Quản trị mạng – Trong phần tiếp theo này, chúng tôi sẽ giới thiệu cho các bạn cách triển khai máy chủ chính sách và cách kết nạp chứng chỉ cũng như đăng ký Active Directory cho máy chủ đó.
Trong phần trước của loạt bài này, chúng ta đã biết rằng một trong những cách tốt nhất bảo mật lưu lượng mạng không dây là coi chúng như một mạng không được bảo vệ. Ý tưởng ở đây là xác thực bất cứ ai sử dụng mạng không dây theo cách mà bạn xác thực người dùng kết nối với VPN của mình. Windows Server 2008 có thể được cấu hình để cung cấp hành động xác thực như vậy. Để thực hiện điều này, bạn phải cấu hình Windows làm việc như một máy chủ chính sách mạng (NPS).
Trước khi bắt đầu
Trước khi giới thiệu cách cấu hình máy chủ chính sách mạng, chúng tôi muốn cung cấp cho các bạn một số điều kiện tiên quyết. Như đã giải thích trong phần trước, quá trình xác thực chủ yếu dựa trên chứng chỉ. Chính vì vậy bạn cần phải triển khai CA doanh nghiệp trên mạng theo cách được mô tả trong phần trước hoặc thu thập chứng chỉ từ tổ chức thương mại.
Ngoài ra, chúng ta cũng phải thiết lập môi trường Active Directory và máy chủ sẽ cấu hình làm máy chủ NPS là thành viên miền. Thêm vào đó mạng cũng sẽ yêu cầu máy chủ DNS (giống như tất cả các môi trường Active Directory) và cần phải có thêm máy chủ DHCP.
Cuối cùng, tuy không nhất thiết yêu cầu nhưng chúng ta nên cài đặt Network Policy Server trên một máy tính chuyên biệt (có thể là vật lý hoặc có thể là máy ảo). Ý tưởng ở đây là, nếu Network Policy Server có bị thỏa hiệp thì hacker cũng không thể tăng truy cập vào các dịch vụ mạng khác.
Triển khai máy chủ chính sách mạng
Để triển khai máy chủ chính sách mạng, các bạn hãy mở Server Manager và kích mục Roles. Tiếp theo, kích liên kết Add Roles, Windows sẽ mở Add Roles Wizard. Sau khi Wizard xuất hiện, kích Next để băng qua màn hình chào. Tại đây, bạn sẽ thấy màn hình yêu cầu bạn chọn role máy chủ. Chọn Network Policy and Access Services và kích Next.
Lúc này bạn sẽ thấy màn hình giới thiệu về role Network Policy and Access Services. Kích Next một lần nữa bạn sẽ thấy nhắc nhở chọn dịch vụ role cần triển khai. Chọn dịch vụ Network Policy Server như thể hiện trong hình A và kích Next.
Hình A: Chọn dịch vụ Network Policy Server và kích Next.
Màn hình tiếp theo sẽ hiển thị bảng tóm tắt các tùy chọn cài đặt mà bạn đã chọn. Hãy thẩm định lại các tùy chọn tên màn hình và sau đó kích nút Install. Khi quá trình triển khai hoàn tất, kích Close.
Yêu cầu chứng chỉ
Cho đến đây chúng ta đã cài đặt xong các dịch vụ chính sách mạng, bước tiếp theo cần thực hiện là cung cấp cho nó một chứng chỉ để sử dụng trong quá trình xác thực. Do chúng ta đã thiết lập CA doanh nghiệp trong phần trước nên chúng tôi sẽ giới thiệu cho các bạn cách phát hành yêu cầu từ CA đó. Thủ tục cần thực hiện ở đây được thực hiện trên Windows Server 2008 R2. Các bước thực hiện cụ thể có thể khác biệt đôi chút nếu bạn sử dụng Windows Server 2008.
Bắt đầu quá trình bằng cách nhập lệnh MMC tại nhắc lệnh Run của máy chủ. Khi đó máy chủ sẽ load một giao diện quản lý trống. Chọn Add / Remove Snap-in từ menu File và sau đó Certificates từ danh sách các snap-in có sẵn, tiếp theo kích nút Add. Khi gặp nhắc nhở, hãy thiết lập sử dụng snap-in để quản lý chứng chỉ cho tài khoản máy tính. Kích Next, sau đó chọn tùy chọn Local Computer và kích Finish.
Khi kích OK, bạn sẽ thấy giao diện Certificates. Điều hướng qua cây giao diện để đến mục Certificates (Local Computer) | Personal như thể hiện trong hình B.
Hình B: Điều hướng đến mục Certificates (Local Computer) | Personal
Kích phải vào mục Personal và chọn All Tasks | Request New Certificate từ menu xuất hiện. Lúc đó Windows sẽ khởi chạy Certificate Enrollment Wizard. Kích Next để băng qua màn hành chào, và bạn sẽ được đưa đến màn hình yêu cầu chọn chính sách kết nạp chứng chỉ. Hãy sử dụng giá trị mặc định (Active Directory Enrollment Policy) và kích Next.
Màn hình dưới đây sẽ yêu cầu bạn cung cấp kiểu chứng chỉ mà bạn muốn yêu cầu. Chọn tùy chọn Computer như thể hiện trong hình C và kích nút Enroll.
Hình C: Chọn tùy chọn Computer và kích nút Enroll
Đăng ký máy chủ chính sách mạng
Máy chủ chính sách mạng đã được cung cấp chứng chỉ cần thiết, lúc này chúng ta hãy đi đăng ký máy chủ trong cơ sở dữ liệu Active Directory. Để thực hiện điều đó, hãy vào Administrative Tools và mở giao diện quản lý Network Policy Server. Kích phải vào nút (NPS (Local)) và chọn Register Server trong lệnh Active Directory từ menu chuột phải, xem thể hiện trong hình D.
Hình D: Bạn phải đăng ký máy chủ chính sách mạng trong Active Directory
Khi đăng ký máy chủ trong Active Directory, bạn sẽ thấy thông báo xuất hiện như trong hình E, đây là thông báo giải thích cho bạn biết rằng, để máy chủ chính sách mạng được sử dụng cho mục đích xác thực thì nó phải được phép đọc thuộc tính “dial in” của người dùng trong miền. Hộp thoại này sẽ hỏi bạn có muốn cung cấp cho máy chủ chính sách mạng sự cho phép. Hãy cấp phép và kích OK. Sau khi thực hiện xong bạn sẽ thấy một thông báo như thể hiện trong hình F báo cho bạn biết rằng máy chủ chính sách hiện được phép đọc các thuộc tính “dial in” của người dùng từ miền hiện có. Mặc dù vậy, nếu cần xác thực người dùng từ các miền khác, máy chủ chính sách mạng phải là thành viên miền của nhóm các máy chủ RAS / NPS cho các miền đó.
Hình E: Máy chủ chính sách mạng phải có khả năng đọc thuộc tính “dial-in” của người dùng từ Active Directory
Hình F: Máy chủ chính sách mạng chỉ được phép đọc các thuộc tính “dial-in của người dùng từ miền hiện hành
Kết luận
Cho đến đây, chúng ta đã đăng ký được chính sách mạng bên trong Active Directory và có thể bắt đầu việc cấu hình nó để xác thực truy cập không dây. Chúng tôi sẽ giới thiệu cho các bạn quá trình đó trong phần tiếp theo của loạt bài. Cũng trong phần tiếp theo đó, chúng ta sẽ đi cấu hình máy chủ chính sách mạng để nó coi điểm truy cập không dây của bạn như một máy khách RADIUS. Một phần của quá trình sẽ liên quan đến việc thiết lập các bí mật được dùng chung bởi máy chủ chính sách mạng và điểm truy cập không dây.