Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.2) pptx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (266.94 KB, 5 trang )
Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.2)
Sau đó chúng ta đã cài đặt các Certificate Service (dịch vụ cấp phép) trên máy
chủ SSL VPN. Sau khi cài đặt giấy phép trên máy chủ VPN chúng ta cũng đã
cài đặt các dịch vụ RRAS VPN và NAT trên VPN Gateway. Ngoài ra, chúng ta
đã hoàn thành cấu hình máy chủ NAT trên VPN Gateway để chuyển tiếp các
kết nối HTTP đến được ISA Firewall chuyển tiếp để thực hiện trên CA lưu trữ
CDP.
Trong phần này, chúng ta sẽ thực hiện cấu hình cho một tài khoản người dùng
cho phép truy cập dialup, rồi cấu hình CDP này để cho phép các kết nối HTTP
ẩn danh. Sau đó chúng ta sẽ hoàn thành tiến trình này bằng cách cấu hình cho
ISA Firewall cho phép các kết nối cần thiết tới máy chủ VPN và CDP Website.
Cấu hình tài khoản người dùng cho phép kết nối dial-up
Những tài khoản người dùng cần được cấp phép để truy cập dial-up trước khi
chúng có thể kết nối tới một máy chủ VPN của Windows là thành viên của một
miền Active Directory. Phương pháp tốt nhất mà chúng ta có thể áp dụng là sử
dụng một Network Policy Server (NPS) và sử dụng giấy phép tài khoản người
dùng mặc định được sử dụng để cho phép truy cập từ xa dựa trên NPS Policy.
Tuy nhiên, chúng ta vẫn chưa cài đặt một NPS trong tình huống này do đó
chúng ta sẽ phải cấu hình thủ công giấy phép dial-in cho người dùng này.
Chúng ta cần thực hiện các bước sau đây để kích hoạt giấy phép dial-in trên tài
khoản người dùng mà chúng ta muốn kết nối tới máy chủ SSL VPN. Trong ví
dụ này chúng ta sẽ kích hoạt truy cập dial-in cho tài khoản quản trị miền mặc
định:
1. Tại Domain Controller, mở Active Directory User and Computers Console
từ menu Administrative Tools.
2. Trong bảng bên trái của Console này, mở rộng tên miền và click vào node
User. Sau đó click đúp vào tài khoản Administrator.
3. Click vào tab Dial-in. Cài đặt mặc định trong tab này là Control access
through NPS Network Policy. Vì chúng ta không có một máy chủ NPS nào
trong tình huống này nên chúng ta sẽ thay đổi cài đặt này thành Allow Access
như trong hình 1, sau đó nhấn OK.
Hình 1: Hộp thoại thuộc tính của tìa khoản Administrator.
Cấu hình IIS trên Certificate Server cho phép kết nối HTTP cho thư mục CRL
Vì một số lí do, khi wizard cài đặt thực hiện cài đặt Certificate Services
Website thì nó sẽ cấu hình cho thư mục CRL sử dụng một kết nối SSL. Xét về
bảo mật thì đây là một ý tưởng khá hay, tuy nhiên vấn đề ở chỗ URI trên giấy
phép này vẫn chưa được cấu hình sử dụng SSL. Vì chúng ta đang sử dụng các
cài đặt mặc định cho CDP trong bài viết này nên chúng ta sẽ phải tắt yêu cầu
SSL trên CA Website cho đường dẫn thư mục CRL.
Thực hiện các bước sau để hủy bổ yêu cầu SSL cho thư mục CRL:
1. Trong menu Administrative Tools, mở Internet Information Services (IIS)
Manager.
2. Trong bảng bên trái của IIS Console, mở rộng tên máy chủ rồi mở rộng node
Sites. Mở rộng tiếp node Default Website rồi click vào node CertEnroll như
trong hình 2.
Hình 2: Truy cập vào node CertEnroll trong IIS Manager.
3. Nếu kiểm tra trong bảng giữa của console này chúng ta sẽ thấy rằng CRL
được đặt trong thư mục ảo này như trong hình 3. Để kiểm tra nội dung của thư
mục ảo này chúng ta chỉ cần click vào nút Content View ở phía cuối của bảng
giữa.
Hình 3: CRL trong CertEnroll.
4. Click vào nút Features View ở phía cuối bảng giữa, sau đó click đúp vào
biểu tượng SSL Settings.
Hình 4: Nội dung của thư mục ảo CertEnroll.
5. Khi đó trang SSL Settings sẽ xuất hiện. Hủy chọn hộp chọn Require SSL rồi
click vào liên kết Apply trong bảng phải của Console này.
Hình 5: Trang cài đặt SSL Settings.
6. Đóng IIS Manager Console sau khi thấy thông báo The changes have been
successfully saved (những thay đổi đã được lưu thành công).
Hình 6: Thông báo cho biết quá trình cài đặt thành công.
