1. cấu hình Windows Server 2008 làm RADIUS Server
Lợi ích
Một số loại VPN Router (ví dụ Draytek V27xx, V29xx, V33xx hoặc Cisco ASA
5510, 18xx, 28xx, 38xx...) mặc dù đều cho phép tạo User Profile ngay trên router
nhưng có nhược điểm là số lượng người dùng bị giới hạn (thường khoảng 30-100
người dùng) và nhất là gây khó khăn trong việc sử dùng bởi người dùng phải nhớ
nhiều loại mật khẩu (mật khẩu đăng nhập vào VPN Server, mật khẩu đăng nhập
vào AD...)
Sử dụng xác thực RADIUS Server, người dùng có thể sử dụng ngay mật khẩu AD
để truy xuất từ xa tới và đăng nhập vào VPN Server trên Router. Hơn nữa, sau khi
xác thực với RADIUS Server thành công, người dùng có thể truy cập được ngay
vào các tài nguyên trên mạng nội bộ như các thư mục chia sẻ, máy in... mà không
cần phải đăng nhập lại. Quản trị mạng có thể quản lý và kiểm tra việc sử dụng của
từng người dùng thông qua file log (text / MS SQL) trên RADIUS Server.
Ngoài ra, RADIUS Server còn được sử dụng để cung cấp dịch vụ xác thực người
dùng cho nhiều loại Network Access Server (NAS) khác như Remote Desktop
Gateway (xác thực người dùng khi truy cập máy tính từ ra), DHCP Server (cấp
phát IP dựa trên xác thực người dùng)...
Triển khai
Trong hướng dẫn này, chúng tôi sẽ lấy ví dụ triển khai Server 2008 R2 để làm
RADIUS Server cho VPN router Draytek V29xx hoặc Cisco ASA 5510. Đối với các
loại router khác, cách làm gần tương tự.
Địa chỉ IP của Router: 192.168.1.1
Địa chỉ IP của RADIUS Server: 192.168.1.2
VPN Users: là nhóm Domain Users Group hoặc Windows Group của các
người dùng được quyền truy xuất VPN.
Cấu hình trên VPN Router
1. Draytek 29xx: trong menu Applications chọn RADIUS, nhập địa chỉ IP của
RADIUS Server trong mạng LAN và Shared Secret. Xác nhận mật khẩu lần nữa
trong ô Confirm Shared Secret rồi bấm OK (hình dưới).
2. 2. Cisco ASA 5510: truy cập vào menu Configuration.
Tạo IP Name object cho RADIUS Server
1. Trong phần Firewall, bấm vào liên kết Objects và chọn IP Names.
2. Bấm nút Add ở phía trên.
3. Nhập tên, địa chỉ IP và mô tả cho RADIUS Server. Ví dụ: Name: RADIUS; IP:
192.168.1.2; Mô tả: AD / RADIUS.
4. Bấm OK và sau đó bấm Apply.
Tạo một AAA Server Group mới
1. Bấm vào phần Remote Access VPN.
2. Chọn AAA Setup và chọn AAA Server Groups.
3. Bấm vào nút Add ở bên phải của phần AAA Server Groups.
4. Đặt tên cho nhóm (grourp) ví dụ TEST và chọn RADIUS protocol.
5. Các thiết lập khác chọn ngầm định (default settings). Bấm OK.
Thêm RADIUS server vào Server Group mới tạo
1. Chọn server group vừa mới tạo ở bước trên.
2. Bấm nút Add ở bên phải của Servers trong Select Group.
3. Trong Interface Name chọn loại giao tiếp trên router ASA sẽ truy cập vào
RADIUS server, ở đây là "inside".
4. Trong mục Server Name or IP Address nhập IP Name mà bạn đã tạo cho
RADIUS server ở bước đầu tiên.
3. 5. Trong ô Server Secret Key khai báo một mật khẩu đủ phức tạp (độ dài và
loại ký tự sử dụng, mức độ phức tạp phải tuân thủ theo tài liệu hướng dẫn
loại router). Ghi nhớ mật khẩu này vì bạn sẽ cần phải khai báo khi cấu hình
RADIUS server. Xác nhận lại mật khẩu lầ nữa trong ô Common Password.
6. Các thiết lập khác chọn ngầm định (default settings). Bấm OK.
Chú ý: theo kinh nghiệm của chúng tôi, mặc dù tài liệu hướng dẫn router không đề
cập, passkey không nên dài hơn 32 ký tự và chỉ gồm số và chữ (alphanumeric).
Passkey 66 ký tự do Windows tự tạo không hoạt động với một số loại router. Bạn
cũng không cần phải tạo User Profile trên router nữa vì việc xác thực sau này sẽ
do RADIUS Server đảm nhiệm.
Cấu hình RADIUS trên Windows Server 2008 R2
Bước 1: Bố sung NPS Server
Network Policy Server 2008
1. Khởi động Server Manager. Chọn Roles và bấm vào Add Roles ở bên
phải. Ấn Next.
2. Chọn Network Policy và Access Services Role. Ấn Next.
3. Chọn Network Policy Server (hình bên phải). Ấn Next.
4. Ấn Install.
Sau khi cài đặt role thành công, bạn thực hiện cấu hình bằng cách sử dụng công
cụ Network Policy Server (NPS) trong menu Administrative Tools.
Bước 2: Đăng ký server với AD
Register NPS to AD
1. Sau khi chạy công cụ NPS, ấn nút phải vào mụcNPS(Local) và
chọn Register Server in Active Directory.
2. Thực hiện theo hướng dẫn (chọn các thiết lập ngầm định). Xem hình bên
phài.
4. Chú ý: để thực hiện được việc này, bạn cần có quyền Domain Admins.
Bước 3: Tạo RADIUS client cho Router
1. Ấn dấu + để mở rộng thư mục RADIUS Clients and Servers.
2. Bấm nút phải chuột vào RADIUS Clients rồi chọn New RADIUS Client.
3. Đặt tên (Friendly Name) cho router. Ví dụ "CiscoASA" hoặc "V2950". Bạn lưu
ý nên đặt tên là duy nhất và dễ nhớ và đủ đơn giản để dễ dàng khai báo khi
tạo các Policy ở các bước sau.
4. Nhập mật khẩu (Server Secret Key, Pre-Shared Key, PassKey...) mà bạn đã
khai báo khi cấu hình router rồi xác nhận lại lần nữa trong ô Confirm shared
secret.
5. Các thiết lập khác đặt ngầm định. Bấm OK để hoàn thành việc tạo RADIUS
Client (hình dưới).
5.
6. Bước 4: Tạo một Connection Request Policy
Connection Request Policy để RADIUS Server xác định sẽ tiếp nhận các yêu cầu
xác thực đến từ đâu và có các thông số như thế nào. Bạn có thể tạo nhiều
Connection Request Policy cho nhiều mục đích xác thực khác nhau.
1. Ấn dấu + để mở rộng thư mục Policies.
2. Bấm nút phải chuột vào Connection Request Policies rồi chọn New.
3. Đặt tên cho Policy Name sao cho có liên hệ với loại router mà bạn đã tạo
trong RADIUS client ví dụ CiscoASA hoặc V2950. Chọn Type of network
access server là Unspecified rồi ấn Next.
4. Trong thẻ Conditions bấm Add. Chọn điều kiện Client Friendly Name rồi
bấm Add… sau đó nhập tên mà bạn đã khai báo ở mục 3 bước 3 ví dụ
V2950. BấmOK rồi ấn Next.
5. Trong hai trang sau đó, chọn các thiết lập mặc định (default settings) rồi
ấnNext.
6. Trong mục Specify a Realm Name chọn tùy chọn Attribute ở cột bên trái.
Trong menu tương ứng bên phải, chọn trong menu thả xuống Attribute: giá
trịUser-Name. Ấn Next lần nữa.
7. Xem lại các thiết lập lần cuối trong trang tiếp theo rồi ấn Finish.
Chú ý: Bạn có thể chọn Type of network access server là Remote Access Server
(VPN-Dial up) hoặc một kiểu khác tùy thuộc vào NAS mà bạn muốn triển khai như
hình dưới đây. Tuy nhiên nếu NAS của bạn là switch xác thực 802.1X hoặc điểm
truy cập không dây WAP, chọn Unspecified.
Bước 5: Tạo Network Policy
7. 1. Bấm nút phải chuột vào thư mục Network Policy và chọn New.
2. Đặt tên cho Policy Name. Khai báo Type of network access server là
Unspecified rồi ấn Next (xem chú ý ở trên).
3. Trong thẻ Conditions ấn Add. Giả sử bạn tạo policy này nhằm mục đích áp
dụng cho nhóm người dùng VPN Users và truy cập từ xa qua RADIUS Client
V2950. Thực hiện tiếp như sau:
4. Bổ sung điều kiện Users Group rồi chọn nhóm VPN Users.
5. Bổ sung điều kiện Client Friendly Name rồi chọn tên mà bạn đã khai báo
cho RADIUS client ví dụ V2950.
6. Bấm Next. Chọn Access granted (ngầm định) và bấm Next lần nữa.
7. Trong thẻ Constraints, giữ nguyên các thông số mặc định và bấm Next.
8. Trong thẻ Settings, giữ nguyên các thông số mặc định và bấm Next. Xem lại
các thiết lập lần cuối trước khi ấn Finish.
Bước 6: Restart Network Policy Server service
Kiểm tra xác thực RADIUS và lưu cấu hình trên router
Không phải loại router nào cũng có chức năng kiểm tra xác thực RADIUS. Ví dụ
sau đây hướng dẫn kiểm tra RADIUS Authentication trên Cisco ASA 5510.
1. Chọn menu Configuration, rồi chọn Remote Access VPN. Trong AAA Setup,
chọn AAA Server Groups.
2. Chọn Server Group bạn mới tạo.
8. 3. Trong Servers in the Selected Group, chọn server mà bạn tạo và bấm nút
Test ở bên phải.
4. Chọn nút Authentication. Nhập the Username và Password của một người
dùng đáp ứng các điều kiện đã khai báo trong Network Policy mà bạn đã tạo
ở trên và bấm OK.
5. Nếu xác thực RADIUS xảy ra thành công, bạn sẽ thấy thông báo như hình
bên dưới.
6. Lưu cấu hình trên Router.
Đối với một số loại router khác, kiểm tra RADIUS Authentication thông qua VPN
Connection Satus hoặc trong Event Viewer của Windows Server 2008 R2. Hình
dưới đây là trang Connection Management của một VPN router Draytek.
Kiểm tra RADIUS Authentication qua Event Viewer của Windows.
Lựa chọn giao thức xác thực (Authentication Protocols) giữa Client và Router và
giữ Router với RADIUS Server
Để có thể liên lạc được với nhau, giữa Client và VPN Router và giữa VPN Router
với RADIUS Server phải đều hỗ trợ và được cài đặt cùng loại giao thức xác thực.
Ví dụ: VPN router Draytek nếu chưa cài đặt certificate thì không thể sử dụng giao
thức PEAP hoặc EAP (là giao thức xác thực sử dụng certificate).
9. Việc thiết lập giao thức xác thực trên Client được thực hiện tại thẻ Security của
VPN Connection Properties. Ví dụ xem hình dưới:
Việc thiết giao thức xác thực giữa VPN Router và RADIUS Server được thực hiện
trên mục Authentication Methods của thẻ Constraints đối với Network Policy áp
dụng cho RADIUS Client đó (xem hình dưới).
10. Một số router không hỗ trợ xác thực mã hóa (encrypted authentication), khi đó cần
chọn thêm Unencrypted authentication (PAP, SPAP)... trong mục Authentication
Methods của thẻ Constraints (xem mũi tên ở hình trên).