TRIỂN KHAI VPN CLIENT TO SITE CHỨNG THỰC RADIUS TRÊN WINDOWS SERVER 2012
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.68 MB, 38 trang )
MỤC LỤC
CHƯƠNG 1: TỔNG QUAN VỀ VPN ......................................................................3
1.1 Tổng quan VPN (Virtual Private Network).......................................................3
1.2 Mô hình hoạt động và các chuẩn hoạt động của VPN.......................................5
1.2.1 Remote Access VPN...................................................................................6
1.2.2 Intranet VPN................................................................................................6
1.2.3 Extranet VPN...............................................................................................7
1.3 Kiến trúc dịch vụ VPN và các giao thức bảo mật..............................................8
1.3.1 Kiến trúc dịch vụ VPN................................................................................8
1.3.1.1 Đường hầm (Tunnelling).........................................................................8
1.3.1.2 Bảo mật và các giao thức bảo mật...........................................................9
1.3.2 Các giao thức bảo mật.................................................................................9
1.3.2.1 Point-To-Point Tunneling Protocol (PPTP)............................................9
1.3.2.2 Layer 2 Tunneling Protocol (L2TP)........................................................9
1.3.2.3 IP Security (IPSec).................................................................................10
1.4 Ưu điểm và khuyết điểm của VPN..................................................................10
1.4.1 Ưu điểm.....................................................................................................10
1.4.2 Nhược điểm...............................................................................................11
CHƯƠNG 2: TỔNG QUAN VỀ RADIUS...............................................................12
2.1 Tổng quan RADIUS (Remote Authentication Dial in User Service).............12
2.2 Tính chất của RADIUS....................................................................................13
2.3 Xác thực - cấp phép và kiểm toán....................................................................14
CHƯƠNG 3: TRIỂN KHAI CÀI ĐẶT.....................................................................16
3.1 Mô hình triển khai............................................................................................16
3.2 Thực hiện cài đặt..............................................................................................16
3.2.1Chuẩn bị......................................................................................................16
3.2.2Tạo Group và User.....................................................................................17
3.2.3 Cấu hình RADIUS Server trên Domain Controller..................................21
3.2.4 Cấu hình VPN Client to Gateway và Radius Client trên máy VPN Server.
.............................................................................................................................29
3.2.5 Cấu hình VPN Client kết nối vào VPN Server.........................................34
Trang 1
....................................................................................................................................38
Trang 1
CHƯƠNG 1: TỔNG QUAN VỀ VPN
1.1 Tổng quan VPN (Virtual Private Network)
Mạng máy tính ban đầu được triễn khai với 2 kĩ thuật chính: đường thuê
riêng (Leased-Line) cho các kết nối cố định và đường quay số (Dial-up) cho các kết
nối không thường xuyên. Các mạng này có tính bảo mật cao, nhưng khi lưu lượng
thay đổi và đòi hỏi tốc độ cao nên đã thúc đẩy hình thành một kiểu mạng dữ liệu
mới, mạng riêng ảo. Mạng riêng ảo được xây dựng trên các kênh logic có tỉnh “ảo”.
Xu hướng hội tụ của các mạng trên nền NGN tạo điều kiện cho sự xuất hiện nhiều
dịch vụ mới, trong đó có dịch vụ mạng riêng ảo.
Mạng riêng ảo là một mạng máy tính, trong đó có các điểm của khách hàng
được kết nối với nhau trên một cơ sở hạ tầng chia sẽ với cùng một chính sách truy
nhập và bảo mật như trong mạng riêng. Có 2 dạng chính của mạng riêng ảo VPN là:
Remote Accsess VPN, Site – to - Site VPN (Intranet VPN và Extranet VPN).
Remote Access VPN (Client – to - LAN VPN) cho phép thực hiện các kết
nối truy nhập từ xa đối với người sử dụng di động (máy tính cá nhân hoặc các
Personal Digital Assistant) với mạng chính (LAN hoặc WAN) qua đường quay số,
ISDN, đường thuê bao số ADSL.
Site-to-Site VPN dùng để kết nối các mạng tại các vị trí khác nhau thông qua
kết nối VPN. Có thể chia loại này ra 2 loại khác nhau: Intranet VPN và Extranet
VPN. Intranet VPN kết nối các văn phòng ở xa với trụ sở chính thường là các mạng
LAN với nhau. Extranet VPN là khi Intranet VPN của một khách hàng mở rộng kết
nối với một Intranet VPN khác.
Bảo mật là một yếu tố quan trọng đảm bảo cho VPN hoạt động an toàn và
hiệu quả. Kết hợp với các thủ tục xác thực người dùng, dữ liệu được bảo mật thông
qua các kết nối đường hầm (Tunnel) được tạo ra trước khi truyền dữ liệu. Tunnel là
kết nối ảo điểm-điểm (point-to-point) và làm cho mạng VPN hoạt động như một
mạng riêng. Dữ liệu truyền trên VPN có thể được mã hóa theo nhiều thuật toán
khác nhau với các độ bảo mật khác nhau. Người quản trị mạng có thể lựa chọn tùy
theo yêu cầu bảo mật và tốc độ truyền dẫn. Giải pháp VPN được thiết kế phù hợp
Trang 1
cho những tổ chức có xu hướng tăng khả năng thông tin từ xa, các hoạt động phân
bố trên phạm vi địa lý rộng và có các cơ sở dữ liệu, kho dữ liệu, hệ thống thông tin
dùng riêng với yêu cầu đảm bảo an ninh cao.
Hình 1.1: Mô hình VPN tổng quan
Chất lượng dịch vụ QoS, các thỏa thuận (Service Level Agreement - SLA)
với các ISP liên quan đến độ trễ trung bình của gói trên mạng, hoặc kèm theo chỉ
định về giới hạn dưới của băng thông .Bảo đảm cho QoS là một việc cần được
thống nhất về phương diện quản lý đối với các ISP. Tất cả các giao thức sử dụng
trong mạng VPN, các gói dữ liệu IP được mã hóa (RSA RC-4 trong PPTP hoặc mã
hóa công khai khác trong L2TP, IPSEC) và sau đó đóng gói (ESP), thêm tiêu đề IP
mới để tạo đường hầm trên mạng IP công cộng. Như vậy, khi gói tin MTU bị thất
lạc trên mạng IP công cộng thì thông tin trong đó đã được mã hóa nên kẻ phá hoại
khó có thể dò tìm thông tin thực sự chứa trong bản tin. Trong các giao thức PPTP
và L2TP, mã hóa gói tin đã được thực hiện từ người dùng cho đến máy chủ của
VPN. Việc mất mát gói tin dẫn đến việc phải truyền lại toàn bộ gói tin, điều này gây
nên độ trễ chung đối với VPN và ảnh hướng đến QoS của mạng VPN.
Trang 1
1.2 Mô hình hoạt động và các chuẩn hoạt động của VPN
Mô hình hoạt động của VPN
Hình 1.2: Mô hình hoạt động của VPN
Các chuẩn trong mô hình hoạt động của VPN
Phân loại kỹ thuật VPN dựa trên 3 yêu cầu cơ bản:
Người sử dụng ở xa hoặc di động có thể truy cập vào tài nguyên mạng đoàn
thể bất kỳ thời gian nào.
Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau.
Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung
cấp hay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan.
Dựa trên tiêu chí đó có thể phân loại VPN thành 3 nhóm chính:
Remote Access VPN.
Intranet VPN.
Extranet VPN.
Trang 1
1.2.1 Remote Access VPN
VPN Remote Access cung cấp khả năng truy nhập từ xa.Tại mọi thời điểm,
các nhân viên chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào
mạng của công ty.
Hệ thống bao gồm các thành phần chính:
Remote Access Server (RAS), nó xác định địa chỉ và kiểm tra xác nhận và ủy
quyền của yêu cầu truy cập từ xa.
Kết nối Dial-up với văn phòng trung tâm trong trường hợp kết nối với mà
khoảng cách xa.
Hình 1.3: Mô hình Remote Access VPN
1.2.2 Intranet VPN
Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh của
tổ chức với mạng intranet trung tâm.
Trang 1
Hình 1.4: Mô hình Intranet VPN
1.2.3 Extranet VPN
Không giống như giải pháp của intranet VPN và remote access VPN,
extranet VPN không tách riêng với thế giới ngoài. Extranet VPN cho phép điều
khiển sự truy xuất các tài nguyên mạng cho các thực thể ngoài tổ chức như các các
đối tác, khách hàng hay nhà cung cấp những người đóng vai trò quan trọng trong
hoạt động thương mại của tổ chức.
Hình 1.5: Mô hình Extranet VPN
Trang 1
1.3 Kiến trúc dịch vụ VPN và các giao thức bảo mật
1.3.1 Kiến trúc dịch vụ VPN
Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo VPN, đó là:
Đường hầm (Tunnelling) cho phép làm “ảo” một mạng riêng.
Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang tính riêng tư.
1.3.1.1 Đường hầm (Tunnelling)
Trong mạng riêng ảo VPN, “ảo” – Vitual mang ý nghĩa là mạng linh động,
với các kết nối được thiết lập dựa trên nhu cầu tổ chức. Không như những kết nối
sử dụng đường kênh thuê riêng trong các mạng VPN truyền thống, internet VPN
không duy trì những kết nối thường trực giữa các điểm cuối tạo thành mạng đoàn
thể (corporate network). Thay vào đó, một kết nối được tạo ra giữa 2 site khi cần
đến. Và khi kết nối này không còn cần thiết nữa thì nó sẽ bị hủy bỏ, làm cho băng
thông và các tài nguyên mạng khác sẵn sàng cho những kết nối khác sử dụng.
Ảo – “Vitual” cũng mang ý nghĩa rằng cấu trúc logic của mạng được hình
thành chỉ cho những thiết bị mạng tương ứng của mạng đó, bất chấp cấu trúc vật lý
của mạng cơ sở (trong trường hợp này là internet). Các thiết bị như bộ định tuyến
(Router), chuyển mạch (Switch) hay những thành phần mạng của các ISP được giấu
đi khỏi những thiết bị và người dùng của mạng ảo. Do đó, những kết nối tạo nên
mạng riêng ảo – VPN không có cùng tính chất vật lý với những kết nối cố định
(hard-wired) được dùng trong mạng LAN. Việc che giấu cơ sở hạ tầng của ISP và
internet được thực hiện bởi một khái niệm được gọi là tạo đường hầm-Tunnelling.
Hình 1.6: Cấu trúc của một đường hầm
Trang 1
1.3.1.2 Bảo mật và các giao thức bảo mật
Quan trọng ngang với việc sử dụng một mạng riêng ảo VPN, thậm chí không
muốn nói là quan trọng hơn, là việc đưa ra tính riêng tư hay bảo mật. Trong hầu hết
các sử dụng cơ bản của nó, tính “riêng tư” trong VPN mang ý nghĩa là một đường
hầm giữa hai người trên một mạng VPN xuất hiện như là một liên kết riêng (private
link), thậm chí điều này có thể chạy trên môi trường dùng chung (shared media).
Nhưng đối với việc sử dụng của các nhà kinh doanh, đặc biệt cho kết nối LAN-nốiLAN, “riêng” phải mang ý nghĩa hơn điều đó, nó phải có nghĩa là bảo mật, đó là
thoát khỏi những con mắt tò mò và sự can thiệp.
Mạng VPN cần cung cấp 4 chức năng giới hạn để đảm bảo độ bảo mật cho
dữ liệu. Bốn chức năng đó là:
Xác thực (Authentication): Đảm bảo dữ liệu đến từ một nguồn yêu cầu.
Điều khiển truy cập (Access Control): Hạn chế việc đạt được quyền cho
phép vào mạng của những người dùng bất hợp pháp.
Sự tin cậy (Confidentiality): Ngăn không cho một ai đó đọc hay copy dữ
liệu khi dữ liệu được truyền qua mạng Internet.
Tính toàn vẹn của dữ liệu (Data integrity): Đảm bảo không một ai làm
thay đổi dữ liệu khi nó truyền đi trên mạng Internet.
1.3.2 Các giao thức bảo mật
1.3.2.1 Point-To-Point Tunneling Protocol (PPTP)
Được phát triển bởi Microsoft, 3COM và Ascend Communications. Nó được
đề xuất để thay thế cho IPSec. PPTP thi hành ở phân lớp 2 (Data Link) trong mô
hình OSI và thường được sử dụng trong truyền thông tin hệ điều hành Windows.
1.3.2.2 Layer 2 Tunneling Protocol (L2TP)
Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec. Tiền thân của nó là
Layer 2 Forwarding (L2F), được phát triển để truyền thông tin an toàn trên mạng
Internet nhưng bị thay thế bởi L2TP vì LT2P có khả năng mã hóa dữ liệu tốt hơn và
có khả năng giao tiếp với Window. L2TP là sự phối hợp của L2F và PPTP. Thường
được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi trên các
mạng X.25, FR, và ATM.
Trang 1
1.3.2.3 IP Security (IPSec)
Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền thông tin an toàn
xác nhận người sử dụng ở hệ thống mạng công cộng. Không giống như các kỹ thuật
mã hóa khác, IPSec thi hành ở phân lớp Network trong mô hình OSI (Open System
Interconnect). Do đó nó có thể thực thi độc lập với ứng dụng mạng.
1.4 Ưu điểm và khuyết điểm của VPN
1.4.1 Ưu điểm
Giảm chi phí thiết lập
VPN có giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền
thống như Frame Relay, ATM, hay ISDN. Lý do là VPN đã loại bỏ các kết nối
khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng truyền
tải như ISP.
Giảm chi phí vận hành quản lý
Bằng cách giảm chi phí viễn thông khoảng cách xa, VPN cũng giảm chi phí
vận hành mạng WAN một cách đáng kể. Ngoài ra các tổ chức cũng có thể giảm
được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPN được quản
lý bởi ISP. Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố
chức không mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng.
Khả năng mở rộng
Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng(Internet),bất
cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN.Mà Internet có mặt ở
khắp mọi nơi nên khả năng mở rộng của VPN rất linh động. Một cơ quan ở xa có
thể kết nối một cách dể dàng đến mạng của công ty bằng cách sử dụng đường dây
điện thoại hay DSL,mạng VPN dể dàng gở bỏ khi có nhu cầu.
Khả năng mở rộng băng thông là khi một văn phòng,chi nhánh yêu cầu băng
thông lớn hơn thì nó có thể được nâng cấp dể dàng.
Trang 1
Nâng cao kết nối (Enhanced connectivity)
VPN sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của
Intranet. Do Internet có thể được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở
xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạng intranet chính.
Bảo mật
Bởi vì VPN sử dụng kĩ thuật đường hầm để truyền dữ liệu thông qua mạng
công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPN sử dụng
thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy quyền. Do
đó VPN được đánh giá cao bảo mật trong truyền tin.
Hiệu suất băng thông: Sự lãng phí băng thông khi không có kết nối Internet
nào được kích hoạt. Trong kĩ thuật VPN thì các “đường hầm” chỉ được hình thành
khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có kích
hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông.
Có thể nâng cấp dễ dàng: Bởi vì VPN dựa trên cơ sở Internet nên các nó cho
phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh
doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối
thiểu. Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển
trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng.
1.4.2 Nhược điểm
Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn
mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng
VPN.
Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở
kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn và các thiết bị và
giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPN không phù hợp
được với các thiết bị và giao thức này. Vấn đề này có thể được giải quyết một cách
chừng mực bởi các “tunneling mechanisms”. Nhưng các gói tin SNA và các lưu
lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả
mạng.
Trang 1
CHƯƠNG 2: TỔNG QUAN VỀ RADIUS
2.1 Tổng quan RADIUS (Remote Authentication Dial in User Service)
Giao thức Remote Authentication Dial In User Service (RADIUS) với khả
năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication,
Authorization, và Access Control – AAA) cho các phiên làm việc với SLIP và PPP
Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP)
đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet. Nó cần
thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách các
username và password cho việc cấp phép, RADIUS Access-Request sẽ chuyển các
thông tin tới một Authentication Server, thông thường nó là một AAA Server (AAA
– Authentication, Authoriztion, và Accounting). Trong kiến trúc của hệ thống nó
tạo ra khả năng tập trung các dữ thông tin của người dùng, các điều kiện truy cập
trên một điểm duy nhất (single point), trong khi có khả năng cung cấp cho một hệ
thống lớn, cung cấp giải pháp NAS.
Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access Request tới máy chủ AAA Server, chuyển các thông tin như username và password,
thông qua một port xác định, NAS identify, và một message Authenticator.
Sau khi nhận được các thông tin máy chủ AAA sử dụng các gói tin được
cung cấp như, NAS identify, và Authenticator thẩm định lại việc NAS đó có được
phép gửi các yêu cầu đó không. Nếu có khả năng, máy chủ AAA sẽ tìm kiểm tra
thông tin username và password mà người dùng yêu cầu truy cập trong cơ sở dữ
lệu. Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin trong Access Request quyết định quá trình truy cập của user đó là được chấp nhận.
Khi quá trình xác thực bắt đầu được sử dụng, máy chủ AAA có thể sẽ trả về
một RADIUS Access - Challenge mang một số ngẫu nhiên. NAS sẽ chuyển thông
tin đến người dùng từ xa (với ví dụ này sử dụng CHAP). Khi đó người dùng sẽ phải
trả lời đúng các yêu cầu xác nhận (trong ví dụ này, đưa ra lời đề nghị mã hoá
password), sau đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS
Access-Request.
Trang 1
Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng hoàn toàn
thoả mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS
Access - Accept. Nếu không thoả mãn máy chủ AAA sẽ trả về một tin RADIUS
Access-Reject và NAS sẽ ngắt kết nối với user.
Khi một gói tin Access-Accept được nhận và RADIUS Accounting đã được
thiết lập, NAS sẽ gửi mộtgói tin RADIUS Accounting - Request (Start) tới máy chủ
AAA. Máy chủ sẽ thêm các thông tin vào file Log của nó, với việc NAS sẽ cho
phép phiên làm việc với user bắt đầu khi nào, và kết thúc khi nào, RADIUS
Accouting làm nhiệm vụ ghi lại quá trình xác thực của user vào hệ thống, khi kết
thúc phiên làm việc NAS sẽ gửi một thông tin RADIUS Accounting - Request
(stop).
RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy
quyền và kiểm toán truy cập cho mạng.
Có 2 loại giao thức RADIUS:
Giao thức RADIUS 1: Xác nhận quyền (authentication), phân quyền
(authorization), thông tin cấu hình giữa máy chủ quản lý truy cập (NAS-Network
Access Server) mà có các yêu cầu cần xác nhận và máy chủ xác nhận quyền dùng
chung (Shared Authentication Server).
Giao thức RADIUS 2: thông tin về tài khoản giữa NAS và máy chủ quản lý
tài khoản dùng chung.
2.2 Tính chất của RADIUS
RADIUS thực ra là một giao dịch được xây dựng trên giao thức có các tính
chất chính như sau:
Nếu như yêu cầu (request) gởi tới máy chủ xác nhận quyền sơ cấp (primary
authentication server) thất bại, thì yêu cầu này phải được gửi tới máy chủ sơ cấp
(secondary server). Để thực hiện yêu cầu này, một bản sao yêu cầu phải được lưu
trên lớp transport để cho phép việc truyền luân phiên.
Các đòi hỏi về thời gian của RADIUS rất khác biệt so với TCP. Một mặt,
RADIUS không yêu cầu “câu trả lời” (responsive) về việc dò tìm dữ liệu bị mất.
User sẵn sàng chờ trong nhiều giây để cho việc xác nhận quyền được hoàn thành.
Trang 1
Việc truyền lại thường xảy ra đối với các TCP dựa trên thời gian truyền nhận trung
bình không cần thiết nữa, kể cả thời gian hao tổn cho việc nhận biết phản hồi về.
Mặt khác, user không thể chờ đợi quá lâu trong nhiều phút cho việc xác nhận
quyền. Việc phải chờ đợi quá lâu là không hữu ích. Việc sử dụng luân phiên nhanh
chóng các server sẽ cho phép user truy cập được vào mạng trước khi họ bỏ cuộc.
Trạng thái rất tự do của RADIUS đã đơn giản hóa việc sử dụng UDP. Các
client và server có thể đăng ký vào hoặc ra khỏi mạng. Hệ thống bị khởi động lại vì
một lý do nào đó, như: Nguồn điện bị mất…Các sự kiện bất thường này nói chung
sẽ không gây nguy hiểm nếu như có những timeout tốt và xác định được các cầu nối
TCP đã bị đứt. Tuy nhiên UDP hoàn toàn bỏ qua các sự cố đặt biệt này; Các client
và server có thể chuyển dữ liệu UDP ngay lập tức và để nó tự nhiên truyền trên
mạng với các sự kiện.
UDP đơn giản hóa việc thực hiện server. Ở những phiên bản trước, server
được thực hiện đơn luồng (single thread), có nghĩa là mỗi lúc chỉ có một yêu cầu
được nhận, xử lí và trả về. Điều này không thể quản lý được trong môi trường kỹ
thuật an toàn quay vòng (back - end security mechanism) dùng thời gian thực (real time). Hàng đợi yêu cầu của server sẽ bị đầy, và trong một môi trường có hàng trăm
người được yêu cầu xác nhận quyền trong mỗi phút, thời gian quay vòng của yêu
cầu sẽ lớn hơn rất nhiều so với thời gian mà user chờ đợi. Do vậy, giải pháp được
chọn là thực hiện server chế độ đa luồng (multu - thread) với UDP. Quá trình xử lý
độc lập sẽ được sinh ra trên server tương ứng với mỗi yêu cầu và những quá trình
này sẽ trả lời trực tiếp với các NAS khách hàng bằng gói UDP tới lớp truyền dẫn
chính của client.
2.3 Xác thực - cấp phép và kiểm toán
Giao thức RADIUS được định nghĩa trong RFC 2865 như sau: Với khả năng
cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication,
Authorization và Accouting - AAA) cho các phiên làm việc với SLIP và PPP Dial Up. Như việc cung cấp dịch vụ internet (ISP) đều dựa trên giao thức này để xác
thực người dùng khi họ truy cập internet.
Trang 1
Nó cần thiết trong các NAS để làm việc với danh sách các username và
password cho việc cấp phép, RADIUS Access - request sẽ chuyển thông tin tới một
Authentication Server, thông thường nó là một AAA Server. Trong kiến trúc của hệ
thống nó tạo ra khả năng tập trung các dữ liệu, thông tin của người dùng, các điều
khiển truy cập trên một điểm duy nhất (single point), trong khi có khả năng cung
cấp cho một hệ thống lớn, cung cấp giải pháp NASs
Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access request tới máy chủ AAA Server, chuyển các thông tin như Username, Password ,
UDP port, NAS indentifier và một Authentication message.
Sau khi nhận các thông tin AAA sử dụng gói tin được cung cấp như NAS
Indentify, và Authentication thẩm định lại việc NAS đó có được phép gửi các yêu
cầu đó không? Nếu có khả năng, AAA server sẽ kiểm tra thông tin username và
password mà người dùng yêu cầu truy cập trong database. Nếu quá trình kiểm tra là
đúng thì nó sẽ mang một thông tin trong Access-request quyết định quá trình truy
cập của user đó là được chấp nhận.
Khi quá trình chứng thực bắt đầu được sử dụng, AAA server có thể trả về
một RADIUS Access - Challenge mang một số ngẫu nhiên. NAS sẽ chuyển thông
tin đến người dùng từ xa. Khi đó người dùng sẽ phải trả lời đúng yêu cầu xác nhận,
sau đó NAS sẽ chuyển đến AAA server một RADIUS Access – Request.
AAA server sau khi kiểm tra các thông tin của người dùng hoàn toàn thỏa
mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access accept. Nếu không thỏa mãn AAA server sẽ trả về một tin RADIUS Access - reject
và NAS sẽ ngắt dịch vụ.
Khi gói tin Access - Accept được nhận và RADIUS Accouting đã được thiết
lập, NAS sẽ gửi một gói tin RADIUS Accouting – request tới AAA server. Máy chủ
sẽ thêm các thông tin vào logfile của nó, với việc NAS sẽ cho phép phiên làm việc
với User bắt đầu khi nào và kết thúc khi nào. RADIUS Accouting làm nhiệm vụ ghi
lại quá trình xác thực của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi
thông tin RADIUS Accouting - request.
Trang 1
CHƯƠNG 3: TRIỂN KHAI CÀI ĐẶT
3.1 Mô hình triển khai
3.2 Thực hiện cài đặt
3.2.1 Chuẩn bị
1 máy Windows Server 2012, đã nâng cấp lên Domain Controller và cài đặt
Network Policy and Access Server.
1 máy Windows Server 2012, không join domain, đã cài đặt Routing and
Remote Access.
1 máy PC.
Trang 1
Bảng IP
Interface
CROSS
LAN
IP
SubnetMask
GateWay
DNS
IP
SubnetMask
GateWay
DNS
Domain Controller
172.16.10.10
255.255.255.0
172.16.10.20
172.16.10.10
Không có
VPN Server
172.16.10.20
255.255.255.0
Bỏ trống
Bỏ trống
192.168.10.20
255.255.255.0
Bỏ trống
Bỏ trống
Client
Không có
192.168.10.10
255.255.255.0
Bỏ trống
Bỏ trống
3.2.2 Tạo Group và User
Bước 1: Kích chuột phải vào Users New Group.
Trang 1
Bước 2: Tại Group name gõ: group 9, sau đó nhấn OK.
Bước 3: Kích chuột phải vào Users New User.
Trang 1
Bước 4: Tại First name gõ: user1
Tại User logon name gõ: user1
Sau đó nhấn Next.
Bước 5: Tại Password gõ: abc^123
Confirm password gõ: abc^123
Trang 1
Bước 6: Kích chuột phải vào user1 chọn Properties. Chọn mục Dail-up
chọn Allow Access OK.
Bước 7: Kích chuột phải vào group9 chọn Properties. Chọn mục Members
nhấn ADD checknames: user1 OK OK.
Trang 1
3.2.3 Cấu hình RADIUS Server trên Domain Controller.
Bước 1: Vào Server Manager Tools Network Policy Server.
Bước 2: Kích chuột phải vào NPS chọn Register Server in Active
Directory OK OK.
Bước 3: Mở New RADIUS Client.
Trang 1
Bước 4: Trong New RADIUS Client
Tại “Friend Name” gõ: VPN D18
Tại “Address (IP or DNS)” gõ IP: 172.16.10.20
Tại “Shared Secret” gõ password: 123
Tại “Confirm shared secret” gõ password: 123
Nhấn OK
Bước 5: Vào Policies Kích chuột phải vào Network Policies chọn New
Trang 1
Bước 6: Trong Specity Network Policy Name and Connection Type.
Tại “Policy Name” gõ: VPN D18
Tại “Type of network access server” chọn: Remote access Server (VPNDial-Up).
Sau đó nhấn Next.
Trang 1
Bước 7: Trong Specity Conditions chọn ADD
Bước 8: Chọn User Group chọn ADD
Trang 1
Bước 9: Chọn Add Group
Bước 10: Trong “Enter the object name to select” gõ: group9 check Name
OK OK
Trang 1
