Gii thiu v Network Access Protection (Phn 2)
Ngu
n:quantrimang.com
Trong phn đầu ca lot bài viết này, chúng tôi đã gii thiu cho các bn
mt s khái nim liên quan đến Network Access Protection. Trong phn hai
này chúng tôi mun bt đầu vic tho lun v m s yêu cu mng cơ bn
và các điu kin quyết định khác. Sau đó là quá trình cu hình như thế nào.
Cơ s h tng Network Access Protection
Vic thi hành NAP cn s dng mt s máy ch, mi mt máy ch có mt vai trò
riêng. Bn có th xem hình A để có cái nhìn tng quát v vn đề này.
Hình A: Vic thi hành NAP yêu cu mt s máy ch để s dng
Như bn thy trong sơ đồ, client Windows Vista đang kết ni đến mt Longhorn
Server đang chy dch v truy cp t xa (RRAS). Máy ch này làm vic như máy
ch VPN cho mng. Client Windows Vista thiết lp mt kết ni đến máy ch VPN
này theo cách thông thường.
Khi người dùng t xa kết ni đến máy ch VPN thì b kim tra min s kim tra
tính hp l ca máy tính người dùng xem nó có đáp ng được vi chính sách
mng và ch ra nhng chính sách an toàn nào đã được đáp ng, mt máy ch
được s dng để cu hình c Remote Access Service và Network Policy Server.
Trong thế gii thc, các máy ch VPN hot động lp vành đai mng và không
nên cu hình máy ch chính sách mng trên máy ch vành đai.
B điu khin min
Nếu nhìn vào sơ đồ hin th trong hình A thì bn s thy được rng mt trong
nhng máy ch yêu cu là b điu khin min. Không nên nghĩ nó ch là mt
máy ch riêng l, nó có th khá như mt cơ s h tng Active Directory trn vn.
Mt Active Directory không th hot động mà không có máy ch DNS, nếu sơ đồ
đã trình bày biu din đúng mt mng thì b điu khin min s đang cu hình
các dch v DNS. Tt nhiên trong các t chc thế gii thc s dng đin hình
nhiu b điu khin min và các máy ch DNS chuyên dng.
Nhân t khác cn xem xét cho s không rõ ràng sơ đồ là quyn cp chng ch
hot động kinh doanh cũng đưc yêu cu. Trong trường hp sơ đồ này, các dch
v cp chng ch có th d dàng được cu hình trên b điu khin min. Trong
thế gii thc, mt máy ch chuyên dng thường được s dng như quyn cp
chng ch bi vì tính cht nhy cm ca các chng ch s.
Trong trường hp bn đang phân vân, lý do ti sao quyn cp chng ch hot
động kinh doanh được yêu cu là bi vì máy ch VPN s dng giao thc PEAP-
MSCHAPv2 để thm định. Giao thc PEAP là chng ch gc. Máy ch VPN s
s dng mt chng ch máy bên cnh máy ch, nhưng ngược li các client li
s dng các chng ch người dùng.
Cài đặt quyn cp chng ch hot động kinh doanh
Th tc cho vic trin khai mt quyn cp chng ch hot động kinh doanh thay
đổi ph thuc vào vic bn đang cài đặt các dch v trên Windows 2003 Server
hay Longhorn Server. Mt trong nhng mc đích ca tôi trong bài viết này
hướng ti cho các bn đọc đã khá thân thin vi Longhorn Server. Các th tc
dưới đây được d định cho vic cài đặt các dch v chng ch trên Longhorn
Server.
Trước khi trình bày cách làm thế nào để cài đặt các dch v chng ch thì bn
cn phi ghi nh 2 điu. Đầu tiên đó là, Longhorn Server vn là bn chy th
nghim, do vy nó có th thay đổi cho ti khi sn phm cui cùng được phát
hành, mt thay đổi ln trong quá trình phát trin ng dng này là khó có th xy
ra.
Điu th hai cn phi lưu ý đó là khi trin khai trong thế gii thc thì bn luôn
mun có được các phép đo hiu qu để bo đảm quyn cp chng ch hot
động kinh doanh là an toàn. Hơn tt c, nếu ai đó đã đot đưc quyn cp
chng ch hot động kinh doanh ca bn thì h có th làm ch được mng. Do
bài viết này ch tp trung vào NAP nên chúng tôi s gii thiu cho các bn mt
chút v dch v cp chng ch này và hot động ca nó. Trong trin khai thế gii
thc, bn s mun có được v cu hình ca máy ch.
Bt đầu quá trình trin khai bng vic m Server Manager ca Longhorn Server
và chn tùy chn Manage Roles. Tiếp theo, nhn liên kết Add Roles đã tìm thy
trong phn Roles Summary. Vic này s là cho Windows khi động Add Roles
Wizard. Nhn Next để b qua ca s này. Bn s thy mt danh sách cha tt
c các thành phn sn có. Chn tùy chn Active Directory Certificate Server
t danh sách. Đôi khi có th không xut hin các thành phn được lit kê theo
th t alphabe, chính vì vy bn có th phi đọc thông qua toàn b danh sách
để tìm dch v thích hp. Nhn Next để tiếp tc.
Ca s này s gii thiu cho bn v các dch v cp chng ch và cung cp mt
s chú ý. Nhn Next, bn s thy mt ca s khác hi v thành phn nào mun
cài đặt. Chn các hp checkbox Certification AuthorityCertificate
Authority Web Enrollment và nhn Next.
Bây gi bn s thy mt ca s hi có mun to mt quyn cp chng ch hot
động kinh doanh hay không hay mt quyn chng ch độc lp. Chn tùy chn
Enterprise Certificate Authority và nhn Next. Bn s được nhc nh xem
máy ch này có nên thc hin như mt Root CA hay Subordinate CA không.
Nếu đây là ln đầu tiên quyn cp chng ch trong phòng thì bn nên chn tùy
chn Root CA. Nhn Next để tiếp tc.
Wizard s hi xem có mun to mt khóa riêng mi hay s dng khóa riêng
đang tn ti. Nếu đây li là mt th nghim thì bn chn tùy chn to mt khóa
riêng mi và nhn Next để tiếp tc.
Ca s tiếp theo s yêu cu bn chn mt nhà cung cp dch v bng mt mã,
chiu dài khóa và thut toán hash. Trong trin khai thế gii thc, có nhiu th
cn phi xem xét cn thn. Khi chúng ta đang thiết lp quyn cp chng ch này
cho mc đích chng minh thì chúng ta nên để mc định và nhn Next.
Ca s tiếp theo để bn định nghĩa mt tên chung và hu t tên đặc bit đối vi
quyn cp chng ch. Li tiếp tc chn mc định và nhn Next.
Bây gi bn nên xem ca s đang yêu cu thi gian chng ch hp l là bao lâu,
mc định chu k này là 5 năm, điu đó khá tt đối vi các mc đích ca chúng
ta, vì vy hãy nhn Next để tiếp tc. Ca s tiếp theo s hi xem các cơ s d
liu chng ch và các bn ghi phiên liên lc tương ng ca chúng s được đặt
đâu. Trong môi trường sn xut, vic chn mt v trí thích hp có tác dng gii
hn cho kh năng chng sai sót và bo mt. Nếu được tiến hành th nghim,
bn hãy để mc định và nhn Next.
Cui cùng là ca s din t chi tiết v các tùy chn mà bn đã chn. Nhn nút
Install sau đó Windows s copy nhng file cn thiết và cu hình các dch v bên
dưới.
Kết lun
Vy là chúng tôi đã trình bày cho các bn cách cu hình quyn cp chng ch
hot động kinh doanh, và là thi đim bn bt đầu cu hình máy ch VPN. Mi
các bn đón xem phn 3.