Giới thiệu về Network Access Protection (Phần 1)
Giới thiệu về Network Access Protection (Phần 2)
Giới thiệu về Network Access Protection (Phần 3)
Giới thiệu về Network Access Protection (Phần 4)
Giới thiệu về Network Access Protection (Phần 5)
Trong các bài trước chúng tôi đã giới thiệu cho các bạn cách tạo chính sách thẩm định cho cả máy tính cần kiểm tra lẫn không cần kiểm tra. Trong bài này, chúng tôi sẽ tiếp tục giới thiệu thủ tục cấu hình máy chủ. Bước đầu tiên trong việc này là tạo một chính sách thẩm định mặc định có thể áp dụng cho bất kỳ máy tính nào được thẩm định thông qua máy chủ RRAS.
Bắt đầu quá trình bằng việc mở cửa sổ Network Policy Server và vào NPS (Local) | Authentication Processing | Authentication Policies. Khi đã vào đến đây, cửa sổ chi tiết phải hiển thị bất kỳ chính sách thẩm định đã tồn tại trước đó. Xóa các chính sách đã tồn tại bằng cách kích chuột vào chúng và chọn lệnh Delete từ menu chuột phải.
Bây giờ chúng ta tạo một chính sách thẩm định mặc định. Để thực hiện, chúng ta kích chuột vào liên kết New trong cửa sổ Actions, sau đó chọn tùy chọn Custom. Windows sẽ hiển thị cho bạn cửa số thuộc tính của New Authentication Policy như hình A.
Hình A: Nhập RRAS như một tên chính sách sau đó thẩm định chính sách đó đã được kích hoạt
Nhập RRAS như một tên chính sách sau đó thẩm định hộp kiểm Policy Enabled đã được lựa chọn. Tiếp theo, bảo đảm rằng nút Available Sources cũng phải được chọn, sau đó chọn tùy chọn Remote Access Server (VPN-Dialup) trong danh sách có sẵn của Available Sources.
Bây giờ, chuyển sang tab Setting và chọn Authentication từ cây điều khiển. Chọn Override Authentication Settings từ hộp kiểm Authorization Policy. Sau khi thực hiện điều đó, một cửa sổ chi tiết sẽ xuất hiện một loạt phương pháp thẩm định, như trong hình B. Chọn hộp kiểm EAP sau đó kích nút EAP Methods.
Hình B: Chọn hộp kiểm EAP sau đó kích vào EAP Methods
Windows sẽ hiển thị hộp thoại Select EAP Providers. Kích chuột vào nút “Add” để lộ ra danh sách các phương pháp thẩm định EAP. Chọn EAP-MSCHAPv2 và Protected EAP (PEAP) từ danh sách và kích OK. Các phương pháp thẩm định EAP đã chọn bây giờ phải được hiển thị trong hộp thoại Select EAP Providers như hình C. Kích OK để tiếp tục.
Hình C: Bạn phải kích hoạt thẩm định MSCHAPv2 và PEAP
Bây giờ vào tab Conditions. Bạn phải chọn ít nhất một điều kiện để chính sách được bắt buộc theo. Bạn có thể thiết lập bất kỳ điều kiện nào mà bạn muốn, chúng tôi khuyên bạn nên vào Connection Properties | Tunnel Type và sau đó chọn Point to Point Tunneling Protocol và Layer Two Tunneling Protocol, sau đó kích nút “Add”. Bằng cách làm như vậy, chính sách thẩm định mới sẽ áp dụng cho các kết nối VPN. Kích OK để lưu chính sách thẩm định mới mà bạn vừa mới tạo.
Chính sách cấu hình máy khách RADIUS
Trong loại triển khai này, Network Policy Server làm việc như một máy chủ RADIUS. Đúng hơn là các máy khách đang thực hiện một thẩm định RADIUS trực tiếp cho Network Policy Server, RRAS server đang thực hiện như một máy chủ VPN sẽ làm việc như RADIUS client
Bước cuối trong quá trình cấu hình máy chủ liên quan đến việc cung cấp Network Policy Server với một danh sách các máy khách RADIUS đã thẩm định. Chỉ khi RADIUS client sẽ trở thành máy chủ VPN thì bạn sẽ nhập vào địa chỉ IP của máy chủ VPN. Khi các dịch vụ RRAS đang chạy trên cùng một máy chủ vật lý như các dịch vụ chính sách mạng Network Policy Services thì bạn sẽ sử dụng địa chỉ IP của máy chủ.
Để tạo một chính sách cấu hình máy khách RADIUS, trong Network Policy Server bạn tìm vào NPS (Local) | RADIUS Clients. Kích liên kết New RADIUS Client trong cửa số Actions. Windows sẽ khởi chạy New RADIUS Client Wizard.
Trên màn hình ban đầu của wizard bạn sẽ phải nhập vào tên và địa chỉ IP cho RADIUS client mới. Trong triển khai thực, bạn nên nhập vào RRAS và địa chỉ IP của máy chủ RRAS vào khoảng trống được cấp. Khi bạn gọi trở lại RRAS sẽ chạy trên cùng một máy chủ trong Network Policy Services. Chính vì vậy, nhập địa chỉ IP của chính máy chủ vào khoảng trống được cấp và kích Next.
Bây giờ, wizard sẽ hiển thị cửa sổ Additional Information. Cửa số này hỏi bạn về hãng client và các bí mật được chia sẻ. Chọn RADIUS Standard trong Client Vendor. Với các mục đích trong bài viết, nhập RRASS trong mật khẩu chia sẻ. Chọn hộp kiểm Client is NAP Capable, như thể hiện trong hình D và kích Finish.
Hình D: Nhập vào mật khẩu chia sẻ và chọn hộp kiểm Client is NAP Capable
Cấu hình máy khách
Chúng ta đã kết thúc việc cấu hình Network Policy Server, đây là lúc cấu hình máy khách kết nối với máy chủ. Hãy nhớ rằng kỹ thuật mà tôi giới thiệu cho bạn sẽ chỉ làm việc trên các máy khách đang chạy Windows Vista.
Với mục đích của bài viết này, chúng tôi đang thừa nhận rằng máy khách đang chạy Windows Vista và nó được cấu hình với một địa chỉ IP tĩnh. Như bạn đã biết, Windows Vista được thiết kế để chạy IPv6 một cách mặc định. Network Access Protection phải được hỗ trợ IPv6 nhưng Windows Longhorn Server vẫn đang trong giai đoạn thử nghiệm và dường như IPv6 không được hỗ trợ hiện nay khi nói đến Network access protection. Trong trường hợp đó bạn phải vô hiệu hóa IPv6 trên cấu hình mạng của máy tính. Khi Longhorn Server được phát hành, chúng tôi dự định viết một bản nâng cấp cho loạt bài viết này nhằm vào việc sử dụng IPv6 cũng như bất cứ thứ gì mà được thay đổi so với bản Beta.
Máy khách cũng phải được cấu hình như một thành viên của miền có Network Policy Server. Thêm vào đó, miền phải gồm một tài khoản người dùng mà bạn có thể sử dụng để đăng nhập vào Routing and Remote Access Server đã tạo.
Bây giờ hãy tạo một kết nối Virtual Private Network mà bạn sẽ sử dụng để kiểm tra máy chủ Network Access Protection. Để thực hiện, bạn mở Control Panel và kích chuột vào liên kết Network and Internet, sao đó là liên kết Network Center. Khi Network Center được mở, kích vào liên kết Set up a Connection or Network. Bạn phải tìm trên màn hình đang yêu cầu muốn tạo loại kết nối nào. Kích vào tùy chọn Connect to a Workplace sau đó kích Next.
Chọn tùy chọn kết nối thông qua VPN và bạn sẽ phải nhập vào địa chỉ Internet và tên đích. Nhập địa chỉ IP của máy chủ RRAS vào trường Internet Address. Bạn có thể nhập vào bất cứ gì mà bạn muốn trong trường Destination Name. Chọn Allow Other People để sử dụng hộp kiểm Connection, sau đó kích Next. Bây giờ nhập vào tên người dùng và mật khẩu cho người dùng, người được quyền đăng nhập vào máy chủ RRAS cũng như tên miền mà bạn sẽ đăng nhập vào.
Kích nút Connect, Vista sẽ kết nối đến máy chủ RRAS của bạn. Khi nhận được thông báo rằng wizard không thể kết nối đến đích của bạn, kích vào biểu tượng Setup a Connection Anyway. Điều này sẽ lưu các thiết lập lại để chúng ta có thể dừng việc tùy chỉnh chúng trong phần tiếp theo của loạt bài này.
Kết luận
Trong bài viết này, chúng tôi đã giới thiệu cho bạn cấu hình của Network Policy Server và bắt đầu việc cấu hình một máy khách. Trong phần tiếp theo chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách làm thế nào để hoàn thiện việc cấu hình client.