Cài đặt và cấu hình ISA Server Firewall 2004 - Chương 3 CHƯƠNG 3: Cài đặt và cấu hình Microsoft Internet Authentication Service Microsoft Internet Authentication Server IAS là một chuẩn
Trang 1Cài đặt và cấu hình ISA Server Firewall 2004 - Chương 3
CHƯƠNG 3: Cài đặt và cấu hình Microsoft Internet Authentication
Service
Microsoft Internet Authentication Server (IAS) là một chuẩn thuộc loại RADIUS (Remote Authentication Dial In User Service) server được dùng để xác thực Users kết nối đến ISA Server 2004 Firewall machine Bạn có thể dùng IAS để xác thực các Web Proxy clients trên Internal Network hay VPN clients, VPN gateways đang tiến hành kết nối từ một External Network location (ví dụ như từ một văn Phòng chi nhánh của công ty) Ngoài ra, có thể dùng RADIUS xác thực remote users khi những đối tượng này kết nối đến các Web servers đã được published thông qua Web Publishing rules trên ISA Server 2004
Ưu điểm chính của việc dùng RADIUS xác thực Web proxy và VPN
connections là SA Server 2004 Firewall computer không cần phải là thành viên của Active Directory Domain mới có thể xác thực được các Users, khi tài khỏan của những Usrs này đang nằm trong Active Directory database thuộc Internal
Network Nhiều Firewall administrators khuyến cáo rằng không nên để
Trang 2Firewall Computer là thành viên trong Domain User Vì điều này có thể ngăn
chặn Attackers xâm nhập vào Firewall, và qua đó có được quyền Domain Member
từ Firewall này, mở rộng hướng tấn công vào Nội bộ Network
Tuy nhiên, nhược điểm lớn khi không đưa ISA Server 2004 Firewall làm thành viên của Internal Network domain đó là chúng ta sẽ không thể dùng ISA Firewall Client để cung cấp các xác thực hợp pháp cho ISA Server khi các Firewall Clients này truy cập đến tất cả các giao thức TCP và UDP Chính vì lý do này, chúng
ta sẽ tạo một ISA Server 2004 Firewall computer làm một thành viên của Internal Domain Tuy nhiên nếu bạn không gia nhập Firewall vào Domain, vẫn có thể dùng IAS để xác thực các VPN và Web Proxy clients
Các công việc tiếp theo sẽ là:
Cài đặt và cấu hình Microsoft Internet Authentication Service
Microsoft Internet Authentication Service server là một RADIUS server Chúng ta sẽ sử dụng RADIUS server này trong các phần sau của hướng dẫn (bật chức năng RADIUS authentication phục vụ cho Web Publishing Rules và tìm hiểu cách thức một RADIUS server xác thực PN clients như thế nào)
Tiến hành các bước sau để cài đặt Microsoft Internet Authentication Server
trên domain controller EXCHANGE2003BE thuộc Internal Network:
1 Click Start, Control Panel Click Add or Remove Programs.
2 Trong Add or Remove Programs, click Add/Remove Windows
Components
Trang 33 Trên Windows Components page, kéo xuống Components list và
chọn Networking Services entry Click Details.
4 Check vào Internet Authentication Service checkbox và click OK.
5 Click Next trên Windows Components page.
6 Click Finish trên Completing the Windows Components Wizard page.
7 Đóng Add or Remove Programs
Tiếp theo chúng ta sẽ cấu hình Internet Authentication Service
Cấu hình Microsoft Internet Authentication Service
Bạn cần cấu hình IAS server đúng cách để có thể làm việc với ISA Server
2004 Firewall computer Tại thời điểm này, chúng ta sẽ cấu hình IAS Server để làm việc với ISA Server 2004 Firewall Sau đó sẽ cấu hình Firewall để giao tiếp với IAS server
Trang 4Tiến hành các bước sau với Domain controller trên Internal Network để cấu hình IAS server:
1 Click Start, Administrative Tools Click Internet Authentication
Service.
2 Trong Internet Authentication Service console, mở rộng Internet
Authentication
Service (Local) node Right click trên RADIUS Clients node và click New RADIUS
Client.
3 Trên Name and Address page của New RADIUS Client wizard, điền vào Friendly-name của ISA Server 2004 Firewall computer trong Friendly name text
box Đơn giản là tên này được dùng để xác định RADIUS client và không được sử dụng cho những mục đích hoạt động Đưa đầy đủ FQDN name
Trang 5(là EXCHANGE2003BE MSFIREWALL.ORG) , hoặc IP address của ISA Server
2004 Firewall computer trong Client address (IP or DNS)text box.
4 Click Verify Trong Verify Client dialog box, FQDN-fully qualified
domain namecủa ISA Server 2004 Firewall computer sẽ xuất hiện
trong Client text box ClickResolve Nếu RADIUS server có thể giải quyết Tên thì
IP address sẽ xuất hiện trong IP address frame Nếu RADIUS server không thể
giải quyết tên ra IP Address, điều này lưu ý với Admin rằng: hostname của ISA Server 2004 Firewall chưa được tạo trong DNS server (chưa tạo record choISA Server) Nếu trường hợp này xảy ra, bạn có thể đưa 2 cách giải quyết: Tạo A
Record cho ISA Server trên DNS server được cài đặt trên Domain controller, hoặc
bạn có thể dùng IP address trên Internal interface (10.0.0.1) của ISA Server 2004 Firewall trong Client address (IP and DNS) text box thuộc Name or Address page (đã đề cập ở trên) Click OK vào Verify Client dialog box Mục đích của các xác lập
trong phần này là biến ISA Server 2004 Firewall trở thành một RADIUS Client, khi
đó giữ RADIUS server và RADIUS Client mới có thể bắt tay cộng tác
Trang 65 Click Next trên Name and Address page của New RADIUS Client wizard.
6 Trên Additional Information page của wizard, dùng default
Client-Vendor entry, chuẩn của RADIUS Điền vào một password trong Shared
secret text box và xác nhận lại password này Password bí mật được chia sẽ (chỉ
có RADIUS server và RADIUS Client- ISA Server 2004 Firewall biết), và dùng “tín
hiệu” này để làm việc với nhau.Shared Secret chứa ít nhất 8 kí tự (cả hoa lẫn thường, số và cả các kí tự đặc biệt ) Check vào Request must contain the
Message Authenticator attribute check box Click Finish.
Trang 77 Bây giờ các bạn đã thấy New RADIUS client entry xuất hiện trên console
8 Đóng Internet Authentication Service console.
Trang 8Việc cấu hình tiếp theo trên ISA Server 2004 Firewall để công nhận đối tác của nó là RADIUS server, cấu hình sẽ được tiến hành thông qua giao diện quản trị ISA Server 2004 Firewall và RADIUS server này sẽ đảm nhiệm vai trò xác thực các yêu cầu từ Web và VPN client
Kết luận:
Trong chương này chúng ta đã đề cập đến Microsoft Internet
Authentication Server,cách thức cài đặt và cấu hình một IAS server trên Domain
controller thuộc Internal Network domain Trong các phần kế tiếp của hướng dẫn, chúng ta sẽ dùng IAS server này để xác thực các yêu cầu từ bên ngoài (incoming requestst của Web/VPN Clients) truy cập vào Web/VPN server