Tải bản đầy đủ (.pdf) (4 trang)

Tài liệu Giới thiệu về Network Access Protection (Phần 2) docx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (193.6 KB, 4 trang )

Giới thiệu về Network Access Protection (Phần 2)
Ngu
ồn : quantrimang.com 
Trong phần đầu của loạt bài viết này, chúng tôi đã giới thiệu cho các bạn
một số khái niệm liên quan đến Network Access Protection. Trong phần hai
này chúng tôi muốn bắt đầu việc thảo luận về mộ số yêu cầu mạng cơ bản
và các điều kiện quyết định khác. Sau đó là quá trình cấu hình như thế nào.

Cơ sở hạ tầng Network Access Protection

Việc thi hành NAP cần sử dụ
ng một số máy chủ, mỗi một máy chủ có một vai trò
riêng. Bạn có thể xem ở hình A để có cái nhìn tổng quát về vấn đề này.

Hình A: Việc thi hành NAP yêu cầu một số máy chủ để sử dụng
Như bạn thấy trong sơ đồ, client Windows Vista đang kết nối đến một Longhorn
Server đang chạy dịch vụ truy cập từ xa (RRAS). Máy chủ này làm việc như máy
chủ VPN cho mạng. Client Windows Vista thiết lập mộ
t kết nối đến máy chủ VPN
này theo cách thông thường.

Khi người dùng từ xa kết nối đến máy chủ VPN thì bộ kiểm tra miền sẽ kiểm tra
tính hợp lệ của máy tính người dùng xem nó có đáp ứng được với chính sách
mạng và chỉ ra những chính sách an toàn nào đã được đáp ứng, một máy chủ
được sử dụng để cấu hình cả Remote Access Service và Network Policy Server.
Trong thế giới thực, các máy chủ VPN hoạt động ở lớp vành đai mạng và không
nên cấu hình máy chủ chính sách mạng trên máy chủ vành đai.

Bộ điều khiển miền

Nếu nhìn vào sơ đồ hiển thị trong hình A thì bạn sẽ thấy được rằng một trong


những máy chủ yêu cầu là bộ điều khiển miền. Không nên nghĩ nó chỉ
là một
máy chủ riêng lẻ, nó có thể khá như một cơ sở hạ tầng Active Directory trọn vẹn.
Một Active Directory không thể hoạt động mà không có máy chủ DNS, nếu sơ đồ
đã trình bày biểu diễn đúng một mạng thì bộ điều khiển miền sẽ đang cấu hình
các dịch vụ DNS. Tất nhiên trong các tổ chức thế giới thực sử dụng điển hình
nhiều bộ
điều khiển miền và các máy chủ DNS chuyên dụng.

Nhân tố khác cần xem xét cho sự không rõ ràng ở sơ đồ là quyền cấp chứng chỉ
hoạt động kinh doanh cũng được yêu cầu. Trong trường hợp sơ đồ này, các dịch
vụ cấp chứng chỉ có thể dễ dàng được cấu hình trên bộ điều khiển miền. Trong
thế giới thực, một máy chủ chuyên dụng thường được sử dụ
ng như quyền cấp
chứng chỉ bởi vì tính chất nhạy cảm của các chứng chỉ số.

Trong trường hợp bạn đang phân vân, lý do tại sao quyền cấp chứng chỉ hoạt
động kinh doanh được yêu cầu là bởi vì máy chủ VPN sử dụng giao thức PEAP-
MSCHAPv2 để thẩm định. Giao thức PEAP là chứng chỉ gốc. Máy chủ VPN sẽ
sử dụng một chứng chỉ máy bên cạnh máy chủ, nhưng ng
ược lại các client lại
sử dụng các chứng chỉ người dùng.

Cài đặt quyền cấp chứng chỉ hoạt động kinh doanh

Thủ tục cho việc triển khai một quyền cấp chứng chỉ hoạt động kinh doanh thay
đổi phụ thuộc vào việc bạn đang cài đặt các dịch vụ trên Windows 2003 Server
hay Longhorn Server. Một trong những mục đích của tôi trong bài viết này
hướng tới cho các bạn đọc đã khá thân thiện v
ới Longhorn Server. Các thủ tục

dưới đây được dự định cho việc cài đặt các dịch vụ chứng chỉ trên Longhorn
Server.

Trước khi trình bày cách làm thế nào để cài đặt các dịch vụ chứng chỉ thì bạn
cần phải ghi nhớ 2 điều. Đầu tiên đó là, Longhorn Server vẫn là bản chạy thử
nghiệm, do vậy nó có thể thay đổi cho tới khi sản phẩm cuối cùng được phát
hành, một thay đổi lớn trong quá trình phát triển ứng d
ụng này là khó có thể xảy
ra.

Điều thứ hai cần phải lưu ý đó là khi triển khai trong thế giới thực thì bạn luôn
muốn có được các phép đo hiệu quả để bảo đảm quyền cấp chứng chỉ hoạt
động kinh doanh là an toàn. Hơn tất cả, nếu ai đó đã đoạt được quyền cấp
chứng chỉ hoạt động kinh doanh của bạn thì họ có thể làm chủ được mạng. Do
bài viết này chỉ tập trung vào NAP nên chúng tôi sẽ giới thiệu cho các bạn một
chút về dịch vụ cấp chứng chỉ này và hoạt động của nó. Trong triển khai thế giới
thực, bạn sẽ muốn có được v
ề cấu hình của máy chủ.

Bắt đầu quá trình triển khai bằng việc mở Server Manager của Longhorn Server
và chọn tùy chọn Manage Roles. Tiếp theo, nhấn liên kết Add Roles đã tìm thấy
trong phần Roles Summary. Việc này sẽ là cho Windows khởi động Add Roles
Wizard. Nhấn Next để bỏ qua của sổ này. Bạn sẽ thấy một danh sách chứa tất
cả các thành phần sẵn có. Chọn tùy chọn Active Directory Certificate Server
từ danh sách. Đ
ôi khi có thể không xuất hiện các thành phần được liệt kê theo
thứ tự alphabe, chính vì vậy bạn có thể phải đọc thông qua toàn bộ danh sách
để tìm dịch vụ thích hợp. Nhấn Next để tiếp tục.

Cửa sổ này sẽ giới thiệu cho bạn về các dịch vụ cấp chứng chỉ và cung cấp một

số chú ý. Nhấn Next, bạn sẽ thấy một cửa sổ khác hỏi về thành phầ
n nào muốn
cài đặt. Chọn các hộp checkbox Certification Authority và Certificate
Authority Web Enrollment và nhấn Next.

Bây giờ bạn sẽ thấy một cửa sổ hỏi có muốn tạo một quyền cấp chứng chỉ hoạt
động kinh doanh hay không hay một quyền chứng chỉ độc lập. Chọn tùy chọn
Enterprise Certificate Authority và nhấn Next. Bạn sẽ được nhắc nhở xem
máy chủ này có nên thực hiện như một Root CA hay Subordinate CA
không.
Nếu đây là lần đầu tiên quyền cấp chứng chỉ trong phòng thì bạn nên chọn tùy
chọn Root CA. Nhấn Next để tiếp tục.

Wizard sẽ hỏi xem có muốn tạo một khóa riêng mới hay sử dụng khóa riêng
đang tồn tại. Nếu đây lại là một thử nghiệm thì bạn chọn tùy chọn tạo một khóa
riêng mới và nhấn Next để tiếp tục.

Cửa sổ ti
ếp theo sẽ yêu cầu bạn chọn một nhà cung cấp dịch vụ bằng mật mã,
chiều dài khóa và thuật toán hash. Trong triển khai thế giới thực, có nhiều thứ
cần phải xem xét cẩn thận. Khi chúng ta đang thiết lập quyền cấp chứng chỉ này
cho mục đích chứng minh thì chúng ta nên để mặc định và nhấn Next.

Cửa sổ tiếp theo để bạn định nghĩa một tên chung và hậu tố tên đặ
c biệt đối với
quyền cấp chứng chỉ. Lại tiếp tục chọn mặc định và nhấn Next.

Bây giờ bạn nên xem cửa số đang yêu cầu thời gian chứng chỉ hợp lệ là bao lâu,
mặc định chu kỳ này là 5 năm, điều đó khá tốt đối với các mục đích của chúng
ta, vì vậy hãy nhấn Next để tiếp tục. Cửa số tiế

p theo sẽ hỏi xem các cơ sở dữ
liệu chứng chỉ và các bản ghi phiên liên lạc tương ứng của chúng sẽ được đặt ở
đâu. Trong môi trường sản xuất, việc chọn một vị trí thích hợp có tác dụng giới
hạn cho khả năng chống sai sót và bảo mật. Nếu được tiến hành thử nghiệm,
bạn hãy để mặc định và nhấn Next.

Cuối cùng là cửa sổ diễn tả chi tiết về các tùy chọn mà bạn đã chọn. Nhấn nút
Install sau đó Windows sẽ copy những file cần thiết và cấu hình các dịch vụ
bên
dưới.

Kết luận

Vậy là chúng tôi đã trình bày cho các bạn cách cấu hình quyền cấp chứng chỉ
hoạt động kinh doanh, và là thời điểm bạn bắt đầu cấu hình máy chủ VPN. Mời
các bạn đón xem phần 3.
 

×