Trong phần đầu của loạt bài viết này, chúng tôi đã giới thiệu cho các bạn một số khái niệm liên quan đến Network Access Protection. Trong phần hai này chúng tôi muốn bắt đầu việc thảo luận về mộ số yêu cầu mạng cơ bản và các điều kiện quyết định khác. Sau đó là quá trình cấu hình như thế nào.
Cơ sở hạ tầng Network Access Protection
Việc thi hành NAP cần sử dụng một số máy chủ, mỗi một máy chủ có một vai trò riêng. Bạn có thể xem ở hình A để có cái nhìn tổng quát về vấn đề này.
Hình A: Việc thi hành NAP yêu cầu một số máy chủ để sử dụng
Như bạn thấy trong sơ đồ, client Windows Vista đang kết nối đến một Longhorn Server đang chạy dịch vụ truy cập từ xa (RRAS). Máy chủ này làm việc như máy chủ VPN cho mạng. Client Windows Vista thiết lập một kết nối đến máy chủ VPN này theo cách thông thường.
Khi người dùng từ xa kết nối đến máy chủ VPN thì bộ kiểm tra miền sẽ kiểm tra tính hợp lệ của máy tính người dùng xem nó có đáp ứng được với chính sách mạng và chỉ ra những chính sách an toàn nào đã được đáp ứng, một máy chủ được sử dụng để cấu hình cả Remote Access Service và Network Policy Server. Trong thế giới thực, các máy chủ VPN hoạt động ở lớp vành đai mạng và không nên cấu hình máy chủ chính sách mạng trên máy chủ vành đai.
Bộ điều khiển miền
Nếu nhìn vào sơ đồ hiển thị trong hình A thì bạn sẽ thấy được rằng một trong những máy chủ yêu cầu là bộ điều khiển miền. Không nên nghĩ nó chỉ là một máy chủ riêng lẻ, nó có thể khá như một cơ sở hạ tầng Active Directory trọn vẹn. Một Active Directory không thể hoạt động mà không có máy chủ DNS, nếu sơ đồ đã trình bày biểu diễn đúng một mạng thì bộ điều khiển miền sẽ đang cấu hình các dịch vụ DNS. Tất nhiên trong các tổ chức thế giới thực sử dụng điển hình nhiều bộ điều khiển miền và các máy chủ DNS chuyên dụng.
Nhân tố khác cần xem xét cho sự không rõ ràng ở sơ đồ là quyền cấp chứng chỉ hoạt động kinh doanh cũng được yêu cầu. Trong trường hợp sơ đồ này, các dịch vụ cấp chứng chỉ có thể dễ dàng được cấu hình trên bộ điều khiển miền. Trong thế giới thực, một máy chủ chuyên dụng thường được sử dụng như quyền cấp chứng chỉ bởi vì tính chất nhạy cảm của các chứng chỉ số.
Trong trường hợp bạn đang phân vân, lý do tại sao quyền cấp chứng chỉ hoạt động kinh doanh được yêu cầu là bởi vì máy chủ VPN sử dụng giao thức PEAP-MSCHAPv2 để thẩm định. Giao thức PEAP là chứng chỉ gốc. Máy chủ VPN sẽ sử dụng một chứng chỉ máy bên cạnh máy chủ, nhưng ngược lại các client lại sử dụng các chứng chỉ người dùng.
Cài đặt quyền cấp chứng chỉ hoạt động kinh doanh
Thủ tục cho việc triển khai một quyền cấp chứng chỉ hoạt động kinh doanh thay đổi phụ thuộc vào việc bạn đang cài đặt các dịch vụ trên Windows 2003 Server hay Longhorn Server. Một trong những mục đích của tôi trong bài viết này hướng tới cho các bạn đọc đã khá thân thiện với Longhorn Server. Các thủ tục dưới đây được dự định cho việc cài đặt các dịch vụ chứng chỉ trên Longhorn Server.
Trước khi trình bày cách làm thế nào để cài đặt các dịch vụ chứng chỉ thì bạn cần phải ghi nhớ 2 điều. Đầu tiên đó là, Longhorn Server vẫn là bản chạy thử nghiệm, do vậy nó có thể thay đổi cho tới khi sản phẩm cuối cùng được phát hành, một thay đổi lớn trong quá trình phát triển ứng dụng này là khó có thể xảy ra.
Điều thứ hai cần phải lưu ý đó là khi triển khai trong thế giới thực thì bạn luôn muốn có được các phép đo hiệu quả để bảo đảm quyền cấp chứng chỉ hoạt động kinh doanh là an toàn. Hơn tất cả, nếu ai đó đã đoạt được quyền cấp chứng chỉ hoạt động kinh doanh của bạn thì họ có thể làm chủ được mạng. Do bài viết này chỉ tập trung vào NAP nên chúng tôi sẽ giới thiệu cho các bạn một chút về dịch vụ cấp chứng chỉ này và hoạt động của nó. Trong triển khai thế giới thực, bạn sẽ muốn có được về cấu hình của máy chủ.
Bắt đầu quá trình triển khai bằng việc mở Server Manager của Longhorn Server và chọn tùy chọn Manage Roles. Tiếp theo, nhấn liên kết Add Roles đã tìm thấy trong phần Roles Summary. Việc này sẽ là cho Windows khởi động Add Roles Wizard. Nhấn Next để bỏ qua của sổ này. Bạn sẽ thấy một danh sách chứa tất cả các thành phần sẵn có. Chọn tùy chọn Active Directory Certificate Server từ danh sách. Đôi khi có thể không xuất hiện các thành phần được liệt kê theo thứ tự alphabe, chính vì vậy bạn có thể phải đọc thông qua toàn bộ danh sách để tìm dịch vụ thích hợp. Nhấn Next để tiếp tục.
Cửa sổ này sẽ giới thiệu cho bạn về các dịch vụ cấp chứng chỉ và cung cấp một số chú ý. Nhấn Next, bạn sẽ thấy một cửa sổ khác hỏi về thành phần nào muốn cài đặt. Chọn các hộp checkbox Certification Authority và Certificate Authority Web Enrollment và nhấn Next.
Bây giờ bạn sẽ thấy một cửa sổ hỏi có muốn tạo một quyền cấp chứng chỉ hoạt động kinh doanh hay không hay một quyền chứng chỉ độc lập. Chọn tùy chọn Enterprise Certificate Authority và nhấn Next. Bạn sẽ được nhắc nhở xem máy chủ này có nên thực hiện như một Root CA hay Subordinate CA không. Nếu đây là lần đầu tiên quyền cấp chứng chỉ trong phòng thì bạn nên chọn tùy chọn Root CA. Nhấn Next để tiếp tục.
Wizard sẽ hỏi xem có muốn tạo một khóa riêng mới hay sử dụng khóa riêng đang tồn tại. Nếu đây lại là một thử nghiệm thì bạn chọn tùy chọn tạo một khóa riêng mới và nhấn Next để tiếp tục.
Cửa sổ tiếp theo sẽ yêu cầu bạn chọn một nhà cung cấp dịch vụ bằng mật mã, chiều dài khóa và thuật toán hash. Trong triển khai thế giới thực, có nhiều thứ cần phải xem xét cẩn thận. Khi chúng ta đang thiết lập quyền cấp chứng chỉ này cho mục đích chứng minh thì chúng ta nên để mặc định và nhấn Next.
Cửa sổ tiếp theo để bạn định nghĩa một tên chung và hậu tố tên đặc biệt đối với quyền cấp chứng chỉ. Lại tiếp tục chọn mặc định và nhấn Next.
Bây giờ bạn nên xem cửa số đang yêu cầu thời gian chứng chỉ hợp lệ là bao lâu, mặc định chu kỳ này là 5 năm, điều đó khá tốt đối với các mục đích của chúng ta, vì vậy hãy nhấn Next để tiếp tục. Cửa số tiếp theo sẽ hỏi xem các cơ sở dữ liệu chứng chỉ và các bản ghi phiên liên lạc tương ứng của chúng sẽ được đặt ở đâu. Trong môi trường sản xuất, việc chọn một vị trí thích hợp có tác dụng giới hạn cho khả năng chống sai sót và bảo mật. Nếu được tiến hành thử nghiệm, bạn hãy để mặc định và nhấn Next.
Cuối cùng là cửa sổ diễn tả chi tiết về các tùy chọn mà bạn đã chọn. Nhấn nút Install sau đó Windows sẽ copy những file cần thiết và cấu hình các dịch vụ bên dưới.
Kết luận
Vậy là chúng tôi đã trình bày cho các bạn cách cấu hình quyền cấp chứng chỉ hoạt động kinh doanh, và là thời điểm bạn bắt đầu cấu hình máy chủ VPN. Mời các bạn đón xem phần 3.
Giới thiệu về Network Access Protection (Phần 3)
Giới thiệu về Network Access Protection (Phần 4)
Giới thiệu về Network Access Protection (Phần 5)
Giới thiệu về Network Access Protection (Phần 6)
Giới thiệu về Network Access Protection (Phần 7)