Triển khai chứng chỉ số cho VPN – Phần 3


Xem thêm:
Triển khai chứng chỉ số cho VPN – Phần 1
Triển khai chứng chỉ số cho VPN – Phần 2
Triển khai chứng chỉ số cho VPN – Phần 3

————-

Phần 3 – Triển khai một giải pháp VPN mẫu

1.    Mô hình mạng

Các bước triển khai VPN ở các phần sau sẽ dựa trên mô hình trong Hình 1.

Hình 1 – Mô hình triển khai chứng chỉ trong VPN

Ở đây, máy VPN Client sẽ kết nối vào mạng nội bộ sử dụng đường hầm L2TP/IPSec và chọn EAP-TLS làm giao thức xác thực người dùng. Nếu chọn sử dụng SSTP với EAP-TLS thì cần cài thêm chứng chỉ Web Server tại máy VPN Server. Các chứng chỉ cho mỗi thành phần cần chuẩn bị trước khi triển khai là:

  • IAS Server (được đổi thành RADIUS Server trên Windows Server 2008): được cài chứng chỉ RAS and IAS Server.
  • VPN Server: được cài chứng chỉ IPSec (với L2TP) hoặc Web Server (với SSTP).
  • VPN Client Computer: được cài chứng chỉ IPSec (cho máy client nằm trong domain uit.vn) hoặc IPSec (offline request) (cho máy client không nằm trong domain)
  • User: một phiên bản tùy chỉnh của mẫu chứng chỉ Authenticated Session.

Tải về video xem chi tiết các bước thực hiện cho các phần tiếp theo tại:
http://www.mediafire.com/?49ovhbe7qz469fa
http://www.mediafire.com/?z5w3uce1wmw6wzc

2.    Cấu hình Network Policy Server

Network Policy Server (NPS) cung cấp dịch vụ RADIUS trong Windows Server 2008. Nó cho phép kiểm tra OID của EKU hoặc của một application policy riêng biệt nào đó trong chứng chỉ của người dùng.

Việc cấu hình cho NPS sẽ gồm 5 bước chính sau:

  • Cài đặt RADIUS server.
  • Thêm RADIUS server vào nhóm RAS and IAS Servers.
  • Định nghĩa các RADIUS client (ở đây là máy VPN Server).
  • Định nghĩa chính sách truy cập VPN.
  • Bật tính năng ghi nhật ký tại RADIUS server.

Lời khuyên ở đây là nếu có thể thì nên triển khai NPS trên máy domain controller thay vì trên một máy chủ thành viên khác trong domain vì điều này sẽ đảm bảo rằng việc liên lạc giữa NPS và domain controller là các lời gọi hàm cục bộ và không được truyền ra ngoài qua môi trường mạng.

3.    Cấu hình VPN Server

Hai bước chính để cài đặt VPN Server trên Windows Server 2008 là:

  • Cài đặt role Routing and Remote Access
  • Bật kết nối VPN.

4.    Khởi tạo kết nối tại VPN Client

Thực hiện khởi tạo kết nối tới VPN Server trên Windows XP, thử nghiệm với hai tùy chọn là PPTP và L2TP/IPSec.

–manthang

2 comments

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s