Giới thiệu về Network Access Protection (Phần 6)
Ngu
ồn : quantrimang.com
Trong các bài trước chúng tôi đã giới thiệu cho các bạn cách tạo chính
sách thẩm định cho cả máy tính cần kiểm tra lẫn không cần kiểm tra. Trong
bài này, chúng tôi sẽ tiếp tục giới thiệu thủ tục cấu hình máy chủ. Bước
đầu tiên trong việc này là tạo một chính sách thẩm định mặc định có thể áp
dụng cho bất kỳ máy tính nào được thẩm định thông qua máy chủ RRAS.
Bắt đầu quá trình bằng việc m
ở cửa sổ Network Policy Server và vào NPS
(Local) | Authentication Processing | Authentication Policies. Khi đã vào đến đây,
cửa sổ chi tiết phải hiển thị bất kỳ chính sách thẩm định đã tồn tại trước đó. Xóa
các chính sách đã tồn tại bằng cách kích chuột vào chúng và chọn lệnh Delete
từ menu chuột phải.
Bây giờ chúng ta tạo một chính sách thẩm định mặc định. Để thực hiện, chúng ta
kích chuột vào liên kết New trong cửa sổ Actions, sau đó chọn tùy ch
ọn Custom.
Windows sẽ hiển thị cho bạn cửa số thuộc tính của New Authentication Policy
như hình A.
Hình A: Nhập RRAS như một tên chính sách sau đó thẩm định chính sách đó đã
được kích hoạt
Nhập RRAS như một tên chính sách sau đó thẩm định hộp kiểm Policy Enabled
đã được lựa chọn. Tiếp theo, bảo đảm rằng nút Available Sources cũng phải
được chọn, sau đó chọn tùy chọn Remote Access Server (VPN-Dialup) trong
danh sách có sẵn của Available Sources.
Bây giờ, chuyển sang tab Setting và chọn Authentication từ cây điều khiển. Chọn
Override Authentication Settings từ hộp kiểm Authorization Policy. Sau khi thự
c
hiện điều đó, một cửa sổ chi tiết sẽ xuất hiện một loạt phương pháp thẩm định,
như trong hình B. Chọn hộp kiểm EAP sau đó kích nút EAP Methods.
Hình B: Chọn hộp kiểm EAP sau đó kích vào EAP Methods
Windows sẽ hiển thị hộp thoại Select EAP Providers. Kích chuột vào nút “Add”
để lộ ra danh sách các phương pháp thẩm định EAP. Chọn EAP-MSCHAPv2 và
Protected EAP (PEAP) từ danh sách và kích OK. Các phương pháp thẩm định
EAP đã chọn bây giờ phải được hiển thị trong hộp thoại Select EAP Providers
như hình C. Kích OK để tiếp tục.
Hình C: Bạn phải kích hoạt thẩm định MSCHAPv2 và PEAP
Bây giờ vào tab Conditions. Bạn phải chọn ít nhất một điều kiện để chính sách
được bắt buộc theo. Bạn có thể thiết lập bất kỳ điều kiện nào mà bạn muốn,
chúng tôi khuyên bạn nên vào Connection Properties | Tunnel Type và sau đó
chọn Point to Point Tunneling Protocol và Layer Two Tunneling Protocol, sau đó
kích nút “Add”. Bằng cách làm như vậy, chính sách thẩm định mới sẽ áp dụng
cho các kết nối VPN. Kích OK để lưu chính sách th
ẩm định mới mà bạn vừa mới
tạo.
Chính sách cấu hình máy khách RADIUS
Trong loại triển khai này, Network Policy Server làm việc như một máy chủ
RADIUS. Đúng hơn là các máy khách đang thực hiện một thẩm định RADIUS
trực tiếp cho Network Policy Server, RRAS server đang thực hiện như một máy
chủ VPN sẽ làm việc như RADIUS client
Bước cuối trong quá trình cấu hình máy chủ liên quan đến việc cung cấp
Network Policy Server với một danh sách các máy khách RADIUS đã thẩm đị
nh.
Chỉ khi RADIUS client sẽ trở thành máy chủ VPN thì bạn sẽ nhập vào địa chỉ IP
của máy chủ VPN. Khi các dịch vụ RRAS đang chạy trên cùng một máy chủ vật
lý như các dịch vụ chính sách mạng Network Policy Services thì bạn sẽ sử dụng
địa chỉ IP của máy chủ.
Để tạo một chính sách cấu hình máy khách RADIUS, trong Network Policy
Server bạn tìm vào NPS (Local) | RADIUS Clients. Kích liên kết New RADIUS
Client trong cửa số Actions. Windows sẽ khởi chạy New RADIUS Client Wizard.
Trên màn hình ban đầu của wizard bạn sẽ phả
i nhập vào tên và địa chỉ IP cho
RADIUS client mới. Trong triển khai thực, bạn nên nhập vào RRAS và địa chỉ IP
của máy chủ RRAS vào khoảng trống được cấp. Khi bạn gọi trở lại RRAS sẽ
chạy trên cùng một máy chủ trong Network Policy Services. Chính vì vậy, nhập
địa chỉ IP của chính máy chủ vào khoảng trống được cấp và kích Next.
Bây giờ, wizard sẽ hiển thị cửa sổ Additional Information. Cửa số này hỏi bạn về
hãng client và các bí mật được chia s
ẻ. Chọn RADIUS Standard trong Client
Vendor. Với các mục đích trong bài viết, nhập RRASS trong mật khẩu chia sẻ.
Chọn hộp kiểm Client is NAP Capable, như thể hiện trong hình D và kích Finish.
Hình D: Nhập vào mật khẩu chia sẻ và chọn hộp kiểm Client is NAP Capable
Cấu hình máy khách
Chúng ta đã kết thúc việc cấu hình Network Policy Server, đây là lúc cấu hình
máy khách kết nối với máy chủ. Hãy nhớ rằng kỹ thuật mà tôi giới thiệu cho bạn
sẽ chỉ làm việc trên các máy khách đang chạy Windows Vista.
Với mục đích của bài viết này, chúng tôi đang thừa nhận rằng máy khách đang
chạy Windows Vista và nó được cấu hình với một đị
a chỉ IP tĩnh. Như bạn đã
biết, Windows Vista được thiết kế để chạy IPv6 một cách mặc định. Network
Access Protection phải được hỗ trợ IPv6 nhưng Windows Longhorn Server vẫn
đang trong giai đoạn thử nghiệm và dường như IPv6 không được hỗ trợ hiện
nay khi nói đến Network access protection. Trong trường hợp đó bạn phải vô
hiệu hóa IPv6 trên cấu hình mạng của máy tính. Khi Longhorn Server được phát
hành, chúng tôi dự định viết một bản nâng cấ
p cho loạt bài viết này nhằm vào
việc sử dụng IPv6 cũng như bất cứ thứ gì mà được thay đổi so với bản Beta.
Máy khách cũng phải được cấu hình như một thành viên của miền có Network
Policy Server. Thêm vào đó, miền phải gồm một tài khoản người dùng mà bạn
có thể sử dụng để đăng nhập vào Routing and Remote Access Server đã tạo.