4. ศุภวิทย์ วรรณภิละ สำนักบริกำรเทคโนโลยีสำรสนเทศ มหำวิทยำลัยเชียงใหม่ supawit.w@cmu.ac.th 4
แต่กำรปิดระบบ web-based authentication ซึ่งผู้ใช้คุ้นเคย จะต้องเตรียมคู่มือไว้ให้พร้อมเนื่องจำก WPA นั้นต้องมีกำรตั้ง
ค่ำที่อุปกรณ์ก่อนในครั้งแรกซึ่งคู่มือและเครื่องมือในกำรช่วยตั้งค่ำบนอุปกรณ์ต่ำงๆ ในระบบปฏิบัติต่ำงเช่น iOS, Android,
Windows Phone, Windows XP, Windows Vista, Windows 7 , Windows 8 , OSX, Black Berry OS ก็ต้องเผยแพร่
บนเว็บไซต์ให้ครบถ้วน
ปรับปรุง 2558
กำรแก้ปัญหำจำก web authentication มำเป็น WPA-Enterprise นั้นได้เกิดปัญหำเกี่ยวกับกำรใช้งำนเพิ่มขึ้นมำ
นั่นก็คือผู้ใช้งำนต้องเข้ำสู่ระบบทำงเว็บไซต์เพื่อลงทะเบียน mac address ก่อน ซึ่งผู้ใช้ส่วนจะเกิดควำมสับสนไม่รู้ว่ำ mac
address คืออะไร ทำให้ใช้งำนไม่ได้ จึงต้องทำกำรปรับปรุงให้ระบบลงทะเบียน mac address ให้ผู้ใช้โดยอัตโนมัติและผู้ใช้
สำมำรถเข้ำสู่ระบบเพื่อลบอุปกรณ์เดิมออกเมื่อจำนวนอุปกรณ์ครบกำหนดและต้องกำรใช้อุปกรณ์ใหม่
บัญชีผู้ใช้ไอทีมหาวิทยาลัยเชียงใหม่(CMU IT Account)
มหำวิทยำลัยเชียงใหม่ได้ใช้ Microsoft Windows Active Directory ในกำรจัดเก็บบัญชีผู้ใช้ซึ่งเป็นบัญชีเดียวกัน
กับอีเมลของบุคลำกรและนักศึกษำ กำรยืนยันตัวตนบนระบบเครือข่ำยไร้สำยก็ใช้บัญชี CMU IT Account โดย CMU IT
5. ศุภวิทย์ วรรณภิละ สำนักบริกำรเทคโนโลยีสำรสนเทศ มหำวิทยำลัยเชียงใหม่ supawit.w@cmu.ac.th 5
Account จะมีเว็บไซต์ https://account.cmu.ac.th เป็นทั้ง Front-End สำหรับผู้ใช้ในกำรสร้ำงและจัดกำรบัญชี และ
Back-End สำหรับผู้ดูแลระบบในกำรจัดกำรบัญชี บัญชีที่ถูกสร้ำงขึ้นจะได้รับกล่องข้อควำมอีเมลโดยอัตโนมัติ
ทดลองปฏิบัติการตั้งค่า freeradius เพื่อให้ตรวจสอบและลงทะเบียน mac address
ให้ผู้ใช้โดยอัตโนมัติรวมถึงยืนยันตัวตนผู้ใช้กับบัญชีบน Active Directory และการ
จัดการอุปกรณ์
ระบบปฏิบัติการ
1. Active Directory ใช้ Microsoft Windows Server 2012 R2
2. Network Policy and Access Server ใช้ Microsoft Windows Server 2012 R2
3. feeradius ใช้ Ubuntu 14.04LTS
CMU Mail
Active Directory
(AD, LDAP, RADIUS)
Web Apps Wi-Fi
Exchange 2013 on
premise
Office 365 on cloud
6. ศุภวิทย์ วรรณภิละ สำนักบริกำรเทคโนโลยีสำรสนเทศ มหำวิทยำลัยเชียงใหม่ supawit.w@cmu.ac.th 6
การเชื่อมต่อ
หลักการทางาน
1. เครื่อง NPS เชื่อมต่อเข้ำกับ AD เพื่อใช้งำนบริกำรยืนยันตัวตนกับบัญชีบน AD
2. ตั้งค่ำ RADIUS Proxy ให้ตรวจสอบฐำนข้อมูล MAC Address และลงทะเบียน MAC Address ของผู้ใช้ก่อนแบ่ง
ภำระงำนไปยืนยันตัวตนที่ NPS ผ่ำน protocol radius
3. ตั้งค่ำ Wi-Fi Controller หรือ Wi-Fi Access point ให้มำยืนยันตัวตนที่ RADIUS Proxy
ตั้งค่า Network Access Policy Service สาหรับการยืนยันตัวตนผ่าน protocol radius ด้วยบัญชีบน
Active Directory
1. ใน work shop นี้จะไม่กล่ำวถึงกำรติดตั้ง Active Directory ซึ่งจะมี Active Directory เตรียมไว้ให้แล้ว
2. หลังจำก Sign In เข้ำสู่ Windows Server แล้วให้ทำกำรตั้งค่ำทั่วไป เช่น ip address, time zone โดย ip
address ให้ระบุเป็น ip address ของเครื่อง Active Directory
radius
Protocol
;
AD
Protocol
AD
NPS
NPS freeradius
radius Proxy
Load balance
validate + auto
register mac address
MYSQL (MAC
Address database)
Wi-Fi
radius
Protocol
7. ศุภวิทย์ วรรณภิละ สำนักบริกำรเทคโนโลยีสำรสนเทศ มหำวิทยำลัยเชียงใหม่ supawit.w@cmu.ac.th 7
3. ตั้งค่ำเครื่อง NPS ให้ join domain โดยไปที่ Server Manager -> Local Server คลิกที่ชื่อของเครื่อง
จะพบ dialog System Properties กด Change
ระบุชื่อเครื่องและโดเมนจำกนั้นกด OK และระบุ username/password ของ Domain Administrator กด OK
8. ศุภวิทย์ วรรณภิละ สำนักบริกำรเทคโนโลยีสำรสนเทศ มหำวิทยำลัยเชียงใหม่ supawit.w@cmu.ac.th 8
และ Close ระบบจะให้ restart ให้ restart server
4. Sign In server ด้วย Domain Administrator จำกนั้นทำกำรเพิ่ม Role NPS โดยไปที่ Server Manager ->
Add roles and features
จำกนั้นกด Next 3 ครั้ง เลือก Network Policy and Access Services แล้วกด Add Features แล้วกด Next 4
9. ศุภวิทย์ วรรณภิละ สำนักบริกำรเทคโนโลยีสำรสนเทศ มหำวิทยำลัยเชียงใหม่ supawit.w@cmu.ac.th 9
ครั้งแล้วกด Install รอจนกว่ำจะติดตั้ง role เสร็จ
5. นำเข้ำ Key Pair สำหรับกำรใช้งำนเข้ำรหัส PEAP กด Windows+R พิมพ์ mmc แล้ว Enter เพื่อเรียก console
จำกนั้นไปที่ File -> Add/Remove Snap-in ในส่วนของ Available Snap-in เลือก Certificates กด Add ที่
dialog Certificate Snap-in เลือก Computer Account จำกนั้นกด Next เลือก Local Computer แล้วกด
Finish และกด OK
10. ศุภวิทย์ วรรณภิละ สำนักบริกำรเทคโนโลยีสำรสนเทศ มหำวิทยำลัยเชียงใหม่ supawit.w@cmu.ac.th 10
คลิกขวำที่ Personal เลือก All Tasks -> Import กด Next -> Browse ที่ address bar ให้พิมพ์
dc.cnoc.cmuNETLOGON เลือก All File(*.*) แล้วเลือก auth0.cnoc.cmu แล้วกด Open กด Next ระบุ
หรัสผ่ำนของ Key Pair เป็น cnoc1234 กด Next สองครั้งแล้ว Finish
*หมำยเหตุ สำมำรถสร้ำง Key Pair ได้หลำยทำง เช่นสร้ำง Self-Sign Certificate
http://windowsitpro.com/blog/creating-self-signed-certificates-powershell
11. ศุภวิทย์ วรรณภิละ สำนักบริกำรเทคโนโลยีสำรสนเทศ มหำวิทยำลัยเชียงใหม่ supawit.w@cmu.ac.th 11
6. เชื่อม NPS เข้ำกับ Active Directory ที่ Server Manager เมนู Tools เลือก Network Policy Server คลิกขวำ
ที่ NPS(Local) เลือก Register server in Active Directory
7. สร้ำง Policy สำหรับกำรยืนยันตัวตนเลือก RADIUS server for 802.1X Wireless or Wired Connections
จำกนั้นกด Configure 802.1X