Cách thiết lập một RADIUS Server bên trong – Phần 1

Eric Geier

Quản trị mạngCác doanh nghiệp nhỏ có thể tiết kiệm được chi phí và tăng cường độ bảo mật bằng cách sử dụng điểm truy cập có một RADIUS server đi kèm. Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách thiết lập một RADIUS server qua ZyXEL NWA-3160.

Trong hướng dẫn gồm có hai phần này, chúng tôi sẽ giới thiệu cho các bạn từng bước trong quá trình thiết lập một RADIUS server bên trong một AP. Trong loạt bài này, chúng tôi sử dụng AP NWA-3160 của ZyXEL. Ưu điểm của giải pháp này là tính đơn giản và tiết kiệm. Bên cạnh đó dù đã có một mạng không dây đang tồn tại, bạn vẫn có thể bổ sung thêm NWA-3160 (hoặc một AP tương tự khác) và sử dụng RADIUS server của nó cho mạng, kích hoạt thẩm định 802.1x, mã hóa WPA-Enterprise. Nói theo cách khác, một NWA-3160 có thể phục vụ như một RADIUS server cho tất cả các AP khác trên mạng.

Nếu mạng của bạn là một WLAN cơ bản – dựa trên một Router không dây - NWA-3160 cần phải được kết nối vào Router thông qua một trong các cổng Ethernet phía sau. Sau đó bạn mới có thể thực hiện theo các bước trong hướng dẫn này. Với các mạng Wi-Fi lớn hơn, AP của ZyXEL có thể được bổ sung ở bất cứ chỗ nào cùng với chuỗi các AP đang tồn tại. Các AP khác trên mạng sau đó sẽ được cấu hình để có thể sử dụng RADIUS server bên trong của NW-3160. Nếu hiện đang trong quá trình thiết kế một mạng Wi-Fi nâng cao thì NWA-3160 có thể được chọn như một mô hình cho tất cả các AP của bạn.

Trong phần 1 của loạt bài này, chúng tôi sẽ giới thiệu cách thiết lập sao cho NWA-3160 có thể truyền thông với mạng đang tồn tại, bật RADIUS server bên trong và tạo chứng chỉ số cho máy chủ và máy khách. Trong phần 2 sẽ giới thiệu các bước thiết lập các AP và chuẩn bị các máy khách để kết nối.

Cấu hình các thiết lập cơ bản

Trước khi bắt đầu cấu hình RADIUS server bên trong, chúng ta cần đặt các thiết lập LAN cơ bản để AP trở thành một phần của mạng đang tồn tại. Đầu tiên, hãy cắm AP vào ổ cắm điện và kết nối không dây từ máy tính đến AP. Do AP không thể cung cấp địa chỉ IP cho máy tính (vì nó không có DHCP server) và AP không được thiết lập để truyền thông với Router nên địa chỉ IP sẽ không được cấp cho adapter mạng của máy tính.

Lúc này, chúng ta sẽ cấu hình adapter mạng của máy tính bằng địa chỉ IP tĩnh và subnet mask bên trong subnet mặc định của AP giống như vậy. Cho ví dụ, địa chỉ IP 192.168.1.3 và subnet mask 255.255.255.0 sẽ làm việc cho NWA-3160, xem thể hiện trong hình 1.

Tutorial - Geier E - 1061 - Fig 1.jpg
Hình 1

Truy cập vào tiện ích cấu hình web bằng cách nhập vào địa chỉ IP mặc định của AP (192.168.1.2 cho NWA-3160) vào trình duyệt web và sử dụng mật khẩu mặc định (1234 cho NWA-3160) để đăng nhập. Sau đó hãy vào phần IP và thay đổi các thiết lập IP mặc định của AP (xem trong hình 2) tương ứng với mạng đang tồn tại của bạn.

Tutorial - Geier E - 1061 - Fig 2.jpg
Hình 2

Nếu địa chỉ IP của Router trên mạng đang tồn tại là 192.168.1.1, hãy để mặc địa chỉ IP và subnet mask mặc định đó của AP, tuy nhiên bạn cần nhập vào địa chỉ IP của Router cho giá trị IP của gateway. Lưu ý rằng, các địa chỉ IP mang tính duy nhất. Chính vì vậy, nếu thiết lập nhiều AP, các địa chỉ sau có thể được thiết lập cho các AP khác: 192.168.1.2, 192.168.1.3, 192.168.1.4, 192.168.1.5,… Nếu địa chỉ IP của Router là 192.168.0.1, các địa chỉ sau sẽ làm việc cho các AP: 192.168.0.2, 192.168.0.3, 192.168.0.4,… Trong hầu hết các trường hợp, subnet mask 255.255.255.0 sẽ làm việc với bất cứ địa chỉ IP của Router nào. Nhớ rằng, địa chỉ IP của gateway là địa chỉ của Router trên mạng.

Sau khi các thiết lập IP thích hợp đã được đặt cho AP, các máy tính đang kết nối vào AP mới sẽ được trao các địa chỉ IP một cách tự động.

Để kết thúc cài đặt cơ bản của AP, hãy tìm một điểm thích hợp cho AP và kết nối nó vào mạng đang tồn tại (một Router hoặc switch) thông qua cáp Ethernet.

Kích hoạt RADIUS server bên trong

Sau khi cấu hình AP làm việc với mạng đang tồn tại, bạn hãy truy cập vào các thiết lập cho RADIUS server bên trong bằng cách kích vào liên kết AUTH. SERVER từ màn hình cấu hình web. Bảo đảm hộp kiểm Active cần được đánh dấu (xem trong hình 3), đây là hộp kiểm sẽ kích hoạt máy chủ.

Tutorial - Geier E - 1061 - Fig 3.jpg
Hình 3

Tiếp đến, kích tab Trusted AP và nhập vào các địa chỉ IP của tất cả các AP trong mạng, mỗi một địa chỉ có kèm theo một shared secret riêng. Hình 4 thể hiện một ví dụ nhập đó. Bạn không được quên kích hộp kiểm Active cho mỗi một entry AP.

Tutorial - Geier E - 1061 - Fig 4.jpg
Hình 4

Mẹo: Khi tạo các shared secret cho các AP, hãy chọn một mật khẩu mạnh, số lượng có thể lên đến 31 ký tự vừa chữ vừa số. Về sau các mật khẩu này sẽ được nhập vào các AP và để mã hóa mạng; chính vì thế mà bạn cần giữ một bản copy của chúng ở một địa điểm an toàn nào đó. Cũng tương tự với các mật khẩu của tài khoản, chiều dài có thể lên đến 14 ký tự; sử dụng các mật khẩu mạnh và giữ chúng một cách an toàn.

Tiếp đến, chọn tab Trusted Users và tạo một user name và password cho người sẽ truy cập vào mạng, cần chọn Active cho mỗi một entry. Có sự kết hợp giữa tên và mật khẩu mà người dùng sẽ sử dụng khi kết nối vào mạng không dây.

Cấu hình và phân phối một chứng chỉ số

Setup của chúng ta được thiết kế cần phải làm cho các máy khách không dây sẽ phân biệt được RADIUS server trước khi một kết nối được thiết lập. Điều này sẽ ngăn chặn được khả năng ai đó thiết lập một AP giả mạo nhằm đánh cắp username và password mà người dùng sử dụng để kết nối. Các chứng chỉ số được sử dụng cho quá trình thẩm định này. Chứng chỉ load trên RADIUS server phải được cấp từ một nơi có thẩm quyền về chứng chỉ (CA) mà các máy tính tin cậy, ví dụ như VeriSign. Khi một chứng chỉ tự ký (self-signed) được sử dụng thay cho (chẳng hạn như chứng chỉ mà NWA-3160 tạo) người dùng sẽ phải tự cài đặt chứng chỉ trên máy tính để quá trình thẩm định làm việc. Sở dĩ xảy ra điều này là vì chứng chỉ không được cấp từ CA mà các máy tính tin tưởng tự động.

Chúng ta có thể load một chứng chỉ trên RADIUS server của AP bằng cách sử dụng tiện ích built-in của NWA-3160, đây là tiện ích để tạo chứng chỉ tự ký, hoặc bằng cách upload một chứng chỉ được mua từ một CA thứ ba. Nếu sử dụng tiện ích built-in, hãy thay thế chứng chỉ nhà máy bằng một chứng chỉ duy nhất. Chứng chỉ này (được dựa trên địa chỉ MAC của NWA-3160) có thể được tạo sau khi đăng nhập vào AP lần đầu, trên trang Replace Factory Default Certificate. Nếu bước này bị bỏ qua, bạn sẽ có một tùy chọn khác là vào phần CERTIFICATES của màn hình cấu hình của AP và kích nút Replace. Để upload một chứng chỉ của nhóm thứ ba, kích nút Import trong phần CERTIFICATES.

Nếu sử dụng chứng chỉ tự ký, máy tính Windows sử dụng mạng WPA-Enterprise sẽ cần phải có chứng chỉ số như vậy được cài đặt. Nếu một chứng chỉ được mua từ một CA mà Windows có thể tự động nhận diện thì điều này là không cần thiết. Ngoài ra, việc cài đặt chứng chỉ (tự ký hay không) trên các máy tính Mac OS X cũng không được yêu cầu.

Bước đầu tiên để lấy chứng chỉ tự gán trên máy tính Windows là export một chứng chỉ máy chủ vào file .crt. Trên phần CERTIFICATES của màn hình cấu hình của AP, kích nút Details, tìm và kích nút Export. Trong hộp Save As, duyệt đến địa điểm bạn cần lưu nó, bổ sung phần mở rộng .crt và tên file và kích Save.

Để cài đặt chứng chỉ trên máy tính Windows, kích phải vào file .crt và chọn Install Certificate. Trên Certificate Import Wizard xuất hiện, kích Next. Sau đó chọn tùy chọn Place all certificates in the following store, kích Browse, chọn Trusted Root Certification Authorities, và kích OK. Sau đó kích Next để chuyển sang màn hình tiếp theo và kích Finish ở màn hình đó.

Thứ Hai, 17/08/2009 09:55
41 👨 16.161
0 Bình luận
Sắp xếp theo