Giới thiệu bổ sung về Network Access Protection – Phần 6 Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách tạo các chính sách thẩm định cho cả các máy không đồn
Trang 1Giới thiệu bổ sung về Network Access Protection – Phần 6
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách tạo các chính sách thẩm định cho cả các máy không đồng thuận và đồng thuận Trong phần này, chúng tôi sẽ hòan tất thủ tục cấu hình máy chủ Bước đầu tiên trong việc thực hiện đó sẽ
là tạo một chính sách mạng để có thể áp dụng cho bất cứ máy nào cần thẩm định thông qua máy chủ VPN.
Tạo một chính sách mạng
Bắt đầu quá trình bằng cách mở giao diện điều khiển Network Policy Server và điều
hướng trong cây giao diện đến NPS (Local) | Policies | Network Policies Ở đây, panel
chi tiết sẽ hiển thị các chính sách mạng đã tồn tại trước đó Bạn hãy dành một chút để
thẩm định xem các chính sách Compliant – Full Access và Noncompliant – Restricted
có được kích hoạt hay không, và xem cả chính sách Connections to Microsoft Routing
và Remote Access Server có bị vô hiệu hóa hay không (chi tiết trong hình A bên dưới)
Hình A: Bảo đảm rằng các chính sách
Compliant – Full Access và Noncompliant – Restricted được kích hoạt
Đây chính là lúc tạo một chính sách mạng Để thực hiện điều này, bạn hãy kích chuột
phải vào mục Network Policies và chọn lệnh New Khi đó, Windows sẽ khởi chạy New Network Policy Wizard
Trang 2Thứ đầu tiên mà bạn phải thực hiện là nhập vào tên của một chính sách mới mà chúng ta
sẽ tạo Với mục đích hướng dẫn trong bài, chúng ta hãy gọi chính sách là RRAS Sau khi nhập RRAS vào trường Policy Name, bạn hãy chọn tùy chọn Remote Access Server (VPN-Dial up) từ mục chọn Type of Network Access Server, xem thể hiện trong hình
B
Hình B: Thiết lập kiểu cho Network Access Server là Remote Access Server
(VPN-Dial up)
Kích Next, khi đó wizard sẽ đưa bạn đến màn hình Specify Conditions Wizard sẽ
không cho phép bạn tiếp tục cho tới khi bạn chỉ định tối thiểu một điều kiện nào đó cần phải có Chúng tôi thích cấu hình chính sách để xem kiểu kết nối gửi đến Theo cách đó, chúng tôi cần phải thiết lập chính sách để áp dụng cho bất cứ kết nối VPN nào được thiết lập với máy chủ
Để thiết lập các điều kiện, hãy kích nút Add, sau đó chọn trong phần Select Conditions chọn Tunnel Type Chọn tùy chọn này và kích Add Lúc này bạn sẽ thấy một màn hình
yêu cầu bạn chỉ định các kiểu đường hầm yêu cầu đối với mỗi một chính sách Bạn có thể chọn bất cứ thứ gì muốn ở đây, tuy nhiên chúng tôi khuyên các bạn nên chọn các tùy
chọn Layer Two Tunneling Protocol (L2TP) và Point to Point Tunneling Protocol (PPTP), xem thể hiện trong hình C
Trang 3Hình C: Chọn các tùy chọn PPTP và L2TP, sau đó kích OK
Kích OK và sau đó kích Next Wizard lúc này sẽ hiển thị màn hình Specify Access Permission Chọn nút “Access Granted”, sau đó tích vào hộp kiểm “Access is Determined by User Dial In Properties”, xem thể hiện trong hình D
Trang 4Hình D: Chọn nút “Access Granted”, sau đó chọn “Access is Determined by User Dial
In”
Màn hình tiếp theo mà các bạn sẽ gặp sẽ hỏi bạn về kiểu EAP nào bạn muốn sử dụng cho
việc thẩm định Bạn có thể sử dụng bất cứ kiểu EAP nào muốn có, tuy nhiên ở đây chúng tôi khuyên các bạn nên sử dụng Protected EAP và EAP-MSCHAP-V2 Để chỉ định kiểu cho EAP, hãy kích nút Add, sau đó chọn tùy chọn Microsoft: Protected EAP (PEAP) và kích OK Tiếp theo, kích nút Add lần nữa, chọn tùy chọn Microsoft:
Secured Password (EAP-MSCHAP-V2) và kích OK Khi wizard đưa bạn trở về màn hình Configure Authentication Methods, hãy hủy chọn hộp kiểm Microsoft
Encrypted Authentication (MS-CHAP) Màn hình lúc này sẽ giống như những gì thể
hiện trong hình E
Trang 5Hình E: Màn hình Configure Authentication Methods Kích Next, khi đó wizard sẽ hiển thị màn hình Configure Constraints Như những gì
bạn thấy trong hình E, màn hình này cho phép bạn thiết lập những thứ giống như chu kỳ
session timeout hoặc các giới hạn về thời gian mà bạn muốn áp đặt Với sự phức tạp
trong việc triển khai NAP như vậy, chúng tôi khuyên bạn không nên áp đặt bất cứ ràng buộc nào
Trang 6Hình F: Chúng tôi khuyên bạn nên để áp đặt các ràng buộc sau
Kích Next, tiếp theo đó kích Finish để hoàn tát quá trình cấu hình
Chính sách cấu hình máy khách RADIUS
Trong kiểu triển khai này, Network Policy Server đóng vai trò như một máy chủ
RADIUS Đúng hơn là các máy khách đang thực hiện một sự thẩm định RADIUS trực tiếp đối với máy chủ chính sách mạng, còn máy chủ RRAS đang thực hiện như một máy chủ VPN sẽ thực hiện nhiệm vụ như một máy khách RADIUS
Bước cuối cùng trong quá trình cấu hình máy chủ là việc cung cấp cho Network Policy Server một danh sách các máy khách RADIUS đã được thẩm định Do chỉ có máy khách RADIUS sẽ là máy chủ VPN nên bạn chỉ cần nhập vào địa chỉ IP của máy chủ VPN Cần
lưu ý một điều rằng các dịch vụ RRAS đang chạy trên cùng một máy chủ vật lý với
Network Policy Services, chính vì vậy bạn chỉ cần chỉ định địa chỉ IP chỉ chính máy
chủ
Để tạo chính sách cấu hình máy khách RADIUS, hãy điều hướng trong cây giao diện
Network Policy Server đến NPS (Local) | RADIUS Clients and Servers | RADIUS
Trang 7Clients Lúc này, kích chuột phải vào mục RADIUS Clients, sau đó chọn lệnh New RADIUS Client Thao tác này sẽ mở ra cho bạn hộp thoại New RADIUS Client.
Thứ đầu tiên hộp thoại này yêu cầu bạn là nhập vào tên và địac chỉ IP cho máy khách RADIUS mới Trong triển khai thực, bạn nên nhập RRAS với tư cách là tên và nhập vào địa chỉ IP của máy chủ RRAS vào phần không gian được cấp Do đây là môi trường lab
nên RRAS hiện đang chạy trên cùng máy chủ với Network Policy Services Chính vì
vậy chỉ cần nhập tên của chính máy chủ và địa chỉ IP của nó vào phần không gian được cấp
Trường tiếp theo trrong hộp thoại này là trường Vendor Name Phần văn bản trong hộp thoại sẽ chỉ dẫn cho bạn cách sử dụng thiết lập RADIUS Standard cho các hầu hết các
triển khai
Thứ tiếp theo mà hộp thoại hỏi là những bí mật được chia sẻ Như bất cứ bí mật nào, cả máy khách và máy chủ đều cần biết về những mật chia sẻ Cách an toàn nhất trong việc
thiết lập bí mật chia sẻ là chọn nút “Generate” Khi đó Windows sẽ tự động tạo một bí
mật chia sẻ riêng
Về cá nhân mà nói, chúng tôi thực sự khuyên các bạn nên sử dụng một bí mật chia sẻ đơn giản và mang tính thủ công Có hai lý do cho điều này đó là Thứ nhất, không phải tất cả các máy khách Windows đều hỗ trợ việc sử dụng các bí mật chia sẻ dài Thứ hai đó là bạn sẽ thực sự khó trong việc đánh lại một chuỗi ngẫu nhiên các số, ký tự và các ký hiệu dài Với sở thích ưu tiên cho sự đơn giản như vậy, tôi khuyên các bạn nên chọn tùy chọn
tùy chọn Manual, sau đó sử dụng từ RRAS như một bí mật được chia sẻ Khi NAP làm
việc, bạn có thể làm cho nó trở lên an toàn hơn bằng cách chọn những bí mật chia sẻ phức tạp hơn
Thứ cuối cùng mà bạn cần thực hiện đó là chọn hộp kiểm RADIUS Client is NAP Capable Hộp thoại NEW RADIUS Client sẽ giống như những gì bạn thấy trong hình
G Kích OK để hoàn tất quá trình cấu hình
Trang 8Hình G: Nhập vào bí mật chia sẻ và chọn hộp kiểm Client is NAP Capable
Kết luận
Trong phần này, chúng tôi đã giới thiệu cho các bạn về sự cấu hình của Network Policy Server Trong phần 17 sắp tới, chúng tôi sẽ giới thiệu cho các bạn về cách thực hiện phần
cấu hình máy khách của quá trình cài đặt
