Thiết lập nhận thực Wi-Fi trong Windows Server
2008 – Phần 2
Trong phần một của loạt bài này, chúng tôi đã giới
thiệu cho các bạn lý do tại sao các doanh nghiệp nên
sử dụng chế độ Enterprise của Wi-Fi Protected
Access (WPA hoặc WPA2) thay vì sử dụng chế độ
Personal (PSK). Chúng ta cũng biết rằng nhận thực
802.1X trong chế độ Enterprise yêu cầu máy chủ
RADIUS và đây là mọt thành phần có sẵn trong
Windows Server.
Chúng ta đã cài đặt và cấu hình Certificate Services
trong Windows Server 2008. Trong phần này, chúng
tôi sẽ tiếp tục giới thiệu cho các bạn cách cài đặt và
cấu hình Network Policy and Access Services. Sau
đó sẽ thiết lập các bộ điều khiển và các điểm truy cập
không dây với các thiết lập mã hóa và RADIUS. Tiếp
đến chúng ta sẽ cấu hình các máy khách và thực hiện
kết nối.
Cài đặt Network Policy and Access Services Role
Trong các phiên bản Windows Server trước, chức
năng RADIUS được cung cấp bởi dịch vụ nhận thực
Internet (Internet Authenticate Service, được viết tắt
là IAS). Tuy nhiên bắt đầu từ Windows Server 2008,
nó được cung cấp bởi Network Policy and Access
Services. Thành phần này gồm có các dịch vụ IAS
trước cùng với tính năng NAP mới.
Trong cửa sổ Initial Configuration Tasks, bạn tìm
và kích Add roles. Nếu bạn đã đóng hoặc đã ẩn cửa
sổ đó, hãy kích Start> Server Manager, chọn Roles và
kích Add Roles.
Chọn Network Policy and Access Services (xem

trong hình 1) và kích Next.


Hình 1: Cài đặt Network Policy and Access Services
role
Xem lại hướng dẫn và kích Next.
Chọn các mục được liệt kê dưới đây (xem hình 2):
 Network Policy Server
 Routing and Remote Access Servers
 Remote Access Services
 Routing


Hình 2: Chọn cài đặt bốn tùy chọn đầu tiên
Kích Next, sau đó kích Install và đợi cho quá trình
cài đặt hoàn tất rồi kích Close.
Lúc này bạn có thể bắt đầu việc cấu hình NPS với
chức năng RADIUS: kích Start, đánh nps.msc và
nhấn Enter.
Với tùy chọn Standard Configuration, chọn RADIUS
server for 802.1X Wireless or Wired
Connections(xem hình 3) từ menu sổ xuống.


Hình 3: Chọn RADIUS server for 802.1X
Kích Configure 802.1X.
Với Type of 802.1X connections, chọn Secure
Wireless Connections (xem trong hình 4) và kích
Next.



Hình 4: Chọn bảo mật các kết nối không dây
Với mỗi bộ điều khiển hoặc điểm truy cập không
dây, kích Add để tạo một entry máy khách RADIUS
mới. Nhưng những gì thể hiện trong hình 5, bạn sẽ
phải chỉ định tên, đây là thứ giúp bạn dễ phân biệt,
địa chỉ IP hoặc DNS và bí mật chia sẻ Shared Secret.


Hình 5: Nhập vào các thông tin chi tiết cho bộ điều
khiển hay điểm truy cập không dây của bạn
Các bí mật này rất quan trọng cho việc nhận thực và
mã hóa. Hãy nhập vào các chi tiết phức tạp và có độ
dài nhất định, giống như mật khẩu. Chúng cần phải
mang tính duy nhất đối với mỗi bộ điều khiển hay AP
không dây. Sau đó bạn cần phải nhập các bí mật chia
sẻ Shared Secret như vậy vào các bộ điều khiển hay
AP tương ứng. Nhớ giữ bí mật chúng, lưu chúng vào
một nơi nào đó an toàn.
Về phương pháp nhận thực, Authentication Method,
chọn Microsoft Protected EAP (PEAP) vì chúng ta
đang sử dụng PEAP.
Kích nút Configure…, chọn chứng chỉ mà bạn đã tạo
trước, kích OK.
Trong cửa sổ Specify User Groups (xem hình 6), kích
Add.


Hình 6: Bổ sung các nhóm người dùng mà bạn muốn
họ có thể kết nối

Trong các hộp thoại Select Group, nhập vào các
nhóm, kích Advanced để tìm kiếm các nhóm có sẵn.
Nếu chưa tạo các nhóm bổ sung, bạn hãy chọn
Domain Users để cho phép người dùng và Domain
Computers cho nhận thực máy nếu các bộ điều
khiển hay AP của bạn hỗ trợ nó. Nếu nhận được
thông báo lỗi rằng miền đó không tồn tại, bạn hãy
khởi động lại máy chủ Active Directory Domain
Services và thực hiện lại lần nữa.
Khi đã thêm các nhóm mong muốn, kích Next để tiếp
tục.
Trong cửa sổ Configure a VLAN (xem hình 7), nếu
mạng của bạn (switch và các bộ điều khiển hay AP)
hỗ trợ VLAN và bạn đã cấu hình chúng, khi đó hãy
kích Configure… để thiết lập chức năng VLAN.


Hình 7: Kích nút Configure để định nghĩa các thiết
lập VLAN
Giờ đây bạn đã thực hiện xong việc cấu hình VLAN,
hãy kích Next.
Xem lại các thiết lập và kích Finish.
Cấu hình các bộ điều khiển hoặc AP không dây
Giờ là lúc chúng ta thực hiện cấu hình các bộ điều
khiển hay các điểm truy cập không đây. Đầu tiên, hãy
triệu gọi giao diện web bằng cách nhập địa chỉ IP của
chúng vào trình duyệt. Sau đó điều hướng đến các
thiết lập không dây.
Chọn -Enterprise hoặc WPA2-Enteprise. Về kiểu
mã hóa, chọn TKIP if using WPAorAES if using

WPA2. Sau đó nhập vào địa chỉ IP cho máy chủ
RADIUS, đây là máy Windows Sever mà bạn thiết
lập. Tiếp đến, nhập vào các bí mật chia sẻ mà bạn đã
tạo trước đó cho bộ điều khiển và AP. Sau đó lưu lại
các thiết lập.
Cài đặt chứng chỉ CA tên máy khách
Trong phần 1, bạn đã tạo chứng chỉ máy chủ và
Certificate Authority (CA) cho riêng mình. Vì vậy
bạn cần cài đặt CA vào các máy khách của mình.
Bằng cách này, máy khách có thể hợp lệ hóa máy chủ
trước khi thực hiện nhận thực.
Nếu đang điều hành một mạng miền bằng Active
Directory, bạn cần triển khai chứng chỉ này với
Group Policy. Mặc dù vậy, cũng có thể tự mình thực
hiện việc cài đặt nó, đây là những gì chúng ta sẽ thảo
luận.
Để xem và quản lý các chứng chỉ trong Windows
Server 2008, triệu gọi Certificate Manager. Nếu bạn
đã lưu MMC đó vào desktop của mình trong phần 1,
hãy mở nó. Bằng không hãy làm theo các bước dưới
đây:
1. Kích Start, đánh MMC và nhấn Enter.
2. Trên cửa sổ MMC, kích File>Add/Remove
Snap-in.
3. Chọn Certificates và kích Add.
4. Chọn Computer account và kích Next.
5. Chọn Local computer, kích Finish, sau đó kích
OK.
Mẹo: Bạn nên lưu MMC này ra desktop của mình để
dễ truy cập sau này: kích File>Save.

Mở rộng Certificates (Local Computer Account),
mở Personal, kích Certificates.
Như những gì thể hiện trong hình 8, kích phải vào
chứng chỉ có tận cùng là CA, sau đó chọn All Tasks,
Export…. Sau đó thực hiện theo wizard để export.
Khi được nhắc nhở, không export khóa riêng mà sử
dụng định dạng DER. Bạn nên export vào ổ USB để
có thể mang đến các máy khách khác một cách dễ
dàng.


Hình 8: Export chứng chỉ CA để cài đặt vào các máy
khách
Lúc này trên các máy khách, kích đúp chứng chỉ và
kích nút Install Certificate (hình 9). Sử dụng wizard
để import nó vào kho chứa Trusted Root Certificate
Authorities.


Hình 9: Cài đặt chứng chỉ CA vào máy khách
Cấu hình các thiết lập mạng trên máy khách
Bạn có thể cấu hình các thiết lập mạng. Giống như
việc cài đặt chứng chỉ, bạn có thể đẩy các thiết lập
mạng cho các máy khách bằng Group Policy nếu
đang điều hành một mạng miền bằng Active
Directory. Mặc dù vậy bạn vẫn có thể cấu hình một
cách thủ công các máy khách, giống như cách được
thảo luận với Windows XP, Vista và 7 dưới đây.
Đầu tiên, tạo một network profile hoặc entry mạng ưa
thích. Với Security Type chọn WPA-Enterprise

hoặc WPA2-Enteprise. Với Encryption Type, chọn
TKIP if using WPA hoặc AES if using WPA2.
Mở network profile và chọn tab Security (trong Vista
& 7) hoặc tab Authentication (trong XP). Trong XP,
tích tùy chọn Enable IEEE 802.1x authentication
for this network.
Với Network Authentication method (trong Vista &
7, như thể hiện trong hình 10) hoặc EAP Type (trong
XP), chọn Protected EAP (PEAP). Trong XP, cũng
hủy chọn cả hai hộp kiểm dưới cùng của cửa sổ.


Hình 10: Chọn PEAP làm phương pháp nhận thực
Chỉ trong Windows 7, kích nút Advanced Settings
trong tab Security. Sau đó trên cửa sổ Advanced
Settings, tích tùy chọn Specify authentication mode,
chọn User Authentication, và kích OK để trở về tab
Security.
Kích Settings (trong Vista & 7) hoặc nút Properties
(trong XP).
Sau đó trong hộp thoại Protected EAP Properties,
thực hiện theo các bước sau (hình 11 thể hiện một ví
dụ):
 Tích vào hộp đầu tiên, Validate server
certificate.
 Tích hộp chọn thứ hai, Connect to these
servers, và nhập vào tên đầy đủ của máy chủ.
Nếu cần, tìm nó trên Windows Server bằng cách
kích Start > Server Manager.
 Trong hộp danh sách Trusted Root

Certification Authorities, chọn chứng chỉ CA
mà bạn vừa nhập.
 Chọn Secured password (EAP-MSCHAP v2)
làm phương pháp nhận thực.


Hình 11: Cấu hình các thuộc tính PEAP
 Kích nút Configure. Nếu bạn điều hành một
mạng miền bằng Active Directory, nên tích tùy
chọn này. Ngược lại, hãy hủy chọn nó để người
dùng có thể nhập vào username và password của
họ và sau đó kết nối với mạng.
Cuối cùng, kích OK trên các cửa sổ để lưu thiết lập.
Kết nối và đăng nhập!
Giờ đây bạn đã cấu hình được máy chủ, các AP và có
thể thực hiện kết nối.
Trên máy khách, chọn mạng từ danh sách các mạng
không dây có sẵn. Trừ khi bạn đã kích hoạt chế độ
máy khách tự động sử dụng đăng nhập Windows của
nó, bằng không bạn sẽ được nhắc nhở nhập vào các
chứng chỉ đăng nhập, như hình 12. Sử dụng tài khoản
trên Windows Server nằm trong nhóm đã cấu hình
trước trong phần Network Policy and Access
Services. Nếu chọn nhóm Domain Users, tài khoản
Administrator cần được cho phép mặc định.



Hình 12: Cửa sổ đăng nhập
Kết luận

Giờ đây bạn đã có một mạng mã hóa Enterprise và
nhận thực 802.1X, để có được điều đó, chúng ta cần
phải thực sự cảm ơn Windows Server 2008 với chức
năng RADIUS đi kèm. Trong bài chúng tôi đã giới