + các ký tự đặc biệt khác.
Chúng ta cần đánh dấu vào Request must contain the Message Authenticator attribute checkbox. Option này giúp nâng cao mức độ bảo mật của RADIUS messages giữa ISA Server firewall/VPN và IAS servers.
Phần II: Configuring a VPN Client Remote Access
Policy on the IAS Server
Trong giao diện Internet Authentication Service console, right click Remote Access Policies chọn New Remote Access Policy.
Trang Welcome to the New Remote Access Policy Wizard xuất hiện. Chọn Next.
Trong trang Policy Configuration Method, chọn Use the wizard to set up a typical policy for a common scenario. Trong Policy name text
box, gõ vào tên policy. Ví dụ: VPN Access PolicyChọn Next.
Chọn NEXT
Chọn “VPN” option trong phần Access Method. Bạn cũng có thể tạo ra các policies riêng biệt cho PPTP và L2TP/IPSec VPN. Để tạo ra
chúng, trong bước trước, các bạn phải chọn Custom.
Bạn có thể thiết lập quyền truy cập tới VPN server cho user hoặc group. Tốt nhất là bạn tạo ra group - ví dụ là VPN Users - và cấp quyền cho Group này.Trong bài này, chúng ta chọn Group option và click Add. Chúng ta add Group nào cần VPN vào.
Chọn authentication methods trong phần Authentication Methods.
Chúng ta có thể chọn cả Microsoft Encrypted Authentication version 2 và Extensible Authentication Protocol (EAP). EAP và MS-CHAP version 2 đều được mã hóa và có tính bảo mật cao.
Click drop down Type (based on method of access and network configuration) menu và chọn Smart Card or other certificate , sau đó nhấn Configure. Trong Smart Card or other Certificate Properties dialog box, chọn certificate mà bạn muốn IAS server sử dụng để xác thực. Click OK. Click Next.
Nếu bạn không thấy certificate trong phần Smart Card or other Certificate Properties dialog box, hãy restart RADIUS server.
Chọn mức độ mã hóa bạn muốn sử dụng cho VPN. Trong bài này, chúng ta chọn Strongest encryption (IPSec Triple DES or MPPE
128-bit) Chọn Next.
Xem lại settings trong trang Completing the New Remote Access Policy Wizard Finish.
Phần II - Tiếp: Configuring Remote Access Permissions
1. Changing the User Account Dial-in Permissions
Click Start / Administrative Tools. Click Active Directory Users and Computers.
Trong giao diện Active Directory Users and Computers, chọn User OU.
Double click vào user account cần cấp quyền. Trong phần user account Properties, click Dial-in tab. Cấu hình mặc định là “Deny access”. Bạn cần phải cấu hình cho phép VPN access bằng cách chọn “Allow access” option. Option thứ 3 bị disable nếu Domain Function không là 2000 Native hoặc 2003. (Option này giúp chúng ta cấu hình cho phép VPN theo nhóm - sẽ được giới thiệu tiếp theo dưới đây)
Click Apply. click OK
Cho Phép truy cập từ xaKhông Cho Phép truy cập từ xa
2. Changing the Domain Functional Level
Tại domain controller, chọn Active Directory Domains and Trusts bằng cách:
Click Start Administrative Tools / Active Directory Domains and Trusts.
Tại giao diện Active Directory Domains and Trusts, right click vào domain và click vào Raise Domain Functional Level.
Trong Raise Domain Functional Level box, chọn Function cho Domain (2000 Native hoặc 2003)Chọn nút “Raise”
• Click Ok với các hộp thoại thông báo tiếp theo.
• Mở Active Directory Users and Computers, Click user account Click Dial-in tab.
• Bây giờ Control access through Remote Access Policy option đã được enable.
Phần III: Controlling Remote Access Permission via Remote Access Policy
Click Start / Administrative Tools. Click Internet Authentication Service.
Click Remote Access Policies. Bạn sẽ thấy VPN Access Policy mà bạn tạo ra trong phần Remote Access Policies. Right click Connections to other access servers và click Delete.
Bạn cũng xóa Connections to Microsoft Routing and Remote Access server.
Double click vào VPN Access Policy. trong hộp thoại VPN Access Policy Properties có 2 options để điều khiển quyền truy cập. Đó là:
- Deny remote access permission
- Grant remote access permission
Chọn “Grant remote access permission” để cho phép thành viên của Domain Users truy cập tới VPN server. Sau đó chọn Apply và click ok
Phần IV: Configuring the ISA Server firewall/VPN Server
to Support RADIUS and EAP-TLS Authentication for PPTP and L2TP/IPSec VPN
Clients
Chắc chắn rằng bạn đã cấu hình ISA server trở thành VPN Server. Hướng dẫn chi tiết các bạn có thể xem thêm link sau: http://www.isaserver.org/img/upl/vpn...nfigisavpn.htm Click Start / Administrative Tools / Routing and Remote Access. Right click vào server và click Properties. Click Security tab trong Properties dialog box.
Click Configure trong Authentication provider. Trong hộp thoại RADIUS Authentication, click
Add. Trong hộp thoại Add RADIUS Server, gõ tên kiểu
FQDN hoặc IP của IAS Server Click Change.
Gõ vào shared secret đã tạo ở bước trước cho IAS Server. Chọn Always use message authenticator checkbox..
Click OK trong hộp thoại Change Secret
Click OK Click Apply
Click OK trong hộp thoại Routing and Remote Access Properties.Right click Routing and Remote Access chọn All Tasks Restart.
LOGO
