LOGO

RADIUS Server support in VPN & EAP/TLS Authentication

Bài hướng dẫn gồm có 4 phần như sau:

1

Installing the Windows Server 2003 IAS Server

2

Configuring a VPN client

Remote Access Policy on the IAS Server

3

Configuring the ISA Server firewall/VPN

server to use the IAS Server for

authentication and accounting

4

Configuring the ISA Server firewall/VPN server to support EAP-TLS authentication for PPTP and L2TP/IPSec clients

Phần I: Installing and Configuring the Windows Server 2003 IAS Server

Click Start / Control Panel / Add or Remove

Programs.

Click Add/Remove Windows Components.

Trong Windows Components dialog box, chọn Networking

Services và click Details button.

Check vào Networking Services click Detail

Check vào Internet Authentication Service click OK. Click Next Sau đó click Finish để kết thúc

Sau khi cài đặt xong, chúng ta sẽ thực hiện một vài cấu hình cơ bản cho IAS Server

Click Start / Administrative Tools / Internet Authentication Services.

Giao diện Internet Authentication Services console

Right click “Internet Authentication Service (Local) node”. Chọn “Register Server in Active Directory”

Cấu hình như vậy sẽ cho phép IAS Server xác thực user trong Active Directory domain.

Click OK ở Register Internet Authentication Server in Active Directory dialog box.

Click OK trong hộp thoại Server registered. Hệ thống nhắc ta IAS Server đã đặng ký thành công.

Right click RADIUS Clients Chọn New RADIUS Client.

Trong hội thoại New RADIUS Client, chúng ta gõ vào mục Friendly name cho ISA Server firewall/VPN server. Ví dụ: MSFIREWALL1

Click Next

Cung cấp FQDN hoặc IP của ISA Server

firewall/VPN server trong Client address (IP or DNS)

dialog box. Chúng ta nên sử dụng Verify button để

kiểm tra xem IAS Server có thể phân giải FQDN hay

không.

Trong phần Addition Information, giữ nguyên RADIUS Standard trong Client Vendor . Gõ vào Shared secret text và kiểm tra lại.

Click Finish

Chú ý: Shared secret nên là một dãy các ký tự chữ

cái hoa + thường + số + các ký tự đặc biệt khác.

Chúng ta cần đánh dấu vào Request must contain the Message Authenticator attribute checkbox. Option này giúp nâng cao mức độ bảo mật của RADIUS messages giữa ISA Server firewall/VPN và IAS servers.

Phần II: Configuring a VPN Client Remote Access

Policy on the IAS Server

Trong giao diện Internet Authentication Service console, right click Remote Access Policies chọn New Remote Access Policy.

Trang Welcome to the New Remote Access Policy Wizard xuất hiện. Chọn Next.

Trong trang Policy Configuration Method, chọn Use the wizard to set up a typical policy for a common scenario. Trong Policy name text

box, gõ vào tên policy. Ví dụ: VPN Access PolicyChọn Next.

Chọn NEXT

Chọn “VPN” option trong phần Access Method. Bạn cũng có thể tạo ra các policies riêng biệt cho PPTP và L2TP/IPSec VPN. Để tạo ra

chúng, trong bước trước, các bạn phải chọn Custom.

Bạn có thể thiết lập quyền truy cập tới VPN server cho user hoặc group. Tốt nhất là bạn tạo ra group - ví dụ là VPN Users - và cấp quyền cho Group này.Trong bài này, chúng ta chọn Group option và click Add. Chúng ta add Group nào cần VPN vào.

Chọn authentication methods trong phần Authentication Methods.

Chúng ta có thể chọn cả Microsoft Encrypted Authentication version 2 và Extensible Authentication Protocol (EAP). EAP và MS-CHAP version 2 đều được mã hóa và có tính bảo mật cao.

Click drop down Type (based on method of access and network configuration) menu và chọn Smart Card or other certificate , sau đó nhấn Configure. Trong Smart Card or other Certificate Properties dialog box, chọn certificate mà bạn muốn IAS server sử dụng để xác thực. Click OK. Click Next.

Nếu bạn không thấy certificate trong phần Smart Card or other Certificate Properties dialog box, hãy restart RADIUS server.

Chọn mức độ mã hóa bạn muốn sử dụng cho VPN. Trong bài này, chúng ta chọn Strongest encryption (IPSec Triple DES or MPPE

128-bit) Chọn Next.

Xem lại settings trong trang Completing the New Remote Access Policy Wizard Finish.

Phần II - Tiếp: Configuring Remote Access Permissions

1. Changing the User Account Dial-in Permissions

Click Start / Administrative Tools. Click Active Directory Users and Computers.

Trong giao diện Active Directory Users and Computers, chọn User OU.

Double click vào user account cần cấp quyền. Trong phần user account Properties, click Dial-in tab. Cấu hình mặc định là “Deny access”. Bạn cần phải cấu hình cho phép VPN access bằng cách chọn “Allow access” option. Option thứ 3 bị disable nếu Domain Function không là 2000 Native hoặc 2003. (Option này giúp chúng ta cấu hình cho phép VPN theo nhóm - sẽ được giới thiệu tiếp theo dưới đây)

Click Apply. click OK

Cho Phép truy cập từ xaKhông Cho Phép truy cập từ xa

2. Changing the Domain Functional Level

Tại domain controller, chọn Active Directory Domains and Trusts bằng cách:

Click Start Administrative Tools / Active Directory Domains and Trusts.

Tại giao diện Active Directory Domains and Trusts, right click vào domain và click vào Raise Domain Functional Level.

Trong Raise Domain Functional Level box, chọn Function cho Domain (2000 Native hoặc 2003)Chọn nút “Raise”

• Click Ok với các hộp thoại thông báo tiếp theo.

• Mở Active Directory Users and Computers, Click user account Click Dial-in tab.

• Bây giờ Control access through Remote Access Policy option đã được enable.

Phần III: Controlling Remote Access Permission via Remote Access Policy

Click Start / Administrative Tools. Click Internet Authentication Service.

Click Remote Access Policies. Bạn sẽ thấy VPN Access Policy mà bạn tạo ra trong phần Remote Access Policies. Right click Connections to other access servers và click Delete.

Bạn cũng xóa Connections to Microsoft Routing and Remote Access server.

Double click vào VPN Access Policy. trong hộp thoại VPN Access Policy Properties có 2 options để điều khiển quyền truy cập. Đó là:

- Deny remote access permission

- Grant remote access permission

Chọn “Grant remote access permission” để cho phép thành viên của Domain Users truy cập tới VPN server. Sau đó chọn Apply và click ok

Phần IV: Configuring the ISA Server firewall/VPN Server

to Support RADIUS and EAP-TLS Authentication for PPTP and L2TP/IPSec VPN

Clients

Chắc chắn rằng bạn đã cấu hình ISA server trở thành VPN Server. Hướng dẫn chi tiết các bạn có thể xem thêm link sau: http://www.isaserver.org/img/upl/vpn...nfigisavpn.htm Click Start / Administrative Tools / Routing and Remote Access. Right click vào server và click Properties. Click Security tab trong Properties dialog box.

Click Configure trong Authentication provider. Trong hộp thoại RADIUS Authentication, click

Add. Trong hộp thoại Add RADIUS Server, gõ tên kiểu

FQDN hoặc IP của IAS Server Click Change.

Gõ vào shared secret đã tạo ở bước trước cho IAS Server. Chọn Always use message authenticator checkbox..

Click OK trong hộp thoại Change Secret

Click OK Click Apply

Click OK trong hộp thoại Routing and Remote Access Properties.Right click Routing and Remote Access chọn All Tasks Restart.

LOGO